Neuer Domänencontroller, aber Name wie bisher
Guten Abend,
ich bin unerfahren im Umzug von Domänencontrollern.
Habe dazu schon einiges gelesen, doch leider gibt es zumeist nur Geschichten von Leuten, die scheiterten oder Ausgang offen. Auch in Büchern ist der Umzug nie (im Detail) Thema, nur neu erstellen.
Ich muss einen Windows Server 2016 nach 2022 umziehen.
Neben dem DC ist diese VM auch noch Fileserver, Printserver, DHCP und DNS (hoffe nichts sonstiges mögliches zu vergessen. SQL gibt es nicht. Exchange ist extern).
Ich weiß eine extra VM für den Fileserver wäre besser, aber ich muss mit dem Budget auskommen das ich bekomme und ich würde wegen Hochverfügbarkeit zwei zusätzliche Lizenzen benötigen.
Das andere Problem ist, das ich nun das weiterführen muss, was die frühere IT so festgelegt hat, da ich ansonsten nicht nur alle PCs / Programme ändern muss, sondern auch noch Verknüpfungen in irgendwelchen Dateien fehlschlagen würden.
Es gibt einen zweiten DC (dieser ist physisch, keine VM) und läuft bereits unter Windows Server 2022.
Ich habe diesen per "Assistent" hinzugefügt, aber ansonsten nichts weiter gemacht, sofern notwendig.
Erstelle / lösche ich einen User am DC01 an, wird es auch beim DC02 gemacht.
Die Varianten, die ich mir überlegte wären:
- DC01 entfernen (muss man Reste manuell bereinigen ?) und danach mit der neuen VM wieder als DC01 hinzufügen. Ich weiß nur nicht, ob es dann den gleichen Namen wieder akzeptiert oder Reste irgendwo in der Registry o.ä. das verhindern
oder
- Die VM als DC hinzufügen (Name gäbe es noch nicht, nur weiß ich nicht um die Besonderheiten von 3 Domänencontrollern), danach den DC01 entfernen, Reste entfernen (wo / wie ?) und zuletzt in DC01 umbenennen. Muss ich danach wieder etwas manuell bereinigen ?
oder
- Die VM als DC hinzufügen (wären zeitweise wieder 3 Domänencontroller), dann den DC01 entfernen und dem Server einen Alias-Namen / CNAME oder wie auch immer man das macht, geben das er sowohl unter DC als auch wieder unter DC01 erreichbar wäre.
Ich hatte da einmal etwas gelesen, das ich jetzt nicht mehr finde, dass es nur nicht so einfach ist einfach im DNS da einen zweiten Namen zu vergeben. Die Freigaben würden trotzdem nicht über den zweiten Namen zugreifen können.
Nur scheiden sich die Geister, ob das Umbenennen eines DCs funktioniert.
Auch habe ich gelesen, dass sowas viel Zeit kostet, also zwischen entfernen und neu hinzufügen sollte man eher Stunden warten ? Wie lange oder kann ich es manuell prüfen, ob das System alles zum Erstellen / Löschen bereits verarbeitet hat und ich neu erstellen bzw. umbenennen darf ?
Auch scheint man noch manuell Rollen übertragen zu müssen.
Wie würdet Ihr vorgehen, die Reihenfolge oder auch auf welchem Weg man etwas macht, ist sehr oft entscheidend.
Erst DHCP, DNS, Printserver usw. anlegen und dann zum Domänencontroller machen oder umgekehrt ?
Wegen der ggf. notwendigen Umbenennung scheint mir erst Domänencontroller fertig besser, dann den Rest wie DHCP, DNS, Print, File.
DHCP Umzug:
netsh dhcp server export c:\dhcpDB.dat all (am alten Server)
netsh dhcp server import c:\dhcpDB.dat all (am neuen Server)
DNS Umzug:
Weiß ich noch nicht, ob das mit DC erstellen automatisch passiert oder ich noch etwas machen muss.
Printserver Umzug:
printmanagement.msc und dort "Druckerwarteschlangen und Druckertreiber in eine Datei exportieren" bzw. am neuen dann "... importieren"
Fileserver Umzug:
Zum Umzug der Freigaben hätte ich die Registry exportiert über:
reg export "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares" shares.reg
und am neuen importiert. Die Dateien dabei mit robocopy /COPY:DATSOU auf den neuen Server übertragen.
Vielen Dank für Eure Unterstützung - würdet mir eine große Last abnehmen, wenn ich die Kuh endlich vom Eis bekomme. Habe leider keinen Kollegen den ich intern mal um Rat fragen könnte.
ich bin unerfahren im Umzug von Domänencontrollern.
Habe dazu schon einiges gelesen, doch leider gibt es zumeist nur Geschichten von Leuten, die scheiterten oder Ausgang offen. Auch in Büchern ist der Umzug nie (im Detail) Thema, nur neu erstellen.
Ich muss einen Windows Server 2016 nach 2022 umziehen.
Neben dem DC ist diese VM auch noch Fileserver, Printserver, DHCP und DNS (hoffe nichts sonstiges mögliches zu vergessen. SQL gibt es nicht. Exchange ist extern).
Ich weiß eine extra VM für den Fileserver wäre besser, aber ich muss mit dem Budget auskommen das ich bekomme und ich würde wegen Hochverfügbarkeit zwei zusätzliche Lizenzen benötigen.
Das andere Problem ist, das ich nun das weiterführen muss, was die frühere IT so festgelegt hat, da ich ansonsten nicht nur alle PCs / Programme ändern muss, sondern auch noch Verknüpfungen in irgendwelchen Dateien fehlschlagen würden.
Es gibt einen zweiten DC (dieser ist physisch, keine VM) und läuft bereits unter Windows Server 2022.
Ich habe diesen per "Assistent" hinzugefügt, aber ansonsten nichts weiter gemacht, sofern notwendig.
Erstelle / lösche ich einen User am DC01 an, wird es auch beim DC02 gemacht.
Die Varianten, die ich mir überlegte wären:
- DC01 entfernen (muss man Reste manuell bereinigen ?) und danach mit der neuen VM wieder als DC01 hinzufügen. Ich weiß nur nicht, ob es dann den gleichen Namen wieder akzeptiert oder Reste irgendwo in der Registry o.ä. das verhindern
oder
- Die VM als DC hinzufügen (Name gäbe es noch nicht, nur weiß ich nicht um die Besonderheiten von 3 Domänencontrollern), danach den DC01 entfernen, Reste entfernen (wo / wie ?) und zuletzt in DC01 umbenennen. Muss ich danach wieder etwas manuell bereinigen ?
oder
- Die VM als DC hinzufügen (wären zeitweise wieder 3 Domänencontroller), dann den DC01 entfernen und dem Server einen Alias-Namen / CNAME oder wie auch immer man das macht, geben das er sowohl unter DC als auch wieder unter DC01 erreichbar wäre.
Ich hatte da einmal etwas gelesen, das ich jetzt nicht mehr finde, dass es nur nicht so einfach ist einfach im DNS da einen zweiten Namen zu vergeben. Die Freigaben würden trotzdem nicht über den zweiten Namen zugreifen können.
Nur scheiden sich die Geister, ob das Umbenennen eines DCs funktioniert.
Auch habe ich gelesen, dass sowas viel Zeit kostet, also zwischen entfernen und neu hinzufügen sollte man eher Stunden warten ? Wie lange oder kann ich es manuell prüfen, ob das System alles zum Erstellen / Löschen bereits verarbeitet hat und ich neu erstellen bzw. umbenennen darf ?
Auch scheint man noch manuell Rollen übertragen zu müssen.
Wie würdet Ihr vorgehen, die Reihenfolge oder auch auf welchem Weg man etwas macht, ist sehr oft entscheidend.
Erst DHCP, DNS, Printserver usw. anlegen und dann zum Domänencontroller machen oder umgekehrt ?
Wegen der ggf. notwendigen Umbenennung scheint mir erst Domänencontroller fertig besser, dann den Rest wie DHCP, DNS, Print, File.
DHCP Umzug:
netsh dhcp server export c:\dhcpDB.dat all (am alten Server)
netsh dhcp server import c:\dhcpDB.dat all (am neuen Server)
DNS Umzug:
Weiß ich noch nicht, ob das mit DC erstellen automatisch passiert oder ich noch etwas machen muss.
Printserver Umzug:
printmanagement.msc und dort "Druckerwarteschlangen und Druckertreiber in eine Datei exportieren" bzw. am neuen dann "... importieren"
Fileserver Umzug:
Zum Umzug der Freigaben hätte ich die Registry exportiert über:
reg export "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares" shares.reg
und am neuen importiert. Die Dateien dabei mit robocopy /COPY:DATSOU auf den neuen Server übertragen.
Vielen Dank für Eure Unterstützung - würdet mir eine große Last abnehmen, wenn ich die Kuh endlich vom Eis bekomme. Habe leider keinen Kollegen den ich intern mal um Rat fragen könnte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43821614561
Url: https://administrator.de/forum/neuer-domaenencontroller-aber-name-wie-bisher-43821614561.html
Ausgedruckt am: 26.12.2024 um 20:12 Uhr
24 Kommentare
Neuester Kommentar
Moin...
und eine VM als File Server etc...
na dann ziehe doch die FMSO Rollen rüber, ist schnell erledigt!
replikation abwarten.... und gut ist.
dann noch schnell den DHCP umziehen:
und auf dem neuen DC
jetzt noch schnell in der DHCP config den neuen DNS eintragen... auch fertig!
alten DC entfernen, und File und Printserver umziehen!
Frank
Neben dem DC ist diese VM auch noch Fileserver, Printserver, DHCP und DNS (hoffe nichts sonstiges mögliches zu vergessen. SQL gibt es nicht. Exchange ist extern).
Ich weiß eine extra VM für den Fileserver wäre besser, aber ich muss mit dem Budget auskommen das ich bekomme und ich würde wegen Hochverfügbarkeit zwei zusätzliche Lizenzen benötigen.
also du solltest eine VM als DC nutzen.... und nur als DC... DNS... DHCP!Ich weiß eine extra VM für den Fileserver wäre besser, aber ich muss mit dem Budget auskommen das ich bekomme und ich würde wegen Hochverfügbarkeit zwei zusätzliche Lizenzen benötigen.
und eine VM als File Server etc...
nur scheiden sich die Geister, ob das Umbenennen eines DCs funktioniert.
klar geht das, aber warum willst du das? der name vom DC ist sowas von egal!Es gibt einen zweiten DC (dieser ist physisch, keine VM) und läuft bereits unter Windows Server 2022.
keine VM...na ja gut, irgendwas ist ja immer na dann ziehe doch die FMSO Rollen rüber, ist schnell erledigt!
Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4
dann noch schnell den DHCP umziehen:
netsh dhcp server export c:\dhcpDB.dat all
netsh dhcp server import c:\dhcpDB.dat all
alten DC entfernen, und File und Printserver umziehen!
Frank
Die Clients der Domain lassen sich nicht austricksen, indem man einfach einen neuen Domain Controller mit dem gleichen Namen hinstellt. Es existiert eine verschlüsselte Vertrauensstellung.
Du kannst die alten Domain Controller mit einem Inplace Upgrade auf 2022 bringen oder du kannst neue Domain Controller hinzufügen und die alten Domain Controller heraus nehmen. Wenn du alte Domain Controller heraus nimmst, musst du aufpassen dass alle FSMO Rollen auf den neuen Domain Controller übertragen sind. Wie man das macht kannst du googeln. Auf jeden fall darf der Inhalt der Domain nie verloren gehen, indem du alle Domain Controller entfernst. Erst, wenn ein neuer Domain Controller die Arbeit verrichtet (mit allen Rollen und Domain Daten), kann der letzte alte Domain Controller entfernt werden. Die Clients merken davon nichts, weil die Domain immer vorhanden bleibt.
Du kannst auch alle anderen Server mit einem Inplace Upgrade auf 2022 bringen. Manchmal stört ein alter Treiber z.B. bei den Druckern (beim Printserver). Auf jeden Fall alle VMs sichern oder snapshotten vor dem Upgrade. Sollte ein Upgrade fehlschlagen, muss die Sicherung oder der Snapshot zurück.
Du kannst die alten Domain Controller mit einem Inplace Upgrade auf 2022 bringen oder du kannst neue Domain Controller hinzufügen und die alten Domain Controller heraus nehmen. Wenn du alte Domain Controller heraus nimmst, musst du aufpassen dass alle FSMO Rollen auf den neuen Domain Controller übertragen sind. Wie man das macht kannst du googeln. Auf jeden fall darf der Inhalt der Domain nie verloren gehen, indem du alle Domain Controller entfernst. Erst, wenn ein neuer Domain Controller die Arbeit verrichtet (mit allen Rollen und Domain Daten), kann der letzte alte Domain Controller entfernt werden. Die Clients merken davon nichts, weil die Domain immer vorhanden bleibt.
Du kannst auch alle anderen Server mit einem Inplace Upgrade auf 2022 bringen. Manchmal stört ein alter Treiber z.B. bei den Druckern (beim Printserver). Auf jeden Fall alle VMs sichern oder snapshotten vor dem Upgrade. Sollte ein Upgrade fehlschlagen, muss die Sicherung oder der Snapshot zurück.
Hallo,
wo läuft denn deine Certificate Authority?
CA zu migrieren macht es komlizierter.
DC darf nur "DC Dinge" machen (DHCP,DNS,NPS(Radius))
Alles Andere muss von DC unbedingt weg.
Umbenennen würde ich nicht, alten DC deinstallieren, kurz warten bis es synchoronisiert ist und neuen mit gleicher IP und Namen installieren.
Es gibt im Netz gute Anleitungen wie man DC migriert.
Ob es jetzt eine Migration zu 2016, 2019 oder 2022 ist, macht eigentlich kein Unterschied.
https://www.frankysweb.de/migration-domain-controller-zu-server-2016/
https://blog.hartinger.net/2008dc-mit-einen-2019-server-ersetzen/
MfG
wo läuft denn deine Certificate Authority?
CA zu migrieren macht es komlizierter.
DC darf nur "DC Dinge" machen (DHCP,DNS,NPS(Radius))
Alles Andere muss von DC unbedingt weg.
Umbenennen würde ich nicht, alten DC deinstallieren, kurz warten bis es synchoronisiert ist und neuen mit gleicher IP und Namen installieren.
Es gibt im Netz gute Anleitungen wie man DC migriert.
Ob es jetzt eine Migration zu 2016, 2019 oder 2022 ist, macht eigentlich kein Unterschied.
https://www.frankysweb.de/migration-domain-controller-zu-server-2016/
https://blog.hartinger.net/2008dc-mit-einen-2019-server-ersetzen/
MfG
wenn man aber auf nummer sicher sicher gehen will würd ich nicht die gleichen namen nehmen.
ist ja auch nicht so schlimm wenn man ne nummer hochzählt...
ServerDC01 ... 02... 03... 04 usw...
Als admin weisst du relativ schnell welche Namen es nicht mehr gibt und die neuen nummern merkt man sich schnell.
Dann kanns auch zu keinerlei Kuddelmuddel kommen in irgend ner form.
Aber jeder kanns machen wie er will.
ist ja auch nicht so schlimm wenn man ne nummer hochzählt...
ServerDC01 ... 02... 03... 04 usw...
Als admin weisst du relativ schnell welche Namen es nicht mehr gibt und die neuen nummern merkt man sich schnell.
Dann kanns auch zu keinerlei Kuddelmuddel kommen in irgend ner form.
Aber jeder kanns machen wie er will.
Das ist für mein Geschmack ziemlich schlechte Ausgangsposion.
Wenn du dir sicher sein willst, nimm einen beliebigen Windows Rechner, installiere Hyper-V und teste es.
Installiere einen neuen DC als erster DC in eine Domäne, dann den 2. Dann versuche es mit einer 3 VM zu ersetzen.
Verwende andere neue Domainame. Das Ganze sollte auch getrennt sein von deinem Netzwerk.
Lizenzen brauchst du nicht und kannst 90 Tage lang testen.
Wenn du dir sicher sein willst, nimm einen beliebigen Windows Rechner, installiere Hyper-V und teste es.
Installiere einen neuen DC als erster DC in eine Domäne, dann den 2. Dann versuche es mit einer 3 VM zu ersetzen.
Verwende andere neue Domainame. Das Ganze sollte auch getrennt sein von deinem Netzwerk.
Lizenzen brauchst du nicht und kannst 90 Tage lang testen.
CA ist sehr wichtig, ohne CA läuft keine Windows AD.
Finde vor dem Umtzug raus wo das läuft.
https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificat ...
Finde vor dem Umtzug raus wo das läuft.
https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificat ...
Zitat von @Speedy-IT:
Was findest du daran eine schlechte Ausgangsposi ?
Meinst du hinsichtlich dessen, dass ich erst einmal zur Sicherheit testen will ob der DC02 vollwertig ist, bevor ich den alten DC01 entferne ?
Oder weil es mein erster Umzug eines Domänencontroller ist und ich deshalb generell unsicher bin und lieber alles hinterfrage, Best Practice Erfahrungen anderer suche (auch zur optimalen Reihenfolge).
Bis jetzt musste ich immer nur "neu" machen oder Server und PCs zeitgleich ersetzen, doch als "Mädchen für alles" in einer kleinen Firma ohne EDV-Abteilung kann ich leider nicht mehr bei allen Themen der Experte sein.
Ich sehe halt nur, dass Useränderungen über Kreuz beim jeweils anderen DC sofort angezeigt werden. Ich weiß nur nicht, ob es noch mehr Testmöglichkeiten gibt, bevor ich den alten DC01 entferne.
Bei Dateien würde ich einen Binärvergleich machen und wüsste danach definitiv, Quelle und Ziel ist identisch ...
Eine extra Spielwiese für sowas wäre natürlich toll, auch hinsichtlich Update-Tests o.ä. aber das alle 3 Monate neu einrichten ... den Aufwand sieht und respektiert keiner, wenn dafür dann andere Themen länger dauern, letztlich auch wieder eine Geldfrage.
Was findest du daran eine schlechte Ausgangsposi ?
Meinst du hinsichtlich dessen, dass ich erst einmal zur Sicherheit testen will ob der DC02 vollwertig ist, bevor ich den alten DC01 entferne ?
Oder weil es mein erster Umzug eines Domänencontroller ist und ich deshalb generell unsicher bin und lieber alles hinterfrage, Best Practice Erfahrungen anderer suche (auch zur optimalen Reihenfolge).
Bis jetzt musste ich immer nur "neu" machen oder Server und PCs zeitgleich ersetzen, doch als "Mädchen für alles" in einer kleinen Firma ohne EDV-Abteilung kann ich leider nicht mehr bei allen Themen der Experte sein.
Ich sehe halt nur, dass Useränderungen über Kreuz beim jeweils anderen DC sofort angezeigt werden. Ich weiß nur nicht, ob es noch mehr Testmöglichkeiten gibt, bevor ich den alten DC01 entferne.
Bei Dateien würde ich einen Binärvergleich machen und wüsste danach definitiv, Quelle und Ziel ist identisch ...
Eine extra Spielwiese für sowas wäre natürlich toll, auch hinsichtlich Update-Tests o.ä. aber das alle 3 Monate neu einrichten ... den Aufwand sieht und respektiert keiner, wenn dafür dann andere Themen länger dauern, letztlich auch wieder eine Geldfrage.
Wenig Praxiserfahrung gepaart mit einer Umgebung die nicht nach Best Practices aufgebaut ist.
Dazu kommt noch kein Budget, nicht mal für Windows Lizenzen.
Bitte nicht persönlich nehmen
CA braucht man um Certificate auszustellen, um dann eine gesicherte Verbindung mit SSL aufzubauen.
Ohne SSL läuft heute fast nix mehr.
CA vereinfacht die Verteilung. Man könnte auch externe CA benutzen, aber das macht man normalerweise nicht.
Wenn man alte DC killt und CA nicht wegsichert, hat man ein Problem.
Wie groß ist denn die Umgebung? Wieviele Benutzer und Rechner sind in AD?
Ohne SSL läuft heute fast nix mehr.
CA vereinfacht die Verteilung. Man könnte auch externe CA benutzen, aber das macht man normalerweise nicht.
Wenn man alte DC killt und CA nicht wegsichert, hat man ein Problem.
Wie groß ist denn die Umgebung? Wieviele Benutzer und Rechner sind in AD?
Auf lange Sicht sollte man, wie bereits geschrieben, DC nur "DC Dinge" machen lassen (DHCP,DNS,NPS(Radius))
Alles Andere muss weg.
Dank stabiler Virtualisierung betreibe ich keine physischen Server mehr. 100% virtuialisiert, verteilt auf mehrere Standorte.
MS Datacenter Lizenz lohnt sich bei mir und ich habe keine Einschränkung bei der Anzahl der VMs.
Je nach Umgebung braucht man 2 oder mehr DC und 2-3 CA Server. 1x Root-CA und 2x Sub-CA.
Root Certificat und dazugehörige CA ist wie ein Generalschlüssel, das hat man als Admin unter eigener Kontrolle und man gibt das nicht weg.
Ob es bei dir auch Sinn macht muss du wissen. Bei einem 5 Mann Betrieb wäre so ein Setup ein overkill.
Nachtrag: man lernt in der IT-Welt jeden Tag was dazu, es ist also nicht schimm wenn man manches nicht kennt solange man lernfähig bleibt.
Alles Andere muss weg.
Dank stabiler Virtualisierung betreibe ich keine physischen Server mehr. 100% virtuialisiert, verteilt auf mehrere Standorte.
MS Datacenter Lizenz lohnt sich bei mir und ich habe keine Einschränkung bei der Anzahl der VMs.
Je nach Umgebung braucht man 2 oder mehr DC und 2-3 CA Server. 1x Root-CA und 2x Sub-CA.
Root Certificat und dazugehörige CA ist wie ein Generalschlüssel, das hat man als Admin unter eigener Kontrolle und man gibt das nicht weg.
Ob es bei dir auch Sinn macht muss du wissen. Bei einem 5 Mann Betrieb wäre so ein Setup ein overkill.
Nachtrag: man lernt in der IT-Welt jeden Tag was dazu, es ist also nicht schimm wenn man manches nicht kennt solange man lernfähig bleibt.
irgendwie voll Freitag....
wenn ihr für einige Hundert euro angst haben müsst, gleich zu schießen, würde ich mir an deiner stelle einen neuen Job suchen.... du merkst selber, was du für Probleme hast, alles unötige auf einem DC zu haben- einfach mal umziehen ist nicht, und am besten darf dein AD auch nicht fiegen gehen.. oder der File Server, dann ist dein DC mit in gefahr- Traumlandschaft nennst du ordentliches arbeiten, na klasse!
wenn jemand die Firma in Finanzielle gefahr bringt, dann ist es eher dein handeln, und nicht einige hundert euro für nen Server Lizenz! Mach denen klar, so geht das nicht, und sage auch warum, schon im eigenen Interesse!
Frank
Die extra VM ist schön, aber nicht zwingend - nur weil man 1 weitere VM gebrauchen könnte, xxxx Euro für 2 Lizenzen ? Beim Cluster ist eben alles doppelt zu kaufen.
das passt nicht zusammen, eine VM mehr ist nicht drin, aber nen Cluster betreiben wollen!Soll man das Geld nur so rausschleudern und am Ende sperrt die Firma zu ?
also das geld für eine weiter VM ist gut angelegt, es nicht zu tun wäre unklug, und kostet die Firma irgendwann richtig Geld!wenn ihr für einige Hundert euro angst haben müsst, gleich zu schießen, würde ich mir an deiner stelle einen neuen Job suchen.... du merkst selber, was du für Probleme hast, alles unötige auf einem DC zu haben- einfach mal umziehen ist nicht, und am besten darf dein AD auch nicht fiegen gehen.. oder der File Server, dann ist dein DC mit in gefahr- Traumlandschaft nennst du ordentliches arbeiten, na klasse!
wenn jemand die Firma in Finanzielle gefahr bringt, dann ist es eher dein handeln, und nicht einige hundert euro für nen Server Lizenz! Mach denen klar, so geht das nicht, und sage auch warum, schon im eigenen Interesse!
Frank
Man könnte auch externe CA benutzen, aber das macht man normalerweise nicht.
Wäre mir aber neu das man das nicht macht. Was spricht denn dagegen? Zertifikate kann man sich doch kaufen?
Denkst du nicht es kann eventuell etwas zu kompliziert werden seine eigene CA Struktur zu betreiben?
Je nach Umgebung braucht man 2 oder mehr DC und 2-3 CA Server. 1x Root-CA und 2x Sub-CA.
2 DCs reichen eigentlich, 3 wenn du etwas Paranoid bist. Wir haben auch Kunden die 5 DC haben, da machen wir aber Intern eher Spaße drüber.
Wir haben mehrere Kunden die keine eigene CA haben. Man braucht es also nicht zwingend..
Hallo,
auch wenn ich ein bißchen spät dran bin:
Punkt 3 hat auch den Charme, dass man später, wenn es einen dedizierten Fileserver gibt, den CNAME nur ändern muß. Wenn der DC01 ordentlich demotet wurde, sollte der CNAME auch keine Probleme bereiten.
Beste Grüße
linuxadm
auch wenn ich ein bißchen spät dran bin:
- ich würde einen neuen DC mit neuem Name erzeugen
- dann den alten demoten, Daten umziehen usw.
- zum Schluß (wegen alter Verknüpfungen und anderen Altlasten auf den Clients) im DNS einen CNAME-Eintrag "DC01" auf den neuen Server machen.
- perspektivisch mal ausmisten. Ja, ich kenne auch solche verkorksten, gewachsenen Netzwerke.
Punkt 3 hat auch den Charme, dass man später, wenn es einen dedizierten Fileserver gibt, den CNAME nur ändern muß. Wenn der DC01 ordentlich demotet wurde, sollte der CNAME auch keine Probleme bereiten.
Beste Grüße
linuxadm
Hallo Speedy,
ja, ich habe das bei einigen Kunden notgedrungen so im Einsatz (1). Ist ja nur ein CNAME, nichts kompliziertes und Du hattest das in Deinem Eingangspost so beschrieben.
Im Prinzip ist der CNAME ja nur für das SMB interessant, DHCP, DNS usw. schauen sich ihre Einstellungen beim DC ab.
Natürlich sollte man das mal aufräumen, in 5 Jahren denkt keiner mehr an solche Behelfskonstrukte. Einfach machen, und falls auf dem Weg irgend etwas nicht funktioniert (Beispiel: eine Desktop-Verknüpfung direkt auf die IP des DC01), das glattziehen.
Andere ketzerische Frage: Warum ziehst Du nicht nur den DC um (und DNS, DHCP...) und behältst die alte VM nach dem Demoten als Fileserver? Damit brauchst Du vorerst keine Lizenz und hast die beiden Funktionen schon mal getrennt. Und du kannst auch den Name behalten. Das ist zwar nur ein Rauschieben, aber vielleicht vom Kopf her entspannter.
Beste Grüße
linuxadm
(1) Ich habe Kunden mit uralter Steuertechnik für Produktionsmaschinen, wo ich z.T. keine Fileservernamen und Freigaben ändern kann, weil das hinter einem Passwortschutz liegt, und sowohl Hersteller als auch Einrichter existieren nicht mehr.
ja, ich habe das bei einigen Kunden notgedrungen so im Einsatz (1). Ist ja nur ein CNAME, nichts kompliziertes und Du hattest das in Deinem Eingangspost so beschrieben.
Im Prinzip ist der CNAME ja nur für das SMB interessant, DHCP, DNS usw. schauen sich ihre Einstellungen beim DC ab.
Natürlich sollte man das mal aufräumen, in 5 Jahren denkt keiner mehr an solche Behelfskonstrukte. Einfach machen, und falls auf dem Weg irgend etwas nicht funktioniert (Beispiel: eine Desktop-Verknüpfung direkt auf die IP des DC01), das glattziehen.
Andere ketzerische Frage: Warum ziehst Du nicht nur den DC um (und DNS, DHCP...) und behältst die alte VM nach dem Demoten als Fileserver? Damit brauchst Du vorerst keine Lizenz und hast die beiden Funktionen schon mal getrennt. Und du kannst auch den Name behalten. Das ist zwar nur ein Rauschieben, aber vielleicht vom Kopf her entspannter.
Beste Grüße
linuxadm
(1) Ich habe Kunden mit uralter Steuertechnik für Produktionsmaschinen, wo ich z.T. keine Fileservernamen und Freigaben ändern kann, weil das hinter einem Passwortschutz liegt, und sowohl Hersteller als auch Einrichter existieren nicht mehr.
Hallo Speedy,
ich glaube, Du verrennst Dich da zu sehr. Einfach mal machen.
Wenn Du total unsicher bist, erstelle doch auf dem bestehenden DC ein Alias und prüfe, ob Du damit auf die Dateien zugreifen kannst (Spoiler: es funktioniert, eben getestet an einem DC mit Server 2019).
Gerade mit dem letzten von Dir angeführten Link (https://www.tech-faq.net/alias-erstellen-in-windows-server-2019/) ist das doch in Minuten erledigt.
Viele Grüße
linuxadm
PS: Abgesehen davon, den Betrieb durch Hilfsmaßnahmen wie tägliches manuelles wegsichern aufrechtzuerhalten (so ehrenhaft das auch ist), macht Dich auf Dauer kaputt. Sag Deinen Vorgesetzten klipp und klar (am besten zusätzlich schriftlich - CYA), der Fileserver hält nur noch mit Spucke und Kaugummi zusammen und fällt in den nächsten Wochen aus. Die sollten Kohle dafür locker machen oder mit einem Ausfall und verlorenen Dateien leben. Ein Handwerksbetrieb schickt seine Handwerker auch nicht mit Faustkeilen los, sondern sorgt für ordentliches Werkzeug, weil die dann viel schneller und günstiger arbeiten können - trotz Anfangsinvest.
Und wenn von deren Seite gar nichts geht, muss es auch mal Downtime geben. Ich weiß, wir IT-Leute leiden alle an einem Helfersyndrom, aber gerade als Angestellter muss man klare Grenzen ziehen.
ich glaube, Du verrennst Dich da zu sehr. Einfach mal machen.
Wenn Du total unsicher bist, erstelle doch auf dem bestehenden DC ein Alias und prüfe, ob Du damit auf die Dateien zugreifen kannst (Spoiler: es funktioniert, eben getestet an einem DC mit Server 2019).
Gerade mit dem letzten von Dir angeführten Link (https://www.tech-faq.net/alias-erstellen-in-windows-server-2019/) ist das doch in Minuten erledigt.
Viele Grüße
linuxadm
PS: Abgesehen davon, den Betrieb durch Hilfsmaßnahmen wie tägliches manuelles wegsichern aufrechtzuerhalten (so ehrenhaft das auch ist), macht Dich auf Dauer kaputt. Sag Deinen Vorgesetzten klipp und klar (am besten zusätzlich schriftlich - CYA), der Fileserver hält nur noch mit Spucke und Kaugummi zusammen und fällt in den nächsten Wochen aus. Die sollten Kohle dafür locker machen oder mit einem Ausfall und verlorenen Dateien leben. Ein Handwerksbetrieb schickt seine Handwerker auch nicht mit Faustkeilen los, sondern sorgt für ordentliches Werkzeug, weil die dann viel schneller und günstiger arbeiten können - trotz Anfangsinvest.
Und wenn von deren Seite gar nichts geht, muss es auch mal Downtime geben. Ich weiß, wir IT-Leute leiden alle an einem Helfersyndrom, aber gerade als Angestellter muss man klare Grenzen ziehen.