Alten Domain Controller sauber entfernen
Hallo Leute
Ich habe zwei neue DCs (Win2k12 R2) installiert und die FSMO Rollen, GC sowie DNS und DHCP darauf verschoben. Die Einstellungen geändert, dass DNS auf die neuen Server zeigen. Soweit funktioniert nun alles gut. Nun würde ich gerne den alten DC (Win2k8) aus der Domäne entfernen. Forestlevel und Domänenlevel sind im Moment noch Win2k3.
Nun sind bei mir ein paar Fragen aufgetaucht, welche ich die Antworten nicht online gefunden habe.
Kann der DC während dem Betrieb entfernt werden oder sollte es besser Off-Peak geschehen?
Was ist die richtige Vorgehensweise?
1. Alten DC entfernen
2. Alle Rollen entfernen
3. Dann das Domänenlevel und schliesslich Forest auf Win2k12 anheben?
Nun zum Testen, ob es Probleme machen könnnte, habe ich einmal den alten DC heruntergefahren und dies hat tatsächlich Probleme bei einigen Usern geführt. Das waren wohl diejenigen, die sich am morgen mit dem alten DC angemeldet haben. Auch nach einem Neustart des Computers wollten sich die Computer nicht mit den neuen DCs anmelden. Kann ich das so nicht testen, weil der alte wirklich zuerst aus der Domäne gelöscht werden muss oder liegt das Problem irgendwo anders?
Vielen Dank
Ich habe zwei neue DCs (Win2k12 R2) installiert und die FSMO Rollen, GC sowie DNS und DHCP darauf verschoben. Die Einstellungen geändert, dass DNS auf die neuen Server zeigen. Soweit funktioniert nun alles gut. Nun würde ich gerne den alten DC (Win2k8) aus der Domäne entfernen. Forestlevel und Domänenlevel sind im Moment noch Win2k3.
Nun sind bei mir ein paar Fragen aufgetaucht, welche ich die Antworten nicht online gefunden habe.
Kann der DC während dem Betrieb entfernt werden oder sollte es besser Off-Peak geschehen?
Was ist die richtige Vorgehensweise?
1. Alten DC entfernen
2. Alle Rollen entfernen
3. Dann das Domänenlevel und schliesslich Forest auf Win2k12 anheben?
Nun zum Testen, ob es Probleme machen könnnte, habe ich einmal den alten DC heruntergefahren und dies hat tatsächlich Probleme bei einigen Usern geführt. Das waren wohl diejenigen, die sich am morgen mit dem alten DC angemeldet haben. Auch nach einem Neustart des Computers wollten sich die Computer nicht mit den neuen DCs anmelden. Kann ich das so nicht testen, weil der alte wirklich zuerst aus der Domäne gelöscht werden muss oder liegt das Problem irgendwo anders?
Vielen Dank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 266824
Url: https://administrator.de/contentid/266824
Ausgedruckt am: 25.11.2024 um 00:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo.
"Entfernen", wie auch immer Du das genau meinst, ist sicherlich nicht die richtige Methode.
Einen DC, der nicht mehr DC sein soll, würde ich erstmal demoten (dcpromo.exe), danach ist er erstmal einfacher Mitgliedsserver. Danach haben die Clients gar keine andere Chance mehr, als einen der beiden neuen DCs als Logonserver zu verwenden. Dann kannst Du ihn wieder testweise herunterfahren und nachsehen, ob bei den Clients alles funktioniert (ich vermute schon).
Wenn Du den Server danach wirklich komplett loswerden willst, und garantiert nichts mehr darauf läuft, das Du noch irgendwie brauchst, würde ich ihn entweder herunterfahren und danach im AD das Computerkonto löschen, oder ihn im lfd. Betrieb aus der Domäne nehmen und in eine Workgroup stecken, kommt auf dasselbe heraus, in beiden Fällen ist er danach kein Domänenmitglied mehr.
Danach kannst Du es angehen, das Domänenfunktionslevel hochzuziehen.
Viele Grüße
von
departure69
"Entfernen", wie auch immer Du das genau meinst, ist sicherlich nicht die richtige Methode.
Einen DC, der nicht mehr DC sein soll, würde ich erstmal demoten (dcpromo.exe), danach ist er erstmal einfacher Mitgliedsserver. Danach haben die Clients gar keine andere Chance mehr, als einen der beiden neuen DCs als Logonserver zu verwenden. Dann kannst Du ihn wieder testweise herunterfahren und nachsehen, ob bei den Clients alles funktioniert (ich vermute schon).
Wenn Du den Server danach wirklich komplett loswerden willst, und garantiert nichts mehr darauf läuft, das Du noch irgendwie brauchst, würde ich ihn entweder herunterfahren und danach im AD das Computerkonto löschen, oder ihn im lfd. Betrieb aus der Domäne nehmen und in eine Workgroup stecken, kommt auf dasselbe heraus, in beiden Fällen ist er danach kein Domänenmitglied mehr.
Danach kannst Du es angehen, das Domänenfunktionslevel hochzuziehen.
Viele Grüße
von
departure69
Moin,
Welcher Art waren denn die Problem, die die Clients hatten, nachdem Du den Server "abgeschaltet" hast und was für clients waren es denn?
Denn wen ein DC "weg" ist, der keine wesentlichen Rollen hat, sollte das Netz eigentlich ordentlich weiterlaufen. Wenn irgendetwas "hakt", stimtm in Deinem doänen gefüge was nicht.
Ein DC wird eigentlich durch demoten mit dcpromo sauber entfernt, aber wenn man diesen weg geht, gibt es kein zurück mehr.
lks
Welcher Art waren denn die Problem, die die Clients hatten, nachdem Du den Server "abgeschaltet" hast und was für clients waren es denn?
Denn wen ein DC "weg" ist, der keine wesentlichen Rollen hat, sollte das Netz eigentlich ordentlich weiterlaufen. Wenn irgendetwas "hakt", stimtm in Deinem doänen gefüge was nicht.
Ein DC wird eigentlich durch demoten mit dcpromo sauber entfernt, aber wenn man diesen weg geht, gibt es kein zurück mehr.
lks
Zitat von @Mineralwasser:
Züruck zu meinen Fragen:
1. Kann der DC während dem Betrieb demoted werden oder sollte es besser Off-Peak geschehen? Klar ist es immer Off-Peak.
Züruck zu meinen Fragen:
1. Kann der DC während dem Betrieb demoted werden oder sollte es besser Off-Peak geschehen? Klar ist es immer Off-Peak.
Prinzipiell ja. wie willst Du den denn somst demoten, wenn nicht während dem Betrieb?
Du hast natürlich weniger Hektik, wenn Du es nicht gerade während der Hauptarbeitszeit machst und dabei etwas schiefgeht.
2. Bevore ich den DC demote sollte ich ihn doch einfach herunterfahren können und dabei sollte doch alles wie gewohnt weiter
funktionieren oder?
funktionieren oder?
Genau das sagte ich doch. Wenn alles "sauber" und die anderen DCs funktionieren, sollte der "Ausfall" eines DCs eigentlich nicht zu Problemen führen. Wenn da nun Probleme auftauchen, sollte man voher nachforschen, woran es genau hängt.
lks
liegt eventuell am DFS und ich konnte von denen auch nicht mehr DNS auflösen
Das hier nie einer von Anfang an alle Fakten auf den Tisch bringen kann... .)DFS: Vor dem Abschalten dem Namespace(s) einen/mehrere andere NS-Server zuweisen und den den du abschalten willst deaktvieren und entfernen
DNS: Um alle Unklarheiten (bei den Clients) zu vermeiden, vor dem Abschalten des alten Servers als Primären DNS (entweder per Script oder DHCP) den neuen DC eintragen.
Zitat von @Mineralwasser:
Wie auch immer habe ich das Problem gelüftet und zwar lag es am Checkpoint VPN Client. Nachdem ich den deinstalliert habe,
hat alles einwandfrei funktioniert.
Wie auch immer habe ich das Problem gelüftet und zwar lag es am Checkpoint VPN Client. Nachdem ich den deinstalliert habe,
hat alles einwandfrei funktioniert.
Nur der Neugierde halber:
Auf dem Server? oder auf dem Client?
lks