lcer00
Goto Top

Checkliste Domänencontroller IP ändern

Hallo,

ich muss an einem Standort etwas umbauen und dabei muss die IP des dortigen DCs geändert werden (VLAN Netz geändert):
  • Windows 2019
  • DNS-Server
  • DHCP-Server
  • NPS/Radius
  • keine CA auf dem DC installiert

Vor der Umstellung würde ich die DHCP-Lease-Time rechtzeitig auf einen kurzen Wert setzen. Das ganze würde ich natürlich vor Ort und nicht über RDP machen.

Meine Checkliste wäre folgende:
  • DNS-Registrierung überprüfen
  • die DNS-Server der anderen DCs und der anderen Server mit fester IP ändern
  • DHCP-Optionen ändern
  • am Router DHCP-Relay-Ziel ändern
  • am WAP die Radius-Server-IP ändern
  • Firewallregeln überprüfen, änderen
  • DNS-Weiterleitungen des Firewall-DNS auf den DC ändern
  • Standorte und Dienste: Subnetz überprüfen
  • NTP-Server auf nicht-AD-Geräten überprüfen (Firewall, Switch, WAP ...)

Keine Sorgen mache ich mir über
  • alles was über FQDNs läuft
  • Zertifikate des Servers (die sollten keine IP enthalten)
  • Clients (die können warten. wir machen das nicht im Produktionsbetrieb)
  • die Replikationstopologie, soweit das Subnetz eingetragen ist

Übersehe ich etwas / ist etwas falsch?
Macht es Sinn, den neuen DC bereits vor der Umstellung bei den DNS-DHCP-Optionen als DNS-Server zu verteilen? Oder gibt das eher Probleme?

Grüße

lcer

Content-ID: 5768755188

Url: https://administrator.de/forum/checkliste-domaenencontroller-ip-aendern-5768755188.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

radiogugu
radiogugu 01.02.2023 um 09:17:03 Uhr
Goto Top
Zitat von @lcer00:
Übersehe ich etwas / ist etwas falsch?

Morschen.

Das sieht ziemlich gut aus an der Stelle. Gerade der Umstand, dass kein produktiver Betrieb zum Zeitpunkt der Umstellung ist, sollte da die Reibungshitze auf Null reduzieren.

Macht es Sinn, den neuen DC bereits vor der Umstellung bei den DNS-DHCP-Optionen als DNS-Server zu verteilen? Oder gibt das eher Probleme?

Sollte doch ein Gerät sich während des Umstellprozesses anmelden, bekommt er eine DNS Server IP, welche aktuell noch inaktiv ist.

Also Namensauflösung und der Internetzugriff würde daher nicht so recht klappen.

Wahrscheinlich sind das dann aber "nur" Smartphones oder andere Wifi Geräte.

Wenn keiner auf die Idee kommt ihren/seinen PC / Laptop oder eine ans Netzwerk angebundene Produktionsmaschine einschaltet, sollte da eigentlich nichts runterfallen.

Gruß
Marc
emeriks
emeriks 01.02.2023 aktualisiert um 11:12:00 Uhr
Goto Top
Hi,
Du solltest schon vorher das neue Subnet im AD abbilden und abwarten, bis das alle DC repliziert haben.

Da Du offenbar mehrere DC hast und nur dieser Eine verschoben werden soll, würde ich ...
  • vorher alle FSMO, welche auf diesem einen DC liegen, auf einen der anderen verschieben. Zumindest vorübergehend, bis der Verschobene wieder voll funktionstüchtig ist.
  • vorher alle DNS-Clients auf die Verwendung eines anderen DC/DNS als primären DNS-Server ändern (ggf. über DHCP).
  • Oder: Schon vorher die neue IP-Adresse als DNS-Server überall eintragen. Solange auf dieser IP-Adresse kein DNS-Server reagiert, werden die DNS-Clients auf ihre sekundären oder tertiären DNS-Server ausweichen.
  • vorher dem zu verschiebenden DC einen der anderen DC/DNS als primären DNS-Server eintragen. Das kannst Du dann später ggf. wieder ändern. Dadurch wird die Änderung schneller und zuverlässiger im DNS bekannt.

Nicht manuell in den DNS-Zonen Änderungen vornehmen. Lass das den DC allein tun.

E.
Deepsys
Deepsys 01.02.2023 um 11:26:05 Uhr
Goto Top
Hi,

kleiner Tipp zu "Firewallregeln überprüfen, änderen" das würde ich vorher machen und einfach erstmal die alte und neue IP eintragen.
lcer00
lcer00 01.02.2023 um 11:30:07 Uhr
Goto Top
Hallo,
Zitat von @Deepsys:

kleiner Tipp zu "Firewallregeln überprüfen, änderen" das würde ich vorher machen und einfach erstmal die alte und neue IP eintragen.
Eigentlich logisch. Danke für den Tip. Habe mich kaputtgelacht, bei der Vorstellung, wie man sich ärgern würde, wenn man das erst nachher in Hektik tut.
auch Danke an @emeriks
Ich sollte das vorher-nachher meiner Liste tatsächlich noch mal überdenken.


Grüße

lcer
Dani
Dani 01.02.2023 um 12:39:58 Uhr
Goto Top
Moin,
falls Applikationen direkt den DC für LDAP(s) nutzen, diese temporär auf einem anderen DC umstellen.

am WAP die Radius-Server-IP ändern
Da kann ich dir nicht ganz folgen. Was hat ein Microsoft? WAP mit einem Radius zu tun?

Zertifikate des Servers (die sollten keine IP enthalten)
Sollte? Prüfen und dann entsprechend abhaken oder weitere Schritte veranlassen.


Gruß,
Dani
lcer00
lcer00 01.02.2023 um 13:23:47 Uhr
Goto Top
Zitat von @Dani:

Moin,
falls Applikationen direkt den DC für LDAP(s) nutzen, diese temporär auf einem anderen DC umstellen.
Habe ich tatsächlich. Kommt auf die Liste. Zumindest muss ich überprüfen, ob da eine IP oder ein FQDN steht.
am WAP die Radius-Server-IP ändern
Da kann ich dir nicht ganz folgen. Was hat ein Microsoft? WAP mit einem Radius zu tun?
Nix Microsoft. Cisco WLAN Access Point. Die sind Radius-Clients.
Zertifikate des Servers (die sollten keine IP enthalten)
Sollte? Prüfen und dann entsprechend abhaken oder weitere Schritte veranlassen.
Mist. Hatte beim Schreiben gehofft, den Unterschied bemerkt keiner.
Gruß,
Dani
Grüße

lcer
Dragon
Dragon 02.02.2023 um 07:23:39 Uhr
Goto Top
Sollte der DHCP Server auch auf dem DC laufen, würde ich den auf jeden Fall auf einen anderen Server umziehen. Generell sollte aus Security Gründen kein unnötige Software auf dem DC laufen. Eine Ausnahme könnte z.B. ein DC Agent der Firewall sein.