none
Best Practice: Anheben der Domäne/DCs RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

    nachdem ich jetzt diverse Anleitungen im Internet durchforstet habe, habe ich mir eine Art Best Practise zusammengestellt, würde aber trotzdem gern noch 1-2 Meinungen hören bzw. Hinweise, ob ich was vergessen habe. ;)

    Ausgangslage:
    DC1 2008R2; 192.168.2.10; physisch; DNS, GPO; AD; NPS (RADIUS)
    DC2 2008R2; 192.168.2.12; virtuell; DNS; GPO; DHCP; AD
    Betriebsmaster ist DC2

    Ziel:
    DC1 2012R2; 10.10.10.10; virtuell; DNS; GPO; AD; NPS; DHCP
    DC2 2012R2; 10.10.10.12; virtuell; DNS; GPO; AD; NPS; DHCP
    Betriebsmaster ist DC2; beide DCs sollen sämtliche Rollen übernehmen, um eine höhere Ausfallsicherheit der Rollen zu gewährleisten
    DNS soll identisch bleiben; IP soll ins 10er-Produktiv-Server-Netz wandern

    Geplante Vorgehensweise:
    neuen DC1 vorbereiten; mittels adprep Domain-Tree auf 2012 upgraden; sämtliche Rollen auf DC2 verschieben; DC1 zum einfachen Domainmember machen; - jetzt steht temporär nur DC2 zur Verfügung; muss geprüft werden, ob das problemlos im laufenden Betrieb oder aber am WE geschehen kann -; neuen DC1 FSMO-Rollen übertragen; neuen DC2 vorbereiten; DC2 zum einfachen Domainmember machen; neuen DC2 mit neuem DC1 synchen.

    Wo ich noch ein wenig Kopfschmerzen habe, ist der DNS bzw. die IP der DCs. Ich habe leider keinen kompletten Überblick, auf welchen Servern/Diensten/Clients z.B. der DNS als feste IP hinterlegt ist. Die wird sich ja ändern..

    Vielen Dank schonmal im Voraus für Hinweise!

    Dienstag, 21. April 2015 07:57
    |

Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hi LNAG,

    das, was als Du als letztes schreibst, musst Du zuerst machen ;-)

    Erstelle Dir einer Liste ALLER Systeme, die in irgendeiner Form auf diese DNS-Server zugreifen. Nach dem Umzug des ersten DCs änderst Du dann den primären DNS-Server auf einem unwichtigen System und schaust, ob es problemlos läuft.

    Erst dann fasst Du die anderen Systeme an, so dass die über den migrierten DC laufen. Erst, wenn die alle problemlos laufen, hängst Du den 2. DC um.

    Sachen wie Funktionslevel-Upgrade würde ich erst ganz am Schluss machen, wenn wirklich alles läuft und die Replikation sauber funktioniert, wenn überhaupt - das 2012er-Upgrade bringt folgendes auf Domänenlevel-Ebene (auf Gesamtstruktur nichts):

    The new Windows Server 2012 domain functional level enables one new feature: the KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. For more information, see Support for claims, compound authentication, and Kerberos armoring.

    Wenn Du das nicht brauchst, kannst Du auf das Upgrade verzichten. :-)

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 21. April 2015 10:44
    |
  • Question
    Anmelden
    2
    Anmelden

    Bevor du in irgendeiner Weise den Domain und Forestlevel anhebst müssen

    1. Alle 2008R2 DCs aus der Domain raus sein 

    2. Alle Applikationen (übliche Verdächtige Exchange, PKI, Lync, Linux LDAP Konnectoren etc.) die irgendwas im ADDS machen auf einen Stand gehoben werden, der mit dem Forest-/Domainlevel arbeiten können. 

    3. DNS Namen der altern DCs nicht beibehalten, da es sein kann, dass irgendwo im AD diese noch schlummern oder hängen bleiben und später zu Problemen z.b. bei der Replikation führen. 

    Bitte achten beim DHCP Server auch darauf, dass du ein DHCP Failover Cluster konfigurierst und kein Split Scope wie früher. 

    Bei virtuellen DCs bitte IMMER die Zeitsynchronisation mit dem Host ausschalten und dafür sorgen, dass die VM heruntergefahren wird und nicht gespeichert. 

    Siehe auch: https://support.microsoft.com/en-us/kb/888794?wa=wsignin1.0

    Eigentlich würde ich dir generell empfehlen wengistens einen phyischen DC/DNS/DHCP zu haben. 

    LG 

    Flo 


    Mittwoch, 22. April 2015 11:27
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    für Exchange 2010 schau bitte in https://technet.microsoft.com/library/ff728623(v=exchg.150).aspx damit das richtige RU installiert ist.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 28. April 2015 13:24
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Hi LNAG,

    das, was als Du als letztes schreibst, musst Du zuerst machen ;-)

    Erstelle Dir einer Liste ALLER Systeme, die in irgendeiner Form auf diese DNS-Server zugreifen. Nach dem Umzug des ersten DCs änderst Du dann den primären DNS-Server auf einem unwichtigen System und schaust, ob es problemlos läuft.

    Erst dann fasst Du die anderen Systeme an, so dass die über den migrierten DC laufen. Erst, wenn die alle problemlos laufen, hängst Du den 2. DC um.

    Sachen wie Funktionslevel-Upgrade würde ich erst ganz am Schluss machen, wenn wirklich alles läuft und die Replikation sauber funktioniert, wenn überhaupt - das 2012er-Upgrade bringt folgendes auf Domänenlevel-Ebene (auf Gesamtstruktur nichts):

    The new Windows Server 2012 domain functional level enables one new feature: the KDC support for claims, compound authentication, and Kerberos armoring KDC administrative template policy has two settings (Always provide claims and Fail unarmored authentication requests) that require Windows Server 2012 domain functional level. For more information, see Support for claims, compound authentication, and Kerberos armoring.

    Wenn Du das nicht brauchst, kannst Du auf das Upgrade verzichten. :-)

    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Dienstag, 21. April 2015 10:44
    |
  • Question
    Anmelden
    2
    Anmelden

    Bevor du in irgendeiner Weise den Domain und Forestlevel anhebst müssen

    1. Alle 2008R2 DCs aus der Domain raus sein 

    2. Alle Applikationen (übliche Verdächtige Exchange, PKI, Lync, Linux LDAP Konnectoren etc.) die irgendwas im ADDS machen auf einen Stand gehoben werden, der mit dem Forest-/Domainlevel arbeiten können. 

    3. DNS Namen der altern DCs nicht beibehalten, da es sein kann, dass irgendwo im AD diese noch schlummern oder hängen bleiben und später zu Problemen z.b. bei der Replikation führen. 

    Bitte achten beim DHCP Server auch darauf, dass du ein DHCP Failover Cluster konfigurierst und kein Split Scope wie früher. 

    Bei virtuellen DCs bitte IMMER die Zeitsynchronisation mit dem Host ausschalten und dafür sorgen, dass die VM heruntergefahren wird und nicht gespeichert. 

    Siehe auch: https://support.microsoft.com/en-us/kb/888794?wa=wsignin1.0

    Eigentlich würde ich dir generell empfehlen wengistens einen phyischen DC/DNS/DHCP zu haben. 

    LG 

    Flo 


    Mittwoch, 22. April 2015 11:27
    |
  • Question
    Anmelden
    0
    Anmelden

    Hey,

    vielen Dank erstmal für eure Infos.

    @Ben: Das ist ein guter Hinweis. Werde das mit dem DNS auf jeden Fall so machen. Das heißt, das Level-Upgrade müsste ich theoretisch gar nicht machen? Hätte ich denn eventuell Nachteile, wenn ich es trotzdem machen würde? So wie ich das lese, eher nicht, oder?

    @Flo: Ich hatte in einem BestPractice gelesen, dass man das Level-Upgrade auf dem bisherigen DC noch machen sollte/kann. Aber gut, das werde ich dann zum Ende machen, wenn beide neuen DCs migriert sind. Das heißt, ich muss unseren Exchange2010 auch anfassen, wenn ich das Domain-Level hebe? Das muss ich dann nochmal nachlesen, weil ich dazu bisher gar nichts gefunden hatte. Ja, DNS-Namen werden wir auch abändern, haben wir mittlerweile entschlossen. DHCP-Cluster war eh geplant und der Hinweis mit dem NTP ist super, danke dafür!

    LG

    Dennis

    Donnerstag, 23. April 2015 07:46
    |
  • Question
    Anmelden
    1
    Anmelden

    Bitte achten beim DHCP Server auch darauf, dass du ein DHCP Failover Cluster konfigurierst und kein Split Scope wie früher. 

    Mit 2012 ist es nicht mehr notwendig einen Failover Cluster für DHCP einzurichten. Dafür gibt es mittlerweile das DHCP Failover (ohne Cluster). Um Komplexität herauszunehmen, würde ich dir das empfehlen. Außerdem brauchts dazu kein SAN Storage.

    Auszug: "Mit dem DHCP-Failoverfeature können zwei DHCP-Server IP-Adressen und Optionskonfiguration für dasselbe Subnetz oder denselben Bereich bereitstellen, was die fortlaufende Verfügbarkeit des DHCP-Dienstes für Clients unterstützt. Zwischen den zwei DHCP-Servern werden Lease-Informationen repliziert, sodass ein Server für die Wartung der Clients im gesamten Subnetz verantwortlich ist, wenn der andere Server nicht verfügbar ist. Es ist auch möglich, das Failover in einer Lastausgleichskonfiguration zu konfigurieren, in der Clientanforderungen auf die zwei Server in der Failoverbeziehung verteilt sind." (Quelle: https://technet.microsoft.com/de-de/library/hh831385.aspx)

    Gruß,
    Matthias

    Donnerstag, 23. April 2015 09:05
    |
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    für Exchange 2010 schau bitte in https://technet.microsoft.com/library/ff728623(v=exchg.150).aspx damit das richtige RU installiert ist.

    Best regards

    Meinolf Weber

    MVP, MCP, MCTS

    Microsoft MVP - Directory Services

    My Blog: http://blogs.msmvps.com/MWeber

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Twitter:  

    Dienstag, 28. April 2015 13:24
    |