3. DC im Ausland bei Site-2-Site VPN

[audax 0]

Hallo Freunde,

 

ich habe aus einer unserer Töchter erfreuliche Nachrichten empfangen. Die wollen jetzt doch in unser AD-Aber genau JETZT :-)

Und ich steh schon wieder auf dem falschen Fuß.

 

Die sollen einen eigenen DC und einen eigenen Fileserver bekommen

 

Also habe ich folgendes gemacht:

 

1. IN AD Standorte und Dienste ein neues Subnetz erstellt

2. EIne neue Site erstellt

 

Beide Sites sind jetzt in der DEFAULTIPSITESLINK und sollen alle 15 Min. replizieren

 

Da den DC und den FS eine externe Firma im Ausland installiert und einbindet, muss ich denen jetzt temporär  ein AD Konto erstellen oder was habe ich eigtl. noch zu tun?

 

Danke und Gruß

 

[NilsK 2.930]

Hallo Ilja,

 

je nach Sicherheitsanforderung könntest du die Grundinstallation des neuen DC (Betriebssystem) durch den Externen vornehmen lassen und dann das dcpromo selbst remote ausführen (z.B. per RDP). Anderenfalls müsstest du denen ein Domänen-Administratorkonto zur Verfügung stellen, was du vielleicht nicht willst.

 

Gruß, Nils

[audax 0]

Ja, da ist was dran. Ich hab ihm gesagt, er möge mich dann anrufen, wenn er am dcpromo dran ist. Dann schalte ich mich per Teamviewer drauf.

 

Ich hab mir vorgenommen, auf dem DC noch den DNS einzurichten, damit nicht alles über das VPN aufgelöst werden muss. Wie muss man den DNS einrichten? Der soll ja schließlich auch unsere in DE auflösen können. Eigentlich soll es eine Zone geben, wo alle drin sind. Macht das Sinn? Diese Zone teilen sich dann beide (bzw. alle 3 DNS Server) gleichberechtigt.

Gibt es da Bedenken bzw. wie würdet Ihr das machen?

[NorbertFe 2.027]

Das ist doch ne AD-Integrierte DNS Zone, da mußt/kannst du gar nix konfigurieren.

[mba 133]

Btw. DCPROMO? Wie ist der neue Server denn?

[audax 0]

AD integriert ist natürlich korrekt. Ich habe zwischenzeitlich die Faq-o-matic Seite für DNS gefunden.

Ja, Ich habe nicht damit gerechnet, dass ich 'garnix' machen muss (oder sogar kann), aber anscheinend reicht es, wenn ich die zweite Site mit Subnetz einrichte, die Replikation zwischen beiden Sites anpasse und DNS auf dem DC aktiviere. Unter Linux sind das ein-zwei Handgriffe mehr :-)

 

DCPROMO = Servermanager :-)

 

Es ist ein 2012 R. UNser AD ist 2008er Schema mit einem 2008er und einem 2008R2 DC. Bin gerade am schauen, was das für Auswirkungen hat, wennd er erst 2012er dazukommt

 

 

Also was ich heraus gefunden habe ist, dass ich

ADPREP.exe/forestprep und
ADPREP.exe/domainprep/gpprep

 

ausführen muss. 

 

Ich hab angst

 

 

*Edit: 12:12

Wenn ich per Adprep die 2008er Domäne hochstufe (und das Schema auf 2012er Niveau erweitere) wieviele Neustarts der DCs habe ich zu erwarten und was muss ich sonst noch beachten?

bearbeitet 30. September 2015 von audax

[magheinz 110]

Schema auf 2012 hochstufen?

Ich dachte du hast einen 2008er DC? geht das?

[NorbertFe 2.027]

Das passiert doch alles automatisch, wenn der 2012/R2 die ADDC Rolle aktiviert.

[audax 0]

Leider verwirrt mich das. Im Internet finde ich Dokumente, bei denen vor Inbetriebnehmen eines weiteren DC 2012 innerhalb einer 2008er AD Domäne die beiden vorherigen Schritte adprep/forestprep und /domainprep als erforderlich stehen.

 

Jemand sagt mir aber, wenn der 2012er DC nicht der Primary DC (wusste garnicht, dass es dass nach Windows NT überhaupt noch gibt) ist, kann die Domäne weiterhin Version 2008 bleiben.

 

Automatisch passieren ist ja nur die halbe Miete - ich würde schon ganz gerne wissen, ob hier Übermorgen die K...cke am dampfen ist, nur weil zwei Externe einen 2012er DC an Board nehmen ;-)

 

Schön wäre eine Erklärung wie:

 

"Mach Dir keine Gedanken. Wenn der der Haupt DC bei Euch nach wie vor auf 2008 läuft, muss nix mit adprep durchgeführt werden. Dennoch funktioniert der Standort mit dem 2012 genauso, wie der Standort mit dem 2008er DC"

 

oder:

 

"Mach Dir keine Sorgen. Bevor Du den 2012 DC ins AD holst, musst Du zwar adprep/forestprep und /domainprep ausführen, aber erstens läuft der reguläre Betrieb ungestört weiter und die beiden 2008er DCs und sämtliche anderen Server (File- Print und etc. Server), die bei Euch laufen, werden danach auch immer noch problemlos weiterlaufen, ohne, dass Du noch etwas machen musst."

 

 

Auf die Frage: "Schema auf 2012 und DC auf 2008 - geht das?" Ja keine Ahnung, in diversen Seiten liest man, wie man den ersten 2012 DC in einer 2008 Domain einfügen kann. Immer steht da, dass man das AD auf 2012 hochstufen muss. Danach migrieren die aber immer die bestehende 2008er Landschaft nachträglich auf 2012. Das möchte ich aber nicht. Im Moment keine Zeit dafür.

 

Ich benötige halt eine Möglichkeit, wie der 2012er innerhalb einer bestehenden 2008er lauffähig ist und die 2008er parallel dazu auch noch lauffähig bleiben. Oder halt die Aussage: "dass, was Du vor hast, geht mit Windows nicht. Entweder 2008er AD mit lauter 2008er DCs oder 2012 DC aber dafür neues AD basierend auf 2012"

 

Danke im Voraus

[NorbertFe 2.027]

Mach dir keine Gedanken, hole jemanden der sich damit auskennt. ;) Das was man hier im Thread liest, ist eher Unwissenheit. Du kannst dir das alles anlesen und es ist auch keine Raketentechnik. Aber "JETZT mal eben schnell" ist bei sowas selten eine gute Idee, wenn man eben nicht genau weiß was man tut.

 

Bye

Norbert

[audax 0]

OK. Danke für den Ratschlag

 

Ich habe ja einen Experten, der die Inbetriebnahme vor Ort macht :-)

Der sagt, alles halb so wild.

Da wollte ich mich nicht einfach so drauf verlassen.

 

Vielen Dank an alle für die Antworten

[NorbertFe 2.027]

Wenn er Experte ist, solltest du dich aber darauf verlassen, anstatt unabgestimmt zu "recherchieren" und die Pferde scheu zu machen. ;) Frag ihn doch, wie sein Vorgehen geplant ist, dann kann man das doch verifizieren wenn dir was unklar ist.

 

Bye

Norbert

[magheinz 110]

Das passiert doch alles automatisch, wenn der 2012/R2 die ADDC Rolle aktiviert.

jep, hab da grade nen Hänger gehabt und das mit der Funktionsebene gleichgesetzt...

[audax 0]

@norbertfe:

Ich möchte Dir nicht zu nahe treten - ganz im Gegenteil; ich finde es klasse, wenn man so hilfsbereit ist, wo man ja auf den ersten Blick 'dafür nix bekommt'.

 

Aber ich bin genötigt Dir zu sagen, dass Du im Imunrecht bist;

 

Denn ich möchte mich aufgrund erheblicher Erfahrungen in der Vergangenheit eben NICHT auf alles und jeden verlassen. Sonst heißt es immer "hätteste mal vorher gefragt"

 

Nun hab ich die Chance und möchte sie eben gerne nutzen.

 

Aber wenn ich mir die ganzen Antworten mal so anschaue, sehe ich nicht wirklich viel inhaltlich zu meiner Frage Relevantes - bzw. ich kann die Antworten nicht korrekt interpretieren.

 

Mit scheint, als wüssten die Forunsmitglieder das eben auch nicht so aus dem eff eff, obig meine 2008er AD Domäne unverändert Weiterbetrieben kann, wenn da ein neuer 2012 DC im AD mitmischt.

 

Also ums abzukürzen: ich bin nach wie vor an einer Antwort interessiert und würde mich darüber sehr freuen. Aber ganz gleich was dabei rauskommt, ich finde dieses Board äußerst hilfreich.

 

Vielen Dank an alle

[NorbertFe 2.027]

ICh glaub du hast mich mißverstanden. Aber egal.

 

Mit scheint, als wüssten die Forunsmitglieder das eben auch nicht so aus dem eff eff, obig meine 2008er AD Domäne unverändert Weiterbetrieben kann, wenn da ein neuer 2012 DC im AD mitmischt.

Natürlich kann man das. Ich weiß auch nicht, warum du da so ein Gewese machst. Das deutet dann darauf hin, dass du die Grundlagen dafür nicht aus dem eff eff kannst. Und deswegen kam auch mein Hinweis. ;)

 

Bye

Norbert

bearbeitet 30. September 2015 von NorbertFe