Aktualisierung DCs 2012 R2 auf 2019 / 2022

[cj_berlin 1.306]

...aber bevor die AD-Intelligenz greift, muss wenigstens ein DNS-Server erreicht werden, der die Resource Records für AD und die NS Records hostet. Und wenn sie sich alle ändern, hilft auch keine Intelligenz.

 

 

[NilsK 2.930]

Moin,

 

die Anforderung "ich muss aber Name und IP-Adresse beibehalten" habe ich aus diesem Thread nicht herausgelesen. Kann man drüber reden, auch wenn ich das Argument als solches immer noch mal herausfordern würde.

 

Da aber auch andere diesen Thread lesen, wollte ich eine Formulierung "erst alle DCs bis auf einen entfernen und dann erst die neuen einführen" auf keinen Fall so stehen lassen. Ruckzuck gilt das als Best Practice, weil es in einem Thread mit so vielen Experten empfohlen wurde. Und eine generelle Empfehlung ist das beim besten Willen nicht, auch wenn es im Einzelfall mal passen mag.

 

Gruß, Nils

 

[cj_berlin 1.306]

vor 16 Minuten schrieb NilsK:

eine Formulierung "erst alle DCs bis auf einen entfernen und dann erst die neuen einführen" 

Es ist bei zwei Stück natürlich schwierig, zwischen "einen" und "alle bis auf einen" zu unterscheiden. Beim 1000-Meter-Wettlauf zwischen Brezhnev und Reagan sagte das Radio Moskau danach "Brezhnev ist als Zweiter ins Ziel gekommen und Reagan als Vorletzter"  

 

Und bevor man mich hier der Fake News bezichtigt: Natürlich hat dieser Lauf nie stattgefunden.

vor 37 Minuten schrieb NilsK:

auch wenn ich das Argument als solches immer noch mal herausfordern würde.

Da ich Dich schon etwas länger kenne, würdest Du es nicht "einfach herausfordern, weil...", sondern eine Lösung vorschlagen. Ohne jegliche Ironie: Ich bin ganz Ohr. Mir hat bisher nur ein Kunde eine vollständige forensische Untersuchung bezahlt, um festzustellen, wer alles DNS und LDAP gegen die scheidenden DCs macht. Das war aber eine große Kombi-Maßnahme, da auch LDAP auf LDAPS umgestellt werden sollte, da hat sich's im Endeffekt gelohnt. Im nächsten Lifecycle lautete die Vorgabe explizit "das darf aber auf keinen Fall so viel kosten und so lange dauern wie letztes Mal". 

[daabm 1.348]

vor 35 Minuten schrieb cj_berlin:

wer alles DNS und LDAP gegen die scheidenden DCs macht

 

Deshalb basteln wir grad an Loadbalancern für 636 und 3269 - wir haben keine Lust mehr, allen hinterherzulaufen, die weder SRV-Records lesen können noch site-aware sind oder wenigstens schon mal von Round Robin gehört haben Und die, die dann immer noch auf individuelle statische IPs gehen (ja, gibt's auch), die haben dann irgendwann halt verloren.

 

BTT: Wenn es gilt, IP-Adressen und Namen zu behalten, empfiehlt sich ein temporärer zusätzlicher DC3. Danach wird DC1 aktualisiert, dann DC2. Und dann kann man DC3 wieder wegschmeißen. Falls das oben schon stand (hab nicht alles gelesen), bitte um Nachsicht

[NilsK 2.930]

Moin,

 

vor 48 Minuten schrieb cj_berlin:

Ich bin ganz Ohr.

Abhängigkeiten von Namen loswerden. Ja, dafür sollte man einmal nachsehen. Das bezahlt der Kunde nicht, sondern macht es selbst und beschränkt sich dabei auf die wichtigen Systeme. Was dann auf die Nase fällt, war nicht so wichtig und wird halt im Nachgang korrigiert.

 

Und sonst ist es ja nur die IP-Adresse, die die Abhängigkeit herstellt. Und das kriegt man ohne DC-Redundanzverlust aufgefangen, indem man taktisch rotiert. Zwei DNS-Server sind bei allen Geräten eingetragen, man sorgt halt dafür, dass eine immer erreichbar ist.* 

 

Nein, das ist kein One-size-fits-all und ja, man findet auch da Nachteile. Aber bei den Projekten, an denen ich an dieser Stelle beteiligt war, war das in deutlich mehr als deinen 1 Prozent machbar. 

 

Gruß, Nils

* ruft da wer "Redundanzverlust"? Der läge hier beim Client, aber nicht beim AD. Nennt mich konservativ, aber ich gehe ungern das Risiko ein, ein AD aus dem Backup wiederherstellen zu müssen, nur weil ich vermeidbar eine Zeitlang nur einen DC hatte.

[NorbertFe 2.027]

vor 3 Stunden schrieb testperson:

Welcher Hersteller möchte schon mit der Schmach leben, dass seine Anwendung, das Active Directory nicht versteht.

Das war vor 10jahren technisch sogar noch so, inzwischen gibbet da ja was aus der Cloud.

[Robinho1986 1]

nochmal danke für die angeregte Diskussion. Hier ist es so, dass viele Geräte die IPs für DNS hart eingetragen haben. 

 

Ich habe aktuell die Systeme in einer Testumgebung und werde es nun einmal durchspielen.

Mir wäre wichtig, dass es am Ende zwei DCs mit den aktuellen IPs gibt.

 

Zu diesem Ziel führen scheinbar viele Wege. 

 

bearbeitet 18. Mai 2022 von Robinho1986

[NorbertFe 2.027]

vor 14 Stunden schrieb daabm:

BTT: Wenn es gilt, IP-Adressen und Namen zu behalten, empfiehlt sich ein temporärer zusätzlicher DC3. Danach wird DC1 aktualisiert, dann DC2. Und dann kann man DC3 wieder wegschmeißen. Falls das oben schon stand (hab nicht alles gelesen), bitte um Nachsicht

Genau das wäre sicherlich die sauberste Lösung, die beide Anforderungen (Namen/IP und Verfügbarkeit/Redundanz) vernünftig zu geringen Kosten erfüllt.

[Robinho1986 1]

vor 3 Minuten schrieb NorbertFe:

Genau das wäre sicherlich die sauberste Lösung, die beide Anforderungen (Namen/IP und Verfügbarkeit/Redundanz) vernünftig zu geringen Kosten erfüllt.

 

Blöde Frage zu der Lösung: 

 

Damit ist also folgendes gemeint:

 

DC3 Server 2019 installieren und als DC hochstufen

DC2 vollständig aus der Domäne entfernen 

DC2 als Server 2019 wieder installieren und als DC hochstufen mit altem Namen und IP

DC1 vollständig aus der Domäne entfernen 

DC1 als Server 2019 wieder installieren und als DC hochstufen mit altem Namen und IP

DC3 vollständig aus der Domäne entfernen

 

Ich nehme an mit aktualisieren meint man kein IN-Place Upgrade? xD

bearbeitet 18. Mai 2022 von Robinho1986

[NorbertFe 2.027]

Korrekt. Wobei mir persönlich die IPs wichtiger sind als die Namen. Die Namen sind in weniger LDAP Applikationen eingetragen als die DNS Server-IP bei x Geräten. Kommt natürlich immer auch auf die Umgebung an, aber bei LDAP ist zumindest meine bisherige Erfahrung so, dass normalerweise der Domain-Path und nicht zwingend einzelne DCs angesprochen werden.

Womit ich sagen will, ich persönlich hätte vermutlich eher DC3 installiert und danach dann die IP-Adressen gewechselt mit DC2. ;)

 

Bye

Norbert

bearbeitet 18. Mai 2022 von NorbertFe

[daabm 1.348]

Genau wie Norbert schon sagt - die Namen sind selten ein Problem, die IPs in RZ-Umfeldern mit Infrastruktur-Firewalls dagegen ständig. Bei dem ganzen Raus/Rein machst natürlich noch relativ oft FSMO-Transfers, lohnt sich also mal die Parameter von ntdsutil vorher genauer anzuschauen - das geht als "oneliner"

 

Ansonsten hast Du mich richtig verstanden, und ja, bei DCs macht man kein Inplace-Update - wenn man es am Anfang schon richtig gemacht hat und der DC nur DC ist und notfalls DNS und sonst nichts. Hat man noch nen Fileservice drauf - womöglich ohne DFS-N - wird's aufwändiger...

 

Das vollständige Entfernen ist hilfreich, weil damit auch die DC-GUIDs und Invocation IDs verschwinden. Das ist "Krempel", der bei AD-Replikation eine große Rolle spielt. Der "neue" unter altem Namen wird damit tatsächlich ein "neuer".

[Nobbyaushb 1.464]

Aus meiner Sicht ist auch Geduld angesagt. Ich mache das auch so, einen nach dem Anderen.

Und immer wieder zwischendurch warten, damit sich alles in Ruhe replizieren kann 

 

My2Cents

[Robinho1986 1]

Zur Info, die Migration hat super geklappt. Einige Fehler konnte ich im Vorfeld in der Testumgebung schon sehen und im produktiven Betrieb direkt lösen. 

 

Werde mich als nächsten wohl mit dem Thema KB5008380—Authentication updates (CVE-2021-42287) auseinandersetzen müssen. 

 

Danke für die Unterstützung!

 

[daabm 1.348]

Das ist doch mal schön, wenn so was "einfach funktioniert" 👍