"Austausch" eines Domaincontrollers
Hallo zusammen,
ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. ( Einführung von Server 2012R2 )
Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.
So nun zu meiner Überlegung:
Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus der Domäne zu entfernen.
3. Ich warte die Replikation ab
4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur ca. 5 - 7 Mitarbeiter )
5. Replikation abwarten und gleiches am nächsten 2003er
Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip )
Was kann ich evtl besser machen?
Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung
angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.
Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt neu als VM zurückspiele?
Danke fürs drüberlesen
Gruß tak
ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. ( Einführung von Server 2012R2 )
Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.
So nun zu meiner Überlegung:
Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus der Domäne zu entfernen.
3. Ich warte die Replikation ab
4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur ca. 5 - 7 Mitarbeiter )
5. Replikation abwarten und gleiches am nächsten 2003er
Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip )
Was kann ich evtl besser machen?
Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung
angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.
Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt neu als VM zurückspiele?
Danke fürs drüberlesen
Gruß tak
Please also mark the comments that contributed to the solution of the article
Content-ID: 278911
Url: https://administrator.de/contentid/278911
Printed on: October 11, 2024 at 01:10 o'clock
8 Comments
Latest comment
Hallo,
Warum willst Du die Gruppenrichtlinien neu machen? Die werden immer mitrepliziert.
Nur mit Scripten und deren Pfaden kann es ggf probleme geben.
Selbst mit einem Demote finden sich noch alte Einträge im AD/DNS die meist nich tsauber entfernt werden.
Da sollte vorher nach geschaut und bereinigt werden.
Der 2003er sollte nicht nur sauber zum Membersrver gemacht werden sondern auch sauber aus der Domäne austreten.
Mit Bordmitteln wirst Du keine Sicherung hinbekommen die aus dem 2008er eine VM machen.
Du könntest mit einem entsprechenden Imageprogramm das auch für DCs geeignet ist ein Image machen und das zurücksichern in eine VM.
Aber sauberer wäre die Gleiche Vorgehensweise wie beim 2003er plust verschieben der FMSO für die Zeit.
Gruß
Chonta
Warum willst Du die Gruppenrichtlinien neu machen? Die werden immer mitrepliziert.
Nur mit Scripten und deren Pfaden kann es ggf probleme geben.
Selbst mit einem Demote finden sich noch alte Einträge im AD/DNS die meist nich tsauber entfernt werden.
Da sollte vorher nach geschaut und bereinigt werden.
Der 2003er sollte nicht nur sauber zum Membersrver gemacht werden sondern auch sauber aus der Domäne austreten.
Mit Bordmitteln wirst Du keine Sicherung hinbekommen die aus dem 2008er eine VM machen.
Du könntest mit einem entsprechenden Imageprogramm das auch für DCs geeignet ist ein Image machen und das zurücksichern in eine VM.
Aber sauberer wäre die Gleiche Vorgehensweise wie beim 2003er plust verschieben der FMSO für die Zeit.
Gruß
Chonta
Moin.
Warum einen DC sichern und dann zurückspielen?
Wenn der "nur" DC ist, einfach demoten, neu installieren und wieder promoten, du hast ja noch weitere vier DCs. Vorher natürlich die FSMO verschieben, dann passiert da auch nix.
Ansonsten sieht das soweit gut aus, nur eines:
"Gruppenrichtlinien neu machen" - warum?
Wenn das nur eine AD-Domain ist, werden die GPO auf alle DCs repliziert, da muss man nix "neu machen".
Was die Neu-Installation mit gleichem Namen betrifft:
DNS- und AD-Sites & Servers durchschauen und verbliebene Fragmente löschen, sonst könnt's blöd werden.
Prinzipiell habe ich das grob nach deiner Beschreibung schon x-mal erfolgreich so gemacht.
Cheers,
jsysde
Warum einen DC sichern und dann zurückspielen?
Wenn der "nur" DC ist, einfach demoten, neu installieren und wieder promoten, du hast ja noch weitere vier DCs. Vorher natürlich die FSMO verschieben, dann passiert da auch nix.
Ansonsten sieht das soweit gut aus, nur eines:
"Gruppenrichtlinien neu machen" - warum?
Wenn das nur eine AD-Domain ist, werden die GPO auf alle DCs repliziert, da muss man nix "neu machen".
Was die Neu-Installation mit gleichem Namen betrifft:
DNS- und AD-Sites & Servers durchschauen und verbliebene Fragmente löschen, sonst könnt's blöd werden.
Prinzipiell habe ich das grob nach deiner Beschreibung schon x-mal erfolgreich so gemacht.
Cheers,
jsysde
Zitat von @takvorian:
Hallo zusammen,
ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. (
Einführung von Server 2012R2 )
Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er
Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.
So nun zu meiner Überlegung:
Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
Prima. Dann könnten alle anderen DCs zum Teufel gehen und die Domäne wäre sauber. Wer macht denn DNS?Hallo zusammen,
ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. (
Einführung von Server 2012R2 )
Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er
Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.
So nun zu meiner Überlegung:
Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus
der Domäne zu entfernen.
Jepp.der Domäne zu entfernen.
3. Ich warte die Replikation ab
Jepp. Du kannst sie aber auch anschieben.4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter
beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur
ca. 5 - 7 Mitarbeiter )
Das würde ich nicht machen. Den Namen des alten DCs mit einer neuen Büchse verwenden, halte ich nicht für gut.beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur
ca. 5 - 7 Mitarbeiter )
5. Replikation abwarten und gleiches am nächsten 2003er
Jepp.Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip
)
Es ist nicht immer so, wie es in den Büchern steht! Das liegt an den Vorbedingungen
Was kann ich evtl besser machen?
Augenmerk auf DNS und DHCP. Sorge dafür, dass das Management auf dem 2008er ist.Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung
angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.
Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt
neu als VM zurückspiele?
Ich bin da unsicher. Es kann funktionieren, es muss aber nicht. Gibts keine andere Möglichkeit?
Danke fürs drüberlesen
Gruß tak
N'Abend.
Und klar, die Replikation muss sauber laufen und die Änderungen korrekt repliziert werden, _bevor!_ man die Büchse mit gleichem Namen neu installiert.
Cheers,
jsysde
Den Namen des alten DCs mit einer neuen Büchse verwenden, halte ich nicht für gut.
Wenn man entsprechend aufräumt, ist das kein Problem; selbst, wenn man es vergisst, bekommt das Computer-Objekt im AD eine neue GUID, auch wenn der Name identisch ist. Das "Aufräumen" wird halt nur schwerer, weil in etlichen Dialogen eben nur der Name und nicht die GUID angezeigt wird.Und klar, die Replikation muss sauber laufen und die Änderungen korrekt repliziert werden, _bevor!_ man die Büchse mit gleichem Namen neu installiert.
Cheers,
jsysde
Hi,
neuen DC unter alten Namen installieren ist überhaupt kein Problem. Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen. Aber wie Du selbst schon schreibst: Replikation abwarten, egal ob manuell angestoßen oder nicht. Also immer Eile mit Weile! Wenn DC's an anderen Standorten stehen, dann beachte die Verzögerung bei Inter-Site-Replication. Je nach dem, was Du dort eingetragen hast. Rechne die Zeit min. doppelt! Hin und zurück. Standardmäßig läuft die Inter-Site-Replication nicht mit Benachrichtigungen.
Prüfe die Eventlogs der verbleibenden DC's, bevor Du den neuen DC mit dem alten Namen installierst und promotest!
Beachte DNS: Wenn einer der DC's auch DNS ist, dann muss für die Dauer seiner Nichtverfügbarkeit eine Redundanz da sein, welche von den verbleibenden DC's und Members auch verwendet wird.
Beachte andere Funktionen der DC's.
Beachte ggf. vorhandene AD-Anwendungspartitionen, z.B. die von DNS. Solche werden nicht automatisch auf andere DC verschoben. Da muss man aufpassen und manuell dafür sorgen, dass immer noch ein weiteres Replikat vorhanden ist.
E.
neuen DC unter alten Namen installieren ist überhaupt kein Problem. Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen. Aber wie Du selbst schon schreibst: Replikation abwarten, egal ob manuell angestoßen oder nicht. Also immer Eile mit Weile! Wenn DC's an anderen Standorten stehen, dann beachte die Verzögerung bei Inter-Site-Replication. Je nach dem, was Du dort eingetragen hast. Rechne die Zeit min. doppelt! Hin und zurück. Standardmäßig läuft die Inter-Site-Replication nicht mit Benachrichtigungen.
Prüfe die Eventlogs der verbleibenden DC's, bevor Du den neuen DC mit dem alten Namen installierst und promotest!
Beachte DNS: Wenn einer der DC's auch DNS ist, dann muss für die Dauer seiner Nichtverfügbarkeit eine Redundanz da sein, welche von den verbleibenden DC's und Members auch verwendet wird.
Beachte andere Funktionen der DC's.
Beachte ggf. vorhandene AD-Anwendungspartitionen, z.B. die von DNS. Solche werden nicht automatisch auf andere DC verschoben. Da muss man aufpassen und manuell dafür sorgen, dass immer noch ein weiteres Replikat vorhanden ist.
E.
N'Abend.
Cheers,
jsysde
Zitat von @emeriks:
Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen.
Doch - unter AD Sites & Services verbleibt ein Eintrag mit dem Namen des DCs. Zumindest musste ich den bisher immer manuell löschen. Und im DNS, falls ein Eintrag "static" gesetzt ist, sollte der auch bereinigt werden.Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen.
Cheers,
jsysde
Doch - unter AD Sites & Services verbleibt ein Eintrag mit dem Namen des DCs. Zumindest musste ich den bisher immer manuell löschen.
neuer gleichnamiger dc verwendet dieses server-objekt weiterUnd im DNS, falls ein Eintrag "static" gesetzt ist, sollte der auch bereinigt werden.
Ja korrekt, wenn der neue dc eine andere ip-adresse bekommenn sollsonst egal