dr.zeto
Goto Top

Zweiten DomainController neuinstallieren ohne Clients neu einzubinden möglich ?

Hallo,

habe mal wieder eine Frage an die Community.
Wir haben ein Unternehmensnetzwerk mit mehreren DomainControllern. Diese sind so eingerichtet, dass ein Anwender, sollte ein Server
mal ausfallen via VPN von dem Server an einem anderen Standort authorisiert würde..

Jetzt folgendes Problem. Als wir das Netzwerk im letzten Jahr "aufgerüstet haben" hat einer bei uns gepennt und die Funktionsebene auf Windows Server 2008 R2 heraufgestuft,
obwohl an einem Standort nur ein Windows Server 2008 installiert war. Jetzt ist es, dass die Synchronisierung zwischen den Standortservern bzw. konkret die Synchronisierung mit dem einen Standort nicht einwandfrei funktioniert. Beispielsweise werden Änderungen an den Startskripten (sysvol) nicht synchonisiert.
Glücklicherweise haben wir eine Lizenz für Server 2012 und könnten diesen dort einsetzen.

Die Frage dich ich nun habe ist, ob ich den Server an dem Standort wo der 2008er installiert ist einfach neuaufsetzen kann ohne danach die Clients neu einzubinden bzw. ohne dass neue Benutzerprofile auf den Clients angelegt werden ? Der Server 2008 ist nicht der Domänenmaster und sollte daher doch einfach austauschbar sein, oder ?
SID´s werden doch vom Domänenmaster generiert, oder habe ich das falsch verstanden ?

Ich meine, die Domäne bleibt am Ende gleich, nur dass der 2012er-Server die Funktionsebene Server 2008 R2 eben mitgehen kann und somit das Synchronisierungsproblem
beseitigt ist. Jedenfalls habe ich mir das so gedacht...

Ich meine, es sind nur etwa 10 Clients am Standort, so dass es nicht sooooo dramatisch wäre, sollten die Clients nach dem erneuten Anmelden neue Benutzerprofile anlegen. Die persönlichen Daten sind schnell umverschoben, aber ich frage ich mich ob das über eintreten wird.

Wenn mir jemand einen Tip geben kann, wäre ich sehr verbunden.

Danke und Gruß,

Dr. Zeto

Content-ID: 263588

Url: https://administrator.de/contentid/263588

Ausgedruckt am: 26.11.2024 um 01:11 Uhr

certifiedit.net
certifiedit.net 16.02.2015 um 10:51:19 Uhr
Goto Top
Hallo Zeto,

bist du sicher, dass das euer Problem ist? MMn geht ein heraufstufen des AD gar nicht, wenn noch ein "älterer" Server in diesem hängt?

Grüße,

Christian
Chonta
Lösung Chonta 16.02.2015 aktualisiert um 11:00:59 Uhr
Goto Top
Hallo,

ich finde es komisch das das AD die Raufstufung auf 2008R2 nicht geblockt hat, wenn einer der beteiligten DC ein 2008er war.

Ist bei euch alles eine Domäne oder gibt es subdomänen? (Wenn die Gesamtstruktur level 2008 ist können einige Domänen selber dennoch 2008R2 sein)

Wenn der 2008 DC entfernt wird, sind auch alle Änderungne die nach dem Raufstufen auf 2008R2 und zerschossener Replikation nur auf dem 2008 vorliegen weg.

Die Frage ist generell erstmal welcher der DC die FMSOP hat und insbesondere PDC-Emulator und Schemamaster ist.

Die SID verwaltung obligt dem RID-Master und dieser vergibt an jeden DC einen bestimmten Pool die dann von den DCs verwaltet werden.
Damit aber die einzelnen DCs wissen welche IDs vergeben wurden muss die Replikation stimmen.
Wenn also auf dem 2008ter was angelegt wurde, kennt der das Objekt, aber wegen fehlender Replikation der Rest der Domäne nicht also Zonk, aber das Problem hast Du eh schon und es wird nur schlimmer werden bis die Replikation wieder geht.

Gruß

Chonta
dr.zeto
dr.zeto 16.02.2015 um 11:07:52 Uhr
Goto Top
Das Problem ist so entstanden dass ein neuer Server mit dem 2008 installiert wurde. Damals war die Funktionsebene noch Server 2000! Nach der Installation wurde der Server an den Standort versendet und dort eingelagert. Während dessen wurde die Funktionsebene heraufgestuft. Es konnte also nicht bemängelt werden da der Server zu dem Zeitpunkt gar nicht aktiv war.
Erst später ist das Problem aufgefallen war die Stsrtskriptänderungen nicht synchonisiert wurden. Auch Kennwortänderungen übrigens auch nicht.
Der PDC ist auf Server 2008 R2. Daher die Annahme dass die Neuinstallation ohne Folgen für die Clients bleibt....
Chonta
Chonta 17.02.2015 um 09:56:01 Uhr
Goto Top
Hallo,

ein DC eingelagert? ....
Eine Replikation zwischen dem richtigen AD und dem zwerschossenen DC existiert nicht. Und wird auch nicht wiederherstellbar sein.
Fahre den zerschossenen DC einfach runter oder ziueh das Netzwerkkabel.
Dann kannst Du schauen was geht und was nicht.
Du solltest aber dafür sorgen, das die Clients dann den DC am Hauptstandort als DNS bekommen.

Wenn noch soweit alles geht und die sich auch anmelden können, entferne den 2008er DC aus dem AD, mach den Rechner Platt und installiere neu.
Ich denke das Du den mit "Gewalt" aus dem AD entfernen müssen wirst also ein demote nicht gehen wird.

Gruß

Chonta