Migration von zwei 2003 DCs nach 2008R2...

[gizi 10]

Tag zusammen,

ich stehe vor der Aufgabe zwei DC´s Windows 2003 nach 2008R2 zu migrieren, jetzt habe ich mir schon ein paar Schritte überlegt und bin mir nicht zu 100% Sicher ob das so passt. Vielleicht kanns sich das mal jemand von euch anschauen und mir sagen ob das Vorgehen so ne gute Idee ist:

 

Domain Migration von Windows 2003 auf 2008 R2 DC

Folgende Ausgangssituation:

 

2x Domain Controller 2003 DC1: 192.168.xx.1, 192.168.xx.2

DC2: 192.168.xx.3, 192.168.xx.4

 

Beide Windows 2003 Domain Controller haben den aktuellen Patch stand. Ziel soll es sein beide Domain Controller von Windows 2003 nach Windows 2008R2 Standard zu migrieren.

 

Die FSMO Rollen werde im Moment vom DC1 Server verwaltet. Der DC2 Server ist Backup DC. Funktion LVL des Forest ist Windows 2003, Domain Funktionslevel ist 2003.

Schema Erweiterungen sind von Windows 2008R2 Server eingespielt.

 

Die Migration ist in 3 Abschnitte aufgeteilt:

 

Abschnitt1 vorbereiten für die Migration:

 

1.

2x Windows 2008R2 Server installieren und konfigurieren. Diese beiden Windows 2008R2 Server sollen im späteren Verlauf die beiden Windows 2003 DC´s ablösen.

 

2.

Beide Windows 2008R2 Server als Mitglieder in die Domain aufnehmen.

Name der beiden W2k8 Server: DC2008-1 und DC2008-2

 

3.

DC2008-1 und DC2008-2 als zusätzliche Domain Controller in die Domain heben (DCPromo)

 

4.

1 Tag die Funktionen in der Domain überwachen auf eventuelle Fehler etc…..

 

5.

Verschieben der FSMO Rollen

 

7.

Verschieben des DHCP Dienst vom DC1 auf den DC2008-1.

 

6.

1 Tag Funktionstest der Umgebung

 

Ergebnis Abschnitt1:

Es existieren 4x Domain Controller in der Umgebung.

DC1, DC2, DC2008-1 und DC2008-2.

Alle FSMO Rollen sind auf den DC2008-1 verschoben worden. DHCP funktioniert. Es kommt zu keinen Problemen in der Umgebung. Alles funktioniert!! 

 

Abschnitt2 Migration des DC2 Server:

 

1.

DC2 Windows 2003 Server runter fahren und IP Adresse des DC2 (192.168.xx.3 und 192.168.xx.4) ZUSÄTZLICH dem DC2008-2 zuweisen.

 

Zwischen Ergebnis:

Nun sind in dem Forest folgende Domain Controller aktiv:

1x DC1 Windows 2003 Server

1x DC2008-1 und 1x DC2008-2 Windows 2008R2 Server

 

2.

2 Tage die Domain überprüfen auf Fehler.

 

3.

DC2 Windows 2003 Server aus der Domain entfernen:

Delete Failed DCs from Active Directory

 

4.

Nachdem der Server aus der Domain entfernt wurde muss die DNS Konfiguration überprüft werden. Es müssen alle Einträge des DC2 aus dem DNS verschwunden sein.

Im Anschluss muss ein A Record erstellt werden der den FQD dc2.xxx.de enthält und auf die IP Adresse des neuen Servers DC2008-2 verweist.

 

Ergebnis Abschnitt2:

Es existieren 3 Domain Controller in der Umgebung, der DC2 wurde aus der Domain entfernt. Alles funktioniert weiterhin ohne Probleme.

 

Es ist durch den DNS Eintrag dc2.xxx.de sicher gestellt das alle Clients die auf den ADS zugreifen jetzt auf den neuen Server umgeleitet werden. Auch wenn dieser einen anderen Namen hat.

Clients können also weiterhin auf den Namen dc2.xxx.de zugreifen und landen dann auf dem neuen Server.

[gizi 10]

Abschnitt3 Migration des DC1 Server:

 

1.

DC1 Windows 2003 Server runterfahren und IP Adresse des DC1 (192.168.xx.1 und 192.168.xxx.2) ZUSÄTZLICH dem DC2008-1 zuweisen.

 

Zwischen Ergebnis:

Nun sind in dem Forest folgende Domain Controller aktiv:

1x DC2008-1 und 1x DC2008-2 Windows Server

 

2.

2 Tage die Domain überprüfen auf Fehler.

 

3.

DC1 Windows 2003 Server aus der Domain entfernen:

Delete Failed DCs from Active Directory

 

4.

Nachdem der Server aus der Domain entfernt wurde muss die DNS Konfiguration überprüft werden. Es müssen alle Einträge des DC1 aus dem DNS verschwunden sein.

Im Anschluss muss ein A Record erstellt werden der den FQD DC1.xxx.de enthält und auf die IP Adresse des neuen Servers DC2008-1 verweist.

 

Ergebnis Abschnitt3:

Es existieren 2 Domain Controller in der Umgebung, der DC1 wurde aus der Domain entfernt. Alles funktioniert weiterhin ohne Probleme.

 

Es ist durch den DNS Eintrag sicher gestellt das alle Clients die auf den SSO zugreifen jetzt auf den neuen Server umgeleitet werden. Auch wenn dieser einen anderen Namen hat.

Clients können also weiterhin auf den Namen dc1.xxx.de zugreifen und landen dann auf dem neuen Server.

[NilsK 2.930]

Moin,

 

ein beeindruckender Plan für einen Vorgang, der eigentlich recht simpel ist. ;) Aber nicht falsch verstehen, besser gut planen als zu wenig.

 

Was mich stört, sind die 2 IP-Adressen der DCs jetzt und der Plan, künftig mit drei IP-Adressen zu arbeiten. Wozu soll das gut sein? Ich würde mir davon ausschließlich Probleme erwarten. (Zumal zwei IP-Adressen aus demselben Subnetz schon per se problematisch sind ...)

 

Ebenso scheinst du für den Zugriff mit A-Records arbeiten zu wollen. Auch davon rate ich erheblich ab. Der Grund dafür ist meist eine unaufgeräumte Infrastruktur, aber es können gravierende Fehler daraus entstehen. Wenn es denn unbedingt der alte Name sein soll, dann benenne den neuen DC lieber um.

 

Gruß, Nils

[gizi 10]

Ich mach den A Record ja nur weil ich nicht weis welche System auf den DNS Eintrag zugreifen durch ein Mapping etc....Oder ist das keine gute Idee?

Die neuen DC´s wollte ich nicht umbennen, muss ja nicht oder!? Der alte Name is wie geschrieben nur dafür da das irgendwelche System die nen ping auf dc1.xxx.de machen auch ne Antwort bekommen.....

 

Ziel soll es schon sein das alle Clients mit den neuen Servers direkt arbeiten.....Im DHCP Server trag ich nur die beiden IP´s von den beiden neuen DC´s ein.

Irgendwann dann mal nach paar Wochen wollte ich die IP´s dann raus nehmen und schauen was passiert :D

[NilsK 2.930]

Moin,

 

hm, du bestätigst gerade den Eindruck einer schlecht gepflegten Umgebung. ;)

Die wird nicht besser, wenn du noch mehr Gewurschtel hinzufügst. Daher würde ich an deiner Stelle das nicht tun.

 

Arbeite auf keinen Fall bei DCs mit A-Records. Benenne den DC lieber um, das erzeugt weniger Folgefehler. (Oder noch besser: räum die Umgebung so auf, dass du die Abhängigkeit von dem Servernamen los wirst.)

 

Und lass das mit den multiplen IP-Adressen auch weg. Du erzeugst dir damit nur Probleme, die du dann auch noch in die Zukunft hinüberretten musst.

 

Nur meine 0,02 EUR.

 

Schöne Grüße, Nils

[NorbertFe 2.027]

Wenn du nicht weißt, wer der was drauf zugreift, ist es meist besser das vorher rauszufinden, oder mit einer "Sollbruchstelle" zuarbeiten. Anstatt jetzt etwas einzubauen, an das sich hinterher nie wieder jemand erinnert, bzw. Nie weiss, wozu das mal gut war.

[gizi 10]

hmmm.... du meinst wenn ich den DC2 runter gefrahren hab und den aus dem AD geschmissen hab damit:

 

Delete Failed DCs from Active Directory

 

Dann den W2k8 in DC2 umbennen?

 

Dann hab ich aber kein Fallback mehr..... wenn irgendwas nicht läuft kann ich den "alten" DC2 wieder hoch fahren und gut ist. Das geht dann nicht mehr...... oder sehe ich das falsch?

 

@NorbertFe

 

Ja, da hast du schon Recht, aber das ist hier mehr als schwer, glaub mir, da kommt man in die Richtung wirklich nur SEHR SEHR schwer weiter.....

[NorbertFe 2.027]

Dann arbeite halt mit 3 DCs.

[NilsK 2.930]

Moin,

 

ja, das geht dann nicht mehr.

 

So ein "Fallback" brauchst du aber auch nicht, wenn du sauber arbeitest. Statt den DC2 nur herunterzufahren und unnötigerweise gewaltsam aus dem AD zu entfernen, machst du dort dcpromo, um ihn herunterzustufen. Danach (und nach dem Aufräumen des DNS) kannst du den neuen DC dann umbenennen, wenn du unbedingt meinst, das zu brauchen.

 

Das hat zusätzlich den Vorteil, dass du DC2 auch umbenennen und weiter laufen lassen kannst, falls du von dort noch lokale Daten oder Dienste brauchen solltest.

 

Schöne Grüße, Nils

[gizi 10]

hmmm.... intressant :D das muss ich mir mal überlegen.....

 

Und nen DC umzubennen macht keine Probleme!? Ich hab da irgendwie ein ungutes Gefühl bei :D

[NorbertFe 2.027]

Nein, seit 2003 relativ problemlos. Und wie gesagt wenn du mit drei DCs arbeiten kannst, dann ist das doch alles kein Stress.

[icePatrick 10]

Sollte nicht in Abschnitt 1 zwischen Schritt 2 und 3 ein /forestprep und /domainprep durchgeführt werden? Oder wird das inzwischen vom dcpromo automatisch ausgeführt?

 

Ausführen von "Adprep.exe"

[NilsK 2.930]

Moin,

 

im Eingangspost steht, er habe das Schema bereits aktualisiert. Und zur Not beschwert dcpromo sich eben, dann kann man fehlende Schritte nachholen. Abgesehen davon, ist der Hinweis natürlich richtig.

 

Schöne Grüße, Nils

[gizi 10]

ja, Schema Update ist schon durch, dass hab ich schon gemacht :)

 

@NorbertFe

 

Natürlich kann ich auch mit 3 DC´s arbeiten, ich blick aber grade nicht was mir das bringt!?

Wie sieht denn das Konstrukt aus!?

[NorbertFe 2.027]

Zusätzlichen neuen Dc aufsetzen alten Dc demoten neuen Dc installieren mit altem Namen. Immer mindestens 2dcs online und der Dc wird nicht umbenannt.