Virtueller DC Windows 2003 klonen
Hallo,
ich soll für eine Fachabteilung in unserer Firma einen Applikationsserver - Windows 2003 vmware virtuell - klonen. Das ist natürlich erstmal kein Problem. Leider hat aber mein Vorgänger den Server als zusätzlichen Domänen-Controller installiert. Ich möchte den Clone aber nur als Memberserver - oder aber am Besten garnicht in der Domäne - haben.
Meine Befürchtung ist nun, wenn ich den Clone aus der Domäne herausmnehme, wird auch der Originalserver entfernt da er ja wahrscheinlich die gleiche SID hat.
Wie sollte ich vorgehen, wenn ich kein Risiko eingehen möchte.
Ich habe schon an sysprep gedacht, habe das aber noch nie mit einem DC ausprobliert. Vielleicht gibt es ja auch noch eine einfachere Lösung?
ich soll für eine Fachabteilung in unserer Firma einen Applikationsserver - Windows 2003 vmware virtuell - klonen. Das ist natürlich erstmal kein Problem. Leider hat aber mein Vorgänger den Server als zusätzlichen Domänen-Controller installiert. Ich möchte den Clone aber nur als Memberserver - oder aber am Besten garnicht in der Domäne - haben.
Meine Befürchtung ist nun, wenn ich den Clone aus der Domäne herausmnehme, wird auch der Originalserver entfernt da er ja wahrscheinlich die gleiche SID hat.
Wie sollte ich vorgehen, wenn ich kein Risiko eingehen möchte.
Ich habe schon an sysprep gedacht, habe das aber noch nie mit einem DC ausprobliert. Vielleicht gibt es ja auch noch eine einfachere Lösung?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 254995
Url: https://administrator.de/forum/virtueller-dc-windows-2003-klonen-254995.html
Ausgedruckt am: 29.04.2025 um 20:04 Uhr
16 Kommentare
Neuester Kommentar
Hi,
was ist da an Software drauf? Eine Neuinstallation dauert ja nicht lange. Wenns nicht all zu viel ist, wäre das ggf. eine Option.
Ansonsten würde ich Ihn Clonen und isloiert starteten - andere Netzwerkverbindung. Oder die lahmlegen. Zum demoten gibt es ja Anleitungen. Sollte es Probleme geben, hat MS noch einen Plan: http://blogs.technet.com/b/asiasupp/archive/2006/09/06/454327.aspx
Würde versuchen nur das Netz beim Starten zu wechseln. Neuer NIC kann wegen DNS etc. Probleme machen.
Es kostet jetzt nur Zeit. Du kannst es ja so oft versuchen wie Du magst. Durch die strikte Trennung kommt sich nix in die Quere.
Neue SSID solltest Du natürlich im Anschluß vergeben. Wenn dann alles sauber durchgelaufen ist, kannst Du Netzwerk wieder umswitchen. Sollten sich aber eh schon Fehler oder zu viele Altlasten eingeschlichen haben, wäre ggf. auch eine Neuinstalation ein Option.
mfg Crusher
was ist da an Software drauf? Eine Neuinstallation dauert ja nicht lange. Wenns nicht all zu viel ist, wäre das ggf. eine Option.
Ansonsten würde ich Ihn Clonen und isloiert starteten - andere Netzwerkverbindung. Oder die lahmlegen. Zum demoten gibt es ja Anleitungen. Sollte es Probleme geben, hat MS noch einen Plan: http://blogs.technet.com/b/asiasupp/archive/2006/09/06/454327.aspx
Würde versuchen nur das Netz beim Starten zu wechseln. Neuer NIC kann wegen DNS etc. Probleme machen.
Es kostet jetzt nur Zeit. Du kannst es ja so oft versuchen wie Du magst. Durch die strikte Trennung kommt sich nix in die Quere.
Neue SSID solltest Du natürlich im Anschluß vergeben. Wenn dann alles sauber durchgelaufen ist, kannst Du Netzwerk wieder umswitchen. Sollten sich aber eh schon Fehler oder zu viele Altlasten eingeschlichen haben, wäre ggf. auch eine Neuinstalation ein Option.
mfg Crusher
Hallo Crusher79,
ich kann den Server nicht neu installieren, die Firma die die Software hergestellt hat gibt es nicht mehr und somit auch keinen Support etc. Das ist ja auch eigentlich der Hintergrund, warum das Testsystem angelegt werden soll. Natürlich muss ich den Rechner erstmal ohne Netzwerk starten, damit der sich schon mal gar nicht im AD registrieren kann.
Dann würde ich ihm offline eine temporäre IP aus einem noch nicht existenten ungeroutetem Subnetz verpassen.
Das ist so weit klar.
Meine Frage ist was passiert, wenn ich den DC demote ohne das er eine Verbindung zum AD hat? Man könnte das natürlich auch einfach ausprobieren, aber ich mache mir Sorgen, dass wenn ich dem Server nach dem demoten eine IP aus meinem Büronetz verpasse im Nachgang, nämlich dann wenn er das AD findet noch irgendwelche Operationen im AD durchführt und mir das Prod-System zerschiesst.
Das wäre der Supergau. Natürlich kann man immer alles wieder reparieren. Aber da das System ohne Supoort ohnehin schon kritisch ist, fürchte ich merkwürdige Seiteneffekte die ich dann nicht mehr in den Griff bekomme. Da habe ich schon zu viele Pferde vor der Apotheke sich entleeren sehen.
Was spricht den gegen Sysprep? Ich finde die Idee eigentlich gut. Ich habe da bei der Umstellung auf Win 7 nur gute Erfahrungen gemacht.
Bin mir nur nicht sicher, was Sysprep aus dem DC mach
Ich meine natürlich sysprep /generalize
ich kann den Server nicht neu installieren, die Firma die die Software hergestellt hat gibt es nicht mehr und somit auch keinen Support etc. Das ist ja auch eigentlich der Hintergrund, warum das Testsystem angelegt werden soll. Natürlich muss ich den Rechner erstmal ohne Netzwerk starten, damit der sich schon mal gar nicht im AD registrieren kann.
Dann würde ich ihm offline eine temporäre IP aus einem noch nicht existenten ungeroutetem Subnetz verpassen.
Das ist so weit klar.
Meine Frage ist was passiert, wenn ich den DC demote ohne das er eine Verbindung zum AD hat? Man könnte das natürlich auch einfach ausprobieren, aber ich mache mir Sorgen, dass wenn ich dem Server nach dem demoten eine IP aus meinem Büronetz verpasse im Nachgang, nämlich dann wenn er das AD findet noch irgendwelche Operationen im AD durchführt und mir das Prod-System zerschiesst.
Das wäre der Supergau. Natürlich kann man immer alles wieder reparieren. Aber da das System ohne Supoort ohnehin schon kritisch ist, fürchte ich merkwürdige Seiteneffekte die ich dann nicht mehr in den Griff bekomme. Da habe ich schon zu viele Pferde vor der Apotheke sich entleeren sehen.
Was spricht den gegen Sysprep? Ich finde die Idee eigentlich gut. Ich habe da bei der Umstellung auf Win 7 nur gute Erfahrungen gemacht.
Bin mir nur nicht sicher, was Sysprep aus dem DC mach
Ich meine natürlich sysprep /generalize
Moin Thomas,
die Seite habe ich schon gelesen. Es geht um Windows 2008, das ist aber wohl ähnlich.
So 100%ig verstehe ich die Aussage nicht:
Soll das heißen, dass von Sysprep nicht unterstützte Serverrollen entfernt werden und nach dem Mini-Setup neu eingerichtet werden müssen?
Dann wäre ja alles in Butter.
die Seite habe ich schon gelesen. Es geht um Windows 2008, das ist aber wohl ähnlich.
So 100%ig verstehe ich die Aussage nicht:
For the Server Roles that do not support Sysprep, you must enable the server role and configure the role settings after imaging and deployment.
The following table shows the list of server roles and whether or not the roles support Sysprep.
The following table shows the list of server roles and whether or not the roles support Sysprep.
Soll das heißen, dass von Sysprep nicht unterstützte Serverrollen entfernt werden und nach dem Mini-Setup neu eingerichtet werden müssen?
Dann wäre ja alles in Butter.
So würde ich das verstehen. Demoten --> Klonen --> den Quellserver wieder promoten, den Klon sysprepen. Das alles aber ohne Gewähr 
.
LG, Thomas
.LG, Thomas
Hm, aber muss man dann beim DC nciht komplett alle in die wieder neu erstelle Domäne bringen? Auch wenn der Name, Hostname, IP gleich ist, werden die Clients die neue, alte Domäne nicht finden oder?
Wenn wir dat ding clonen und dann den demote forcen. Dann noch eine SSID. Es gibt dcoh keinen Bezug mehr zur Domäne.
Wenn überhaupt DC sichern, isolieren. demoten clonen. Original wegschmeissen und zurück sichern.... Wäre nur aufwendiger. Domän neu aufzubauen ist denke ichi mal die schlechtere Wahl.
Wenn wir dat ding clonen und dann den demote forcen. Dann noch eine SSID. Es gibt dcoh keinen Bezug mehr zur Domäne.
Wenn überhaupt DC sichern, isolieren. demoten clonen. Original wegschmeissen und zurück sichern.... Wäre nur aufwendiger. Domän neu aufzubauen ist denke ichi mal die schlechtere Wahl.
Hmmh,
mal abgesehen von Deinem etwas eigenwiligen Schreibstil --> der Quellserver ist nicht der einzige DC in der Domäne und hält vermutlich auch nicht die FSMO, zumindest habe ich das so gelesen?
LG, Thomas
mal abgesehen von Deinem etwas eigenwiligen Schreibstil --> der Quellserver ist nicht der einzige DC in der Domäne und hält vermutlich auch nicht die FSMO, zumindest habe ich das so gelesen?
LG, Thomas
Japs. Hab das mit dem zusätzlichen DC überlesen. Dann passt es natürlich so.
Zitat von @Bl0ckS1z3:
installiert. Ich möchte den Clone aber nur als Memberserver - oder aber am Besten garnicht in der Domäne - haben.
Meine Befürchtung ist nun, wenn ich den Clone aus der Domäne herausmnehme, wird auch der Originalserver entfernt da er
ja wahrscheinlich die gleiche SID hat.
installiert. Ich möchte den Clone aber nur als Memberserver - oder aber am Besten garnicht in der Domäne - haben.
Meine Befürchtung ist nun, wenn ich den Clone aus der Domäne herausmnehme, wird auch der Originalserver entfernt da er
ja wahrscheinlich die gleiche SID hat.
Moin,
Ich würde das ganz pragmatisch lösen:
- Kopie des Images machen.
- kopie in einer Isolierten(!) VM ohne Nertzwerkzugang starten.
- Aus Domain werfen. Ggf. mußt Du die die isolierte Kiste FSMO-Rollen vorher übernehmen lassen.
- Umbenennen
- Aus der Isolatin befreien.
wichtig: Solage die Kiste noch der Meinugn ist, sie wäre ein DC darf sie keinen Kontakt zum produktivnetz bekommen!
lks
1
So ich habe einfach mal angefangen, es kann ja nix passieren, so lange das Netzwerk nicht verbunden ist. Ich habe den NIC in der vm auf "nicht verbunden" gestellt, den Clone gestartet und schon mal die IP verändert.
Die Sache ist gar nicht so einfach wie ich eigentlich dachte.
1. sysprep
Sysprep funktioniert nicht auf dem DC. Obwohl ich die passende Version (2.0) extra noch mal heruntergeladen habe, meldet mir sysprep, dass die Programmversion nicht mit dem Betriebsystem kompatibel ist.
Google sagt das liegt daran, dass es sich um einen DC handelt.
1. dcpromo
Ich kann die isolierte Kiste nicht herunterstufen/aus der Domäne nehmen, Wenn ich sage es gibt noch andere Domänen-Controller, bricht das Programm ab und meldet es kann keine anderen DC finden.
Wenn ich sage es ist der letzte DC in der Domäne, dann meldet dcpromo es "Dieser DC ist nicht der letzte in der Domäne".
Im Moment drehe ich mich im Kreis.
Die Sache ist gar nicht so einfach wie ich eigentlich dachte.
1. sysprep
Sysprep funktioniert nicht auf dem DC. Obwohl ich die passende Version (2.0) extra noch mal heruntergeladen habe, meldet mir sysprep, dass die Programmversion nicht mit dem Betriebsystem kompatibel ist.
Google sagt das liegt daran, dass es sich um einen DC handelt.
1. dcpromo
Ich kann die isolierte Kiste nicht herunterstufen/aus der Domäne nehmen, Wenn ich sage es gibt noch andere Domänen-Controller, bricht das Programm ab und meldet es kann keine anderen DC finden.
Wenn ich sage es ist der letzte DC in der Domäne, dann meldet dcpromo es "Dieser DC ist nicht der letzte in der Domäne".
Im Moment drehe ich mich im Kreis.
Zitat von @Bl0ckS1z3:
1. dcpromo
Ich kann die isolierte Kiste nicht herunterstufen/aus der Domäne nehmen, Wenn ich sage es gibt noch andere
Domänen-Controller, bricht das Programm ab und meldet es kann keine anderen DC finden.
Wenn ich sage es ist der letzte DC in der Domäne, dann meldet dcpromo es "Dieser DC ist nicht der letzte in der
Domäne".
1. dcpromo
Ich kann die isolierte Kiste nicht herunterstufen/aus der Domäne nehmen, Wenn ich sage es gibt noch andere
Domänen-Controller, bricht das Programm ab und meldet es kann keine anderen DC finden.
Wenn ich sage es ist der letzte DC in der Domäne, dann meldet dcpromo es "Dieser DC ist nicht der letzte in der
Domäne".
- FSMO-Rollen übernehmen
- Alle andere DC aus der "lokalen" DB rauswerfen.
- mit dcpromo den "letzten" DC killen.
lks
1
It's so dirty . Deswegen hatte ich eigentlich empfohlen, den produktiven Server passager vor dem Klonen zu demoten ... aber auf Laien wird ja nie gehört.
LG, Thomas
. Deswegen hatte ich eigentlich empfohlen, den produktiven Server passager vor dem Klonen zu demoten ... aber auf Laien wird ja nie gehört.LG, Thomas
1
Genau so hat es funktioniert.
Manche Rollen musste ich mit ntdsutil übertragen, die gingen über die UI nicht, da ja die anderen DC nicht erreichbar waren. ntdsutil hat es aber dann getan.
Dann bin ich in die Domänen Standorte und Dienste und habe die anderen DC herausgenommen (mit der Option dauerhaft offline...).
Danach konnte ich die Test-VM als letzten DC herabstufen.
Jetzt ist der Server erst einmal in der Arbeitsgruppe - so wie ich es wollte. Heute Abend gebe ich der Kiste mal wieder eine "gültige" IP um zu sehen, ob die Dienste für die Applikation noch alle laufen.
Vielen Dank!
Manche Rollen musste ich mit ntdsutil übertragen, die gingen über die UI nicht, da ja die anderen DC nicht erreichbar waren. ntdsutil hat es aber dann getan.
Dann bin ich in die Domänen Standorte und Dienste und habe die anderen DC herausgenommen (mit der Option dauerhaft offline...).
Danach konnte ich die Test-VM als letzten DC herabstufen.
Jetzt ist der Server erst einmal in der Arbeitsgruppe - so wie ich es wollte. Heute Abend gebe ich der Kiste mal wieder eine "gültige" IP um zu sehen, ob die Dienste für die Applikation noch alle laufen.
Vielen Dank!
@thomas
Das ist keine gute Idee, ich kann mir auf dem Prod-Server keine Ausfallzeit leisten. In der Test-VM kann ich mich austoben wie ich will. Wenn was nicht geht, dann wird halt noch ein Klon erstellt.
Lochkartenstanzers Lösung ist natürlich dirty, ich würde auch niemals ein Produktivsystem so vergewaltigen. Aber im Endeffekt funktioniert es so und alle sind happy!
Das ist keine gute Idee, ich kann mir auf dem Prod-Server keine Ausfallzeit leisten. In der Test-VM kann ich mich austoben wie ich will. Wenn was nicht geht, dann wird halt noch ein Klon erstellt.
Lochkartenstanzers Lösung ist natürlich dirty, ich würde auch niemals ein Produktivsystem so vergewaltigen. Aber im Endeffekt funktioniert es so und alle sind happy!
Als Arzt müßtest Du doch die Holzhammermethode kennen. Oder lernt man das heutzutage nicht mehr.
lsk
Narürlich lernt man das. Und exekutiert es auch. Aber hinter verschlossenen Türen und ohne darüber in Foren zu reüssieren ...
LG, Thomas
LG, Thomas
