takvorian
Goto Top

"Austausch" eines Domaincontrollers

Hallo zusammen,

ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. ( Einführung von Server 2012R2 )

Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.

So nun zu meiner Überlegung:

Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus der Domäne zu entfernen.
3. Ich warte die Replikation ab
4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur ca. 5 - 7 Mitarbeiter )
5. Replikation abwarten und gleiches am nächsten 2003er

Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip )
Was kann ich evtl besser machen?

Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung

angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.

Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt neu als VM zurückspiele?

Danke fürs drüberlesen face-smile

Gruß tak

Content-ID: 278911

Url: https://administrator.de/contentid/278911

Printed on: October 11, 2024 at 01:10 o'clock

Chonta
Chonta Jul 31, 2015 at 13:41:12 (UTC)
Goto Top
Hallo,

Warum willst Du die Gruppenrichtlinien neu machen? Die werden immer mitrepliziert.
Nur mit Scripten und deren Pfaden kann es ggf probleme geben.

Selbst mit einem Demote finden sich noch alte Einträge im AD/DNS die meist nich tsauber entfernt werden.
Da sollte vorher nach geschaut und bereinigt werden.
Der 2003er sollte nicht nur sauber zum Membersrver gemacht werden sondern auch sauber aus der Domäne austreten.

Mit Bordmitteln wirst Du keine Sicherung hinbekommen die aus dem 2008er eine VM machen.
Du könntest mit einem entsprechenden Imageprogramm das auch für DCs geeignet ist ein Image machen und das zurücksichern in eine VM.
Aber sauberer wäre die Gleiche Vorgehensweise wie beim 2003er plust verschieben der FMSO für die Zeit.

Gruß

Chonta
jsysde
jsysde Jul 31, 2015 at 13:42:40 (UTC)
Goto Top
Moin.

Warum einen DC sichern und dann zurückspielen?
Wenn der "nur" DC ist, einfach demoten, neu installieren und wieder promoten, du hast ja noch weitere vier DCs. Vorher natürlich die FSMO verschieben, dann passiert da auch nix.

Ansonsten sieht das soweit gut aus, nur eines:
"Gruppenrichtlinien neu machen" - warum?
Wenn das nur eine AD-Domain ist, werden die GPO auf alle DCs repliziert, da muss man nix "neu machen".

Was die Neu-Installation mit gleichem Namen betrifft:
DNS- und AD-Sites & Servers durchschauen und verbliebene Fragmente löschen, sonst könnt's blöd werden.

Prinzipiell habe ich das grob nach deiner Beschreibung schon x-mal erfolgreich so gemacht.

Cheers,
jsysde
beidermachtvongreyscull
beidermachtvongreyscull Jul 31, 2015 at 13:46:05 (UTC)
Goto Top
Zitat von @takvorian:

Hallo zusammen,

ich hatte schonmal einen Thread eröffnet wo es um die Umstellung von Server 2003 nach Server 2012 geht. (
Einführung von Server 2012R2 )

Im Detail sieht es jetzt so aus dass von den insgesamt 5 Servern, 4 auf Server 2003 laufen, 1 auf Server 2008R2 und 2 der 2003er
Server recht potente Hardware haben.
Die Domäne besteht aus insgesamt 5 Domaincontrollern, über mehrere VPN vernetzte Standorte hinweg.

So nun zu meiner Überlegung:

Angenommen:
1. Das AD läuft laut DCDIAG sauber, alle FSMO Rollen incl. Schemamaster beinhaltet der 2008er Server
Prima. Dann könnten alle anderen DCs zum Teufel gehen und die Domäne wäre sauber. Wer macht denn DNS?
2. Ich begebe mich an einen Server 2003 DC und mache diesen mittels DCPROMO sauber zum Mitgliedsserver um ihn anschliessend aus
der Domäne zu entfernen.
Jepp.
3. Ich warte die Replikation ab
Jepp. Du kannst sie aber auch anschieben.
4. Danach lösche ich das Systemlaufwerk des 2003er und instalieren Server 2012 und mache diesen dann erneut zum DC unter
beibehaltung des alten Servernamens, mache Freigaben udn Gruppenrichtlinien neu und gut ist ( Die entfernten Standorte haben nur
ca. 5 - 7 Mitarbeiter )
Das würde ich nicht machen. Den Namen des alten DCs mit einer neuen Büchse verwenden, halte ich nicht für gut.
5. Replikation abwarten und gleiches am nächsten 2003er
Jepp.

Bekomme ich da Probleme wenn ich so vorgehe? ( klar das ist kurzfassung was ich geschrieben habe aber es geht nur rein ums Prinzip
)
Du musst immer mit Problemen rechnen. Egal wieviel Bücher und Artikel Du dazu gelesen hast, so sehe ich immer folgendes gegeben:
Es ist nicht immer so, wie es in den Büchern steht! Das liegt an den Vorbedingungen
Was kann ich evtl besser machen?
Augenmerk auf DNS und DHCP. Sorge dafür, dass das Management auf dem 2008er ist.

Zum 2008er: Auch dieser soll auf Server 2012 upgedatet werden unter beibehaltung der Hardware und dann neu Virtualisierung

angedachte Vorgehensweise:
Vollständige Datensicherung mit Boardmitteln
Neu aufsetzen eines 2012er Servers
Aktivierung der hyper-V Rolle
Zurückspielen der Sicherung als Virtuelle Maschine.

Auch das sollte grundsätzlich jetzt mal kein Problem sein, nur... bekomm ich mit meinem AD Probleme wenn ich den Server jetzt
neu als VM zurückspiele?

Ich bin da unsicher. Es kann funktionieren, es muss aber nicht. Gibts keine andere Möglichkeit?


Danke fürs drüberlesen face-smile

Gruß tak
jsysde
jsysde Jul 31, 2015 at 16:10:14 (UTC)
Goto Top
N'Abend.
Den Namen des alten DCs mit einer neuen Büchse verwenden, halte ich nicht für gut.
Wenn man entsprechend aufräumt, ist das kein Problem; selbst, wenn man es vergisst, bekommt das Computer-Objekt im AD eine neue GUID, auch wenn der Name identisch ist. Das "Aufräumen" wird halt nur schwerer, weil in etlichen Dialogen eben nur der Name und nicht die GUID angezeigt wird.

Und klar, die Replikation muss sauber laufen und die Änderungen korrekt repliziert werden, _bevor!_ man die Büchse mit gleichem Namen neu installiert. face-wink

Cheers,
jsysde
emeriks
emeriks Jul 31, 2015 updated at 20:03:21 (UTC)
Goto Top
Hi,
neuen DC unter alten Namen installieren ist überhaupt kein Problem. Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen. Aber wie Du selbst schon schreibst: Replikation abwarten, egal ob manuell angestoßen oder nicht. Also immer Eile mit Weile! Wenn DC's an anderen Standorten stehen, dann beachte die Verzögerung bei Inter-Site-Replication. Je nach dem, was Du dort eingetragen hast. Rechne die Zeit min. doppelt! Hin und zurück. Standardmäßig läuft die Inter-Site-Replication nicht mit Benachrichtigungen.
Prüfe die Eventlogs der verbleibenden DC's, bevor Du den neuen DC mit dem alten Namen installierst und promotest!
Beachte DNS: Wenn einer der DC's auch DNS ist, dann muss für die Dauer seiner Nichtverfügbarkeit eine Redundanz da sein, welche von den verbleibenden DC's und Members auch verwendet wird.
Beachte andere Funktionen der DC's.
Beachte ggf. vorhandene AD-Anwendungspartitionen, z.B. die von DNS. Solche werden nicht automatisch auf andere DC verschoben. Da muss man aufpassen und manuell dafür sorgen, dass immer noch ein weiteres Replikat vorhanden ist.

E.
jsysde
jsysde Jul 31, 2015 at 20:21:34 (UTC)
Goto Top
N'Abend.
Zitat von @emeriks:
Wenn das Demoten ohne Fehlermeldung durchläuft, dann musst Du da auch nichts manuell aufräumen.
Doch - unter AD Sites & Services verbleibt ein Eintrag mit dem Namen des DCs. Zumindest musste ich den bisher immer manuell löschen. Und im DNS, falls ein Eintrag "static" gesetzt ist, sollte der auch bereinigt werden.

Cheers,
jsysde
emeriks
emeriks Aug 01, 2015 at 18:39:36 (UTC)
Goto Top
Doch - unter AD Sites & Services verbleibt ein Eintrag mit dem Namen des DCs. Zumindest musste ich den bisher immer manuell löschen.
neuer gleichnamiger dc verwendet dieses server-objekt weiter
Und im DNS, falls ein Eintrag "static" gesetzt ist, sollte der auch bereinigt werden.
Ja korrekt, wenn der neue dc eine andere ip-adresse bekommenn soll
sonst egal
takvorian
takvorian Aug 04, 2015 at 09:14:30 (UTC)
Goto Top
Hallo Chonta,

du schreibst: Mit Bordmitteln wirst Du keine Sicherung hinbekommen die aus dem 2008er eine VM machen.

Warum? Seit Server 2008 macht doch die Windows Eigene Datensicherungen .vhd bzw. .vhdx Dateien. Somit sollte es doch möglich sein die Sicherung als VM zurückzuspielen...
Klar kann ich das auch mal schnell mit ACRONIS machen, hier hab ich zumindest die Erfahrung gemacht dass das funktioniert.

Gruß Michael