joedevlin
Goto Top

Umwandlung DC in RODC

Hallo,

wir möchten an einer Außenstelle den DC durch einen RODC ersetzen, auf dem DC laufen zurzeit DNS und GC. Es gibt nun aus meiner Sicht zwei Vorgehensweisen:

1. Herunterstufen des aktuellen DCs -> Warten bis DC sauber entfernt wurde -> DC als RODC hochstufen
2. Installation eines weiteren Servers -> Heraufstufen zum RODC -> Herunterstufen des DCs -> RODC die IP des entfernten alten DCs geben (u.a. für DNS)

Variante 1 erscheint mir etwas weniger umständlich und so wie ich Microsoft verstehe ist dies zumindest in umgekehrter Form supported, also wenn ein RODC in einen DC umgewandelt werden soll.

Hat jemand praktische Erfahrung damit?

Viele Grüße

Content-ID: 1331866645

Url: https://administrator.de/forum/umwandlung-dc-in-rodc-1331866645.html

Ausgedruckt am: 25.12.2024 um 16:12 Uhr

NordicMike
NordicMike 01.10.2021 um 13:15:21 Uhr
Goto Top
Installation eines weiteren Servers
In Zeiten von VMs ist das kein Thema mehr. Eine VM mit DC Rolle braucht gerade mal 1.5GB RAM.

Eine VM mit einem RODC installieren, eine Weile parallel laufen lassen, bis sich alles repliziert hat und die Clients den DC kennen gelernt haben. Danach den ersten Server herabstufen damit er auf dem AD verschwindet und ausgeschaltet werden kann. Keine IPs wechseln oder sonst was im DNS machen.
JoeDevlin
JoeDevlin 01.10.2021 um 13:25:14 Uhr
Goto Top
Zitat von @NordicMike:
Keine IPs wechseln oder sonst was im DNS machen.

Ist das eine Einschränkung die sich auf RODC bezieht? Ansonsten habe ich das bei DC-Migrationen schon x-fach gemacht, damit das für die Clients transparent ist und nicht sämtliche DNS-Konfigurationen angepasst werden müssen.
NordicMike
NordicMike 05.10.2021 um 08:58:18 Uhr
Goto Top
Die Clients erhalten die richtige IP der neuen DCs automatisch, da muss nichts angepasst werden.
Man macht es halt einfach nicht, damit alles sauber bleibt. Die Clients erwarten unter ihrer IP einen bestimmten Server un d auf einmal meldet sich ein anderer Server mit einer anderen Signatur, das kann die buntesten Fehler geben, muss nicht, kann aber.
JoeDevlin
JoeDevlin 05.10.2021 um 09:18:44 Uhr
Goto Top
Zitat von @NordicMike:
Die Clients erhalten die richtige IP der neuen DCs automatisch, da muss nichts angepasst werden.

Du hast schon gelesen, dass ich von DNS rede, oder?
NordicMike
NordicMike 05.10.2021 um 09:42:00 Uhr
Goto Top
Du redest davon:

RODC die IP des entfernten alten DCs geben (u.a. für DNS)

Lass den RODC auf der IP, die ihm das erste mal zugewiesen wurde. Dieses hat sich über DNS schon an alle Domain Mitglieder automatisch repliziert. Du musst nichts mehr ändern.
JoeDevlin
JoeDevlin 05.10.2021 um 09:55:25 Uhr
Goto Top
Zitat von @NordicMike:
Lass den RODC auf der IP, die ihm das erste mal zugewiesen wurde. Dieses hat sich über DNS schon an alle Domain Mitglieder automatisch repliziert. Du musst nichts mehr ändern.

Bitte erkläre mal, wie sich die IP-Adresse des RODC an alle Domain Mitglieder repliziert...

Wenn sich etwas repliziert, dann die AD-integrierten DNS-Zonen unter den Domänencontrollern. Hier ist selbstverständlich auch ein Hosteintrag für den RODC vorhanden. nämlich mit der IP-Adresse, die dem RODC bei der Konfiguration zugewiesen wurde. Das alles hat aber nichts damit zu tun, dass alle DNS-Clients, die den DC als DNS-Server verwenden, weiterhin diesen dann nicht mehr vorhandenen DNS-Server um eine DNS-Auflösung bitten werden...
NordicMike
NordicMike 05.10.2021 um 11:19:08 Uhr
Goto Top
Du weiss es besser, dann mach wie du es meinst.
JoeDevlin
JoeDevlin 05.10.2021 um 11:26:17 Uhr
Goto Top
Zitat von @NordicMike:
Du weiss es besser, dann mach wie du es meinst.

Eine sachliche Erklärung Deines Lösungsweges würde mich aber interessieren, das würde mein Vorhaben ja um einiges erleichtern. Also bitte...
NordicMike
NordicMike 05.10.2021 um 12:09:43 Uhr
Goto Top
Sobald ein Client Kontakt mit einem Domain Controller hatte, repliziert er sich 1000 Sachen lokal zu sich, er weiss dann auch ohne DNS welche DCs für seine Domäne gültig sind, auch in der Registry finden sich viele Einträge zu den DCs. Nicht nur DCs, sondern auch andere Dienste. Man könnte dann davon ausgehen, dass er über DNS herausfindet, dass es einen DC davon nicht mehr gibt, aber irgendwie hat er ihn doch noch in seiner Duchliste.

Wenn du jetzt etwas veränderst, solte es theoretisch keine Probleme geben - wenn es sauber programmiert wurde, "wenn!". Praktisch gibt es jedoch genügend Fehler, die man sich nicht erklären kann. z.B. sucht ein Client immer noch nach dem zweiten Exchange Server, obwohl dieser sauber deinstalliert wurde.
JoeDevlin
JoeDevlin 05.10.2021 um 12:37:56 Uhr
Goto Top
Okay, dann wir lassen das mal so stehen...