none
Problemi di messa in produzione di un dominio SBS 2011 aggiornato a 2016 STD in fase di test RRS feed

  • Domanda

  • Buongiorno,

    ho il problema della migrazione di un dominio da SBS2011 verso windows server 2016 STD:

    Avendo a disposizione un ambiente di test ho utlizzato una replica dei due server in VLAN separata dalla rete lan e da internet.

    Ho seguito le istruzioni da:

     /migrate-sbs-2011-standard-to-windows-server-2016/  preso su internet su un sito windowsessential..

    E nella migrazione del dominio sembrava tutto ok. Tanto che ho rimosso l'SBS 2011 domain controller. 

    Lasciando solo qualche applicazione IIS e SQL (Questo sembre in ambiente di test)

    A questo punto ieri, mi sono portato fuori il server DC2016 dall'ambiente di test e l'ho messo in produzione.

    Prima di accenderlo ho spento l'SBS2011 di produzione (che ovviamente gestisce ancora il dominio), ma all'accensione sembra che incontri delle difficorltà con la rete, è come se i PC "mandassero in rete le informazioni del SBS 2011 spento"

    Fra l'altro su un terzo server dove ho i servizi RDS attivati, questi sembrano non funzionare. Se provo ad aprire una sessione RDP mi dice che non ci sono le relazioni di trust (Eppure è lo stesso dominio!!!)

    Visto che la VM con il 2016 ormai era lavoro finito, pensavo di isolare temporaneamente l'SBS2011 e metterlo in VLAN, togliere il DC per poi rimetterlo in LAN.

    Devo per caso rifare tutta l'operazione di passaggio del dominio da sbs2011 a wind 2016 in ambiente di produzione???

    Poi una volta tolto il servizio AD e rimosso il DC dal server SBS2011, potrei tenerlo come server membro del dominio??

    Grazie in anticipo a chi potrà rispondermi.

    Enzo
    martedì 26 gennaio 2021 13:51

Tutte le risposte

  • Non puoi mettere da un ambiente di test un domain controller in produzione, così come hai fatto!!!

    Mentre tu stavi lavorando nell'ambiente di test, quello di produzione si è modificato radicalmente e l'introduzione del dc2016 e spegnimento di sbs, sono manovre molto "infelici" (e sono stato buono, il termine appropiato sarebbe un'altro.)

    Purtroppo ci sono dei concetti base di AD che sfuggono a tanti. La virtualizzazione con le possibilità che offre di snapshot e di ripristino  facilitato di un server, aiuta tantissimo il sistemista, ma quando si tratta DI Domain ControllerS (se il DC è UNO SOLO, tutti santi ci aiutano, anche se delle problematiche potrebbero insorgere...) bisogna fare attenzione, anzi usare un approccio totalmente diverso.

    "Devo per caso rifare tutta l'operazione di passaggio del dominio da sbs2011 a wind 2016 in ambiente di produzione???"

    Mi viene da dire che è un casino totale, non so cosa possa essere successo nell'ambiente di produzione, dipende molto dal " mi sono portato fuori il server DC2016"... se vuoi dire che gli hai cambiato vlan, nè i pc, nè il server rdp, nè sbs, è comparso nella rete un DC del dominio, non autorizzato, non allineato, un alieno sconsciuto, in questo caso forse ti salvi, butti via il dc2016 e speri che non ci siano state ripercussioni.

    "Poi una volta tolto il servizio AD e rimosso il DC dal server SBS2011, potrei tenerlo come server membro del dominio??"

    No, sia come tipo di licenza associata, che come prerequisiti tecnici, SBS deve essere un DC e detenere i ruoli FMSO, livello di funzionalità w2008r2 max e un SO fuori supporto...

    Leggiti la documentazione  e link che trovi:

    https://social.technet.microsoft.com/Forums/windowsserver/it-IT/c1670433-9e11-4008-9245-946739af2032/w2012-r2-problema-quotnome-principale-di-destinazione-scorrettoquot?forum=windowsserverit

    Microsoft, negli anni passati, appena sono cominciati a verificarsi questi problemi, ha rilasciato tantissima documentazione per evitare che i suoi clienti incappassero in questi errori, risutato, le problematiche sono continuate, grazie a tanti che dicono: mai avuti problemi, perchè MS ci vuole complicare la vita con queste procedure? Authoritative non-authoritative? What?

    Le anomalie dovute a restore di snapshot o restore di interi DC virtuali, molto spesso non vengono nemmeno individuate come causa, difficile trovare quello che non si conosce, si da la colpa ad altro...
    Appena finito, tutto pare funzionare bene, saltuariamente es. un utente non si logga, ma un minuto dopo si, dopo due mesi  qualcosa non si replica, da subito qualche errore negli eventi, relazione di trust problematica di un pc..., password non allineate....etc. e dopo mesi ci si è dimenticati del restore di uno snapshot del DC.

    Con windows 2019, microsoft ha cercato di mitigare questi errori di ripristino fatti in ambienti virtuali, offrendo un sistema più resiliente ad operazioni  non ortodosse, cercando di prevedere i possibili errori del sistemista di turno!

    Altri link di studio:

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/virtualized-domain-controllers-hyper-v

    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/introduction-to-active-directory-domain-services-ad-ds-virtualization-level-100

    https://readthedocs.org/projects/veeambp/downloads/pdf/latest/


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here




    martedì 26 gennaio 2021 21:02
    Moderatore
  • Grazie Gastone,

    mi permetto di dirti che questi sono interventi che non faccio quasi mai, quindi ho poca esperienza. 

    Solo 4-5 anni fa mi è successo di migrare un dominio da windows 2000 a windows 2016 (con ovvi passaggi intermedi).

    Però non pensavo che ci fossero tutti questi "problemi".

    • Mentre tu stavi lavorando nell'ambiente di test, quello di produzione si è modificato radicalmente

    in effetti facendo il dcdiag dopo l'accensione del win2016 ho notato che c'erano degli errori ... senza senso.

    (Facilmente) credevo che spegnendo il DC funzionante in VLAN avrebbe poi funzionato in produzione.

    Dai link che mi hai dato anche se ho dato un'occhiata veloce ora ho capito....

    • Appena finito, tutto pare funzionare bene, saltuariamente es. un utente non si logga, ma un minuto dopo si, dopo due mesi  qualcosa non si replica, da subito qualche errore negli eventi, relazione di trust problematica di un pc..., password non allineate....etc. e dopo mesi ci si è dimenticati del restore di uno snapshot del DC.

    Ora mi spiego come mai dopo la migrazione del dominio da win2000 server a windows2016 per alcuni client incontravo il messaggio che negava la relazione di trust dello stesso pc al dominio obbligandomi poi a fare un rejoin.....

    Quindi sostanzialmente in base a quello che mi dici, mi conviene prima di tutto "smontare" pezzo per pezzo l'sbs2011 spostando i vari applicativi di terze parti su un app server e poi una volta che è rimasto a fare solo da domain controller unire il win2016 come controller aggiuntivo e magari dopo 1-2 settimani spostare i ruoli FMSO sul win2016 e spegnere l'sbs2011. Corretto??


    • Modificato Enzo_91025 mercoledì 27 gennaio 2021 15:43
    mercoledì 27 gennaio 2021 15:43
  • ...

    Quindi sostanzialmente in base a quello che mi dici, mi conviene prima di tutto "smontare" pezzo per pezzo l'sbs2011 spostando i vari applicativi di terze parti su un app server e poi una volta che è rimasto a fare solo da domain controller unire il win2016 come controller aggiuntivo e magari dopo 1-2 settimani spostare i ruoli FMSO sul win2016 e spegnere l'sbs2011. Corretto??

    Assolutamente corretto.


    Gastone Canali >


    Se alcuni post rispondono al tuo quesito, ricorda di contrassegnarli come risposta e non dimenticare anche i post utili. GRAZIE! Dai un occhio ai link Click Here and Here Leaderboard Here

    mercoledì 27 gennaio 2021 23:52
    Moderatore