informatikkfm
Goto Top

Tausch Domain-Controller mit Beibehaltung der IP-Adresse

Hallo,

ich habe mehrere Domänen-Controller. Ein Domänen-Controller läuft noch unter Server 2008 R2,
dieser soll abgeschaltet werden. Ich möchte allerdings die IP-Adresse beibehalten, da von vielen Netzwerkkomponenten als Zeitserver benutzt.

Meine Vorgehensweise wäre:

- Änderung IP-Adresse alter Domain-Controller
- Replikation abwarten
- Änderung IP-Adresse neuer Domain-Controller zur alten/vorhandenen IP-Adresse
- Replikation abwarten
- Abschaltung des alten Domain-Controllers

Wäre dies soweit OK?

Content-ID: 622965

Url: https://administrator.de/contentid/622965

Ausgedruckt am: 13.11.2024 um 08:11 Uhr

maretz
maretz 16.11.2020 um 10:14:19 Uhr
Goto Top
Was mir spontan einfällt:
Vorm abschalten des alten den auch sauber aus der domain entfernen

Ich würde ausserdem noch mal überlegen ggf. im DNS-Server nen Record für den NTP anzulegen und die Geräte die ne IP drin stehen haben auf diesen Record legen... Dann hast du das Problem nich mehr... Generell is es ja schon unschön das sowas auf ner festen IP liegen muss und deshalb der DC die IP bekommen MUSS
Tezzla
Tezzla 16.11.2020 um 10:57:19 Uhr
Goto Top
Moin,

wenn ich das richtig verstehe, möchtest du den alten DC vom Netz nehmen und IP-technisch einen zweiten DC an die Stelle des alten ersten DCs schieben?
Mach doch einfach ein Upgrade des alten DCs und schmeiß den anderen raus.

VG
Der-Phil
Der-Phil 16.11.2020 um 11:04:43 Uhr
Goto Top
Hallo!

Von In-Place-Upgrades von Domain-Controllern kann ich nur DRINGEND abraten.

Ich habe das Gleiche vor ein paar Wochen mal wieder gemacht. Das Ganze läuft gut, wenn Du Dir Zeit lässt.

- DC-alt herunterstufen
- 10 min warten
- DC-alt umbenennen
- 10 min warten
- DC-alt auf andere IP
- 10 min warten
- DC-neu mit passender IP als Member-Server
- 10 min warten
- DC-neu hochstufen


--> Nie Hektik
--> Keine Schritte überspringen
--> Gib dem AD Zeit.
Doskias
Doskias 16.11.2020 um 11:06:25 Uhr
Goto Top
Moin,

Zitat von @informatikkfm:
Ich möchte allerdings die IP-Adresse beibehalten, da von vielen Netzwerkkomponenten als Zeitserver benutzt.

In meiner Systemhauszeit haben wir immer die Firewall als primären NTP im Netz betrieben. Firewall fragt Internet, DC fragt Firewall, alle Clients/Server fragen DC (weil der NTP Server ohnehin im DHCP mitgegeben wird). Netzwerkkomponenten außerhalb der Domäne fragen die Firewall.

Dann hast du zwar immernoch eine IP an der der NTP hängt, allerdings ist bei der Firewall erfahrungsgemäß der IP-Wechsel so gut wie ausgeschlossen. Selbst wenn sich die Firewall wechselt, bekommt die Firewall meist die gleiche IP wie die vorherige.
informatikkfm
informatikkfm 16.11.2020 um 11:20:10 Uhr
Goto Top
Die Konstellation mit dem Zeitserver ist nicht schön, das ist mir bewusst.
Es ging jetzt aber primär erstmal um die Frage, ob sich der Tausch der IP-Adressen lösen lässt, so wie ich es oben beschrieben habe?

Nach dem Tausch der IP-Adressen wurde ich den alten Domain-Controller ein paar Tage später herunterstufen und aus dem Netz nehmen.
wiesi200
wiesi200 16.11.2020 um 11:45:30 Uhr
Goto Top
Hallo,

wenn du eh mehrere DC's hast.
1. Den alten DC sauber entfernen.
2. Neuen Server installieren mit der richtigen IP
3. Neuen Server der bereits die richtige IP hat als DC hinzufügen.
LauneBaer
LauneBaer 16.11.2020 um 11:47:47 Uhr
Goto Top
Zitat von @wiesi200:

Hallo,

wenn du eh mehrere DC's hast.
1. Den alten DC sauber entfernen.
2. Neuen Server installieren mit der richtigen IP
3. Neuen Server der bereits die richtige IP hat als DC hinzufügen.

Und vorher mal schauen wer die FSMO Rollen hat face-smile
informatikkfm
informatikkfm 16.11.2020 um 11:55:37 Uhr
Goto Top
Der neue DC ist bereits schon installiert und trägt auch schon die FSMO-Rollen.
Bleibt eigentlich nur der Tausch der IP über.
wiesi200
wiesi200 16.11.2020 um 12:03:24 Uhr
Goto Top
Zitat von @informatikkfm:

Der neue DC ist bereits schon installiert und trägt auch schon die FSMO-Rollen.
Bleibt eigentlich nur der Tausch der IP über.

Mann kann sich das Leben natürlich auch schwer machen.
Tipp: beim nächsten mal erst planen dann machen.
Doskias
Doskias 16.11.2020 um 12:14:56 Uhr
Goto Top
Zitat von @informatikkfm:

Bleibt eigentlich nur der Tausch der IP über.

Nee. Du schreibst doch selbst, dass du mehrere DCs hast.

1. Verschieb die FSMO-Rollen auf einen der bleibt.
2. alten DC entfernen
3. Neuen mit richtiger IP installieren
4. den neuen als DC hinzufügen
5. FSMO Rollen wieder zurück

Ja, es ist n bisschen mehr Aufwand. Aber mal im Ernst: Ein DC hinzufügen ist schnell gemacht und es ist sauberer als dein IP-Gefrickel
SeaStorm
SeaStorm 16.11.2020 aktualisiert um 12:49:42 Uhr
Goto Top
Zitat von @informatikkfm:

Hallo,
Hi
Meine Vorgehensweise wäre:

- Änderung IP-Adresse alter Domain-Controller
- Replikation abwarten
- Änderung IP-Adresse neuer Domain-Controller zur alten/vorhandenen IP-Adresse
- Replikation abwarten
- Abschaltung des alten Domain-Controllers

Ich würde
alten DC demoten
neuen Server installieren, selbe IP geben
Zu DC Promoten
ggf DHCP(Lastausgleich\Redundanzeinstellung) und andere Dienste nachziehen
Fertig

Habe ich so mit allen unseren DCs gemacht beim Upgrade von 2008 auf 2012
yumper
yumper 16.11.2020 um 13:44:50 Uhr
Goto Top
Zitat von @Der-Phil:

Hallo!

Von In-Place-Upgrades von Domain-Controllern kann ich nur DRINGEND abraten.

Ich habe das Gleiche vor ein paar Wochen mal wieder gemacht. Das Ganze läuft gut, wenn Du Dir Zeit lässt.

- DC-alt herunterstufen
- 10 min warten
- DC-alt umbenennen
- 10 min warten
- DC-alt auf andere IP
- 10 min warten
- DC-neu mit passender IP als Member-Server
- 10 min warten
- DC-neu hochstufen


--> Nie Hektik
--> Keine Schritte überspringen
--> Gib dem AD Zeit.

Hallo


DCs kann nicht umbenennen - Das führt nur zu Fehlern/Chaos im AD.
IP Adresse ändern ist kein Problem da dabei der DNS den Namen des DC nur mit einer anderen IP Adresse auflöst. Es finden keinerlei Änderungen im AD statt.

So long

Yumper
Doskias
Doskias 16.11.2020 um 13:57:13 Uhr
Goto Top
Er nennt den DC ja auch nicht um. Herunterstufen, umbenennen, hochstufen geht.
117471
117471 16.11.2020 um 15:51:00 Uhr
Goto Top
Hallo,

...und wenn die Geräte den DC über den Hostnamen fragen? face-smile

Ich würde das ernsthaft als Anlass nehmen, eine Liste der Geräte zu generieren, die den DC als Zeitserver nutzen und diese peu à peu umzukonfigurieren.

Vielleicht bin ich da etwas konservativ, aber für mich ist ein DC ein DC - DNS und DHCP ist da für mich bereits der Maximalkompromiss face-smile

AFAIK kann man NTP-Server übrigens auch via DHCP verteilen.

Gruß,
Jörg
Doskias
Doskias 16.11.2020 um 16:17:11 Uhr
Goto Top
Zitat von @117471:
Vielleicht bin ich da etwas konservativ, aber für mich ist ein DC ein DC - DNS und DHCP ist da für mich bereits der Maximalkompromiss face-smile
Nein nicht konservativ. Eher pflichtbewußt und ordentlich ;)

AFAIK kann man NTP-Server übrigens auch via DHCP verteilen.
kann man. Aber nur an Netzwerkkomponenten die eine DHCP-Adresse bekommen. Da sind dann oft die Drucker, Switch und andere Server raus, weil die häufig eben eine feste IP-Adresse eingetragen bekommen und keine via DHCP zugewiesen.
SeaStorm
SeaStorm 16.11.2020 um 16:49:14 Uhr
Goto Top
NTP gehört IMHO aber schon zu einem DC dazu, weil die Clients sich das ja auch von der Domäne und damit von deren nächsten DC holen.
Wenn man dann den Geräten wie Druckern etc (sofern DNS Namen möglich sind) die domäne einträgt hat man da auch nie Probleme, wenn sich mal ein NTP Server ändern sollte oder warum auch immer nicht erreichbar ist.
aqui
aqui 16.11.2020 aktualisiert um 17:29:35 Uhr
Goto Top
die Firewall als primären NTP im Netz betrieben.
Ist man aber immer abhängig vom Internet ! Mit einem kleinen Raspberry Pi und einer billigen USB oder BT GPS Maus oder DCF77 Empfänger ist man vollkommen autark und hat immer die Atomzeit im lokalen LAN ganz ohne Internet. face-wink
Netzwerk Management Server mit Raspberry Pi
117471
117471 16.11.2020 um 18:33:48 Uhr
Goto Top
Hallo,

Zitat von @aqui:

Ist man aber immer abhängig vom Internet

Na und? Primär ist die unternehmensweite Synchronität wichtig.

Wenn mal 1 Woche das Internet ausfällt, tut das sicher weh. Aber nicht an der Stelle. Zur Not geht halt mal eine Sekunde alles gleichmäßig nach face-smile

Gruß,
Jörg
Ad39min
Ad39min 16.11.2020 um 19:11:48 Uhr
Goto Top
Für die Frage wo der NTP laufen soll gibt es sicher nicht "die" Antwort.

Früher habe ich das gerne auf den DNS-Servern mitlaufen lassen.
Mittlerweile mache ich es mir einfacher und gebe im internen Netz als NTP-Server immer den FQDN der AD-Domäne an.

Alex
LeeX01
LeeX01 16.11.2020 um 21:55:55 Uhr
Goto Top
Servus,

alten runter stufen und abschalten, beim neuen die IP auf die des alten Servers ändern, fertig, weiter gehts. ggf. cnames setzen und dran denken dass die Zertifikate passen müssen. Dann filtern wer noch nach den alten Namen auflöst und die Geräte ändern.

Grüße
jsysde
jsysde 17.11.2020 um 21:06:22 Uhr
Goto Top
N'Abend.

Zitat von @yumper:
DCs kann nicht umbenennen - Das führt nur zu Fehlern/Chaos im AD.
Quark. Das klappt tadellos - wenn man weiß, was man tut und wie man es zu tun hat.

IP Adresse ändern ist kein Problem da dabei der DNS den Namen des DC nur mit einer anderen IP Adresse auflöst. Es finden keinerlei Änderungen im AD statt.
Nochmal Quark. Die DNS-Auflösung muss auch erst mal wieder klappen, nachdem man die IP-Adresse geändert hat. Bei nur einem Subnetz kein Problem, in größeren Umgebungen über mehrere Standorte hinweg hingegen schon.

Cheers,
jsysde