zweiten DC in Domäne Virtualisieren, auf was muss ich achten?

[Assassin 13]

Servus...ich habe einen sekundären DC Server der noch auf Baremetal installiert wurde - diesen würde ich nun gerne zu einer VM Convertieren.

Ich schätze mal, wenn ich von dem Laufendem Server ein VHDX erstelle per schattenkopie, und dann den laufenden Server einfach abschalte, neuinstalliere als HyperV und danach das VHDX starte - dasss ich danach ein USN-Rollback erleiden werden, oder? Weil der DC ja noch eingeschaltet war, wärend eine sicherung von dem gezogen wurde.

 

Oder gibts sowas wie ein Zeitkontigent, wo der zweite DC auf einmal einen älteren datenstand haben haben darf? (nachdem ich die VM hochgefahren habe?

 

oder würde das gehen, wenn ich den zweiten DC vom Netz trenne sodas sich die beiden server nicht mehr sehen, und dann von dem server ebenfalls per schattenkopie eine VHDX erstellen?

[Gulp 263]

Wieso so kompliziert?

 

Neue VM erstellen, diese zum DC machen, den alten DC depromoten, fertig.

 

Grüsse

 

Gulp

[Assassin 13]

und dem dann die IP des alten servers geben?

Der server ist in einer außenstelle, wo ich nur per Remote drauf komme, oder über das iKVM modul im Server (worüber ich den Server auch neu installieren könnte)

Auf dem server liegt aber auch auf LW D: die ganzen Freigaben...wobei auch das mal getrennt werden soll, damit der DC wirklich nur für sich slebst ein Server/VM hat, wo dann nur noch mit DNS und DHCP drauf läuft.

 

 

[NorbertFe 2.085]

Und wo ist das Problem? Hyper-v neu installieren. Zwei vms hochziehen:

1. neuer dc neuer Name alte ip 

2. neuer fileserver, alter Name Neue ip

 

mit ein wenig Planung… Sache von ca. Einem Arbeitstag würd ich sagen.

[Nobbyaushb 1.484]

Ich lese da raus, das keine weitere Hardware zur Verfügung steht, und dann wird es spannend…

[NorbertFe 2.085]

Hmm auch nicht unbedingt, aber dazu muss der to was sagen.

[Assassin 13]

Jep, an dem Standort gibts nur den einen Server...und ein NAS wo ich daten auslagern könnte. Downtime ist auch einplanbar, also relativ entspannt das ganze.

Also ich kann ja auf den jetzigen DC der da steht noch die HyperV rolle installieren, um somit schonmal "in ruhe" die VMs fertig zu machen, also den neuen DC und den Fileserver vorbereiten, und dann den Server neu installieren zu einem HyperV Only server und die VMs die ich vorher vorbereitet habe die auf einer anderen Partition liegen - wieder einbinden. Dann noch die Daten von der Datenpartition in die neue Fileserver VM kopieren, viel mehr ist es ja dann eigentlich nicht denke ich, oder? Das sollte auch die Downtime recht gering halten

Ich frage mich gerade - wie sichert man eigentlich die DCs, also wenn man mehrere hat? eine Rücksicherung von einem einzelnen Server würde doch sowieso nie funktionieren, oder gibts da "tricks" um den USN-Rollback zu umgehen?

 

[cj_berlin 1.339]

vor 29 Minuten schrieb Assassin:

Ich frage mich gerade - wie sichert man eigentlich die DCs, also wenn man mehrere hat? 

 

Gar nicht, also gar nicht mehrere. DCs sind Wegwerf-Artikel, das AD ist wichtig. Du sicherst einen, am besten den, der die ganzen FSMO-Rollen hält, und stellst sicher, dass die Replikation funktioniert.

bearbeitet 18. Juli 2021 von cj_berlin

[Assassin 13]

wegwerf Server sozusagen?

joar, da macht das schon sinn dass ein DC nur ein DC ist und nicht noch ein File oder Druckserver.

Das heißt - einfach einen neuen DC installieren, Standort definieren und schauen ob der sauber repliziert - mehr nicht? klingt zu einfach um wahr zu sein ^^

[Sunny61 809]

Wenn man sichert, dann reicht es, solange es nur ein DC ist, den SYSTEMSTATE zu sichern.

[NilsK 2.968]

Moin,

 

Systemstate ist auch bei mehreren DCs die richtige Methode. Ich würde nie darauf verzichten und alle anderen Backuptechniken nur ergänzend einsetzen. Ein "ordentliches" AD-Backup verhält sich beim Recovery immer so, dass USN-Rollbacks ausgeschlossen sind. Die Gefahr besteht nur dann, wenn man glaubt, man könne selbst was Besseres basteln. (Kann man nicht.)

 

vor 12 Stunden schrieb Assassin:

ich kann ja auf den jetzigen DC der da steht noch die HyperV rolle installieren

 

Nein, das lass bitte bleiben. Ein DC ist ein DC und ein Host ist ein Host. Niemals beides.

 

Gruß, Nils

 

bearbeitet 19. Juli 2021 von NilsK

[Assassin 13]

bei so einem USN Rollback - da funktioniert die ganze Domäne nicht mehr, oder? Also keiner kann sich mehr anmelden, oder wie macht sich das bemerkbar?

 

und wie verhält es sich wenn man 3 DCs hat, und man einen der untergeordneten DCs aus einem backup wiederherstellen würde (also einen der KEINE FSMO Rollen trägt). würde dann nur dieser eine wiederhergestellte server "sgeperrt" werden, oder auch die anderen beiden die sich eigentlich bestens miteinander "verstanden" haben ?

[NilsK 2.968]

Moin,

 

ein USN Rollback tritt, wenn es denn auftritt, auf einzelnen DCs auf. Der DC, der das bei sich feststellt, schaltet seinen Anmeldedienst ab (und schreibt dies in sein Eventlog). Der Rest läuft weiter. Das Problem ist, dass in der Zwischenzeit vor dem Entdecken des Rollbacks schon Dinge passiert sein können - etwa falsch vergebene Berechtigungen.

 

Ein ordentliches AD-Recovery erzeugt niemals ein USN Rollback. Es setzt ein Flag, dass das AD auf diesem DC aus einem Backup wiederhergestellt wurde. Dadurch weiß der DC bei der Replikation, was er zu tun hat.  Daher sollte man das AD nur mit Methoden sichern, die diese Mechanismen umfassen.

 

Ob der gesicherte DC die FSMO-Rollen innehatte oder nicht, ist weder für das Backup noch für das Recovery relevant.

 

Ach, und: "Untergeordnete DCs" gibt es seit Windows 2000 nicht mehr. 

 

Gruß, Nils

 

bearbeitet 19. Juli 2021 von NilsK