Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

"Austausch" eines Domaincontrollers

Mitglied: takvorian

takvorian (Level 2) - Jetzt verbinden

31.07.2015 um 15:26 Uhr, 905 Aufrufe, 8 Kommentare, 1 Danke

Hallo zusammen,

ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. ( https://www.administrator.de/content/detail.php?id=277275#comment-102363 ... )

Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.

So nun zu meiner Überlegung:

Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus der Domäne zu entfernen.
3. Ich warte die Replikation ab
4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur ca. 5 - 7 Mitarbeiter )
5. Replikation abwarten und gleiches am nächsten 2003er

Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip )
Was kann ich evtl besser machen?

Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung

angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.

Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt neu als VM zurückspiele?

Danke fürs drüberlesen

Gruß tak
Mitglied: Chonta
31.07.2015 um 15:41 Uhr
Hallo,

Warum willst Du die Gruppenrichtlinien neu machen? Die werden immer mitrepliziert.
Nur mit Scripten und deren Pfaden kann es ggf probleme geben.

Selbst mit einem Demote finden sich noch alte Einträge im AD/DNS die meist nich tsauber entfernt werden.
Da sollte vorher nach geschaut und bereinigt werden.
Der 2003er sollte nicht nur sauber zum Membersrver gemacht werden sondern auch sauber aus der Domäne austreten.

Mit Bordmitteln wirst Du keine Sicherung hinbekommen die aus dem 2008er eine VM machen.
Du könntest mit einem entsprechenden Imageprogramm das auch für DCs geeignet ist ein Image machen und das zurücksichern in eine VM.
Aber sauberer wäre die Gleiche Vorgehensweise wie beim 2003er plust verschieben der FMSO für die Zeit.

Gruß

Chonta
Bitte warten ..
Mitglied: jsysde
31.07.2015 um 15:42 Uhr
Moin.

Warum einen DC sichern und dann zurückspielen?
Wenn der "nur" DC ist, einfach demoten, neu installieren und wieder promoten, du hast ja noch weitere vier DCs. Vorher natürlich die FSMO verschieben, dann passiert da auch nix.

Ansonsten sieht das soweit gut aus, nur eines:
"Gruppenrichtlinien neu machen" - warum?
Wenn das nur eine AD-Domain ist, werden die GPO auf alle DCs repliziert, da muss man nix "neu machen".

Was die Neu-Installation mit gleichem Namen betrifft:
DNS- und AD-Sites & Servers durchschauen und verbliebene Fragmente löschen, sonst könnt's blöd werden.

Prinzipiell habe ich das grob nach deiner Beschreibung schon x-mal erfolgreich so gemacht.

Cheers,
jsysde
Bitte warten ..
Mitglied: beidermachtvongreyscull
31.07.2015 um 15:46 Uhr
Zitat von takvorian:

Hallo zusammen,

ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. (
https://www.administrator.de/content/detail.php?id=277275#comment-102363 ... )

Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er
Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.

So nun zu meiner Überlegung:

Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
Prima. Dann könnten alle anderen DCs zum Teufel gehen und die Domäne wäre sauber. Wer macht denn DNS?
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus
der Domäne zu entfernen.
Jepp.
3. Ich warte die Replikation ab
Jepp. Du kannst sie aber auch anschieben.
4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter
beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur
ca. 5 - 7 Mitarbeiter )
Das würde ich nicht machen. Den Namen des alten DCs mit einer neuen Büchse verwenden, halte ich nicht für gut.
5. Replikation abwarten und gleiches am nächsten 2003er
Jepp.

Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip
)
Du musst immer mit Problemen rechnen. Egal wieviel Bücher und Artikel Du dazu gelesen hast, so sehe ich immer folgendes gegeben:
Es ist nicht immer so, wie es in den Büchern steht! Das liegt an den Vorbedingungen
Was kann ich evtl besser machen?
Augenmerk auf DNS und DHCP. Sorge dafür, dass das Management auf dem 2008er ist.

Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung

angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.

Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt
neu als VM zurückspiele?

Ich bin da unsicher. Es kann funktionieren, es muss aber nicht. Gibts keine andere Möglichkeit?


Danke fürs drüberlesen

Gruß tak
Bitte warten ..
Mitglied: jsysde
31.07.2015 um 18:10 Uhr
N'Abend.
Den Namen des alten DCs mit einer neuen Büchse verwenden, halte ich nicht für gut.
Wenn man entsprechend aufräumt, ist das kein Problem; selbst, wenn man es vergisst, bekommt das Computer-Objekt im AD eine neue GUID, auch wenn der Name identisch ist. Das "Aufräumen" wird halt nur schwerer, weil in etlichen Dialogen eben nur der Name und nicht die GUID angezeigt wird.

Und klar, die Replikation muss sauber laufen und die Änderungen korrekt repliziert werden, _bevor!_ man die Büchse mit gleichem Namen neu installiert.

Cheers,
jsysde
Bitte warten ..
Mitglied: emeriks
31.07.2015, aktualisiert um 22:03 Uhr
Hi,
neuen DC unter alten Namen installieren ist überhaupt kein Problem. Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen. Aber wie Du selbst schon schreibst: Replikation abwarten, egal ob manuell angestoßen oder nicht. Also immer Eile mit Weile! Wenn DC's an anderen Standorten stehen, dann beachte die Verzögerung bei Inter-Site-Replication. Je nach dem, was Du dort eingetragen hast. Rechne die Zeit min. doppelt! Hin und zurück. Standardmäßig läuft die Inter-Site-Replication nicht mit Benachrichtigungen.
Prüfe die Eventlogs der verbleibenden DC's, bevor Du den neuen DC mit dem alten Namen installierst und promotest!
Beachte DNS: Wenn einer der DC's auch DNS ist, dann muss für die Dauer seiner Nichtverfügbarkeit eine Redundanz da sein, welche von den verbleibenden DC's und Members auch verwendet wird.
Beachte andere Funktionen der DC's.
Beachte ggf. vorhandene AD-Anwendungspartitionen, z.B. die von DNS. Solche werden nicht automatisch auf andere DC verschoben. Da muss man aufpassen und manuell dafür sorgen, dass immer noch ein weiteres Replikat vorhanden ist.

E.
Bitte warten ..
Mitglied: jsysde
31.07.2015 um 22:21 Uhr
N'Abend.
Zitat von emeriks:
Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen.
Doch - unter AD Sites & Services verbleibt ein Eintrag mit dem Namen des DCs. Zumindest musste ich den bisher immer manuell löschen. Und im DNS, falls ein Eintrag "static" gesetzt ist, sollte der auch bereinigt werden.

Cheers,
jsysde
Bitte warten ..
Mitglied: emeriks
01.08.2015 um 20:39 Uhr
Doch - unter AD Sites & Services verbleibt ein Eintrag mit dem Namen des DCs. Zumindest musste ich den bisher immer manuell löschen.
neuer gleichnamiger dc verwendet dieses server-objekt weiter
Und im DNS, falls ein Eintrag "static" gesetzt ist, sollte der auch bereinigt werden.
Ja korrekt, wenn der neue dc eine andere ip-adresse bekommenn soll
sonst egal
Bitte warten ..
Mitglied: takvorian
04.08.2015 um 11:14 Uhr
Hallo Chonta,

du schreibst: Mit Bordmitteln wirst Du keine Sicherung hinbekommen die aus dem 2008er eine VM machen.

Warum? Seit Server 2008 macht doch die Windows Eigene Datensicherungen .vhd bzw. .vhdx Dateien. Somit sollte es doch möglich sein die Sicherung als VM zurückzuspielen...
Klar kann ich das auch mal schnell mit ACRONIS machen, hier hab ich zumindest die Erfahrung gemacht dass das funktioniert.

Gruß Michael
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Firewall Austausch
gelöst Frage von UnbekannterNR1Netzwerke7 Kommentare

Hallo zusammen, ich bräuchte mal ein paar Ideen bzw. Anregungen von euch. Ich habe mal einen deutlich gekürzten Netzplan ...

Windows Server

IP Adresse eines Domaincontrollers ändern

Frage von Bender999Windows Server3 Kommentare

Hallo, in einer Testdomain habe ich am DC1 die IP geändert. Wo muss ich diese nun überall noch anpassen? ...

Apache Server

Austausch SSL-Zertifikat

gelöst Frage von petereApache Server2 Kommentare

Hallo, ich möchte auf einem Windows 2012 R2 einen installierten Apache-Webserver per SSL absichern. Unter C:\xampp\apache\conf existieren drei Ordner: ...

Datenbanken

Datenbank Austausch per Dateien

gelöst Frage von griffinDatenbanken9 Kommentare

Hallo nach einem HDD Crash haben wir folgende Situation - einen Server mit Datenbankstand 2014 (eine alte Clone Kopie), ...

Neue Wissensbeiträge
Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 2 StundenWindows 10

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 14 StundenE-Mail8 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 1 TagOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 2 TagenGoogle Android9 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

DNS
DNS fragt falsche ip zuerst ab
gelöst Frage von recoldDNS23 Kommentare

Hallo zusammen, wollte mal fragen, was mit meiner DNS falsch ist? der A eintrag 88.48.118.88 sollte auf den ts3 ...

Windows 10
Windows am MAC
gelöst Frage von LeeX01Windows 1019 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server18 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...