Migration W2K3 ADS nach W2K8R2 ADS

Alle Antworten

• 

  

  0

  Anmelden

  Servus,

  > Nun möchte ich gerne zu einer neuen W2K8R2 ADS migrieren.

  du möchtest doch nicht migrieren, sondern die neuen DCs zur bestehenden Domäne hinzufügen und somit eine *Domänenaktualisierung* durchführen.

  > Dazu muss ich aber erst noch div. Dienste von den DC´s auslagern.

  Hm... was sind das denn für Dienste, die angeblich ausgelagert werden müssen?
  Denn wenn es sich um "reine" DCs handelt, muss nichts ausgelagert werden.

  > Einen Hostnamen würde ich gerne ändern, den anderen belassen.

  Den Computernamen eines DCs ändern ist nicht ganz ohne. Wenn es nicht zwingend notwendig ist, würde ich es vermeiden.
  Aber wenn der Computername geändert werden soll, dann *nur* mit NETDOM und _nicht_ über die GUI!

  > Wenn ich jetzt einen alten DC runterfahre und neu mit W2K8R2 installiere, dann kann ich ihn doch erstmal als Member Server der "alten" ADS hinzufügen, oder?

  Einen alten DC fährst du nicht einfach so herunter, sondern, du stufst ihn ordnungsgemäß mit DCPROMO zu einem Mitgliedsserver herunter.
  Dann kannst du den Server zu einer Arbeitsgruppe hinzufügen und anschließend das nun deaktivierte Computerkonto des Servers löschen.
  Aber das ganze machst du natürlich nur, nach dem alle Dienste/Daten auf die anderen DCs/Server verschoben wurde.
  An was du alles denken solltest, erfährst du hier:

  [LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen]
  http://blog.dikmenoglu.de/Den+Einzigen+Dom%c3%a4nencontroller+Austauschen.aspx

  Und ja, nach der Neuinstallation kannst du den Server zuerst als Mitgliedsserver zur Domäne hinzufügen, ehe du den Server mit DCPROMO zum DC stufst. Aber du kannst den Server auch direkt nach der Betriebssysteminstallation mit DCPROMO zum DC stufen und sparst dir somit einen Schritt und dadurch einen Neustart. :-) Die restlichen "Arbeiten" die du evtl. am Server durchführen möchtest, kannst du auch dann durchführen, wenn der Server ein DC ist. Aber das kannst du ja selbst entscheiden. ;-)

  >  Als DC kann ich ihn nicht definieren oder?

  Doch, natürlich. Warum soll das denn nicht funktionieren?
  Das funktioniert natürlich nur, wenn der neue Server seine eigene IP und einen eindeutigen Computernamen besitzt!

  > Oder wir wäre die korrekte Reihenfolge bei der Migration zu einer neuen ADS?

  Ich gehe ja immer noch von einer Domänenaktualisierung und nicht von einer Migration aus. Bei einer Migration migrierst du die AD-Objekte in eine neue Domäne und das willst du doch nicht tun? Wenn du eine Domänenaktualisierung durchführen möchtest, kannst du dich an diese Anleitung halten:

  [LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen]
  http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+R2+DC+Zur+Gesamtstruktur+Hinzuf%c3%bcgen.aspx

   

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  • Als Antwort markiert Yusuf DikmenogluModerator Montag, 17. Januar 2011 20:59

  Montag, 17. Januar 2011 09:55

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hallo Yusuf,

   

   

  warum NUR via netdom?

   

   

  Habe ich so noch nicht gehört...

   

  LG

   

  Andy

   

  --

  Andy Wendel

  Senior Trainer & Consultant

  Traicen GmbH

  http://www.traicen.com

   

   

  ---

  Don´t dream your live - life your dreams!!! Senior Trainer & Consultant TraiCen GmbH http://www.traicen.com

  Montag, 17. Januar 2011 10:12

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Salve,

  > warum NUR via netdom?

  das nennt man "Erfahrungswerte". Das Ändern des Computernamen eines DCs über die GUI, birgt mehr Probleme in der Praxis als mit NETDOM.
  Die Vorgehensweise mit NETDOM ist die "sanftere". Mit NETDOM wird zuerst ein weiterer Name hinzugefügt, dann dieser als "primär" definiert und dann erst der alte Computername entfernt. Das sollte so zwar auch über die GUI "in einem Rutsch" funktionieren, in der Praxis habe ich aber beim umbenennen eines DCs Probleme immer dann erlebt, wenn der DC über die GUI umbenannt wurde.

  Das heißt natürlich nicht, dass es über die GUI *gar nicht* funktioniert. Es geht... aber auch gerne mal was schief. ;-)

   

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Montag, 17. Januar 2011 10:24

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hi Yusuf,

  erstmal vielen Dank für die umfangreiche Antwort.

  Nun, Du hast Recht, es handelt sich um eine Domänenaktualisierung, nicht Migration.

  Auf dem einen "alten" DC läuft noch eine Root CA, deshalb muss ich den Namen behalten, stufe den DC aber natürlich zum Memberserver runter. Dann bringe ich den "neuen" dritten Server mit W2K8R2 ins Spiel, den ich mit neuem Namen, aber mit der IP Adresse vom "alten" DC (der mit der Root CA) bereitstelle und als DC hochstufe. Macht das Probleme wegen der IP, die ich übernehmen will oder soll ich besser eine neue IP vergeben?

  Was ist eigentlich mit den ganzen Trusts, die auf den DCs eingerichtet sind, kann ich die irgendwie exportieren und wieder auf den neuen DCs importieren oder gehen die verloren und müssen alle neu eingerichtet werden?

  DNS, WINS und DHCP kann ich doch auf dem "alten" runtergestuften ehem. DC jetzt Memberserver weiter laufen lassen, oder?

  Erstmal Danke!

  Viele Grüße, Anastasia

   

  Dienstag, 18. Januar 2011 11:09

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > Auf dem einen "alten" DC läuft noch eine Root CA, deshalb muss ich den Namen behalten

  OK.

  > Dann bringe ich den "neuen" dritten Server mit W2K8R2 ins Spiel, den ich mit neuem Namen,
  > aber mit der IP Adresse vom "alten" DC (der mit der Root CA) bereitstelle und als DC hochstufe.
  > Macht das Probleme wegen der IP, die ich übernehmen will oder soll ich besser eine neue IP vergeben?

  Die IP ist kein Problem, die lässt sich "einfacher" ändern als den Computernamen eines DCs.

  > Was ist eigentlich mit den ganzen Trusts, die auf den DCs eingerichtet sind, kann ich die irgendwie exportieren und wieder
  > auf den neuen DCs importieren oder gehen die verloren und müssen alle neu eingerichtet werden?

  Die Trusts bleiben dir natürlich erhalten, denn die sind ja im AD und *nicht* auf einem einzigen DC gespeichert. Wenn du z.B. in der MMC "AD-Benutzer und -Computer" die Ansicht "Erweiterte Features" aktivierst, findest du die TDOs (Trusted Domain Objects) im Container SYSTEM. Das TDO repräsentiert einen Trust.

  > DNS, WINS und DHCP kann ich doch auf dem "alten" runtergestuften ehem. DC jetzt Memberserver weiter laufen lassen, oder?

  Bis auf das DNS, ja. Denn wenn sich die Forward Lookup Zone (FLZ) im AD befindet (AD-integrierte FLZ), was idealerweise der Fall sein sollte, bringt das DNS auf einem Memberserver nichts. Denn was hat ein Memberserver nicht? Genau, kein AD. ;-)

   

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Dienstag, 18. Januar 2011 13:29

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hallo Anastasia,

  Auf dem einen "alten" DC läuft noch eine Root CA, deshalb muss ich den
  Namen behalten, stufe den DC aber natürlich zum Memberserver runter.

  Hmm - man mag mich korrigieren - aber wenn auf einem DC eine CA läuft - kann ich den DC nicht demoten - sondern muss zuerst die CA entfernen - und kann den DC dann erst demoten...

  Gruß

  Andy

  ---

  Don´t dream your live - life your dreams!!! Senior Trainer & Consultant TraiCen GmbH http://www.traicen.com

  Dienstag, 18. Januar 2011 16:39

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  >  sondern muss zuerst die CA entfernen - und kann den DC dann erst demoten...

  Das ist korrekt!

  Des Weiteren ist mir eingefallen, dass beim Verschieben einer CA, der *Computername* ab Windows Server 2008 anders lauten darf.

  Siehe auch:

  [Performing the Upgrade or Migration]
  http://technet.microsoft.com/en-us/library/cc742388(WS.10).aspx

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Dienstag, 18. Januar 2011 22:01

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  > Dann bringe ich den "neuen" dritten Server mit W2K8R2 ins Spiel, den ich mit neuem Namen,
  > aber mit der IP Adresse vom "alten" DC (der mit der Root CA) bereitstelle und als DC hochstufe.
  > Macht das Probleme wegen der IP, die ich übernehmen will oder soll ich besser eine neue IP vergeben?

  Die IP ist kein Problem, die lässt sich "einfacher" ändern als den Computernamen eines DCs.

  > Was ist eigentlich mit den ganzen Trusts, die auf den DCs eingerichtet sind, kann ich die irgendwie exportieren und wieder
  > auf den neuen DCs importieren oder gehen die verloren und müssen alle neu eingerichtet werden?

  Die Trusts bleiben dir natürlich erhalten, denn die sind ja im AD und *nicht* auf einem einzigen DC gespeichert. Wenn du z.B. in der MMC "AD-Benutzer und -Computer" die Ansicht "Erweiterte Features" aktivierst, findest du die TDOs (Trusted Domain Objects) im Container SYSTEM. Das TDO repräsentiert einen Trust.

  > DNS, WINS und DHCP kann ich doch auf dem "alten" runtergestuften ehem. DC jetzt Memberserver weiter laufen lassen, oder?

  Bis auf das DNS, ja. Denn wenn sich die Forward Lookup Zone (FLZ) im AD befindet (AD-integrierte FLZ), was idealerweise der Fall sein sollte, bringt das DNS auf einem Memberserver nichts. Denn was hat ein Memberserver nicht? Genau, kein AD. ;-

  Okay, danke für die weiteren Infos.

  Spricht was dagegen?

  1. Einen neuen DC mit W2K8R2 ins Spiel bringen mit einem anderen Hostnamen und einer anderen IP Adresse und soweit mit DNS inkl. FLZ und WINS installiere

  2. Alten DC runterstufen und vorher natürlich die CA auf einen anderen Server migrieren (Vielen Dank auch für Deinen Hinweis auf den Technet Artikel!!!)

  3. Alten DC ausschalten

  4. Am neuen DC die IP Adresse vom alten DC eintrage? <- Ist das möglich?

  Vielen Dank, Anastasia

  Mittwoch, 19. Januar 2011 09:07

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Ich hab´s mir anders überlegt:

  1. CA auf alten W2K3 DC sichern
  2. Alle anderen Einstellungen soweit wie möglich dokumentieren und sichern
  3. DC runterstufen und aus der Domäne nehmen
  4. Abschl. alten DC ausschalten
  5. Neuen W2k8R2 Server installieren mit gleichen Namen und IP
  6. Als DC der Domäne hinzufügen
  7. CA restoren und testen

  Da der alte und der neue Server jeweils als VM laufen kann ich vorher noch div. Clones vom alten erzeugen, die ich dann ggf. ohne Netzwerk hochfahren könnte, um div. Einstellungen etc. nachschauen zu können.

  Was haltet Ihr davon?

  Viele Grüße, Anastasia

  Mittwoch, 19. Januar 2011 10:08

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  > Am neuen DC die IP Adresse vom alten DC eintrage? <- Ist das möglich?

  Ja, dass ist möglich.

  [LDAP://Yusufs.Directory.Blog/ - Die IP - Adresse eines Domänencontrollers ändern]
  http://blog.dikmenoglu.de/Die+IP+Adresse+Eines+Dom%c3%a4nencontrollers+%c3%84ndern.aspx

  Der Rest ist auch ok. Denke nur daran, den alten DC auch mit DCPROMO herunterzustufen (wenn alles andere durchgeführt wurde) und ihn nicht einfach so auszuschalten. Sonst protokollieren die anderen DCs Fehler im Eventlog und du hättest noch eine "Leiche" im AD.

  Viel Erfolg!

  ---

  Viele Grüße aus Mainz
  Yusuf Dikmenoglu - Microsoft MVP - Directory Services
  Blog: LDAP://Yusufs.Directory.Blog/
  Jetzt anmelden an der: AD Mailingliste

  Mittwoch, 19. Januar 2011 10:30

  Antworten

  |

  Zitieren

  Moderator
• 

  

  0

  Anmelden

  Hallo Yusuf,

  okay, dann werde ich das mal versuchen. Muss aber noch einiges vorbereiten, bevor es losgehen kann. Ansonsten melde ich mich nochmal.

  Erstmal vielen Dank bis dahin.

  Viele Grüße, Anastasia

  Donnerstag, 20. Januar 2011 07:47

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  So, nun ist es vollbracht:

  Der alte Windows Server 2003 DC ist jetzt der erste Windows Server 2008 R2 DC in unserer ADS. Gesamtstruktur und Domäne sind jetzt angehoben auf Windows Server 2008 R2.

  Nun fehlt noch der "Ober"-DC, auch ein Windows Server 2003 DC, der die FSMO Rollen inne hat und Schemamaster ist.

  Die FSMO Rollen sollte ich auf jeden Fall auf den neuen W2K8R2 DC übertragen, oder?

  Auch befindet sich auf dem alten DC noch eine Root CA, die ich vorher sichern müsste.

  Was gibt es besonderes zu beachten, wenn ich nun auch den Master, und damit auch letzten DC, umstelle, d.h. runterstufe, neu installiere und wieder als DC in die ADS integriere?

  Danke für Eure Tipps!

  Viele Grüße, Anastasia

  Donnerstag, 24. Februar 2011 07:55

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi,

  Am 24.02.2011 08:55, schrieb Anastasia Wickels:

  letzten DC, umstelle, d.h. runterstufe,

  ähm, wenn du den letzten DC herunterstufts, hast du kein AD mehr,
  dem du hinterher beitreten könntest. Das ist dann weg.

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:    www.gruppenrichtlinien.de - deutsch
  GPO Tool:    www.reg2xml.com - Registry Export File Converter
  NNTP Bridge: http://communitybridge.codeplex.com/releases

  Donnerstag, 24. Februar 2011 08:02

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi Mark,

  also, ich habe 2 DCs, einen habe ich schon umgestellt auf W2K8R2 und der andere soll jetzt folgen, den meinte ich mit "den letzten DC".

  Das sollte doch kein Problem sein, oder, der andere DC läuft doch.

  Viele Grüße, Anastasia

  Donnerstag, 24. Februar 2011 08:10

  Antworten

  |

  Zitieren