2x Win2019 DCs, 2x Win2008 R2 DCs: DHCP?

[Seppim 14]

Hallo,

 

ich habe 2 alte 2008 R2 am laufen. DC1 und DC2. Diese werden nun abgelöst durch 2x 2019 DC01 und DC02.

 

Die beiden 2019er als zusätzliche Domaincontroller hinzufügen.

PDC ist der DC und übertrage ich zu DC01

 

Danach sollen DC1 und DC2 herunt gestuft werden.

 

Aber kann ich zum testen bei allen 4 den DCHP laufen lassen? Wenn einer der 4 down ist, soll einer der andere die IPs verteilen.

 

Am Ende sollen DC01 und DC02 als DHCP Server arbeiten

[Dukel 454]

Wenn alle DHCP Server nur ein virtel der IP's verteilt, geht das.

Später kann man DHCP Failover nutzen, wenn man möchte oder jeweils die hälfte der IP's verteilen lassen.

 

Wichtig ist immer, dass keine Konflikte entstehen.

[Seppim 14]

Nun, ich dachte mit der Replikation kann ich den Pool auf alle 4 aufteilen?

 

Failover klappt nur mit zwei, oder?

[Dukel 454]

Was für eine Replikation?

[Seppim 14]

Sorry, meinte geteilter Bereich. Da kann ich ja einen zweiten angeben .. aber ist das kann ich wohl auch per Hand einstellen

[Dukel 454]

Du teilst den Bereich durch 4.

z.B.: Dann vergibst du x.x.x.50-99, x.x.x.100-149, x.x.x.150-199 und x.x.x.200-250 an die vier DHCP Server oder du vergibst 50-250 und erstellst jeweils Ausschlüsse (100-250, 50-99&150-250, 50-149&200-250, 50-199).

[Weingeist 159]

Muss es denn ohne Downtime sein? Falls nicht, kann man sich ein grosses rumkonfigurieren auch einfach sparen. Alle Clients runterfahren, DHCP-Dienst auf alten DC's deaktivieren. Neuen DHCP aktivieren. Upgrade der Umgebung starten. Wenn die Clients hochfahren, ziehen sie sich automatisch die IP vom neuen.

Bei gröberen Änderungen mache ich das immer mit Downtime. Bei Produktionsumgebungen mit Integration halt am Abend/Week-End. Ist einfach schmerzfreier und weniger nervig wenn etwas nicht haut. Nach den Fragen die Du stellst, machst Du das nicht alle Tage und somit ist das bestimmt schmerzfreier und mit weniger Ärger mit Deinen Kollegen verbunden ;)

Ist es eine grössere Umgebung und Downtime nicht möglich (erwünscht zählt nicht): Besser einen Dienstleister hinzuziehen =)

 

Dann ebenfalls zu beachten: Waren die DC's auch Fileserver bzw. lief der Zugriff über Server oder über DFS? Falls direkt über Server-Freigabe: Migration so machen, dass die DC's wieder identisch heissen. Also sowieso mit Downtime. Sonst hast nachher garantiert Feuer im Dach. Oder noch besser wenn es so war: Neue Fileserver unabhängig von den DC's erstellen mit dem Namen der alten DC's.=)

Stichwort Verknüpfungen in Word, Excel, Dateien usw.

 

Bei der Gelegenheit und wenn Lizenzen vorhanden, eventuell DHCP und DC trennen. Und auch grad den/die Fileserver. Macht das Leben auf lange Sicht einfacher und insbesondere Dienstleister die mit eher grösseren Umgebungen zu tun haben finden sich mit Standard-Bedingungen besser und vor allem schneller zurecht --> spart auf lange Sicht Kohle für den Betrieb.

Bei DFS musst eh 3 Parteien haben damit es tatsächlich ausfallsicher ist. Sonst bringts nix (1x DC mit Betriebsmaster (PDC), 2x Fileserver mit DFS). Oder wenn die DC's auch Fileserver sind, muss auf dem PDC - bzw. der mit dem Betriebsmaster-Rolle - die DFS-Ziele deaktiviert sein, sonst kannst bei einem Ausfall des PDC die DFS-Ziele gar nicht umschalten, das kann nur PDC. Also alle die auf den Shares des PDC arbeiten, gucken in die Röhre. Wird im kleinen eigentlich fast immer falsch konfiguriert. (Ich persönlich lasse eh immer nur ein Ziel aktiv, schliesst Replikationsprobleme bei der täglichen Arbeit aus, das zweite Ziel halte ich nur für den Totalausfall vor, weils oft einfach zu lang dauert den Filer wiederherzustellen, Rest normal schnell gemacht)

 

Ob es heute noch einen zweiten DC in kleinen Umgebungen braucht, kann man sich übrigens auch überlegen. Die paar GB sind in ein paar Minuten wiederhergstellt und mit nur einem DC hast nie Ärger mit Versionsständen, Replikation etc. Auch beim Recovery, völlig egal wie Du ihn sicherst. Ausser alles andere ist auch komplett und sauber redundant ausgelegt oder es werden laufend AD-Daten geschrieben (zbsp. Exchange). Nur den Fileserver halte ich doppelt vor und schalte wenn nötig um. Lieber das Augenmerk auf High-Speed Recovery USV etc.

 

[NorbertFe 2.045]

vor 1 Stunde schrieb Seppim:

Die beiden 2019er als zusätzliche Domaincontroller hinzufügen

Berücksichtigen ;)

https://docs.microsoft.com/en-US/troubleshoot/windows-server/networking/windows-server-version-1709-no-longer-supports-frs

 

[Dukel 454]

15 minutes ago, Weingeist said:

Muss es denn ohne Downtime sein? Falls nicht, kann man sich ein grosses rumkonfigurieren auch einfach sparen. Alle Clients runterfahren, DHCP-Dienst auf alten DC's deaktivieren. Neuen DHCP aktivieren. Upgrade der Umgebung starten. Wenn die Clients hochfahren, ziehen sie sich automatisch die IP vom neuen.

Hier muss man nicht mal die Clients herunterfahren.

DHCP Migrieren, ipconfig /release && ipconfig /renew und das dann prüfen.

 

EDIT:

es kommt hier aber auch etwas drauf an, wie das bisher Konfiguriert wurde. Ob DHCP auf beiden alten DC's lief.

EDIT2:

Sicherheitstechnisch sollte man DHCP auf einem eigenen Server laufen lassen oder wenigstens einen DHCP Service User nutzen.

bearbeitet 2. Februar 2021 von Dukel

[NilsK 2.939]

Moin,

 

DHCP nicht auf einem DC. Das macht man nur noch in Kleinstumgebungen. Sonst ist sowohl Security als auch Continuity ein Problem.

 

Gruß, Nils

 

[cj_berlin 1.323]

Und, weil es auch im Jahre 2021 nicht oft genug wiederholt werden kann:

 

DHCP nicht auf einem DC. 

 

[testperson 1.682]

... falls euch beiden niemand glauben will, sagt das sogar der Hersteller: Recommendation - Disable or remove the DHCP Server service installed on any domain controllers | Microsoft Docs :)