Server2008 DCs hochziehen - Reihenfolge

keinnickfrei
Goto Top
Hallo zusammen,

ich habe natürlich gesucht, bin mir aber dennoch nicht sicher, wie ich am besten vorgehen soll.
In meiner neuen Firma ist immer noch eine Server2008 Domain vorhanden:

DC1 (virtuell, W2008) - IP .84
DC2 (physisch, W2008) - IP .70, IP .71
DC3 (physisch, W2008) - IP .10

Zielbild:
DC1neu (virtuell) - IP .84
DC2neu (virtuell) - IP .70

Von physischen Maschinen will ich persönlich eher weg und sie virtualisieren

Ich hab freie Hand, kann es angehen wie ich will und auch lizenztechnisch kann ich auf jede Serverversion gehen.
Die IPs .84 und .70 würde ich gerne wiederverwenden, weil es einfach an vielen Stellen manuell eingetragen ist.
Namen können (soweit ich bisher in der Umgebung gesehen habe) ganz neu sein
Wenn nicht möglich / nicht empfohlen, dann brauche ich halt länger - aber wäre auch möglich
Mit DC2 würde ich gerne anfangen, den zu demoten, löschen...
Virtuelle Server kann ich jederzeit parallel aufsetzen

Server 2016 wäre angedacht. Ich kann auch temporäre DCs machen als Zwischenschritt und auf 2019 hochziehen.

In der Domain sind immer noch Windows 7 Clients (leider....), falls das wichtig ist zu wissen (ich arbeite dran, die zu eleminieren)
Leider habe ich vom Vorgänger kaum Infos.

Was wären hier Empfehlungen und die beste Reihenfolge / Schritte?

Vielen Dank!

Content-Key: 576685

Url: https://administrator.de/contentid/576685

Ausgedruckt am: 07.08.2022 um 05:08 Uhr

Mitglied: sabines
Lösung sabines 04.06.2020 aktualisiert um 09:40:50 Uhr
Goto Top
Moin,

je nachdem welcher der beiden nicht der FSMO ist, würde ich den demoten und (wegen der IP) herunterfahren/ausschalten.
Dann neuen DC mit dieser IP installieren und wenn alles gut läuft die Rollen verschieben und ihn zum FSMO machen.
Danach analog mit dem anderen vorgehen.

Dazwischen immer warten und prüfen ob korrekt repliziert wurde. Backup (funktionierend) nicht vergessen.
Hast Du einen Exchange in diesem Aufbau?

Achja, die Zwischenschritte brauchst Du m.E. nach nicht, Du kannst direkt auf 2019 gehen.

Gruss
Mitglied: Hubert.N
Lösung Hubert.N 04.06.2020 um 09:47:53 Uhr
Goto Top
Guten Morgen

Naja... Was soll man Dir dazu schreiben. Mache halt eine Domänenmigration...

Wieso 2016 und nicht gleich 2019? Es ist möglich direkt zu migrieren. Was sichergestellt sein muss ist, dass die Umstellung auf DFSR vorher durchgeführt worden ist , da der 2019 kein FRS mehr kann. Bevor Du mit der Umstellung beginnst, prüfe, ob FRS überhaupt noch korrekt seinen Dienst tut. (was meist nicht der Fall ist...)

Die Sache mit den IP-Adressen ist dann schon fast eine Glaubensfrage. Ich persönlich finde es immer besser, wenn der neue Server auch eine neue IP-Adresse erhält. Ich finde einen sauberen Schnitt immer besser, als irgendwelches Rumgefrickel, um die alte Konfiguration noch irgendwie zu retten. Wenn man in seinem Netzwerk vorher möglichst alles zentralisiert eingerichtet hat, ist das auch kein Problem. Wenn Du viele Dinge manuell eingerichtet hast, dann wäre das jetzt auch mal der Ideale Moment, um diesen Unsinn zu beenden. Unterm Strich kommt es aber auch sicher darauf an, welche Dienste de Server angeboten hat.

DC2 (physisch, W2008) - IP .70, IP .71

das irritiert mich ein wenig. Wieso ein DC mit zwei IP-Adressen? Da liegt kein Segen drin...


Gruß
Hubert
Mitglied: em-pie
Lösung em-pie 04.06.2020 um 10:30:24 Uhr
Goto Top
Moin,

ich würde:
  • prüfen, wer die FSMO-Rollen hat
  • DC2 demoten, ein paar Stunden warten, und in die übrigen DCs ins Eventlog schauen, ob es fehler gibt
-- bis hier hast du dann immer noch zwei funktionsfähige DCs (falls einer von denen gemäß Murphy dahin segelt)
  • DC2 eine andere IP verpassen
  • DC2NEU mit der .70 versehen
  • DC2NEU promoten
  • Warten und in die Eventlogs schauen
  • DC1 demoten
  • DC1 mit einer anderen IP ausstatten
  • Eventlogs prüfen
  • DC1NEU mit der .84 versehen
  • DC1NEU promoten
  • Du ahnst es: ins Eventlog schauen
  • DC3 demoten
  • wenn alles fehlerfrei läuft, das AD-Level hochstufen, sofern es weitere Systeme (Exchange!!) erlauben.

Ich weiss gerade nur nicht mehr, an welcher Stelle das FileSystem auf DFSR aktualisiert werden muss: Vor oder nach dem ganzen de- und promoten bzw. dem Anheben des Domain-Levels.

Gruß
em-pie
Mitglied: KeinNickFrei
KeinNickFrei 04.06.2020 aktualisiert um 11:45:48 Uhr
Goto Top
Hallo zusammen,

danke schonmal für die Antworten!
Ich musste/durfte in meinem vorherigen Job das nicht selbst betreuen, darum fehlt mir da gerade die Übung und Erfahrung.
Aber man eignet sich in der IT ja vieles durch Doing an. Und hier wird das auch so gehandhabt.

Ein Exchange 2013 ist in der Umgebung vorhanden. Der Plan war, da mittelfristig auch höher zu gehen. Exchange Online ist scheinbar nicht gewünscht.
Danke für den Hinweis. OS Server2019 wäre damit ja nicht kompatibel, wie ich sehe. Das heißt, erstmal Server 2016
Ich habe da erstmal kein Problem damit. Hauptsache weg von 2008R2 und nicht mehr physikalisch

Es ist vieles im Netz / der Umgebung nicht in Ordnung. Das muss ich nach und nach angehen und ich würde mir lieber nicht zu viele Baustellen aufmachen, wenn mir noch Infos fehlen und die Kommunikation zu den Kollegen nicht so ideal läuft.

Der DC2 hat 2 IPs, weil der Vorgänger da wohl eine Netzwerkredundanz bauen wollte, das nicht fertig gemacht hat und dann waren da plötzlich 2 IPs, die beide als DNS verwendet wurden. Der nächste Kollege hat da dann weitergewerkt und weiterverwendet. No comment...

FSMO Rollen sind auf dem DC1

@em-pie
Bist du Google Mitarbeiterin? face-big-smile
Mitglied: Inf1d3l
Inf1d3l 04.06.2020 aktualisiert um 12:31:07 Uhr
Goto Top
Von 2008R2 kann man direkt auf 2019 gehen: https://argonsys.com/microsoft-cloud/library/how-to-migrate-windows-serv ...

1. 2019 DC aufsetzen
2. Rollen transferieren
3. 2008R2 entfernen

Details siehe Link.
Mitglied: Hubert.N
Lösung Hubert.N 04.06.2020 um 13:15:31 Uhr
Goto Top
Zitat von @em-pie:
Ich weiss gerade nur nicht mehr, an welcher Stelle das FileSystem auf DFSR aktualisiert werden muss: Vor oder nach dem ganzen de- und promoten bzw. dem Anheben des Domain-Levels.

Naja... Das ist ganz einfach... Wenn Domainlevel und Strukturlevel auf 2008 angehoben sind, dann kontrolliert man das eventlog und wird mit 99%iger Wahrscheinlichkeit erst einmal FRS reparieren müssen. Dazu gleich mal ein Link: NTFRS (Dateireplikationsdienst) protokolliert den Fehler 13568
Danach startet man die Umstellung auf DFSR. Da das eine kleine Weile dauert, würde ich es machen, wenn die Replikation wieder i.O. ist und die Domaincontroller noch am Start sind. Es ist im Grunde genommen egal - aber der Teufel.... und da fällt Dir gerade in dem Zeitraum der DC aus... Selbst wenn nur noch ein Controller online ist, muss sichergestellt sein, dass der alte Replikationsdienst i.O. ist. Sonst hat man hinterher deutlich mehr Probleme, denn DFRS lässt sich nicht ganz so simpel reparieren wie FRS... (gebranntes Kind sage ich nur :D)


Zitat von @KeinNickFrei:
Ein Exchange 2013 ist in der Umgebung vorhanden. Der Plan war, da mittelfristig auch höher zu gehen. Exchange Online ist scheinbar nicht gewünscht.
Danke für den Hinweis. OS Server2019 wäre damit ja nicht kompatibel, wie ich sehe. Das heißt, erstmal Server 2016

??? - den verstehe ich nicht... Du kannst Exchange 2013 nicht auf einem Server 2019 installieren. Aber das hast du doch auch nicht vor. Ein Server 2016 würde Dir da auch nicht helfen...
Einen Exchange 2019 On Premise zu installieren scheidet übrigens in der Praxis eher aus. Zumindest für kleinere Unternehmen. Lies Dir mal die Anforderungen an die Hardware durch. Da ist es ganz klar Produktpolitik von Microsoft, den Mailserver in der Cloud zu haben. Sollte das nciht gewünscht sein, so muss man eher über Alternativen wie z.B. MDaemon nachdenken

Es ist vieles im Netz / der Umgebung nicht in Ordnung. Das muss ich nach und nach angehen und ich würde mir lieber nicht zu viele Baustellen aufmachen, wenn mir noch Infos fehlen und die Kommunikation zu den Kollegen nicht so ideal läuft.

Hier mein Rat, erst einmal diese Baustellen vor der Umstellung zu beseitigen. Irgendwann musst Du es ohnehin mal in Ordnung bringen. Mache es besser, bevor Du bei der Umstellung vor die Wand fährst,

Der DC2 hat 2 IPs, weil der Vorgänger da wohl eine Netzwerkredundanz bauen wollte, das nicht fertig gemacht hat und dann waren da plötzlich 2 IPs, die beide als DNS verwendet wurden. Der nächste Kollege hat da dann weitergewerkt und weiterverwendet. No comment...

... was doch Unsinn ist. Für die Redundanz betreibt man mehrere DCs. Einen Dc mit mehren IPs zu betreiben, führt eher ins Chaos, als das es etwas nützen würde!

Gruß
Mitglied: KeinNickFrei
KeinNickFrei 04.06.2020 um 13:31:48 Uhr
Goto Top
OK, vielleicht missverständlich formuliert.
Es war geplant von meinem Vorgesetzten, den Exchange 2013 auch noch hochzuziehen (er wollte auf 2016 gehen).

Ich dachte, dass der Zwischenschritt auf Server 2016 (und 2016 AD Level) zwar nicht technisch nötig, aber organisatorisch einfacher ist. Und dann kann ich ja in ein paar Wochen / Monaten höher gehen.

Ich möchte das AD schon bald hochziehen. Das kommt auch als Arbeitsleistung an. Wenn ich irgendwo Einstellungen, IPs ändere... merkt das keiner.
Ist also eher "politisch" ambitioniert. Aber ich möchte stabil vorgehen
Auch bei den Usern kommt es besser an, wenn ich ihnen einen PC neu aufsetze, anstatt wenn ich Fehler im Netzwerk behebe und den Durchsatz erhöhe damit...

Und das nehme ich mir so mit, dass das mit den oben erklärten Schritten, unter Verwendung 2er 2016 DCs mit den beiden IPs für mich vielleicht der beste Kompromiss ist.

Ich bedanke mich nochmal für alle Meinungen face-smile
Mitglied: Hubert.N
Hubert.N 04.06.2020 aktualisiert um 13:48:41 Uhr
Goto Top
Reisende soll man ziehen lassen...

Ich dachte, dass der Zwischenschritt auf Server 2016 (und 2016 AD Level) zwar nicht technisch nötig, aber organisatorisch einfacher ist. Und dann kann ich ja in ein paar Wochen / Monaten höher gehen.

Nee. Da ist nichts einfacher dadurch. Aber wenn Du der Meinung bist, dann musst Du halt tun, was Du nicht lassen kannst face-smile
Mitglied: cykes
cykes 05.06.2020 aktualisiert um 06:52:03 Uhr
Goto Top
Moin,
Zitat von @Hubert.N:
Reisende soll man ziehen lassen...
Viel mehr ist dazu wohl nicht zu sagen face-wink Außer: Man sieht sich immer (mindestens) 2x im Leben... Es steht zu erwarten, dass er demnächst mit einem HILFE erneut auftaucht.
Zitat von @KeinNickFrei:
Ich bedanke mich nochmal für alle Meinungen
Für Dich waren die Ratschläge und Warnungen der Kollegen also nur Meinungen - interessante Sichtweise. Offenbar wolltest Du nur Deinen Plan bestätigt haben. Ich hoffe, dass Du für die Umsetzung genügend Zeit und ein funktionierendes Backup hast, das wird einige Rollbacks geben.

Gruß

cykes
Mitglied: KeinNickFrei
KeinNickFrei 05.06.2020 aktualisiert um 10:23:28 Uhr
Goto Top
Na das ist ja mal eine nette Art zu antworten. Bist du die Reinkarnation von Freud, dass du mich so analysiert hast?

Was an meinen Aussagen veranlasst dich dazu?
Nur, dass ich sage, dass ich erst auf 2016 gehe (Server, die ich schon kenne) statt gleich auf 2019 (noch nie installiert, ...) ?
Dass ich in den 4 Monaten (inkl. Corona) die ich hier bin, noch vieles im Netz nicht kenne, weil mir auch keiner was sagen kann und ich beim DCs hochziehen die IPs beibehalten will? Weil der physikalische Server weg muss ... Weil 2008 R2 eindeutig weg muss, was ich ja wohl alles nicht erklären muss.

Finde es schon sehr frech, das so zu schreiben. Aber das ist im Netz wohl heutzutage so.

Ob ich nun "Meinungen", "Antworten" oder "Ratschläge" schreibe ist für mich dasselbe. Nur der Tod ist im Leben sicher, sonst NICHTS
Mitglied: Hubert.N
Hubert.N 06.06.2020 um 20:02:33 Uhr
Goto Top
Vielleicht solltest Du dir mal den Server 2019 einfach mal ansehen? Wenn Du der Meinung bist, Du würdest Dich mit Server 2016 auskennen, dann sehe ich erst recht keinen Grund, weshalb Du jetzt erst einmal auf Server 2016 setzt, wenn Du doch schon die Lizenz für 2019 besitzt.
In der Hinsicht scheinst Du aber eben ein wenig beratungsresistent zu sein... (und dann kommen eben solche ungeliebten Posts zustande...)
Mitglied: KeinNickFrei
KeinNickFrei 06.06.2020 aktualisiert um 22:26:52 Uhr
Goto Top
Mein Vorgesetzter wollte Server 2016. 2019 muss ich ihn erst überreden, fürchte ich. Und er gibt keine Infos, schreibt auch nicht zurück... Einschulung war nur flüchtig... Ist schwierig. Er wird es nicht mögen, wenn ich alles anders mache. Resultate scheinen aber grundsätzlich zu ziehen. Das mit DFSR scheint auch eine zusätzliche Hürde zu sein.

Wie geschrieben, ich nehme die Hinweise / Meinungen / Ratschläge ... ernst! Ich frage nicht, weil ich es eh besser weiß, sondern weil ich dazu lernen will.
Und schau, wie ich es am besten umsetzen kann. Und da ich es selbst machen muss/werde und auf meine Weise grundsätzlich sehr gute Erfahrunge habe (IT-Allrounder), bin ich da zuversichtlich.
Werde mir auf alle Fälle noch viele Beiträge ansehen und auch die Umgebung. Eventlogs werden natürlich geprüft...

Aber der Lehrling hat da schon auf einem Memberserver die AD-Rolle installiert nur um ein Script zu basteln, der Vorgesetzte eben 2 IPs auf dem DC2... Von daher ist hier schon so viel gebastelt worden...
Eine AD Migration / es gleich neu aufzuziehen ist eben eine Möglichkeit. Danke für deinen, Hubert.N, Vorschlag

Ps.: Ich habe schon manche Threads hier auf administrator.de gelesen und finde, dass oft "böse Stimmung" herrscht. Ich mag es, wenn man neutral und höflich bleiben kann. Es ist kostenlos, man darf nichts erwarten - als Fragesteller gehört es sich, sich zu bedanken und jeder der kommentiert, soll zumindest nicht herumtrollen.

Danke nochmal an die konstruktiven Inputs!
Mitglied: cykes
cykes 06.06.2020 um 23:29:57 Uhr
Goto Top
Dann will ich zumindest nochmal hierzu etwas antworten:
Zitat von @KeinNickFrei:
Na das ist ja mal eine nette Art zu antworten. Bist du die Reinkarnation von Freud, dass du mich so analysiert hast?

Was an meinen Aussagen veranlasst dich dazu?
Lies Dir Deine letzten Aussagen vor meiner Antwort nochmal durch und die Reaktion von Hubert.N darauf. Versetze Dich dabei mal in die Position der Ratgebenden hier, die Deine Gedankengänge im Hintergrund nicht wissen und nur diese Aussage lesen.
Nur, dass ich sage, dass ich erst auf 2016 gehe (Server, die ich schon kenne) statt gleich auf 2019 (noch nie installiert, ...) ?
Dass ich in den 4 Monaten (inkl. Corona) die ich hier bin, noch vieles im Netz nicht kenne, weil mir auch keiner was sagen kann und ich beim DCs hochziehen die IPs beibehalten will? Weil der physikalische Server weg muss ... Weil 2008 R2 eindeutig weg muss, was ich ja wohl alles nicht erklären muss.
Es kam halt so rüber, als würdest Du alle Warnungen überlesen haben oder gar ignorieren. Außerdem erschien es so, als wärst Du Dir des Aufwands für eine Reparatur von FRS nicht so ganz bewusst, vermutlich weil Du das noch nie gemacht hast.
Von den ganzen anderen Basteleien in der aktuellen Struktur ganz zu schweigen. Das kann man nicht mal so eben in der Mittagspause migrieren. Bei allem was Du über die aktuelle Struktur beschreibst, brauchst Du erstmal, bevor Du loslegst, einen kompletten Überblick über die Baustellen, ansonsten wird Dir das nicht nur einmal um die Ohren fliegen. Basteleien zurückzubauen kann unendlich lang dauern, vorher wird die Migration nicht sauber durchlaufen, das muss man noch nicht mal gleich und sofort merken, manche Fehler treten erst nach Stunden/Tagen/Wochen auf, wenn das dann nicht gleich auffällt, läufst Du ins offene Messer.
Finde es schon sehr frech, das so zu schreiben. Aber das ist im Netz wohl heutzutage so.
Das hast Du falsch interpretiert, es ist aber auch leider im Netz so, dass viele an Produktivsystemen herumbasteln, ohne die Konsequenzen zu kennen, wenn etwas (massiv) schiefläuft. Und nachher kannst Du Dich sicher nicht darauf berufen, dass der Azubi oder gar der Chef dies und das im Vorfeld falsch gemacht haben - genau deswegen hast Du freie (oder doch nicht ganz so freie?) Hand bekommen - Du bist letzlich verantwortlich.
Ob ich nun "Meinungen", "Antworten" oder "Ratschläge" schreibe ist für mich dasselbe. Nur der Tod ist im Leben sicher, sonst NICHTS
Für Dich vielleicht, geschrieben hast Du aber "Meinungen" und nur das kam oben 'rüber.

Gruß

cykes
Mitglied: KeinNickFrei
KeinNickFrei 21.04.2021 aktualisiert um 18:31:06 Uhr
Goto Top
Hallo zusammen,
ich wollte noch hinzufügen, wie es weitergegangen ist. Der Vollständigkeit halber.
Durch die Kurzarbeit hatte sich das leider dennoch verzögert. Dann kam auch ein ERP Projekt.

Letztendlich konnte ich in den letzten Monaten weitermachen.
DC3 war leider schon sehr marode und konnte nicht sauber entfernt werden. Ich habe diesen abgeschaltet und manuell aus der Domäne entfernt. Diese Schritte wurden unternommen: https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-manu ...
Metadaten mussten keine aufgeräumt werden, jedoch sehr wohl DNS Einträge

Da gewünscht war, dass ein physikalischer DC vorhanden ist, wurde kurzerhand ein neuer DC (mit neuem Namen und neuer IP) mit Server 2016 hinzugefügt.
Dann wurde DC2 sauber entfernt.
Dann ein neuer DC2neu (server 2016) mit IP .70 installiert.

Nach einiger Zeit abwarten (und dcdiag Kontrollen) gab es keine Probleme. Der temporäre DC wurde auch wieder entfernt.

Aktueller Status:
Dc1 (Server 2008 R2, virtuell), IP .84
DC2 (Server 2016, virtuell), IP .70

Jetzt noch schauen, ob auf DC1 irgendwelche Altlasten nötig sind.
Dann wird DC1 durch einen neuen, virtuellen Server 2016 mit gleicher IP ersetzt.

Es gab (abgesehen von der Notwendigkeit, den DC3 manuell zu entfernen) nie ein relevantes Problem oder irgendwelche Meldungen "dass was nicht mehr ginge"

Wieso nicht Server 2019? Weil Exchange 2013 vorhanden ist.