20
Zweiten Domaincontroller installieren
Die Handhabung der FSMO Rollen ist nicht klar...
Hallo Ihr Lieben,
momentanes Szenario:
30 Clients Win2k, 40 Clients XP Pro, 30 Vista Ultimate
1 Win 2k3 Server Standard (DC, DNS, Druck, File, WINS)
ich habe die Möglichkeit und vorallem nun nach 2 Jahren endlich die Mittel einen zweiten DC in unser bestehendes Netz einzubinden.
Ich möchte diesen gern als BackupDC nutzen. Nun habe ich allerdings auch hier im Forum gelesen, dass es eigentlich seit Server 2003 keinen "wirklichen" Backup DC mehr gibt. (Warum?) Und das bereitet mir Probleme beim Verständins.
Also ich möchte, das der zweite DC (ich habe im Übrigen die Möglichkeit dort Windows 2003 Standard R2 oder 2008 Standard zu installieren) nur zur Sicherheit da ist, falls der erste ausfällt. Dazu habe ich gelesen, das ich die 5 FSMO Rollen verteilen muss, jedoch sagt keiner genau wie. Also erst nach dem Ausfall des ersten DCs, davor oder gar verteilt installieren?
Dann habe ich auch noch die Möglichkeit einen Exchange mit zu installieren. Ist diese Variante ratsam auf einem zweiten DC?
Mein Vorgehen wäre:
Zweiten DC ins Netz hängen, als Mitgliedserver einrichten, also in die Domäne geben. Danach mit dcpromo als zweiten DC mit DNS installieren. (Sollte bich zuerst DNS installieren und dann dcpromo ausführen oder umgekehrt?)
DHCP nehme ich als deaktivierten Dienst mit anderem IP-Adressbereich, da wir nur ca 100 Clienten haben macht sich das gut, dass der erste DC nur .10-.100 Adressen und der zweite .111-.210 zuweist. Sollte der erste DC ausfallen autorisiere ich den zweiten und es sollte funktionieren.
Wie gesagt alles erst einmal reine Theorie. Aber über Ratschläge bin ich Euch sehr dankbar. Gerade wenn es um die FSMO Rollen und deren Übertragung auf den zweiten geht.
Denn ich habe keine Ahnung wie ich das dann machen soll.
Welche Version 2003/2008 würdet Ihr mir empfehlen?
Danke Kuli
Hallo Ihr Lieben,
momentanes Szenario:
30 Clients Win2k, 40 Clients XP Pro, 30 Vista Ultimate
1 Win 2k3 Server Standard (DC, DNS, Druck, File, WINS)
ich habe die Möglichkeit und vorallem nun nach 2 Jahren endlich die Mittel einen zweiten DC in unser bestehendes Netz einzubinden.
Ich möchte diesen gern als BackupDC nutzen. Nun habe ich allerdings auch hier im Forum gelesen, dass es eigentlich seit Server 2003 keinen "wirklichen" Backup DC mehr gibt. (Warum?) Und das bereitet mir Probleme beim Verständins.
Also ich möchte, das der zweite DC (ich habe im Übrigen die Möglichkeit dort Windows 2003 Standard R2 oder 2008 Standard zu installieren) nur zur Sicherheit da ist, falls der erste ausfällt. Dazu habe ich gelesen, das ich die 5 FSMO Rollen verteilen muss, jedoch sagt keiner genau wie. Also erst nach dem Ausfall des ersten DCs, davor oder gar verteilt installieren?
Dann habe ich auch noch die Möglichkeit einen Exchange mit zu installieren. Ist diese Variante ratsam auf einem zweiten DC?
Mein Vorgehen wäre:
Zweiten DC ins Netz hängen, als Mitgliedserver einrichten, also in die Domäne geben. Danach mit dcpromo als zweiten DC mit DNS installieren. (Sollte bich zuerst DNS installieren und dann dcpromo ausführen oder umgekehrt?)
DHCP nehme ich als deaktivierten Dienst mit anderem IP-Adressbereich, da wir nur ca 100 Clienten haben macht sich das gut, dass der erste DC nur .10-.100 Adressen und der zweite .111-.210 zuweist. Sollte der erste DC ausfallen autorisiere ich den zweiten und es sollte funktionieren.
Wie gesagt alles erst einmal reine Theorie. Aber über Ratschläge bin ich Euch sehr dankbar. Gerade wenn es um die FSMO Rollen und deren Übertragung auf den zweiten geht.
Denn ich habe keine Ahnung wie ich das dann machen soll.
Welche Version 2003/2008 würdet Ihr mir empfehlen?
Danke Kuli
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 125912
Url: https://administrator.de/contentid/125912
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
20 Kommentare
Neuester Kommentar
Da kann man "eigentlich" nur raten, daß Du diese Aktion mit jemanden Sachkundigen zusammen durchführst und Dir alle Schritte am Objekt erklären läßt. Der "Lehrer" sollte aber sein Fach verstehen, sonst stehst Du da wie ich... Es gibt zum Nachlesen auch folgende schöne Seiten, allerdings wäre ein wenig Praxis im Vorwege sicher angebracht. Spiele die Aktion doch mal mit ein paar alten PC´s oder VmWare-Servern durch.
Gruß, Arch Stanton
Gruß, Arch Stanton
Moin,
also ich würde auch den neuen Server in das bestehende Netz hängen und dann dcpromo ausführen. Dein DNS wird dann (denke ich) automatisch angelegt. Falls nicht, kannst du ja im Nachgang einen DNS-Dienst mit 2 sekundären Zonen (Forward & Reverse) anlegen.
Die DCs sollten sich dann auch gegenseitig replizieren. So war's bei W2k3-Server. Wer weiß wie das jetzt mit dem 2008er ist....
also ich würde auch den neuen Server in das bestehende Netz hängen und dann dcpromo ausführen. Dein DNS wird dann (denke ich) automatisch angelegt. Falls nicht, kannst du ja im Nachgang einen DNS-Dienst mit 2 sekundären Zonen (Forward & Reverse) anlegen.
Die DCs sollten sich dann auch gegenseitig replizieren. So war's bei W2k3-Server. Wer weiß wie das jetzt mit dem 2008er ist....
Hallo,
einen Backup-DC gibt es seit Windows 2000 nicht mehr. Hintergrund ist die sonegannte "Multi-Master"-Funktionalität, d. h. jetz kann man auf jedem DC Änderungen am Active Directory vornehmen. Anmeldungen an der Domäne werden automatisch über alle vorhandenen DC's verteilt, dadurch wird der primäre DC entlastet.
Zur Verteilungd er FSMO-Rollen scha bitte hier: http://support.microsoft.com/kb/223346/en-us
Zum Transfer der FSMO-Rollen ließ mal hier: http://support.microsoft.com/kb/255690/en-us
Deine Vorgehensweise scheint mir so in Ordnung zu sein, der 2. DC sollte jedoch schon von Anfang an als Globaler Kartalog installiert sein. Ob du zuerst dcpromo ausführst und danach DNS installierts, oder in der umgekehrter Reihenfolge ist nicht wichtig. DNS-Zonen brauchst du keine anzulegen, das diese zusammen mit Active Directory automatisch auf den 2. DC repliziert werden.
Wenn du bisher Windows 2003 verwendest, so sollte der 2. DC ebenfalls Windows 2003 sein, ansonsten steht gleich noch ein Schema-Upgrade an.
mfg
Harald
einen Backup-DC gibt es seit Windows 2000 nicht mehr. Hintergrund ist die sonegannte "Multi-Master"-Funktionalität, d. h. jetz kann man auf jedem DC Änderungen am Active Directory vornehmen. Anmeldungen an der Domäne werden automatisch über alle vorhandenen DC's verteilt, dadurch wird der primäre DC entlastet.
Zur Verteilungd er FSMO-Rollen scha bitte hier: http://support.microsoft.com/kb/223346/en-us
Zum Transfer der FSMO-Rollen ließ mal hier: http://support.microsoft.com/kb/255690/en-us
Deine Vorgehensweise scheint mir so in Ordnung zu sein, der 2. DC sollte jedoch schon von Anfang an als Globaler Kartalog installiert sein. Ob du zuerst dcpromo ausführst und danach DNS installierts, oder in der umgekehrter Reihenfolge ist nicht wichtig. DNS-Zonen brauchst du keine anzulegen, das diese zusammen mit Active Directory automatisch auf den 2. DC repliziert werden.
Wenn du bisher Windows 2003 verwendest, so sollte der 2. DC ebenfalls Windows 2003 sein, ansonsten steht gleich noch ein Schema-Upgrade an.
mfg
Harald
Hallo Ihr Lieben,
vielen Dank für Eure Vorschläge.
@Arch-Stanton: Würde ich liebend gern, kannst Du Dir aber vorstellen, wie lange ich gebraucht und gekniet habe, die Mittel für einen zweiten DC zu bekommen? Daher fällt jetzt noch zusätzlicher Support völlig flach. Daher teste ich solange in der VMWare, bis es geht.
Das ganze Szenario habe ich bereits schon zweimal in einer VMWare durchgespielt, jedoch ohne die FSMO Rollen zu übertragen, da ich bis dahin noch nicht wußte, wie und in welcher Reihenfolge man das durchspielt. Dank harald21 weiß ich es nun. Vielen Dank für die Links.
Also was habe ich getestet:
Ersten DC ausgeschaltet.
Prüfen, ob das Anmelden an einem Clienten noch klappt. OK.
DNS Server per nslookup getestet -> OK Der zweite DNS wurde zuvor per DHCP bei den Clients eingetragen und sofort nach 3 Sekunden angenommen.
Im zweiten Durchgang (also den zweiten DC in der VMWare wieder zurückgesetzt und alles noch mal von vorn) gab es ein wenig Probleme im DNS, deswegen fragte ich, ob mit den zweiten DC noch irgendwas zu machen ist. Daher auch die Fragen mit den FSMO Rollen, der Rest hat eigentlich genau so funktioniert, nur das er beim Abschalten des ersten DCs ein wenig rumgemurkst hatte. Dabei habe ich rausgefundne das ich die DNS Server nicht überkreuz eintragen muss, wie es doch aber hier schon oft beschrieben wurde, sondern immer sich zuerst. Dann klappte es.
Werde heute Abend, die Rollen noch mal durchspielen und Euch berichten.
Sonst noch irgendwelche wichtigen ToDos, die man vorher unternehmen sollte?
Vielen lieben Dank nochmal
Gruß
vielen Dank für Eure Vorschläge.
@Arch-Stanton: Würde ich liebend gern, kannst Du Dir aber vorstellen, wie lange ich gebraucht und gekniet habe, die Mittel für einen zweiten DC zu bekommen? Daher fällt jetzt noch zusätzlicher Support völlig flach. Daher teste ich solange in der VMWare, bis es geht.
Das ganze Szenario habe ich bereits schon zweimal in einer VMWare durchgespielt, jedoch ohne die FSMO Rollen zu übertragen, da ich bis dahin noch nicht wußte, wie und in welcher Reihenfolge man das durchspielt. Dank harald21 weiß ich es nun. Vielen Dank für die Links.
Also was habe ich getestet:
Ersten DC ausgeschaltet.
Prüfen, ob das Anmelden an einem Clienten noch klappt. OK.
DNS Server per nslookup getestet -> OK Der zweite DNS wurde zuvor per DHCP bei den Clients eingetragen und sofort nach 3 Sekunden angenommen.
Im zweiten Durchgang (also den zweiten DC in der VMWare wieder zurückgesetzt und alles noch mal von vorn) gab es ein wenig Probleme im DNS, deswegen fragte ich, ob mit den zweiten DC noch irgendwas zu machen ist. Daher auch die Fragen mit den FSMO Rollen, der Rest hat eigentlich genau so funktioniert, nur das er beim Abschalten des ersten DCs ein wenig rumgemurkst hatte. Dabei habe ich rausgefundne das ich die DNS Server nicht überkreuz eintragen muss, wie es doch aber hier schon oft beschrieben wurde, sondern immer sich zuerst. Dann klappte es.
Werde heute Abend, die Rollen noch mal durchspielen und Euch berichten.
Sonst noch irgendwelche wichtigen ToDos, die man vorher unternehmen sollte?
Vielen lieben Dank nochmal
Gruß
Hallo,
bevor du das alles "Live" durchführst, solltest du ein System-State-Backup deines 1. DC's machen. Im Fehlerfall kannst du dann einfach deinen 2. DC abschalten, das SystemState deines 1. DC zurückspielen und du bist wieder zurück auf Anfang
mfg
Harald
bevor du das alles "Live" durchführst, solltest du ein System-State-Backup deines 1. DC's machen. Im Fehlerfall kannst du dann einfach deinen 2. DC abschalten, das SystemState deines 1. DC zurückspielen und du bist wieder zurück auf Anfang
mfg
Harald
Hallo Harald
Danke, dass werde ich zusätzlich noch machen.
Mache vorher auch mit Acronis noch n Backup!
Gruß Kuli
Danke, dass werde ich zusätzlich noch machen.
Mache vorher auch mit Acronis noch n Backup!
Gruß Kuli
Die Sache ist assistentengestützt und man muss nichts umverteilen. Man sollte etwas davon verstehen, aber man muss nicht alles durchdringen. Probleme sind eigentlich (ein schönes Wort in der IT) nicht zu erwarten. Wenn sich etwas nicht sofort repliziert, nicht in Panik verfallen, einiges regelt sich tatsächlich nach einiger Zeit von selbst.
Ich würde einen 2008er nehmen, evtl R2.
Auf vmware zu üben ist natürlich Pflicht.
Ich würde einen 2008er nehmen, evtl R2.
Auf vmware zu üben ist natürlich Pflicht.
Und genau das war der Knackpunkt...
Die Replikation fand erst 30 Minuten später statt.
Da ich von Haus aus ein wenig ungeduldig war, hatte ich schon Panik, welche natürlich völlig unnötig war.
Ich habe jetzt beide DCs in der VMWare am laufen und zusätzlich einen Clienten.
Da ich auf dem ersten DC nun auch einen DFS Stamm eingerichtet habe, habe ich nun wieder eine Frage, wie dieser sich repliziert?
Da der STamm in AD integriert ist, dachte ich, dass der zweite DC sich auch diesen über die AD Replikation holt.?!
Am zweiten DC ist aber unter DFS nichts zu sehen. Ich kann zwar den Baum anzeigen in dem ich mich mit dem ersten DC verbinde, jedoch wenn ich den ersten DC ausschalte, sind die DFS Freigaben nicht mehr erreichbar, obwohl diese auf einem anderen Server liegen als DC1 und DC2.
Hat jemand Erfahrung mit der DFS Replikation?
Gruß und vielen vielen Dank für Eure Hilfe.
Kuli
Die Replikation fand erst 30 Minuten später statt.
Da ich von Haus aus ein wenig ungeduldig war, hatte ich schon Panik, welche natürlich völlig unnötig war.
Ich habe jetzt beide DCs in der VMWare am laufen und zusätzlich einen Clienten.
Da ich auf dem ersten DC nun auch einen DFS Stamm eingerichtet habe, habe ich nun wieder eine Frage, wie dieser sich repliziert?
Da der STamm in AD integriert ist, dachte ich, dass der zweite DC sich auch diesen über die AD Replikation holt.?!
Am zweiten DC ist aber unter DFS nichts zu sehen. Ich kann zwar den Baum anzeigen in dem ich mich mit dem ersten DC verbinde, jedoch wenn ich den ersten DC ausschalte, sind die DFS Freigaben nicht mehr erreichbar, obwohl diese auf einem anderen Server liegen als DC1 und DC2.
Hat jemand Erfahrung mit der DFS Replikation?
Gruß und vielen vielen Dank für Eure Hilfe.
Kuli
DFS ist simpel. Lies die Hilfe, das sollte reichen.
Hallo,
wenn der vorhandene DC Win2003 ist, so sollte man lieber dabei bleiben, ansonsten kann man auch gleich ein komplettes Domänenupgrade machen (Schema-Upgrade, damit der 2. DC überhaupt dcpromo ausführen darf, Upgrade des 1. DC, damit dieser wieder die FSMO-Rollen übernehmen kann, diese liegen ansonsten beim "moderneren" DC, etc.).
mfg
Harald
wenn der vorhandene DC Win2003 ist, so sollte man lieber dabei bleiben, ansonsten kann man auch gleich ein komplettes Domänenupgrade machen (Schema-Upgrade, damit der 2. DC überhaupt dcpromo ausführen darf, Upgrade des 1. DC, damit dieser wieder die FSMO-Rollen übernehmen kann, diese liegen ansonsten beim "moderneren" DC, etc.).
mfg
Harald
Hallo Ihr Lieben,
ich probiere es gleich hier in diesem thread weiter, da mein(e) Frage/Problem eigentlich auch hier hingehört.
Hier nochmal die Übersicht:
Server1: Windows 2003 32bit SP2 (erster und momentan einzigster Domaincontroller)
Server2: Windows 2003 R2 64bit SP2 (dieser soll nun 2.DC werden)
Habe schon im Forum und auf MS Seite gelesen, dass man vorher adprep /forestprep von der CD2 der R2 Version auf dem ersten DC ausführen muss, um das Schema auf R2 "zu erweitern", um den zweiten Server als DC installieren zu können.
Nun habe ich aber auf dem ersten Server ein 32bit System und die CD2 erhält doch die 64bit Version.
Kann dies Probleme bereiten?
Oder kann ich adprep /forestprep trotzdem ausführen.
Diesen Schritt konnte ich noch nicht auf einer VMWare testen, da ich dort die 64bit Version nicht installieren konnte.
Gruß Kuli
ich probiere es gleich hier in diesem thread weiter, da mein(e) Frage/Problem eigentlich auch hier hingehört.
Hier nochmal die Übersicht:
Server1: Windows 2003 32bit SP2 (erster und momentan einzigster Domaincontroller)
Server2: Windows 2003 R2 64bit SP2 (dieser soll nun 2.DC werden)
Habe schon im Forum und auf MS Seite gelesen, dass man vorher adprep /forestprep von der CD2 der R2 Version auf dem ersten DC ausführen muss, um das Schema auf R2 "zu erweitern", um den zweiten Server als DC installieren zu können.
Nun habe ich aber auf dem ersten Server ein 32bit System und die CD2 erhält doch die 64bit Version.
Kann dies Probleme bereiten?
Oder kann ich adprep /forestprep trotzdem ausführen.
Diesen Schritt konnte ich noch nicht auf einer VMWare testen, da ich dort die 64bit Version nicht installieren konnte.
Gruß Kuli
Vermutlich sind auf der CD eh nur 32-Bit-Versionen dieser Programme.
Danke.
Kann etwas passieren, wenn man dieses Tool ausführt? Ich habe gehört, dass dieser Vorgang nicht rückgängig gemacht werden kann.
Habe ich danach irgendwelche Einschränkungen?
Gruß Kuli
Kann etwas passieren, wenn man dieses Tool ausführt? Ich habe gehört, dass dieser Vorgang nicht rückgängig gemacht werden kann.
Habe ich danach irgendwelche Einschränkungen?
Gruß Kuli
Nein, keine Einschränkungen und auch nichts zu befürchten außer dem ganz normalen Wahnsinn.
Befürchteter Fall eingetreten. Beim Ausführen von adprep /forestprep in der Konsole auf Server1 kommt:
adprep.exe ist gültig, aber für einen anderen Computertyp bestimmt
Ist mit Computertyp die 64bit Version gemeint?
Wenn ja, ich habe noch eine 32bit R2 CD hier.
Kommen die Versionen 32bit 64bit sich später irgendwie ins Gehege?
Gruß Kuli
adprep.exe ist gültig, aber für einen anderen Computertyp bestimmt
Ist mit Computertyp die 64bit Version gemeint?
Wenn ja, ich habe noch eine 32bit R2 CD hier.
Kommen die Versionen 32bit 64bit sich später irgendwie ins Gehege?
Gruß Kuli
Ist mit Computertyp die 64bit Version gemeint?
Ja.Nimm die 32er CD, völlig unbedenklich, da kommt sich nichts ins Gehege.
Danke.
ich melde mich.
Nur zum Verständnis adprep /forestprep muss ich nur ausführen, weil der zweite Server ein Windows Server 2003 R2 ist?
Gruß Kuli
ich melde mich.
Nur zum Verständnis adprep /forestprep muss ich nur ausführen, weil der zweite Server ein Windows Server 2003 R2 ist?
Gruß Kuli
Hat funktioniert.
"Der Befehl wurde einwandfrei durchgeführt.
ADPREP hat die gesamtstrukturweiten Informationen erfolgreich aktualisiert."
Vielen Dank...
"Der Befehl wurde einwandfrei durchgeführt.
ADPREP hat die gesamtstrukturweiten Informationen erfolgreich aktualisiert."
Vielen Dank...
Hallo Ihr Lieben,
der zweite Server ist nun Domaincontroller und DNS Server.
Habe zusätzlich noch einen DHCP Server installiert, der im Fall des Ausfalls von Server 1, dann aktiviert und authorisiert wird.
Vielen Dank an alle Helfer!
Gruß Kuli
PS: Ich lasse den Thread noch ein paar Tage offen, da ich noch nicht weiß, wie sich die Installation über einen längeren Zeitraum verhält. Schließe ihn dann aber, wenn alles sauber läuft.
der zweite Server ist nun Domaincontroller und DNS Server.
Habe zusätzlich noch einen DHCP Server installiert, der im Fall des Ausfalls von Server 1, dann aktiviert und authorisiert wird.
Vielen Dank an alle Helfer!
Gruß Kuli
PS: Ich lasse den Thread noch ein paar Tage offen, da ich noch nicht weiß, wie sich die Installation über einen längeren Zeitraum verhält. Schließe ihn dann aber, wenn alles sauber läuft.
Also, wie versprochen, habe ich noch ein "wenig" gewartet. Alles läuft tadellos.
Vielen Dank für Eure Hilfe.
Gruß Kuli
Vielen Dank für Eure Hilfe.
Gruß Kuli
