Jump to content

Schemaerweiterung, Funktionsmodus und die Frage nach Plan B

brager

Von brager
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

brager Newbie

brager   10

Geschrieben
Geschrieben

Hallo Zusammen,

 

ich möchte gerne unseren betagten Windows 2000 SP4 Domänencontroller ablösen und durch einen

Server 2008R2 ersetzen.

Der 2008R2 ist bereits im Rack und installiert und verwandelt momentan kalte Luft in warme.

 

In der Domäne gibt es ansonsten noch zwei 2003 Domaincontroller, einer davon ist virtualisiert.

Die Domänenfunktionsebene ist Windows 2000 gemischt und das Schema ist auf Version 30 (2003)

Weiterhin existiert in der Umgebung ein Exchange 2003.

Der Forest besteht auch nur aus dieser einen Umgebung und alle DC sind GC.

 

Mir sind die Schritte nun eigentlich klar:

 

- Domänenfunktionsebene auf Windows 2000 pur anheben

- Adprep32 /Forestprep auf dem Schemamaster (auch der 2000) von der 2008R2 DVD ausführen

- Adprep32 /Domainprep /Gpprep ausführen

- In den Eventlogs und mit tools wie dcdiag die Replikation von AD und DNS überprüfen

- Den 2008R2 zum DC hochstufen und die FSMO Rollen übertragen. Dienste wie WINS migrieren.

- Danach den Win 2000 Server sauber mit dcpromo herunterstufen und dann entspannt ins Wochenende gehen.

 

Soweit zur Theorie.

 

Nun ein paar Fragen zum Thema Sicherheit:

Angenommen etwas geht katastrophal schief, in wieweit ist ein Rollback möglich?

 

Macht es Sinn, den 2000 DC vom Netzwerk zu trennen bevor man die Funkionsebene heraufstuft oder wäre das eher kontraproduktiv oder sogar overkill?

 

Das gleiche vor dem Ausführen von adprep32 – sollte man hier den DC vom Netz trennen, warten bis die Aktualisierung abgeschlossen ist und wenn alles gut aussieht wieder ans Netz hängen und replizieren lassen? Oder wäre eine umgekehrte Lösung denkbar: Beispielsweise den virtuellen DC abstöpseln und notfalls diesen für eine Rekonstruktion benutzen?

 

Vielleicht mache ich mir auch einfach etwas viel Gedanken, ich habe die ganze Prozdur (Funktioslevel erhöhen | Adprep32 /Forestprep | Adprep32 /Domainprep /Gpprep) in einer virtuellen Umgebung mit zwei Servern durchgeführt aber das sind ja keine wirklichen Produktivsysteme.

 

Danke für Eure Meinungen und Ratschläge.

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

Mir sind die Schritte nun eigentlich klar

 

ok, schau aber sicherheitshalber nochmals in die beiden Links:

 

LDAP://Yusufs.Directory.Blog/ - Den ersten Windows Server 2008 R2 DC zur Gesamtstruktur hinzufügen

LDAP://Yusufs.Directory.Blog/ - Den einzigen Domänencontroller austauschen

 

Angenommen etwas geht katastrophal schief, in wieweit ist ein Rollback möglich?

 

Was genau meinst du mit "könnte" schief gehen? Wenn im AD-Schema nicht gepfuscht wurde, sollte ADPREP problemlos das AD-Schema erweitern. Aber auch wenn ADPREP abbrechen sollte, funktioniert die bestehende Umgebung weiterhin. Danach kontrolliert man warum genau ADPREP den Vorgang nicht abschließen konnte und behebt den Fehler. Denn jede Aktion die das ADPREP durchführt stellt eine Transaktion dar und somit können keine halben Attribute bzw. Klassen erstellt werden. Entweder das neue Attribut wird erstellt oder nicht. Bricht die AD-Schemaerweiterung mittendrin ab, wird die Schemaerweiterung lediglich nicht zu Ende geführt, aber das AD wird dadurch keineswegs Inkonsistent.

 

Für alle weiteren Probleme kommt es darauf an, welcher GAU genau eintritt. Bevor du anfängst, solltest du natürlich mindestens ein funktionierendes System State Backup von min. zwei DCs erstelllen.

 

LDAP://Yusufs.Directory.Blog/ - Hinweise zu ADPREP

 

Macht es Sinn, den 2000 DC vom Netzwerk zu trennen bevor man die Funkionsebene heraufstuft oder wäre das eher kontraproduktiv oder sogar overkill?

 

Nein, dass ist nicht notwendig. Du kannst dann eben keine NT-BDCs mehr zur Domäne hinzufügen, aber das möchtest du hoffentlich ohnehin nicht mehr. ;)

 

Das gleiche vor dem Ausführen von adprep32 – sollte man hier den DC vom Netz trennen, warten bis die Aktualisierung abgeschlossen ist und wenn alles gut aussieht wieder ans Netz hängen und replizieren lassen?

 

Das ist ebenfalls nicht notwendig und wird auch nicht empfohlen. Und nochmal, wenn das AD "Standard" ist, also keine unüberlegt "eigenen" Erweiterungen durchgeführt wurden, läuft das ADPREP sicher durch.

 

Oder wäre eine umgekehrte Lösung denkbar: Beispielsweise den virtuellen DC abstöpseln und notfalls diesen für eine Rekonstruktion benutzen?

 

Denkbar ist vieles in der IT, aber eine funktionierende System State Sicherung von min. zwei DCs sollte vorher erstellt werden.

 

Vielleicht mache ich mir auch einfach etwas viel Gedanken

 

Das ist ja auch gut so. Lieber vorher sich (auch wenns viele sind) Gedanken machen, als hinterher zu weinen. ;)

 

 

 

Viel Erfolg und du weißt ja wo du uns findest. :cool:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...