pastors 10 Geschrieben 6. November 2008 Melden Teilen Geschrieben 6. November 2008 Hallo zusammen, von meinem Chef habe ich die ehrenvolle Aufgabe erhalten, unseren alten DC (inzwischen 7 Jahre alt) zu ersetzen. Insgesamt befindet sich neben dem alten DC, hält alle Rollen und war der Erste, noch ein zweiter DC. An den anderen Standorten befinden sich noch weitere DCs die alle mit dem Ersten DC replizieren. Der zweite DC repliziert "nur" mit dem Ersten (der ersetzt werden soll). Nun meine Fragen: 1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein. 2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden! 3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs? 4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten? Yo, das waren mal die Fragen. Wäre super wenn jemand helfen könnte :) Danke und viele Grüße Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 7. November 2008 Melden Teilen Geschrieben 7. November 2008 Nun meine Fragen:1. Alle unsere DC haben W2k3 SP1 drauf. Kann der neue auch mit SP2 bzw. R2 installiert sein. Dringende Empfehlung von Microsoft (und mir ;) ), alle DCs haben den gleichen SP-Stand. 2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden!Der Key wird nicht repliziert. In dem Fall ist weg=weg. Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist. 3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs? Warum das denn :eek: DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB). DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines. Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint). 4. Muss der alte DC mit dcpromo entfernt werden oder reicht es aus, diesen abzuschalten? Aber auf jeden Fall dcpromo, und DNS danach noch manuell aufraeumen. grizzly999 Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 7. November 2008 Autor Melden Teilen Geschrieben 7. November 2008 Hallo grizzly, persönlich nehme ich gar nichts :) bin doch froh wenn man mir hier weiterhilft :) 2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. Denke das könnte ein Problem werden ! Der Key wird nicht repliziert. In dem Fall ist weg=weg. Brauchtest du aber eh' nur im Falle einer EFS-Wiederherstellung, was vermutlich eher unwahrscheinlich ist. Also wird das public Zertifikat auch allen DCs gehalten. An das private komme ich eh nicht mehr ran. Von daher... 3. Der zu ersetzende DC ist überall als primärer DNS eingetragen und versorgt die ganzen Clients mit IPs (DHCP). Alle helper Adressen auf den Switchen zeigen auf diesen DC. Wenn der alte DC ausgeschaltet wird, kann ich im DNS einen Alias (cname) mit dem Name des alten DCs auf den neuen setzen? Kann man dies auch für die IP Adresse machen. Also quasi neben der richtigen IP noch eine virtuelle vergeben mit der IP des alten DCs? Warum das denn DHCP kann man mit netsh mehr als einfach migrieren (Anleitung in KB). DNS uerbenimmt der neue DC. Wo ist das problem, ich sehe da keines. Was du als Weg angesprochen hast, ist Mumpf (sorry, nicht persoenlich gemeint). War nur eine Idee. Wäre der Weg des geringsten Widerstands um es später wenn mehr Zeit da ist grade zu ziehen. Hab bei Yusuf zwei schöne Dokumente gefunden die den Weg beschreiben wie man am DC IP Adresse und Hostname nachträglich ändern kann. Schau mir das nochmals genau an. Dann sag ich nochmals Danke und wünsch dir ein schönes WE :) Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 7. November 2008 Melden Teilen Geschrieben 7. November 2008 Moin, unseren alten DC (inzwischen 7 Jahre alt) [...] 2. Wird das EFS Zertifikat automatisch auf die anderen DC repliziert? Mein Problem ist, der damalige Admin (inzwischen nicht mehr da) hat den privat Key nicht gesichert und das damalige Administrator Konto existiert nicht mehr. wenn die Domäne 7 Jahre alt ist und das EFS-Zertifikat nicht manuell erneuert wurde, ist es ohnehin wertlos. Es war nur drei Jahre gültig. Heißt: In den letzten vier Jahren konnte sowieso niemand mehr eine Datei so verschlüsseln, dass der RA sie entschlüsseln kann. Darüber hinaus ist das Zertifikat an den vordefinierten Administrator gebunden, und der existiert noch. Das Zertifikat gibt/gab es aber nur auf dem allerersten DC der Domäne. Also schalte EFS ab (per GPO) und hoffe, dass niemand was entschlüsselt haben will. Wenn du EFS brauchst, richte eine PKI ein und definiere einen neuen RA. Gruß, Nils Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 8. November 2008 Autor Melden Teilen Geschrieben 8. November 2008 Hallo, vielen Dank für die Infos. Eine allerletzte Frage hätte ich noch. Wir haben bei den jetzigen DCs das Schemaupdate von der R2 installiert aber nicht R2. Erhält der neue DC automatisch die Schemas von den alten DCs oder muss manuell das Schema nachinstalliert werden? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 10. November 2008 Melden Teilen Geschrieben 10. November 2008 Moin, Erhält der neue DC automatisch die Schemas von den alten DCs oder muss manuell das Schema nachinstalliert werden? das Schema gilt im ganzen Forest. Eine Erweiterung muss man nur einmalig durchführen, danach gilt sie auch für alle neuen DCs. Gruß, Nils Zitieren Link zu diesem Kommentar
pastors 10 Geschrieben 21. November 2008 Autor Melden Teilen Geschrieben 21. November 2008 Hallo, habe noch 1 bis 2 Probleme. Habe nun einen neuen DC hinzugefügt. Als primären DNS habe ich ihn selbst eingetragne, also 192.168.0.100. Diesem habe ich alle 5 FSMO Rollen gegeben. So, wenn ich die Maschine nun boote, dauert es ewig bis der Login möglich ist und danach meckert er, die Domäne sei nicht verfügbar. Trage ich aber als sekundär noch den anderen verbleibenden DC ein, funktioniert der neue DC wie er soll. Sollte der DC denn nicht bei sich selbst im DNS nachsehen oder hab ich was falsch verstanden??? Noch eine letzte FRage, wenn ich meinen allerersten DC herunterstufe, ist dann das public Zertifikat auch weg? Noch eine allerletzte Frage... im Fehlerlog meldet er immer, w32tm habe keinen ntpclient gefunden und wird es in 15,30,60,etc. Minuten nochmals versuchen. Dachte eigentlich der PDC sei automatisch der Zeitgeber in der Domäne an dem auch alle Server und Clients sich bedienen um die Zeitsynchronisation zu erledigen. Muss irgendwo noch etwas nachgetragen werden? Wäre super wenn jemand noch helfen könnte... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.