speedy-it
Goto Top

Neuer Domänencontroller, aber Name wie bisher

Guten Abend,

ich bin unerfahren im Umzug von Domänencontrollern.
Habe dazu schon einiges gelesen, doch leider gibt es zumeist nur Geschichten von Leuten, die scheiterten oder Ausgang offen. Auch in Büchern ist der Umzug nie (im Detail) Thema, nur neu erstellen.

Ich muss einen Windows Server 2016 nach 2022 umziehen.
Neben dem DC ist diese VM auch noch Fileserver, Printserver, DHCP und DNS (hoffe nichts sonstiges mögliches zu vergessen. SQL gibt es nicht. Exchange ist extern).
Ich weiß eine extra VM für den Fileserver wäre besser, aber ich muss mit dem Budget auskommen das ich bekomme und ich würde wegen Hochverfügbarkeit zwei zusätzliche Lizenzen benötigen.
Das andere Problem ist, das ich nun das weiterführen muss, was die frühere IT so festgelegt hat, da ich ansonsten nicht nur alle PCs / Programme ändern muss, sondern auch noch Verknüpfungen in irgendwelchen Dateien fehlschlagen würden.

Es gibt einen zweiten DC (dieser ist physisch, keine VM) und läuft bereits unter Windows Server 2022.
Ich habe diesen per "Assistent" hinzugefügt, aber ansonsten nichts weiter gemacht, sofern notwendig.
Erstelle / lösche ich einen User am DC01 an, wird es auch beim DC02 gemacht.

Die Varianten, die ich mir überlegte wären:
- DC01 entfernen (muss man Reste manuell bereinigen ?) und danach mit der neuen VM wieder als DC01 hinzufügen. Ich weiß nur nicht, ob es dann den gleichen Namen wieder akzeptiert oder Reste irgendwo in der Registry o.ä. das verhindern

oder
- Die VM als DC hinzufügen (Name gäbe es noch nicht, nur weiß ich nicht um die Besonderheiten von 3 Domänencontrollern), danach den DC01 entfernen, Reste entfernen (wo / wie ?) und zuletzt in DC01 umbenennen. Muss ich danach wieder etwas manuell bereinigen ?

oder
- Die VM als DC hinzufügen (wären zeitweise wieder 3 Domänencontroller), dann den DC01 entfernen und dem Server einen Alias-Namen / CNAME oder wie auch immer man das macht, geben das er sowohl unter DC als auch wieder unter DC01 erreichbar wäre.
Ich hatte da einmal etwas gelesen, das ich jetzt nicht mehr finde, dass es nur nicht so einfach ist einfach im DNS da einen zweiten Namen zu vergeben. Die Freigaben würden trotzdem nicht über den zweiten Namen zugreifen können.


Nur scheiden sich die Geister, ob das Umbenennen eines DCs funktioniert.
Auch habe ich gelesen, dass sowas viel Zeit kostet, also zwischen entfernen und neu hinzufügen sollte man eher Stunden warten ? Wie lange oder kann ich es manuell prüfen, ob das System alles zum Erstellen / Löschen bereits verarbeitet hat und ich neu erstellen bzw. umbenennen darf ?

Auch scheint man noch manuell Rollen übertragen zu müssen.


Wie würdet Ihr vorgehen, die Reihenfolge oder auch auf welchem Weg man etwas macht, ist sehr oft entscheidend.
Erst DHCP, DNS, Printserver usw. anlegen und dann zum Domänencontroller machen oder umgekehrt ?
Wegen der ggf. notwendigen Umbenennung scheint mir erst Domänencontroller fertig besser, dann den Rest wie DHCP, DNS, Print, File.

DHCP Umzug:
netsh dhcp server export c:\dhcpDB.dat all (am alten Server)
netsh dhcp server import c:\dhcpDB.dat all (am neuen Server)

DNS Umzug:
Weiß ich noch nicht, ob das mit DC erstellen automatisch passiert oder ich noch etwas machen muss.

Printserver Umzug:
printmanagement.msc und dort "Druckerwarteschlangen und Druckertreiber in eine Datei exportieren" bzw. am neuen dann "... importieren"

Fileserver Umzug:
Zum Umzug der Freigaben hätte ich die Registry exportiert über:
reg export "HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares" shares.reg
und am neuen importiert. Die Dateien dabei mit robocopy /COPY:DATSOU auf den neuen Server übertragen.


Vielen Dank für Eure Unterstützung - würdet mir eine große Last abnehmen, wenn ich die Kuh endlich vom Eis bekomme. Habe leider keinen Kollegen den ich intern mal um Rat fragen könnte.

Content-ID: 43821614561

Url: https://administrator.de/forum/neuer-domaenencontroller-aber-name-wie-bisher-43821614561.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

Vision2015
Vision2015 22.03.2024 um 07:24:55 Uhr
Goto Top
Moin...
Neben dem DC ist diese VM auch noch Fileserver, Printserver, DHCP und DNS (hoffe nichts sonstiges mögliches zu vergessen. SQL gibt es nicht. Exchange ist extern).
Ich weiß eine extra VM für den Fileserver wäre besser, aber ich muss mit dem Budget auskommen das ich bekomme und ich würde wegen Hochverfügbarkeit zwei zusätzliche Lizenzen benötigen.
also du solltest eine VM als DC nutzen.... und nur als DC... DNS... DHCP!
und eine VM als File Server etc...

nur scheiden sich die Geister, ob das Umbenennen eines DCs funktioniert.
klar geht das, aber warum willst du das? der name vom DC ist sowas von egal!

Es gibt einen zweiten DC (dieser ist physisch, keine VM) und läuft bereits unter Windows Server 2022.
keine VM...na ja gut, irgendwas ist ja immer face-smile
na dann ziehe doch die FMSO Rollen rüber, ist schnell erledigt!
Move-ADDirectoryServerOperationMasterRole -Identity <Ziel-DC> -OperationMasterRole 0,1,2,3,4
replikation abwarten.... und gut ist.
dann noch schnell den DHCP umziehen:
netsh dhcp server export c:\dhcpDB.dat all
und auf dem neuen DC
netsh dhcp server import c:\dhcpDB.dat all
jetzt noch schnell in der DHCP config den neuen DNS eintragen... auch fertig!

alten DC entfernen, und File und Printserver umziehen!

Frank
NordicMike
NordicMike 22.03.2024 um 07:35:04 Uhr
Goto Top
Die Clients der Domain lassen sich nicht austricksen, indem man einfach einen neuen Domain Controller mit dem gleichen Namen hinstellt. Es existiert eine verschlüsselte Vertrauensstellung.

Du kannst die alten Domain Controller mit einem Inplace Upgrade auf 2022 bringen oder du kannst neue Domain Controller hinzufügen und die alten Domain Controller heraus nehmen. Wenn du alte Domain Controller heraus nimmst, musst du aufpassen dass alle FSMO Rollen auf den neuen Domain Controller übertragen sind. Wie man das macht kannst du googeln. Auf jeden fall darf der Inhalt der Domain nie verloren gehen, indem du alle Domain Controller entfernst. Erst, wenn ein neuer Domain Controller die Arbeit verrichtet (mit allen Rollen und Domain Daten), kann der letzte alte Domain Controller entfernt werden. Die Clients merken davon nichts, weil die Domain immer vorhanden bleibt.

Du kannst auch alle anderen Server mit einem Inplace Upgrade auf 2022 bringen. Manchmal stört ein alter Treiber z.B. bei den Druckern (beim Printserver). Auf jeden Fall alle VMs sichern oder snapshotten vor dem Upgrade. Sollte ein Upgrade fehlschlagen, muss die Sicherung oder der Snapshot zurück.
heilgecht
heilgecht 22.03.2024 um 10:29:37 Uhr
Goto Top
Hallo,

wo läuft denn deine Certificate Authority?
CA zu migrieren macht es komlizierter.
DC darf nur "DC Dinge" machen (DHCP,DNS,NPS(Radius))
Alles Andere muss von DC unbedingt weg.
Umbenennen würde ich nicht, alten DC deinstallieren, kurz warten bis es synchoronisiert ist und neuen mit gleicher IP und Namen installieren.
Es gibt im Netz gute Anleitungen wie man DC migriert.
Ob es jetzt eine Migration zu 2016, 2019 oder 2022 ist, macht eigentlich kein Unterschied.
https://www.frankysweb.de/migration-domain-controller-zu-server-2016/
https://blog.hartinger.net/2008dc-mit-einen-2019-server-ersetzen/
MfG
ThePinky777
ThePinky777 22.03.2024 um 13:29:45 Uhr
Goto Top
wenn man aber auf nummer sicher sicher gehen will würd ich nicht die gleichen namen nehmen.
ist ja auch nicht so schlimm wenn man ne nummer hochzählt...
ServerDC01 ... 02... 03... 04 usw...
Als admin weisst du relativ schnell welche Namen es nicht mehr gibt und die neuen nummern merkt man sich schnell.
Dann kanns auch zu keinerlei Kuddelmuddel kommen in irgend ner form.

Aber jeder kanns machen wie er will.
Speedy-IT
Speedy-IT 22.03.2024 um 15:36:32 Uhr
Goto Top
Vielen Dank für Euren Rat - lass das noch etwas sacken und arbeite später noch die Links durch.


Nur der 2. DC ist physisch, der 1. DC ist künftig auf dem Cluster als VM, noch auf alter Hardware unter VMware auch als VM. Damit ich das Cluster wieder hochfahren kann braucht es einen zweiten DC und dafür war ein kleiner extra Server die beste Variante. Lässt sich auch einfach und günstig ersetzen / sichern / wiederherstellen. Ohne VM ist alles mit z.B. Veeam Agent und Boot-Medium wesentlich einfacher.

Der Name vom DC ist leider nicht egal, da wie gesagt allerlei Verknüpfungen ob in Dateien oder in Programmen auf den \\DC01\ verweisen.
Man war leider nicht so schlau das wenigstens über eine Freigabe mit festem Buchstaben zu machen.
Also es wären nicht nur die Freigaben zu ändern, was man noch ohne entfernen / neu erstellen auch über die Registry machen könnte.
Ich muss deshalb zumindest fürs Erste mit der Altlast leben.

Ich hätte natürlich gerne eine extra VM für den Fileserver, ab es geht halt nicht.
Wegen Cluster haben ich schon 2 Windows-Server-Lizenzen. Will ich den Fileserver extra, bräuchte ich noch einmal 2 Windows-Server-Lizenzen.
Auch kamen und kommen wegen veralteter Hardware angefangen bei den Basics wie Firewall, Router, USVs und anderes einige Kosten zusammen.
Die zweite VM wird schon für die Warenwirtschaft genutzt.
Ich will auch nicht zu viel auf einmal ändern - bin froh, wenn ich den Umzug so in dem Zeifenster schaffe und danach alles funktioniert.
Ggf. bekomme ich später mehr Budget und mache das an einem weiteren Wochenende.
Ich habe dem künftigen DC01 zwei "Festplatten" zugeteilt, also C = System und D = Shares in extra Dateien.


Inplace Upgrade geht leider nicht, da die Chance zu scheitern laut einigen Foren sehr hoch ist und der Umzug auch auf andere Hardware geschieht, zudem von VMware auf Hyper-V. Das ist eher nichts für diesbezüglich Unerfahrene.


Ich habe etwas Schiss davor den DC01 zu entfernen und mich nur noch auf den neuen DC02 verlassen zu müssen, der wegen dem Cluster erst kürzlich dazu kam.
Useränderungen usw. werden synchronsiert, aber ich bin einfach noch unsicher ob er wirklich schon vollwertig ist.
Mit Entfernen des DC01 bekommt er die "FSMO-Rollen" automatisch sozusagen vererbt oder ist vorab per Befehl "sicherer" und dann müsste alles gleichwertig sein oder ?
Wie kann ich das testen, bevor ich den alten DC01 entferne ?
Ansonsten ist DC01 weg, damit ich ihn kurz darauf auf neuer VM unter gleichen Namen wieder hinzufügen kann und DC02 ggf. unvollständig - wenn auch damals alles scheinbar ohne Fehlermeldungen passierte.
Geht da jedenfalls etwas schief, dann kann ich alle Clients neu einrichten.
Deshalb auch meine Gedanken zu zeitweise 3 Domänencontroller und dann den einen auf den alten Namen / IP umändern.
Das mit den CNAME wegen Freigabenzugriff scheint problematisch, da es "DisableStrictNameChecking" erfordert - mit welchen Nachteilen auch immer.


Wie kann ich testen ob der DC01 und DC02 synchron sind bzw. ob der DC01 komplett weg ist, damit ich ihn nicht zu früh wieder unter gleichem Namen hinzufüge ?
Repadmin /replsummary
Repadmin /Queue
Repadmin /Showrepl
https://www.manageengine.com/de/active-directory-audit/kb/how-to/how-to- ...
bzw. ob er im Active Directory verschwindet ?
Muss er dort automatisch verschwinden oder muss man es im AD immer manuell löschen ? Soll ich auch im DNS oder woanders nach Überresten suchen und diese entfernen oder sollte auch dort alles automatisch verschwinden - sonst Anzeichen für Probleme ?


Ich arbeite bis ich mich sicher fühle ungern mit Befehlen bei so Umzügen, bis auf so Details wie DHCP wo es einfach nicht anders geht. Mit Befehlen kann viel schiefgehen, falsche Reihenfolge usw.
Lass lieber den Server-Manager den Domänencontroller hinzufügen / entfernen.


Certificate Authority
Dazu kann ich leider wenig sagen.
Die Rolle "Active Directy-Zertifikatsdienste" ist am alten DC01 nicht installiert. Am neuen DC02 den es seit dem neuen Cluster gibt auch nicht.


Zum Thema Sicherung, soweit ich weiß darf ich keine Snapshots machen und welche Backup-Software sich mit StorMagic verträgt muss ich erst noch in Erfahrung bringen.
Hab deren Support schon gefragt, hat mir aber nicht geholfen.
Es kommen momentan sehr viele Themen zusammen, die ich alle abarbeiten muss.


Ich hoffe, ich habe keinen Punkt übersehen - vielen Dank und ein schönes Wochenende
heilgecht
heilgecht 22.03.2024 um 16:14:52 Uhr
Goto Top
Das ist für mein Geschmack ziemlich schlechte Ausgangsposion.
Wenn du dir sicher sein willst, nimm einen beliebigen Windows Rechner, installiere Hyper-V und teste es.
Installiere einen neuen DC als erster DC in eine Domäne, dann den 2. Dann versuche es mit einer 3 VM zu ersetzen.
Verwende andere neue Domainame. Das Ganze sollte auch getrennt sein von deinem Netzwerk.
Lizenzen brauchst du nicht und kannst 90 Tage lang testen.
heilgecht
heilgecht 22.03.2024 um 16:18:48 Uhr
Goto Top
CA ist sehr wichtig, ohne CA läuft keine Windows AD.
Finde vor dem Umtzug raus wo das läuft.
https://learn.microsoft.com/en-us/troubleshoot/windows-server/certificat ...
Speedy-IT
Speedy-IT 22.03.2024 um 16:34:38 Uhr
Goto Top
Was findest du daran eine schlechte Ausgangsposi ?
Meinst du hinsichtlich dessen, dass ich erst einmal zur Sicherheit testen will ob der DC02 vollwertig ist, bevor ich den alten DC01 entferne ?
Oder weil es mein erster Umzug eines Domänencontroller ist und ich deshalb generell unsicher bin und lieber alles hinterfrage, Best Practice Erfahrungen anderer suche (auch zur optimalen Reihenfolge).
Bis jetzt musste ich immer nur "neu" machen oder Server und PCs zeitgleich ersetzen, doch als "Mädchen für alles" in einer kleinen Firma ohne EDV-Abteilung kann ich leider nicht mehr bei allen Themen der Experte sein.

Ich sehe halt nur, dass Useränderungen über Kreuz beim jeweils anderen DC sofort angezeigt werden. Ich weiß nur nicht, ob es noch mehr Testmöglichkeiten gibt, bevor ich den alten DC01 entferne.
Bei Dateien würde ich einen Binärvergleich machen und wüsste danach definitiv, Quelle und Ziel ist identisch ...

Eine extra Spielwiese für sowas wäre natürlich toll, auch hinsichtlich Update-Tests o.ä. aber das alle 3 Monate neu einrichten ... den Aufwand sieht und respektiert keiner, wenn dafür dann andere Themen länger dauern, letztlich auch wieder eine Geldfrage.
Speedy-IT
Speedy-IT 22.03.2024 um 16:45:35 Uhr
Goto Top
Habe deinen zweiten Post erst zu spät gesehen, heilgecht.
"C:\Windows\system32>certutil.exe
CertUtil: -dump-Befehl wurde erfolgreich ausgeführt."

mehr kommt da nicht.

Bei Adsiedit.msc auch nichts.
Bevor ich etwas beim Verbinden o.ä. falsch mache und deswegen am Ende noch alles mit dem Umzug scheitert - muss ich mich erst einlesen.


Die Rolle "Active Directy-Zertifikatsdienste" ist jedenfalls weder auf DC01 (alt), noch auf DC02 (neu, seit dem Cluster), sonst gibt es nichts. Keine weiteren VMs unter VMware. So läuft das seit Jahren.
Speedy-IT
Speedy-IT 22.03.2024 um 17:11:42 Uhr
Goto Top
Wenn ich mir
Active Directory-Zertifikatdienste notwendig bei Erstellung von kostenlosem SAN-Zertifikat

so durchlese, dann braucht es CA scheinbar nur für Exchange und der ist extern.
Ansonsten fand ich noch nix zu dem Thema.
heilgecht
heilgecht 22.03.2024 um 17:54:48 Uhr
Goto Top
Zitat von @Speedy-IT:

Was findest du daran eine schlechte Ausgangsposi ?
Meinst du hinsichtlich dessen, dass ich erst einmal zur Sicherheit testen will ob der DC02 vollwertig ist, bevor ich den alten DC01 entferne ?
Oder weil es mein erster Umzug eines Domänencontroller ist und ich deshalb generell unsicher bin und lieber alles hinterfrage, Best Practice Erfahrungen anderer suche (auch zur optimalen Reihenfolge).
Bis jetzt musste ich immer nur "neu" machen oder Server und PCs zeitgleich ersetzen, doch als "Mädchen für alles" in einer kleinen Firma ohne EDV-Abteilung kann ich leider nicht mehr bei allen Themen der Experte sein.

Ich sehe halt nur, dass Useränderungen über Kreuz beim jeweils anderen DC sofort angezeigt werden. Ich weiß nur nicht, ob es noch mehr Testmöglichkeiten gibt, bevor ich den alten DC01 entferne.
Bei Dateien würde ich einen Binärvergleich machen und wüsste danach definitiv, Quelle und Ziel ist identisch ...

Eine extra Spielwiese für sowas wäre natürlich toll, auch hinsichtlich Update-Tests o.ä. aber das alle 3 Monate neu einrichten ... den Aufwand sieht und respektiert keiner, wenn dafür dann andere Themen länger dauern, letztlich auch wieder eine Geldfrage.

Wenig Praxiserfahrung gepaart mit einer Umgebung die nicht nach Best Practices aufgebaut ist.
Dazu kommt noch kein Budget, nicht mal für Windows Lizenzen.
Bitte nicht persönlich nehmen face-smile
heilgecht
heilgecht 22.03.2024 um 18:05:03 Uhr
Goto Top
CA braucht man um Certificate auszustellen, um dann eine gesicherte Verbindung mit SSL aufzubauen.
Ohne SSL läuft heute fast nix mehr.
CA vereinfacht die Verteilung. Man könnte auch externe CA benutzen, aber das macht man normalerweise nicht.
Wenn man alte DC killt und CA nicht wegsichert, hat man ein Problem.
Wie groß ist denn die Umgebung? Wieviele Benutzer und Rechner sind in AD?
Speedy-IT
Speedy-IT 22.03.2024 um 18:23:53 Uhr
Goto Top
Was würdest du denn besser machen, abgesehen von extra VM für Fileserver ?
Wenn einem langweilig ist kann man die zusätzliche VM auch noch später machen.
Man dreht jedoch nicht alles zeitgleich auf links, sondern macht es nach und nach, umso weniger kann schiefgehen.
Budget ist doch da, so ein Cluster war nicht gerade günstig, USVs dieser Klasse auch nicht, Router / Firewall alles kostet 4 stellig, von der Arbeit nicht zu sprechen - irgendwann ist einfach mal ein Limit erreicht - vor allem wenn eben viel querbeet zu modernisieren ist. Viele andere Firmen könnten solche Summen nicht stemmen ! Da muss man eben auch mal etwas über Jahre verteilen.
Die extra VM ist schön, aber nicht zwingend - nur weil man 1 weitere VM gebrauchen könnte, xxxx Euro für 2 Lizenzen ? Beim Cluster ist eben alles doppelt zu kaufen.
Soll man das Geld nur so rausschleudern und am Ende sperrt die Firma zu ?
Der Cluster wurde übrigens in Zusammenarbeit mit einer renommierten Server-Firma geplant und realisiert. Nur weil es Wissenslücken gibt bzw. eben keine Erfahrung in Details abseits der normalen Admin / Wartung, sind lange nicht nur Laien am Werk.
Es gibt sicherlich Admins in Großfirmen die jeden Tag sowas machen, aber es gibt eben auch die Allrounder, die sich um alles kümmern müssen und alle x Jahre mal wieder mit sowas in Berührung kommen.
Die vertrauenswürdigen, verlässlichen Leute findet man nur nicht an jeder Ecke, um für spezielles Experten zu Rate ziehen zu können.
Man vergisst offenbar schnell, wie man einst einmal selbst angefangen hat und erst über die Jahre gewachsen ist. Nur ist die Zeit mittlerweile eine andere und man ist sofort mit komplexen Systemen konfrontiert. Der Einstieg ist jetzt ein ganz anderer als früher.

Was soll ich denn machen, wenn es kein CA / genannte Rolle gibt - da gibt es das nicht.
Habe den Befehl als Domänenadmin ausgeführt. Offensichtlich lief das jahrelang ohne und wird das nicht für jede Umgebung gebraucht, wenn siehe anderer Thread auch nur ein einziges Zertifikat für Exchange vorhanden war. Es gibt keine sonstige VM und VMware selbst wird dazu wohl nichts regeln ?
Extern ist nichts, nur Exchange und Backups. Habe alles ich eingerichtet.
heilgecht
heilgecht 22.03.2024 aktualisiert um 19:02:47 Uhr
Goto Top
Auf lange Sicht sollte man, wie bereits geschrieben, DC nur "DC Dinge" machen lassen (DHCP,DNS,NPS(Radius))
Alles Andere muss weg.
Dank stabiler Virtualisierung betreibe ich keine physischen Server mehr. 100% virtuialisiert, verteilt auf mehrere Standorte.
MS Datacenter Lizenz lohnt sich bei mir und ich habe keine Einschränkung bei der Anzahl der VMs.
Je nach Umgebung braucht man 2 oder mehr DC und 2-3 CA Server. 1x Root-CA und 2x Sub-CA.
Root Certificat und dazugehörige CA ist wie ein Generalschlüssel, das hat man als Admin unter eigener Kontrolle und man gibt das nicht weg.
Ob es bei dir auch Sinn macht muss du wissen. Bei einem 5 Mann Betrieb wäre so ein Setup ein overkill.

Nachtrag: man lernt in der IT-Welt jeden Tag was dazu, es ist also nicht schimm wenn man manches nicht kennt solange man lernfähig bleibt.
Speedy-IT
Speedy-IT 22.03.2024 um 21:06:11 Uhr
Goto Top
Alles schön und gut, hilft mir aber nicht weiter.
Die VMs im Cluster sind virtualisiert im dem letztlich alle Daten liegen und wenn der DC02 (zugleich Quorum für den Cluster) physisch ist - wo ist das Problem ? Hier wird so geschrieben als wäre alles nur auf Blech, was je nach Firma auch Sinn macht.
Es reicht weniger Leistung, es ist weniger Aufwand, es spart Lizenzkosten - da Backup selbst mit dem gratis Veeam Agent möglich, kein Backup-Server, kein Backup-Repository oder sonstiger aufgeblasener Mist nötig.
Mag alles in einem Großkonzern wundervolles Spielzeug sein, aber kostet kleine bis mittelständige Firmen im Verhältnis ein Vermögen.

Wir sind hier einfach nicht bei Wünsch dir was, ich muss mit dem klarkommen, was ich durchgeboxt bekomme und was man ich nun einmal als Ausgangsbasis habe. Es wird einfach nur ein gewisses Verhältnis zum Umsatz / Gewinn toleriert, das habe ich zu akzeptieren. Man kann bedenken äußern o.ä. - aber am Ende hab ich das nicht zu entscheiden oder zu kritisieren, wenn mir mein Arbeitsplatz lieb ist.
Mit jedem neuen Server wächst alles etwas und man kann wieder unschönes verbessern.
Im Gegensatz zu vorher, verbesserte sich auch bereits vieles. Es gab nicht einmal lokale Backups, nur in die Cloud und im Schadensfall lädt man dann 2 Wochen herunter. 2 Server, aber seit langem nicht mehr synchron. Viele Daten lokal auf den PCs, aber nicht zentral am Server, somit ungesichert und viel mehr Durcheinander / nicht einheitlich überall.

Fürs Erste bin ich schon einmal froh, dass nicht alle Technik wie früher jahrelang an nur 1 USV hängen muss, deren Batterien auch schon mal frischer waren.
In großen Firmen gibt es ein ganz anderes Verständnis für IT-Kosten.
Da wird das auch innerhalb der IT geklärt / entschieden - muss nicht der Konzernchef überzeugt werden.
Mehr CA-Server als DC, also ich weiß nicht - ab welcher Firmengröße man das braucht.
Das muss alles in einem gesunden Verhältnis stehen, man kann seine Traumlandschaft nicht auf andere übertragen, wo es die Mittel halt einfach nicht gibt. Es muss am Ende dann auch noch von einem administrierbar bleiben.

Jedenfalls nur weil eine VM fehlt, gleich alles in Frage zu stellen - da komm ich nicht mehr mit ...
Zudem kann ich hier nicht alles bis ins Detail offenlegen.

Eine Datacenter Lizenz kostet 3000-3500 Euro mehr als eine Standard mit 2 VMs - pro Server wohlgemerkt, also 6000-7000 Euro. Mag sein, dass ein Großkonzern mit 100 Server im Verbund da andere Preise hat.

Ich weiß auch nicht, warum das in so Threads immer so entgleitet und sich von der Problemstellung entfernt. Das ist keine Vorab-Kaufberatung, sondern die Situation ist wie sie ist und damit muss ich klarkommen.
Ist nun wie bei den anderen Threads die ich fand, viel Diskussion und nicht wirklich weiter ...


Trotzdem danke für den Input
Vision2015
Vision2015 22.03.2024 um 23:01:56 Uhr
Goto Top
irgendwie voll Freitag....

Die extra VM ist schön, aber nicht zwingend - nur weil man 1 weitere VM gebrauchen könnte, xxxx Euro für 2 Lizenzen ? Beim Cluster ist eben alles doppelt zu kaufen.
das passt nicht zusammen, eine VM mehr ist nicht drin, aber nen Cluster betreiben wollen!
Soll man das Geld nur so rausschleudern und am Ende sperrt die Firma zu ?
also das geld für eine weiter VM ist gut angelegt, es nicht zu tun wäre unklug, und kostet die Firma irgendwann richtig Geld!
wenn ihr für einige Hundert euro angst haben müsst, gleich zu schießen, würde ich mir an deiner stelle einen neuen Job suchen.... du merkst selber, was du für Probleme hast, alles unötige auf einem DC zu haben- einfach mal umziehen ist nicht, und am besten darf dein AD auch nicht fiegen gehen.. oder der File Server, dann ist dein DC mit in gefahr- Traumlandschaft nennst du ordentliches arbeiten, na klasse!
wenn jemand die Firma in Finanzielle gefahr bringt, dann ist es eher dein handeln, und nicht einige hundert euro für nen Server Lizenz! Mach denen klar, so geht das nicht, und sage auch warum, schon im eigenen Interesse!


Frank
Steke0
Steke0 22.03.2024 um 23:21:18 Uhr
Goto Top
Man könnte auch externe CA benutzen, aber das macht man normalerweise nicht.

Wäre mir aber neu das man das nicht macht. Was spricht denn dagegen? Zertifikate kann man sich doch kaufen?
Denkst du nicht es kann eventuell etwas zu kompliziert werden seine eigene CA Struktur zu betreiben?


Je nach Umgebung braucht man 2 oder mehr DC und 2-3 CA Server. 1x Root-CA und 2x Sub-CA.

2 DCs reichen eigentlich, 3 wenn du etwas Paranoid bist. Wir haben auch Kunden die 5 DC haben, da machen wir aber Intern eher Spaße drüber.

Wir haben mehrere Kunden die keine eigene CA haben. Man braucht es also nicht zwingend..
Steke0
Steke0 22.03.2024 um 23:23:03 Uhr
Goto Top
Wieso kein Inplace Upgrade? Mit einem gescheiten Backup ist das doch kein Problem?
Ich mache regelmäßig Inplace Upgrades auf 2019, hatte noch nie Probleme. War allerdings bisher auch kein DC dabei.
Speedy-IT
Speedy-IT 23.03.2024 um 01:15:32 Uhr
Goto Top
Mensch Leute was ist den los, wir reden hauptsächlich am Thema vorbei. Ich hätte gerne viel, kann aber nur eines nach dem anderen erneuern / durchsetzen, da muss man Prioritäten festlegen. Es gibt noch so viele Baustellen zu lösen.
Ich danke Euch wirklich für alle "Gefahrenhinweise" - auch künftige, aber lasst uns beim Hauptthema bleiben und nicht den Fokus verlieren.


@Vision2015
Das ist hier keine Kaufplanung, die Systeme laufen schon. Es fehlt nur noch der Umzug des alten 1. DC in den Cluster.
Im Cluster gibt es zwei VMs: neue DC und Warenwirtschaft
DC sind getrennte Dateien für C und D (C = DC, D = Shares) - also somit bereits etwas Risiko minimiert.
Man könnte D jederzeit einmal einer anderen VM zuteilen. Man kanns immer noch machen, wenn die größten Kosten nicht mehr so im Gedächtnis sind. Am wichtigsten ist jetzt der Umzug des DC in den Cluster.

Lizenzen sind aktuell mit den 2 VMs ausgeschöpft - die 1 extra VM würde weitere xxxx Euro kosten und 1 VM bliebe ungenutzt.
Für alle die es nicht wissen oder es nicht so genau nehmen - bei einem Cluster müssen Lizenzen immer je Server gekauft werden.

Rechnet also einfach mal etwas was schon alles gekostet haben könnte ... irgendwann ist einfach mal Schluss - das ist schließlich immer noch nur eine Investition für grob 5 Jahre + mit Glück x für nicht 100 Mitarbeiter.
Die xx PCs sind auch alle alt und manche kurz vorm Exitus - es kommt aktuell einfach alles zusammen. Normalerweise verteilen sich solche Kosten über Jahre, wenn man dahinter ist und regelmäßig altes rauswirft.

Es kann nicht alles auf Anhieb perfekt sein und muss manches erst einmal so übernehmen - auch wenn eine extra VM für den Fileserver besser wäre, aber eben nicht lebensnotwendig.
Die früheren Mitarbeiter haben das verbockt und die ganzen Verweise / Verknüpfungen (auch innerhalb von Dateien), die sich über Jahre auf DC01 aufbauten kann ich nicht in Stunden auflösen. Da hätten alle Mitarbeiter Monate zu tun.
Würden sich die Verknüpfungen nur auf einen Laufwerksbuchstaben der Freigaben beziehen wärs einfach - ich weiß nicht wie das mit \\DC01 einst zustande gekommen ist.

Ich nannte es nicht abwertend Traumlandschaft, nur was Ihr scheinbar in großen Firmen mit großen Budgets für Möglichkeiten habt, kann man nicht auf alle anderen Situationen / Budgets übertragen. Einen Cluster mit extra USVs je Server finanziert bekommen zu haben ist schon ein Wunder und es sind noch weitere Themen offen.


@Steke0
Inplace bringt mir nix, da unterschiedliche Hardware und wie gesagt von VMware auf Hyper-V
Viel Aufwand das zu testen für eine hohe Wahrscheinlichkeit, dass es fehlschlägt.
Zudem will ich keine alte Windows-Installation weiterschleppen in der was auch immer alles nicht so optimal gelaufen und verkorkst ist.
Mit 3 DCs hattest du zwar heilgecht gemeint, aber bevor das andere aufgreifen - ich hatte nicht vor 3 DCs dauerhaft zu betreiben ... es war ein möglicher Lösungsweg je nach Reihenfolge, bis der alte DC weg kann.
linuxadm
linuxadm 25.03.2024 um 14:48:44 Uhr
Goto Top
Hallo,

auch wenn ich ein bißchen spät dran bin:

  • ich würde einen neuen DC mit neuem Name erzeugen
  • dann den alten demoten, Daten umziehen usw.
  • zum Schluß (wegen alter Verknüpfungen und anderen Altlasten auf den Clients) im DNS einen CNAME-Eintrag "DC01" auf den neuen Server machen.
  • perspektivisch mal ausmisten. face-smile Ja, ich kenne auch solche verkorksten, gewachsenen Netzwerke.

Punkt 3 hat auch den Charme, dass man später, wenn es einen dedizierten Fileserver gibt, den CNAME nur ändern muß. Wenn der DC01 ordentlich demotet wurde, sollte der CNAME auch keine Probleme bereiten.

Beste Grüße
linuxadm
Speedy-IT
Speedy-IT 25.03.2024 um 16:50:47 Uhr
Goto Top
Hallo linuxadm,

danke dir - hast du damit Erfahrungen ?

Habe diesbezüglich einmal DisableStrictNameChecking aufgeschnappt und das Thema hat im Detail ein paar Haken zu SMB und Printserver. Jetzt gibt es Workarounds, nur können die natürlich mit jedem Update plötzlich nicht mehr funktionieren. Auch ist fraglich, ob man für anderes dann auch wieder Workarounds braucht an das man eventuell gerade nicht denkt / braucht.
Leider sind die meisten Themen dazu schon alt und deshalb weiß ich nicht ob das so noch funktioniert und ob es alles ist:

http://www.jniesen.de/zugriff-auf-dateifreigaben-ber-alias-namen-cname/
https://www.tech-faq.net/windows-server-2012-alias-erstellen/
https://www.it-admins.com/windows-print-server-aliases/

Es gibt auch noch einen neueren Beitrag
https://www.tech-faq.net/alias-erstellen-in-windows-server-2019/
nur ist unklar, ob das alleine jetzt tatsächlich mittlerweile für File- und Printerserver reicht.

Daher habe ich ein schlechtes Gefühl bei der Variante, eine Sammlung an Workarounds.
linuxadm
linuxadm 25.03.2024 um 18:20:44 Uhr
Goto Top
Hallo Speedy,

ja, ich habe das bei einigen Kunden notgedrungen so im Einsatz (1). Ist ja nur ein CNAME, nichts kompliziertes und Du hattest das in Deinem Eingangspost so beschrieben.

Im Prinzip ist der CNAME ja nur für das SMB interessant, DHCP, DNS usw. schauen sich ihre Einstellungen beim DC ab.

Natürlich sollte man das mal aufräumen, in 5 Jahren denkt keiner mehr an solche Behelfskonstrukte. Einfach machen, und falls auf dem Weg irgend etwas nicht funktioniert (Beispiel: eine Desktop-Verknüpfung direkt auf die IP des DC01), das glattziehen.

Andere ketzerische Frage: Warum ziehst Du nicht nur den DC um (und DNS, DHCP...) und behältst die alte VM nach dem Demoten als Fileserver? Damit brauchst Du vorerst keine Lizenz und hast die beiden Funktionen schon mal getrennt. Und du kannst auch den Name behalten. Das ist zwar nur ein Rauschieben, aber vielleicht vom Kopf her entspannter.

Beste Grüße

linuxadm

(1) Ich habe Kunden mit uralter Steuertechnik für Produktionsmaschinen, wo ich z.T. keine Fileservernamen und Freigaben ändern kann, weil das hinter einem Passwortschutz liegt, und sowohl Hersteller als auch Einrichter existieren nicht mehr.
Speedy-IT
Speedy-IT 25.03.2024 um 18:45:01 Uhr
Goto Top
Hi linuxadm,

aber den CNAME alleine setzen reicht ja scheinbar nicht, siehe Links - das macht mir Sorgen.


Der bisherige Server ist alt, VMware ohne aktuelle Updates, außerdem kein Cluster.
Fällt der Server aus ist erst einmal alles weg / funktionslos.
Aktuell behelfe ich mir, die Daten (bzw. die Änderungen) mehrmals täglich in die neue VM des Clusters zu clonen, aber ist natürlich kein Dauerzustand.
Habe auch schon überlegt das NAS als Fileserver zu nehmen, wäre aber auch ohne Redundanz und von den Rechten her ist es problematisch Windows / Linux zu mischen. Ein robocopy /COPY:DATSOU funktioniert nur von Windows auf Windows. Also bei einer Wiederherstellung vom NAS müsste ich die Rechte neu setzen.


Schönen Abend
linuxadm
linuxadm 28.03.2024 um 08:01:03 Uhr
Goto Top
Hallo Speedy,

ich glaube, Du verrennst Dich da zu sehr. Einfach mal machen.

Wenn Du total unsicher bist, erstelle doch auf dem bestehenden DC ein Alias und prüfe, ob Du damit auf die Dateien zugreifen kannst (Spoiler: es funktioniert, eben getestet an einem DC mit Server 2019).

Gerade mit dem letzten von Dir angeführten Link (https://www.tech-faq.net/alias-erstellen-in-windows-server-2019/) ist das doch in Minuten erledigt.

Viele Grüße
linuxadm

PS: Abgesehen davon, den Betrieb durch Hilfsmaßnahmen wie tägliches manuelles wegsichern aufrechtzuerhalten (so ehrenhaft das auch ist), macht Dich auf Dauer kaputt. Sag Deinen Vorgesetzten klipp und klar (am besten zusätzlich schriftlich - CYA), der Fileserver hält nur noch mit Spucke und Kaugummi zusammen und fällt in den nächsten Wochen aus. Die sollten Kohle dafür locker machen oder mit einem Ausfall und verlorenen Dateien leben. Ein Handwerksbetrieb schickt seine Handwerker auch nicht mit Faustkeilen los, sondern sorgt für ordentliches Werkzeug, weil die dann viel schneller und günstiger arbeiten können - trotz Anfangsinvest.

Und wenn von deren Seite gar nichts geht, muss es auch mal Downtime geben. Ich weiß, wir IT-Leute leiden alle an einem Helfersyndrom, aber gerade als Angestellter muss man klare Grenzen ziehen.