none
Migration einer bestehenden Windows 2003 AD Domain zu einem Windows 2011 SBS Standard RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo

    Kunde hat ein Windows 2003 AD Netzwerk mit einem windows 2003 R2 Standard Server und einem windows 2000 Server (es gibt sie noch)

    Dieser Windows 2000 Server wird nun aber abgeschaltet und die Funktionen sollen Übertragen werden auf den SBS 2011 Server was kein Problem darstellt da er ein member server der domain ist und keine AD funktionen besitzt.

    Der 2. Server Windows 2003 R2 hat momentan ein AD am laufen welches auch bereits für eine Migration vorbereitet ist.

    Was passiert wenn ich nun den Migrationsassistenten starte??? Fährt dann nach 21 Tagen der 2003 Server runter????

    Eigentlich möchte ich nur die AD übernehmen anschliesend soll er als "BDC" fungieren oder gar keine AD Rollen mehr haben.

    DANKE für antworten im vorraus.

    Donnerstag, 8. März 2012 13:25
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    WICHTIGER HINWEIS:

    Ein "DCPROMO" (egal ob "promoten" oder "demoten" eines Domain Controllers) führt IMMER zu einer Veränderung der lokalen Sicherheitseinstellungen, speziell für die NTFS-Berechtigungen der zugrundeliegenden Festplatten des Domain Controllers.

    Deswegen ist dringend davon abzuraten (und in diesem Fall auch nicht nötig - s.u.) einen Domain Controller mit weiteren Anwendungen zu demoten, um in dann weiter mit den anderen Anwendungen betreiben zu wollen, da diese zu 75% nicht mehr fehlerfrei funktionieren werden und meist nur schwer oder gar nicht zu reparieren sind.

    S.a.:

    You cannot start the SQL Server service after you install Active Directory on a Windows Server 2003-based member server or you run the DCPromo command on a Windows Server 2003-based domain controller
    http://support.microsoft.com/kb/929665/

     - bzw. -

    After Exchange [..] is installed, changing its role from a member server to a directory server, or vice versa, isn't supported
    Source: http://technet.microsoft.com/en-us/library/aa996719.aspx

    Deswegen: In dem eigentlichen Szenario reicht es hier aus nachdem der SBS in das Netzwerk integriert wurde (s.a. http://technet.microsoft.com/de-de/library/gg563801.aspx bzw. http://www.sbsmigration.com/pages/96/), sämtliche 5 FSMO-Rollen auf den SBS zu verschieben (s.a. http://support.microsoft.com/kb/255504) und den ursprünglichen Windows Server 2003 Domain Controller inkl. den weiteren Anwendungen weiter laufen zu lassen - und ggf. zukünftig auf einen neuen Server zu migrieren, da Windows Server 2003 schon im Extended Support ist:

    Microsoft Support Lifecycle - Windows Server 2003
    http://support.microsoft.com/lifecycle/?p1=3198

    Weitere Hinweise bzgl. SBS und dessen Limitierungen findet man u.a. hier:

    An Introduction to Windows Small Business Server 2008 for the Enterprise IT Pro
    http://technet.microsoft.com/en-us/library/ee247404(v=ws.10).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
    Freitag, 9. März 2012 03:59
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Der SBS kann problemlos als weiterer DC in das AD DS installiert werden und die FSMO Rollen übernehmen.
    Dann muss der 2003er DC auch nicht demoted werden (könnte aber aus Backup/Recovery-Gründen sinnig sein nur einen DC zu haben), sollange es kein SBS ist, könnte der weiterhin DC bleiben!

    Hinweis: BDCs oder PDCs gibt es in einem ActiveDirectory nicht, das ist ein veraltetes Konzept aus NT Domänen!

    Weitere z.T. detailierte Hinweise hast Du ja bereits erhalten, daher hier nur nochmal in Kurzform und deutlich! :)

    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Samstag, 10. März 2012 20:56
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hey,

    also wenn ich das richtig verstehe, dann wird der 2000er Server für nichts wirklich mehr gebraucht und ordentlich außer Betrieb genommen, so dass er auch innerhalb der 2003er-Domäne keine Rolle mehr spielt und dann soll der vorhandene Server 2003 migriert werden, oder?

    Der Server 2003 wurde vorbereitet? Wie wurde er vorbereitet? Ich gehe mal davon aus mit dem BPA-Tool von Microsoft und dem IT-Health Scanner, der die gröbsten Verstöße gegen die reibungslose Migration aufdeckt. Zusätzlich adprep etc.

    Wenn also nun die Migration beginnt (eine Migrationsinstallation von SBS 2011 per Antwortdatei wäre hier wohl vermutlich das richtige) und dann abgeschlossen ist, hast du - soweit ich das weiß - 21 Tage Zeit den alten DC zu demoten und aus der Domäne zu nehmen, denn der SBS 2011 duldet, anders als normale oder Enterprise-Versionen, keinen weiteren PDC. Um irgendwelche Probleme zu vermeiden, würde ich dann den alten Server 2003 noch einmal neu aufsetzen und in die Domäne als BDC oder ganz ohne AD-Funktion integrieren. Klar, vielleicht nicht die schnellste Variante und vielleicht gibt es bessere Practices, aber das hat bei uns hier immer am problemlosesten funktioniert. Einzig wichtige Dienste auf dem Server 2003, die immer verfügbar bleiben müssen und nicht migriert werden können, würden dagegen sprechen.

    Ich hoffe das ist nun so in etwa richtig nachvollzogen. Was wäre nun deine konkrete Frage? Laufen auf dem Server 2003 auch Exchange oder SQL-Server? Oder geht es um reine AD-Migration?

    Bin natürlich auch für jeden weiteren Hinweis dankbar, wenn ich einen Denkfehler mache hier.

    Grüße

    Donnerstag, 8. März 2012 15:05
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Cylibergod

    Danke für die schnelle Antwort.

    1. Es ist richtig das der 2000 Server danach rausfliegt.

    2. Der Server wurde vorbereitet und steht laut den Tools ohne Probleme da.

    3. Das mit den 21 Tagen möchte ich umgehen. Es soll die AD migriert werden und anschliesend der 2003 Server heuntergestuft werden da dieser nicht mehr als AD Server fungieren muss aber TROTZDEM weiterlaufen muss da dort eine Warenwirtschaft läuft.

    4. Es läuft kein SQL und kein Exchange es geht um die reine AD Migration.

    Bin auch dankbar für weitere Tips da das NET hier nichts dazu hergiebt.

    PS Szenario: Neuer Server 2003 Installieren. AD Migrieren auf diesen komplett inkl. aller 5 FSMO rollen. alten Originalen 2003 Server aus AD herabstufen, Migration anstossen von 2011 SBS Server und dann den Interrims Server nach 21 Tagen sterben lassen wäre das eine Lösung um dann den jetzigen 2003 Server als Member Server weiterlaufen zu lassen???? (((Kranke Gedanken)))

    Grüße

    Donnerstag, 8. März 2012 15:17
    |
  • Question
    Anmelden
    0
    Anmelden

    Hey Zahner Net,

    kein Thema. Viele deiner Fragen wurden ja noch nicht beantwortet und ich bin mir nicht sicher, ob ich die auch wirklich beantworten kann. Aber ich wills mal versuchen:

    1. +1 zu der Sache mit dem Server 2000 ;-)

    2. Sehr gut

    3. Okay, also es ist ein normaler Server 2003 und kein SBS. Mal nur abseits vom Thema: Wieso habt ihr dann nicht auf einen Server 2008R2 migriert? Der wäre nicht so wählerisch wie der SBS 2011 denke ich. Egal. Also wenn nun der SBS 2011 alle FSMO-Rollen hat und die Domäne rund läuft sollte folgendes funktionieren:

    a) den Server 2003 demoten

    b) alle Rollen die er im AD haben kann deinstallieren/deaktivieren

    c) nach alles was man so liest und auch aus eigener Erfahrung ist die Wahrscheinlichkeit relativ hoch, dass man den Server 2003 danach einfach weiter laufen lassen kann. Eine Zuweisung der BDC-Rolle kann funktionieren, aber auch in die Hose gehen. Selbst hatten wir ein solches Szenario erst einmal und da hat es dann nicht funktioniert. Weshalb wir hier immer versuchen einen neuen Server 2003 zu installieren und dann frei von Altlasten in die Domäne aufzunehmen.

    4. Gut dann kann da schon einmal nichts passieren

    Eine Frage noch:

    Wie ist es, wenn ihr den 2003er neu aufsetzt auf einer anderen Maschine oder gar virtuell und dann einfach mal über Nacht (weiß ja nicht welche WWS und wie komplex hier der Umzug auf ne neue Maschine ist) die WWS umziehen?

    Ansonsten könnte natürlich auch ein Test mit virtuellen Maschinen Aufschluss geben, ob alles reibungslos funktioniert. Stand meines Wissens ist, dass es normal mit einem normalen Server 2003 keine großen Probleme geben sollte, wenn er sauber heruntergestuft wird und dann nebenbei in der SBS 2011-Domäne läuft.

    Info zu ähnlichen Szenarien sind zu finden unter:

    http://forums.whirlpool.net.au/archive/1699881 --> vor allem die Diskussion scheint darauf hinzuweisen, dass es durchaus geht einfach den Server herunterzustufen und laufen zu lassen.

    immer ein guter Ort um zu recherchieren: http://msmvps.com/blogs/bradley/default.aspx

    So, gibt es vielleicht noch weitere User, die eventuell wirklich 100% bestätigen können, ob das mit dem Server 2003 so funktioniert

    Greetz

    Donnerstag, 8. März 2012 15:45
    |
  • Question
    Anmelden
    0
    Anmelden

    WICHTIGER HINWEIS:

    Ein "DCPROMO" (egal ob "promoten" oder "demoten" eines Domain Controllers) führt IMMER zu einer Veränderung der lokalen Sicherheitseinstellungen, speziell für die NTFS-Berechtigungen der zugrundeliegenden Festplatten des Domain Controllers.

    Deswegen ist dringend davon abzuraten (und in diesem Fall auch nicht nötig - s.u.) einen Domain Controller mit weiteren Anwendungen zu demoten, um in dann weiter mit den anderen Anwendungen betreiben zu wollen, da diese zu 75% nicht mehr fehlerfrei funktionieren werden und meist nur schwer oder gar nicht zu reparieren sind.

    S.a.:

    You cannot start the SQL Server service after you install Active Directory on a Windows Server 2003-based member server or you run the DCPromo command on a Windows Server 2003-based domain controller
    http://support.microsoft.com/kb/929665/

     - bzw. -

    After Exchange [..] is installed, changing its role from a member server to a directory server, or vice versa, isn't supported
    Source: http://technet.microsoft.com/en-us/library/aa996719.aspx

    Deswegen: In dem eigentlichen Szenario reicht es hier aus nachdem der SBS in das Netzwerk integriert wurde (s.a. http://technet.microsoft.com/de-de/library/gg563801.aspx bzw. http://www.sbsmigration.com/pages/96/), sämtliche 5 FSMO-Rollen auf den SBS zu verschieben (s.a. http://support.microsoft.com/kb/255504) und den ursprünglichen Windows Server 2003 Domain Controller inkl. den weiteren Anwendungen weiter laufen zu lassen - und ggf. zukünftig auf einen neuen Server zu migrieren, da Windows Server 2003 schon im Extended Support ist:

    Microsoft Support Lifecycle - Windows Server 2003
    http://support.microsoft.com/lifecycle/?p1=3198

    Weitere Hinweise bzgl. SBS und dessen Limitierungen findet man u.a. hier:

    An Introduction to Windows Small Business Server 2008 for the Enterprise IT Pro
    http://technet.microsoft.com/en-us/library/ee247404(v=ws.10).aspx

    --
    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Email: T.Redelberger@starnet-services.net
    Web: http://www.starnet-services.net
    Freitag, 9. März 2012 03:59
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    ... denn der SBS 2011 duldet, anders als normale oder Enterprise-Versionen, keinen weiteren PDC. ...

    das ist so nicht richtig.

    1. Es gibt weder PDC noch BDC. Ein AD kann beliebig viele DC haben.
    2. Beim SBS gibt es gegenüber einem normalen AD einige Einschränkungen:
        - alle FSMO-Rollen müssen auf den SBS
        - keine Vertrauenstellungen
        - kein gleichzeitiger Betrieb von mehreren SBS in einem Netz (Ausnahme 21-Tage-Migrationsregel)

    Volker

    Und Abends ein Glas Wein von AMAVINO

    Freitag, 9. März 2012 06:37
    |
  • Question
    Anmelden
    0
    Anmelden

    stimmt, da hat Volker natürlich recht. Unter BDC wird ja normalerweise einfach nur ein 2. Domaincontroller verstanden, der dann notfalls einspringen kann, wenn der SBS 2011 die Grätsche machen würde, oder? Also die Kopie des AD bereithält. Oder mache ich immer noch einen Denkfehler?

    Ansonsten dürfte ja Tobias die ausführlichste Antwort für den Fall gegeben haben.

    Freitag, 9. März 2012 12:46
    |
  • Question
    Anmelden
    0
    Anmelden
    Ein weiterer DC ist nicht nur für den Notfall. Der DC kann auch Useranmeldungen verarbeiten, so kann der DC z. B. in einer Ausstelle als Anmeldeserver dienen ohne das dafür dauernd eine Verbindung mit dem SBS bestehen muss. ... aber für solche Konfigurationen sollte man sich erstmal mit AD intensiv beschäftigen oder sich Hilfe ins Haus holen.

    Volker

    Und Abends ein Glas Wein von AMAVINO

    Freitag, 9. März 2012 12:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Klar, wenn man sonst nur ne WAN-Strecke zum DC hätte ist es praktisch die Authentifizierung lokal zu erledigen. Aber sonst würde man das ja bei den klassischen SBS-Setups mit eventuell einem Applikationsserver oder Fileserver eher für den Notfall bereit halten. Also wenn quasi alles an einem Standort vorhanden ist und man nicht sonderlich viele User am SBS hat. Ich glaub ich blätter mal wieder durchs AD-Handbuch ;-)

    Schönen Freitag Nachmittag allein Diskussionsteilnehmern.

    Freitag, 9. März 2012 13:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Wenn also nun die Migration beginnt (eine Migrationsinstallation von SBS 2011 per Antwortdatei wäre hier wohl vermutlich das richtige) und dann abgeschlossen ist, hast du - soweit ich das weiß - 21 Tage Zeit den alten DC zu demoten und aus der Domäne zu nehmen, denn der SBS 2011 duldet, anders als normale oder Enterprise-Versionen, keinen weiteren PDC.

    Hallo ???? (Realnamen sind auch in Foren eine Sache der Höflichkeit!),

    diese Aussage ist leider (auf diversen Ebenen) nicht richtig!

    Neben einem SBS konnten schon immer (!!!) beliebig viele weitere DCs (das PDC/BDC Konzept wurde in ActiveDirectory noch nie verwendet und mit NT4 zu Grabe getragen!) existieren!
    Lediglich darf nur ein SBS in einem Forest/AD/einer Domäne existieren, weitere DCs (theoretisch auch hunderte/tausende!) sind sowohl lizenzrechtlich als auch technisch kein Problem!

    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Samstag, 10. März 2012 20:52
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Der SBS kann problemlos als weiterer DC in das AD DS installiert werden und die FSMO Rollen übernehmen.
    Dann muss der 2003er DC auch nicht demoted werden (könnte aber aus Backup/Recovery-Gründen sinnig sein nur einen DC zu haben), sollange es kein SBS ist, könnte der weiterhin DC bleiben!

    Hinweis: BDCs oder PDCs gibt es in einem ActiveDirectory nicht, das ist ein veraltetes Konzept aus NT Domänen!

    Weitere z.T. detailierte Hinweise hast Du ja bereits erhalten, daher hier nur nochmal in Kurzform und deutlich! :)

    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Samstag, 10. März 2012 20:56
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    3. Okay, also es ist ein normaler Server 2003 und kein SBS. Mal nur abseits vom Thema: Wieso habt ihr dann nicht auf einen Server 2008R2 migriert? Der wäre nicht so wählerisch wie der SBS 2011 denke ich. Egal. Also wenn nun der SBS 2011 alle FSMO-Rollen hat und die Domäne rund läuft sollte folgendes funktionieren:

    Wählerisch? Wobei st der SBS2011 wählerisch?

    IMO ist der SBS für jedes Unternehmen mit weniger als 75 Mitarbeitern oder die Notwendigkeit von Vertrauensstellungen die einzig richtige Wahl im Windows Bereich.
    Wenn der Kunde des OP also weniger als 75 User hat, dann war der SBS imo schon die richige Wahl.

    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Samstag, 10. März 2012 21:04
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hi Oliver,

    hab mich da vielleicht doch falsch ausgedrückt mit dem wählerisch. Der SBS ist sicherlich das mächtigste Tool für die von dir genannte Zielgruppe. Ich glaube ein wenig lag mein Problem auch im korrekten Lesen des OPs bzw. einer irgendwie verqueren Assoziation mit SBS 2003 die ich da hatte. Da is ja dann nämlich das 21 Tage Fenster aktiv. Wobei auch das zu umgehen ist, wenn es mit Gewalt sein muss.

    Alles weitere (AD, PDC/FSMOs) wurde ja schon wunderbar klar gestellt. Asche auf mein Haupt.

    Semi-OT:

    Von Realnamen in Foren, Usenet, Newsgroups oder ähnlichem halte ich persönlich nicht viel. Wer es wirkich drauf anlegt wird eh rausfinden wer ich bin. Und obs nun wirklich ne Rolle spielt weiß ich nicht. Aber die Diskussion ist glaub schon so alt wie das deutschsprachige Mailbox/Newsgroupsystem. Englischsprachigen Foren is es meist völlig egal.

    Schönen Sonntag an alle die nicht arbeiten müssen. Sitz hier leider beim Exchange einrichten :-(

    Grüße

    Sonntag, 11. März 2012 14:13
    |
  • Question
    Anmelden
    0
    Anmelden
    Die 21 Tage sind nur relevant, wenn man einen SBS2003, SBS2008 oder SBS 2011 migriert.
    21 tage hat man dabei, den alten SBS aus dem AD DS zu entfernen, bevor der sich herunterfährt, bei nicht SBS basierten DCs gibt es diese Frist in Domänen mit SBS nicht.

    SBS Tipps unter: SBSfaq.de.de

    Oliver Sommer | MVP SBS | TrinityComputer.de | Fon +49 (5231) 458986-00
    SBS geeignete SSL Zertifikate von VeriSign/Thawte mit 3 Jahren Laufzeit für 95 EUR!! www.SBSTools.de
    Wake ON LAN (WOL) Erweiterung für SBS 2011, 2008 und 2003: www.SBSTools.de

    Sonntag, 11. März 2012 20:11
    |
    Moderator