none
zwei weitere Server 2008 R2 DC hinzugefügt und nun...... RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo zusammen,

     

    ich habe soeben zwei weitere Server 2008 R2 64Bit DC in eine bestehende Domain hinzugefügt.

    Auf den neuen DC die IP und DNS Konfiguriert (DNS IP vom ersten bestehenden 2003 DC eingetragen)

    AD Services über den Rollen Manager installiert. DCPROMO lief ohne Probleme durch.

    Beide 2008 DC sind nun in der AD eingetragen.

    Im anschluss wurde auf den zwei neuen DC ihre eigene DNS IP als bevorzugter DNS eingetragen und die restlichen 3 DC IP ebenfalls.

    Somit hat jeder DC seinen eigenen DNS Server eingetragen und als zweiter, dritter, vierter jeweils die anderen.

    Nach eine kurzen Zeit haben sie die DNS einträge auf allen DNS Servern repliziert. WINS einträge ebenfalls.

    Nur bin ich bei AD Site & Services etwas mulmig... Den dort ist unter Sites -> SiteName -> Servers -> alle vier DCs eingetragen die auch alle GC sind. Wenn ich jedoch auf die NTDS Settings schaue, so sehe ich auf jedem Server nicht 3 Objekte sondern 2 Objekte.

    Also:

    DCSFBDC01 -> Server 2003: Unter NTDS Setting sind folgende Replikations Partner: DFBSDC01 & DFBSDC02

    DCSFBDC02 -> Server 2003 Unter NTDS Setting sind folgende Replikations Partner: DFBSDC01 & DFBSDC02

    DFBSDC01 -> Server 2008 R2 Unter NTDS Setting sind folgende Replikations Partner: DCSFBDC01 & DCSFBDC02

    DFBSDC02 -> Server 2008 R2 Unter NTDS Setting sind folgende Replikations Partner: DCSFBDC01 & DCSFBDC02

    Da fehlt doch jeweils ein Partner oder?? Es müssten doch drei Partner sein und nicht zwei.

     

    Oder wird diese so gehandelt von der AD aus, da es zwei DC mit 2008 und die anderen zwei mit 2003 laufen.

    PS: Hab mal ein ScreenShot erstellt vom 2008 DC wo man es sieht was ich mein..

     

    Danke für die Hilfe und Tipps.

     

    gruss mighty

    Donnerstag, 26. Mai 2011 11:20
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    So und hallo,

     

    erst mal danke Florian für die Antwort. Es ist richtig ich fixierte mich zu arg an die Darstellung.

    Nun ich hab folgendes gemacht.

    Hab unsere aktuelle SystemState Sicherung auf einer VM Umgebung wiederhergestellt. Als beide Server on waren, wurden zwei weitere 2008 Server als DC hinzugefügt.

    Nach kurzer Replikation sah ich unter Site and Services die gleiche Replikationsverteilung wie in der Produktion. Nun fing ich an die FSMO Rollen vom ersten DC 2003 auf den dritten DC 2008 zu transferieren. Hab diese über die AD mmc Console durchgenommen. Später habe ich über ntdsutil zur Sicherheit nochmals alle rollen auf den dritten 2008 dc übernommen sowie gegen kontrolliert.

    Nach dem nun alle Rollen übertragen wurden, fing ich an den zweiten 2003 DC zu demoten.

    Am anfang hin der Netlogon Service... durch ein klick auf "Back" und "Next" lief diese dann durch. Nach dem das demoten abgeschlossen war, fuhr ich den Server runter. Nun sah ich unter Site and Services auf allen drei verbliebenen Servern unterschiedliche Replikationspartner. Der eine Server hatte zwei Replikationspartner und der andere wiederim drei Replikationspartner.

    Auch beim demoten des ersten 2003 DC gab es den NETLOGON Time out. Wieder zurück klicken und vor klicken lief das demoten ebenfalls durch.

    Auch hier sah ich unter Site and Services, dass die zwei neuen 2008 DC sich gegenseitig eingetragen haben.

    Klar waren noch die alten Server zu sehen aber die automatische connection war nicht mehr da.

    Später bin ich durch den DNS und habe alle Leichen von den 2003 DC gelöscht. Nach einer kurzen Replikationsphase sah man unter Site und Services auch endgültig die 2008 DC mit einander replizieren.

     

    Somit war es klar, die Replikation macht es dynamisch und verteilt sich selbst.

    Wärend dem demoten waren als tests ein paar Clients angemeldet um zu sehen ob es Probleme geben könnte was sehr zum postivien keine Fehler gab.

     

    In der Ereignis Anzeige unter 2008 sehe ich ebenfalls keine Probleme wobei ich es noch testen werden. Aber es tut bis jetzt :-)

    Was ich manuell geändert habe war in der DNS Domain Zone unter _msdcs den eintrag auf den neuen 2008 PDC geändert habe. Da stand noch der alte 2003 drin.

     

    Aber so wie ich das gemacht habe ist es doch richtig oder? Also diese Schritte werde ich in der Produktion genau so machen. Kann quasi User anlegen, GPO ziehen, Replikation klappt.  

    Bin offen für eure Statements.

     

    Gruss

     


    • Als Antwort markiert mighty82 Donnerstag, 18. August 2011 21:17
    Freitag, 27. Mai 2011 13:36
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    keiner da der mit Helfen kann..

    gruss

    Donnerstag, 26. Mai 2011 14:52
    |
  • Question
    Anmelden
    0
    Anmelden
    Howdie!
     
    Am 26.05.2011 13:20, schrieb mighty82:
    > Nur bin ich bei AD Site & Services etwas mulmig... Den dort ist unter
    > Sites -> SiteName -> Servers -> alle vier DCs eingetragen die auch alle
    > GC sind. Wenn ich jedoch auf die NTDS Settings schaue, so sehe ich auf
    > jedem Server nicht 3 Objekte sondern 2 Objekte.
     
    Nicht jeder DC repliziert mit jedem. Active Directory und seine
    Komponenten bauen da (in deinem Fall) eine Ringtopologie auf, in der ein
    DC eben zwei Partner hat.
     
    Cheers,
    Florian
     
    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Donnerstag, 26. Mai 2011 15:08
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

     

    ok das bedeutet bei vier DC mit je zwei Server 2003 DC und zwei 2008R2 DC eine Ringtopologie aufgebaut wird?

    Somit ergibt sich folgende Replikationspartnerschaften die ich unter Site and Services sehe:

    dc01 (alte Server 2003) hat folgenden Replikationspartner:

    -> dc03 (neuer Server 2008 R2)

    -> dc04 (neuer Server 2008 R2)

    dc02 (alte Server 2003) hat folgenden Replikationspartner:

    -> dc03 (neuer Server 2008 R2)

    -> dc04 (neuer Server 2008 R2)

    dc03 (neuer Server 2008R2) hat folgenden Replikationspartner:

    -> dc01 (alter Server 2003)

    -> dc02 (alter Server 2003)

    dc04 (neuer Server 2008R2) hat folgenden Replikationspartner:

    -> dc01 (alter Server 2003)

    -> dc02 (alter Server 2003)

     

    Ich dachte hier das eben jeder Server jeden anderen Server als Replikationspartner enthält(quasi 3 Repl. Objekte). Dies war bei drei DC im Testsystem so abgebildet....

    Also ist das so OK?...

    WICHTIGE Hintergrundfrage: In den nächsten Monaten werden die alten Server 2003 DC aus der AD rausgenommen (via dcpromo) wird es da keine Probleme geben?? Ich mein wenn die neuen Server 2008R2 DC die alten Server 2003 DC als Replikationspartner haben....

     

    Und noch was :-)

    Ich habe bei allen DC unter bevorzugter DNS IP-Adresse die eigenen IP Adressen eingetragen und als sekundärer IP die des Replikationspartner. Was meint ihr? ist das Ok oder doch die DNS IP-Adressen überkreutz vergeben?

    Danke

    Donnerstag, 26. Mai 2011 15:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Also.

    So.....

    Ich habe in unserem Testsystem zwei DC mit je 2003 am laufen. Nun hatte ich vor einigen Wochen mal einen dritten 2008 r2 dc hinzugefügt. Soweit alles klar. Unter Site and Services waren auf allen NTDS Settings jeder Server als Replikationspartner enthalten.

    Soeben habe ich einen vierten 2008R2 DC hinzugefügt und mal beobachtet wie es mit der verteilung der Replikationspartner aussieht.

    Es sieht folgendermaßen aus: (es ist das Testsystem)

    server01 (alter server2003) hat folgende Replikationspartner*:

    -> server02 (alten server2003)

    -> server03 (neuen server2008R2)

    -> server04 (neuen server2008R2)

     

    -> server01 (alter server2003)

    -> server03 (neuer server2008R2)

    server03 (neuer server2008R2) hat folgende Replikationspartner*:

    -> server01 (alter server2003)

    -> server02 (alter server2003)

    -> server04 (neuer server2008R2)

    server04 (neuer server2008R2) hat folgende Replikationspartner*:

    -> server01 (alter server2003)

    -> server03 (neuer server2008R2)

     

    In diesem Szenario was ich im Testsystem habe, hätte ich keine sorge die alten 2003 DC herunterzustufen, da auf beiden Server 2008R2 noch der andere Server 2008R2 als Replikationspartner eingetragen ist (siehe Replikationspartner*).

    Mir steht die frage im Kopf wie ich in meinem letzten Beitrag  "siehe hier" das verstehen kann, das hier die Replikationspartner anderst verteilt sind als im Testsystem?.

    Wenn man sich die verteilung von meinem vorherigen Post sich anschaut, so haben die zwei Server 2008R2 als Replikationspartner die zwei alten Server 2003 enthalten. Und umgekehrt die Server 2003 haben als Replikationspartner die Server 2008R2.

    Und da stelle ich mir die Frage was wenn ich beide 2003 Server herunterstufe (davor die FSMO Rollen via ntdsutil rüber hole), sich die zwei 2008R2 Server weiterhin replizieren. Laut der mmc Konsole kennen die nur die zwei 2003 Server...

    Wird diese Dynamisch wieder eingerichtet und so zum anderen 2008R2 Server automatisch die Replikationsverbindung generiert?

     

    Danke für eure Tipps und Hilfen.

     

    Gruss

    Donnerstag, 26. Mai 2011 17:47
    |
  • Question
    Anmelden
    0
    Anmelden

    Howdie!

    Ich glaube du musst dich von dem Gedanken verabschieden, dass sich nur die DC "kennen", die auch eine Replikationsverbindung zueinander aufbauen. Jeder Domänencontroller hat Informationen darüber, welche anderen Domänencontroller es gibt, in welcher Site/wo sie stehen und welche Namenskontexte (Domäne, Schema, Konfiguration, DNS, ...) jeder andere Domänencontroller hostet.

    Aus dieser Information baut sich Active Directory seine Replikationstopologie zusammen. Da spielen eben diese Faktoren eine Rolle. Jeder DC muss alle für ihn relevanten NCs replizieren können - und dafür baut er eben Verbindungen auf. Solange alle DCs ihre relevanten NCs replizieren können ("repadmin /showrepl"), bist du fein raus.

    Ändert sich die Konfiguration, weil ein DC offline geht/demotet wird, berechnen die DCs die Topologie neu. Dann kanns sein, dass eben DCs, die vorher nicht miteinander repliziert haben, plötzlich in Kontakt treten.

    Vorausgesetzt DNS und physische Netzwerkverbindungen bestehen, dann werden deine 2008R2 die Replikation aufrechterhalten - auch wenn du die alten DCs herunterfährst.

    Wenn du nur-2008R2-DCs einsetzt, hast du dir Gedanken zur DES-Verschlüsselung und Abbruch des Supports von Trusts zu NT4-Domänen gemacht? Betreffen dich diese Änderungen in Server 2008 R2? http://technet.microsoft.com/de-de/library/dd560670(WS.10).aspx, http://blogs.technet.com/b/deds/archive/2009/11/04/kerberos-encryption-types-unter-windows-7-und-windows-server-2008-r2.aspx

    Cheers,

    Florian

     

    The views and opinions expressed in my postings do NOT correlate with the ones of my friends, family or my employer.
    Freitag, 27. Mai 2011 08:41
    |
  • Question
    Anmelden
    0
    Anmelden

    So und hallo,

     

    erst mal danke Florian für die Antwort. Es ist richtig ich fixierte mich zu arg an die Darstellung.

    Nun ich hab folgendes gemacht.

    Hab unsere aktuelle SystemState Sicherung auf einer VM Umgebung wiederhergestellt. Als beide Server on waren, wurden zwei weitere 2008 Server als DC hinzugefügt.

    Nach kurzer Replikation sah ich unter Site and Services die gleiche Replikationsverteilung wie in der Produktion. Nun fing ich an die FSMO Rollen vom ersten DC 2003 auf den dritten DC 2008 zu transferieren. Hab diese über die AD mmc Console durchgenommen. Später habe ich über ntdsutil zur Sicherheit nochmals alle rollen auf den dritten 2008 dc übernommen sowie gegen kontrolliert.

    Nach dem nun alle Rollen übertragen wurden, fing ich an den zweiten 2003 DC zu demoten.

    Am anfang hin der Netlogon Service... durch ein klick auf "Back" und "Next" lief diese dann durch. Nach dem das demoten abgeschlossen war, fuhr ich den Server runter. Nun sah ich unter Site and Services auf allen drei verbliebenen Servern unterschiedliche Replikationspartner. Der eine Server hatte zwei Replikationspartner und der andere wiederim drei Replikationspartner.

    Auch beim demoten des ersten 2003 DC gab es den NETLOGON Time out. Wieder zurück klicken und vor klicken lief das demoten ebenfalls durch.

    Auch hier sah ich unter Site and Services, dass die zwei neuen 2008 DC sich gegenseitig eingetragen haben.

    Klar waren noch die alten Server zu sehen aber die automatische connection war nicht mehr da.

    Später bin ich durch den DNS und habe alle Leichen von den 2003 DC gelöscht. Nach einer kurzen Replikationsphase sah man unter Site und Services auch endgültig die 2008 DC mit einander replizieren.

     

    Somit war es klar, die Replikation macht es dynamisch und verteilt sich selbst.

    Wärend dem demoten waren als tests ein paar Clients angemeldet um zu sehen ob es Probleme geben könnte was sehr zum postivien keine Fehler gab.

     

    In der Ereignis Anzeige unter 2008 sehe ich ebenfalls keine Probleme wobei ich es noch testen werden. Aber es tut bis jetzt :-)

    Was ich manuell geändert habe war in der DNS Domain Zone unter _msdcs den eintrag auf den neuen 2008 PDC geändert habe. Da stand noch der alte 2003 drin.

     

    Aber so wie ich das gemacht habe ist es doch richtig oder? Also diese Schritte werde ich in der Produktion genau so machen. Kann quasi User anlegen, GPO ziehen, Replikation klappt.  

    Bin offen für eure Statements.

     

    Gruss

     


    • Als Antwort markiert mighty82 Donnerstag, 18. August 2011 21:17
    Freitag, 27. Mai 2011 13:36
    |