none
Server 2008 in 2000 Mode Domain (Function Level) einfügen RRS feed

  • Frage

  • Hallo Zusammen,

    ich habe vor einen Server 2003 DC (Schema Master) auf Server 2008 zu aktualisieren. Bisher gibt es noch keinen Server 2008 im Forest. Da der bisherige Server ein 32 bit System und das 2008 ein 64bit System werden soll, ist ein in-place-upgrade nicht möglich. Darum würde ich es gerne über folgenden Weg (s. unten) machen. Ich würde mich freuen, wenn Ihr das mit euren Erfahrungen kommentieren könnten.

    Konfiguration:
    Domain Funktion Level: 2000 pur
    Vertrauensstellung: 1x untergeordnet transitiv sowie 1x extern
    SRV-1: Server 2003 SP2, Schema Master, DNS, WINS, Printserver
    SRV-2: Server 2000 SP4, Infratstrukturmaster, Fileserver
    SRV-3: Server 2000 SP4, keine Rolle (Terminalserver)

    Workflow:

    1.       Vorbereiten aller Server der Gesamtstruktur (SRV1-3)

    a.        Alle Server auf das gleiche MS Patchlevel bringen

    b.       Funktionsfähiges Backup aller Server erstellen

    c.        Auf allen Server dcdiag und netdiag ausführen, Server durchstarten und prüfen ob die Replikation funktioniert

    d.       DNS Aufräumvorgang auf allen DNS Servern auf 7 Tage setzen und aktivieren, WINS aufräumen

    e.       Gesamtstruktur von SRV-1 aus durchreplizieren + Logs prüfen

    2.       Installieren von DNS und WINS auf SRV-3

    4.       Übertragung des Schemamasters von SRV-1 auf SRV-3 (SRV-2 ist und bleibt Infrastrukturmaster)

    5.       Gesamtstruktur replizieren und prüfen

    6.       Sicherung der Drucker, Einstellungen, etc. von SRV-1

    7.       Denote SRV-1 und entfernen aus der Domain

    8.       Vorbereiten der Domain für 2008

    a.       Von SRV-3 (Server 2008 DVD) aus Adprep /forestprep ausführen

    b.       Von SRV-2 (Server 2008 DVD) aus Adprep /domainprep sowie Adprep /domainprep /gpprep ausführen

    9.       Server 2008 auf SRV-1 neuinstallieren

    a.        Treiber + Updates + Logs prüfen

    b.       Dcdiag + netdiag

    10.    SRV-1 zum DC heraufstufen + DNS + WINS + GC aktivieren

    11.    Schemamaster von SRV-3 wieder auf SRV-1 übertragen

    12.    Gesamtstruktur replizieren + prüfen

    13.    Drucker, WSUS, ... auf SRV-1 installieren

    In einem späterem Schritt sollen dann auch SRV2+3 auf Server 2008 gebracht werden, aber dies soll gesondert erfolgen.

    Hat das aktualisieren der AD-Struktur auch Einfluss auf die Vertrauensstellung. Sprich, muss ich z.B. die untergeordnete Domain ebenfalls für 2008 vorbereiten. M.E. nicht, aber ich frage zur Sicherheit lieber nach.

    Vielen Dank im voraus für eure Hilfe.

    Grüße
    Andreas Kruber

    Donnerstag, 11. August 2011 10:21

Antworten

  • Am 11.08.2011 schrieb Andreas.Kruber:
    Hi,

    Konfiguration:
    Domain Funktion Level: 2000 pur
    Vertrauensstellung: 1x untergeordnet transitiv sowie 1x extern
    SRV-1: Server 2003 SP2, Schema Master, DNS, WINS, Printserver
    SRV-2: Server 2000 SP4, Infratstrukturmaster, Fileserver
    SRV-3: Server 2000 SP4, keine Rolle (Terminalserver)

    Gibts nen Grund, warum du die FSMOs auf unterschiedliche Server verteilst?

    Workflow:

    1.      Vorbereiten aller Server der Gesamtstruktur (SRV1-3)

    Also adprep /forestprep ;)

    2.       Installieren von DNS und WINS auf SRV-3

    Wozu? Der ist jetzt schon DC? (als Terminalserver sowieso nicht zu
    empfehlen) Und wenn er schon DC ist, warum hat er dann noch keinen DNS
    drauf?

    4.      Übertragung des Schemamasters von SRV-1 auf SRV-3 (SRV-2 ist und bleibt Infrastrukturmaster)

    Siehe oben. Warum verteilst du die FSMO? Und wo sind die anderen drei?

    5.      Gesamtstruktur replizieren und prüfen

    Wie oft willst du die denn replizieren? ;)


    6.      Sicherung der Drucker, Einstellungen, etc. von SRV-1

    7.      Denote SRV-1 und entfernen aus der Domain

    OK, aber ich vermute demote. ;)

    8.      Vorbereiten der Domain für 2008

    a.       Von SRV-3 (Server 2008 DVD) aus Adprep /forestprep ausführen

    b.      Von SRV-2 (Server 2008 DVD) aus Adprep /domainprep sowie Adprep /domainprep /gpprep ausführen

    Vollkommen wurscht, wo du das ausführst. Ich vermute du machst dir Gedanken
    wegen deiner Verteilung der FSMO?

    9.      Server 2008 auf SRV-1 neuinstallieren

    a.       Treiber + Updates + Logs prüfen

    b.      Dcdiag + netdiag

    10.   SRV-1 zum DC heraufstufen + DNS + WINS + GC aktivieren

    11.   Schemamaster von SRV-3 wieder auf SRV-1 übertragen

    12.   Gesamtstruktur replizieren + prüfen

    13.   Drucker, WSUS, ... auf SRV-1 installieren

    In einem späterem Schritt sollen dann auch SRV2+3 auf Server 2008 gebracht werden, aber dies soll gesondert erfolgen.

    Hat das aktualisieren der AD-Struktur auch Einfluss auf die Vertrauensstellung. Sprich, muss ich z.B. die untergeordnete Domain ebenfalls für 2008 vorbereiten. M.E. nicht, aber ich frage zur Sicherheit lieber nach.

    Wenns keine NT Domain ist, sollte es dort keine Probleme zu erwarten geben.

    Ansonsten ganz lang geschrieben für:
    - Bestehende Domain auf Konsistenz prüfen
    - Alten DC deinstallieren
    - Schemaupdate durchführen
    - Server installieren
    - Neuen DC hinzufügen. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Donnerstag, 11. August 2011 12:40
  • Servus,

    > Vollkommen wurscht, wo du das ausführst.

    ne ne... "wurscht" ist das nicht.

    ADPREP /FORESTPREP muss zwingend aus dem Schemamaster und ADPREP /DOMAINPREP /GPPREP auf dem Infrastrukturmaster ausgeführt werden. Ansonsten meckert ADPREP mit einer eindeutigen Meldung.


    [LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen]
    http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+DC+Zu+Einer+Windows+20002003R2+Gesamtstruktur+Hinzuf%c3%bcgen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen]
    http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+R2+DC+Zur+Gesamtstruktur+Hinzuf%c3%bcgen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen]
    http://blog.dikmenoglu.de/Den+Einzigen+Dom%c3%a4nencontroller+Austauschen.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Freitag, 12. August 2011 21:16
    Moderator

Alle Antworten

  • Am 11.08.2011 schrieb Andreas.Kruber:
    Hi,

    Konfiguration:
    Domain Funktion Level: 2000 pur
    Vertrauensstellung: 1x untergeordnet transitiv sowie 1x extern
    SRV-1: Server 2003 SP2, Schema Master, DNS, WINS, Printserver
    SRV-2: Server 2000 SP4, Infratstrukturmaster, Fileserver
    SRV-3: Server 2000 SP4, keine Rolle (Terminalserver)

    Gibts nen Grund, warum du die FSMOs auf unterschiedliche Server verteilst?

    Workflow:

    1.      Vorbereiten aller Server der Gesamtstruktur (SRV1-3)

    Also adprep /forestprep ;)

    2.       Installieren von DNS und WINS auf SRV-3

    Wozu? Der ist jetzt schon DC? (als Terminalserver sowieso nicht zu
    empfehlen) Und wenn er schon DC ist, warum hat er dann noch keinen DNS
    drauf?

    4.      Übertragung des Schemamasters von SRV-1 auf SRV-3 (SRV-2 ist und bleibt Infrastrukturmaster)

    Siehe oben. Warum verteilst du die FSMO? Und wo sind die anderen drei?

    5.      Gesamtstruktur replizieren und prüfen

    Wie oft willst du die denn replizieren? ;)


    6.      Sicherung der Drucker, Einstellungen, etc. von SRV-1

    7.      Denote SRV-1 und entfernen aus der Domain

    OK, aber ich vermute demote. ;)

    8.      Vorbereiten der Domain für 2008

    a.       Von SRV-3 (Server 2008 DVD) aus Adprep /forestprep ausführen

    b.      Von SRV-2 (Server 2008 DVD) aus Adprep /domainprep sowie Adprep /domainprep /gpprep ausführen

    Vollkommen wurscht, wo du das ausführst. Ich vermute du machst dir Gedanken
    wegen deiner Verteilung der FSMO?

    9.      Server 2008 auf SRV-1 neuinstallieren

    a.       Treiber + Updates + Logs prüfen

    b.      Dcdiag + netdiag

    10.   SRV-1 zum DC heraufstufen + DNS + WINS + GC aktivieren

    11.   Schemamaster von SRV-3 wieder auf SRV-1 übertragen

    12.   Gesamtstruktur replizieren + prüfen

    13.   Drucker, WSUS, ... auf SRV-1 installieren

    In einem späterem Schritt sollen dann auch SRV2+3 auf Server 2008 gebracht werden, aber dies soll gesondert erfolgen.

    Hat das aktualisieren der AD-Struktur auch Einfluss auf die Vertrauensstellung. Sprich, muss ich z.B. die untergeordnete Domain ebenfalls für 2008 vorbereiten. M.E. nicht, aber ich frage zur Sicherheit lieber nach.

    Wenns keine NT Domain ist, sollte es dort keine Probleme zu erwarten geben.

    Ansonsten ganz lang geschrieben für:
    - Bestehende Domain auf Konsistenz prüfen
    - Alten DC deinstallieren
    - Schemaupdate durchführen
    - Server installieren
    - Neuen DC hinzufügen. ;)

    Bye
    Norbert


    Dilbert's words of wisdom #18:
    Never argue with an idiot. They drag you down to their level then beat you
    with experience.

    Donnerstag, 11. August 2011 12:40
  • Servus,

    > Vollkommen wurscht, wo du das ausführst.

    ne ne... "wurscht" ist das nicht.

    ADPREP /FORESTPREP muss zwingend aus dem Schemamaster und ADPREP /DOMAINPREP /GPPREP auf dem Infrastrukturmaster ausgeführt werden. Ansonsten meckert ADPREP mit einer eindeutigen Meldung.


    [LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 DC zu einer Windows 2000/2003/R2 Gesamtstruktur hinzufügen]
    http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+DC+Zu+Einer+Windows+20002003R2+Gesamtstruktur+Hinzuf%c3%bcgen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen]
    http://blog.dikmenoglu.de/Den+Ersten+Windows+Server+2008+R2+DC+Zur+Gesamtstruktur+Hinzuf%c3%bcgen.aspx

    [LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen]
    http://blog.dikmenoglu.de/Den+Einzigen+Dom%c3%a4nencontroller+Austauschen.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Freitag, 12. August 2011 21:16
    Moderator
  • Richtig Yusuf, diese Information hatte ich sogar aus deinem Blog ;-)

    Im Übrigen hat alles geklappt. Der erste 2008er DC ist in der Domäne angekommen.

    @Norbert: Um auf ein paar deiner Anmerkungen einzugehen: Die FSMO Rollen (v.a. die Infrastrukturrolle) lag auf einem anderen Server, der kein GC war. Das könnte ich in Zukunft sicherleich auf einem vereinen, wenn ich alle DCs zu GCs mache, korrekt?

    Ansonsten repliziere ich lieber einmal mehr als zu wenig. Aber du hast sicherlich recht, ich bin meist übervorsichtig.

    Warum ist es nicht empfohlen auf einem DC einen Terminalserver laufen zu lassen?

    Danke und Gruß

    Andreas

    Samstag, 13. August 2011 17:32
  • Am 13.08.2011 19:32, schrieb Andreas.Kruber:

    Warum ist es nicht empfohlen auf einem DC einen Terminalserver laufen zu lassen?

    Der Schaden, der angerichtet werden kann, wenn schlechte Software auf
    dem TS läuft oder Sicherheitslücken existieren, die einen Benutzer zum
    Admin machen, haben msssiv größere Auswirkungen, als wenn es nur ein
    Memberserver ist.

    http://www.gruppenrichtlinien.de/HowTo/Wie_werde_ich_lokaler_Administrator.htm
    Mach das an einem DC und ich bin DomainAdmin und 1.500 Leute können
    morgen nicht mehr arbeiten ... dann doch lieber nur den TS beerdigen,
    anstelle vom gesammten AD im Falle eines Fehlers.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Samstag, 13. August 2011 18:17
  • > Richtig Yusuf, diese Information hatte ich sogar aus deinem Blog ;-)

    Des hassu aba fein jemacht. ;-)

    > Das könnte ich in Zukunft sicherleich auf einem vereinen, wenn ich alle DCs zu GCs mache, korrekt?

    Korrekt, wenn alle DCs in der Domäne GC sind, spielt es keine Rolle auf welchem DC sich der Infrastrukturmaster befindet, da er schlichtweg nichts mehr zu tun hat. Und des steht auch hier:

    [LDAP://Yusufs.Directory.Blog/ - Die FSMO-Rollen verschieben]
    http://blog.dikmenoglu.de/Die+FSMORollen+Verschieben.aspx

    ;-)

    > Warum ist es nicht empfohlen auf einem DC einen Terminalserver laufen zu lassen?

    Zusätzlich zu den Erläuterungen von Mark. Wer bitte schön lässt denn freiwillig User auf das "Herz" einer AD-Domäne, sprich auf einen DC?

    Du solltest den folgenden Artikel beherzigen, wir meinen es nur gut mit dir!

    [LDAP://Yusufs.Directory.Blog/ - Warum es ein dedizierter DC sein sollte!]
    http://blog.dikmenoglu.de/Warum+Es+Ein+Dedizierter+DC+Sein+Sollte.aspx

     


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Samstag, 13. August 2011 20:10
    Moderator
  • Am 12.08.2011 schrieb Yusuf Dikmenoglu:
    Hi,

    Vollkommen wurscht, wo du das ausführst.

    ne ne... "wurscht" ist das nicht.

    Doch ist es, denn er bekommt die Meldung, wo er es auszuführen hat, wenn es
    nicht der "richtige" DC ist. Man müßte dann nur noch die Meldung auch lesen
    und verstehen. :p

    Bye
    Norbert


    Dilbert's words of wisdom #34:
    When you don't know what to do, walk fast and look worried.

    Montag, 15. August 2011 07:27