Zweiter DC mit 2012 R2 zu 2008 R2 - Domäne hinzufügen

speedcOre

Lt. Junior Grade
Registriert
Sep. 2004
Beiträge
387
Hallo liebe Leute,

Ich habe mal eine Frage bzgl. des Hinzufügens eines zweiten DCs zu einer bestehenden Domäne. Unzählige Youtube-Videos erklären dieses nicht allzu komplizierte Prozedere. Leider fand ich kein Video bzw. hilfreichen Artikel zu dem Szenario, wenn der zweite, der hinzuzufügende DC über eine neuere Windows - Version verfügt.

Genau soll das so aussehen:

- aktuell besteht eine Domäne mit genau einem Domaincontroller - dieser läuft auf Windows Server 2008 R2

- dieser Domäne soll ein zweiter DC hinzugefügt werden, hierfür ist ein Windows Server 2012 R2 vorgesehen

Die Frage ist nun, inwiefern dieser Vorgang überhaupt von dem bekannten Prozedere, wie es bspw. in diesem Video zu sehen ist, abweicht: https://www.youtube.com/watch?v=Hls1YgFb928

Kann ich genau so vorgehen? Also IP festlegen, ADDS installieren, Domäne beitreten, dcpromo ausführen --> "Zweiten DC zu bestehender Domäne hinzufügen" auswählen, fertig?
Oder muss hier etwas anderes vorgenommen werden. Muss in irgendeiner Weise Rücksicht auf das unterschiedliche funktionale Level der Domäne genommen werden?

Meine Sorge ist einfach, dass ich bei diesem zunächst banal wirkenden Vorgang irgendwie die Domäne zerschiesse. Daher frage ich lieber vorher - auch auf die Gefahr hin, dass es sich um eine blöde Frage handelt. :-)

Eure Hilfe würde mich sehr freuen. VIELEN DANK im Voraus.

Beste Grüße
Sebastian
 
Kann ich genau so vorgehen? Also IP festlegen, ADDS installieren, Domäne beitreten, dcpromo ausführen --> "Zweiten DC zu bestehender Domäne hinzufügen" auswählen, fertig?

Damit kannst dir dein System schön zerschiessen!
Du musst den 2008R2 vorher mit ADprep auf das Schema der 2012R2 anpassen.
Erst danach kann der 2012R2 als DC der Domäne beitreten!

https://technet.microsoft.com/de-de/library/dd464018(v=ws.10).aspx

Du musst die ADprep.exe der 2012R2 DVD nehmen. ;)

Das Video ist nur für gleichwertige DCs geeignet, in dem Beispiel wird ja ein 2012er einem 2012er hinzugefügt.

Eine weitere Frage ist natürlich ob der 2008R2 bestehen bleibt oder soll der danach heruntergestuft werden ?
Weil die Domänen- und Gesamtstruktur bleibt ja auf 2008R2 stehen, neue Funktionen würden daher nicht verfügbar!
 
Zuletzt bearbeitet:
1. YouTube ist keine geeignete Quelle für Dokumentation.
2. Man zerschießt sich nichts. Adprep wird bei Bedarf automatisch ausgeführt.
3. Dokumentation: Install a Replica Windows Server 2012 Domain Controller in an Existing Domain (Gilt genauso für Server 2012 R2)

Darin steht folgendes:
The automatic Adprep process is the only operational difference between adding a domain controller to an existing Windows Server 2012 domain and a domain where domain controllers run an earlier version of Windows Server.
 
Hi!

Danke bis hierhin.
Leider lese ich nun zwei völlig gegenläufige Meinungen, wobei mir die zweite aufgrund der Bequemlichkeit natürlich etwas sympathischer ist. ;-)

Also, wenn der 2008R2 als DC bestehen bleibt, und einfach nur der 2012er zusätzlich hinzugefügt werden soll, DANN gehe ich wie vor?

(Rand-Info: Es geht nicht um neue Funktionen einer 2012-Domäne - meines Wissens bietet die 2012-Domäne nicht einmal neue Funktionen; sondern es geht um das bloße Hinzufügen eines zweiten DC als BackUp.)

Laut Kommentar #2 ja durchaus so, wie oben von mir beschrieben, wohingegen Kommentar #1 davon spricht, dass es ohne manuelles Adprep nicht funktionieren wird.


Vielen Dank und beste Grüße
Sebastian
 
- ADPREP ausführen
- ADDS Rolle hinzufügen
- ADDS Rolle konfigurieren (DCPROMO gibt's nicht mehr)

Der 2012er DFL bringt natürlich neue Funktionen mit (z.B. DHCP Failover).

Ich habe auch so unsere Domäne von 2008R2 auf 2012R2 migriert (52 DCs). Nachdem ich heute auch DHCP migriert habe, werden in der nächsten Woche die letzten vier 2008R2 DCs deprovisioniert.
 
Manuelles adprep ist bei 2012R2 nicht mehr nötig, wie im Link steht. Hab ich auch selbst schon ausprobiert.
 
2. Man zerschießt sich nichts. Adprep wird bei Bedarf automatisch ausgeführt.

Aus Sicherheitsgründen sollte man sich darauf nicht verlassen!
Microsoft behauptet viel wenn der Tag lang ist.

Wir haben in simplen Testszenarien ein hinzufügen von einem 2012 zu einem 2008 getestet, ohne ADprep.
Und das ist schön schiefgegangen.
 
Zuletzt bearbeitet:
Hm, OK. Ich kann nur von eigenen Erfahrungen berichten. Ich habe 2012R2 jeweils zu einem 2003 und in einem anderem Netz zu einem 2008R2 hinzugefügt, ohne adprep vorher auszuführen. Lief völlig problemlos.
 
Evil E-Lex schrieb:
Manuelles adprep ist bei 2012R2 nicht mehr nötig, wie im Link steht. Hab ich auch selbst schon ausprobiert.

Ich habe nicht gemeint, daß es nur so geht. Wenn er sich nicht sicher ist, soll er es einfach so machen, bevor er tagelang überlegt ;) Das funktioniert auf jeden Fall.
 
Danke, Männers. Großartige Hilfe. Wo ist der Spenden-Button? :-)

Also, zum Abschluss: ich werde es dann vorsichtshalber mit manuellem Adprep machen.

Dazu gehe ich dann wie vor? Die 2012er DVD in den 2008er DC (der wie gesagt bleiben soll!) schieben und dort Adprep.exe (sollte auf der DVD ja zu finden sein? Kann es nicht testen, da noch nicht geliefert) ausführen. Richtig?

DANKE.
 
Dazu gehe ich dann wie vor? Die 2012er DVD in den 2008er DC (der wie gesagt bleiben soll!) schieben und dort Adprep.exe (sollte auf der DVD ja zu finden sein? Kann es nicht testen, da noch nicht geliefert) ausführen. Richtig?

2015-01-22 16 36 15.jpg

Ja, und da bei dir der 2008 einziger DC ist brauchst dann nur folgende 3 Befehle ausführen:

Adprep /forestprep

Adprep /domainprep

Adprep /domainprep /gpprep
 
Hi Männers! Nochmal vielen Dank.

Hat alles super geklappt.Habe Adprep zuvor manuell ausgeführt - hätte aber vmtl. auch ohne geklappt, da beim Beitritt in die Domäne das Level derjenigen geprüft (und ggf. vermutlich auch angepasst) wird.

Danke für eure Hilfe.

Eine Frage kam im Laufe des Abends auf. Auffällig ist nämlich nun, dass der erste DC (der 2008 R2) für einen Neustart nun gefühlte 20 Minuten braucht, wovon er etwa zehn Minuten plusminus auf "Warten auf Gruppenrichtlinienclent" hängen bleibt.

Was hat das zu bedeuten / wie kann diese Wartezeit umgangen werden? Ein normaler Reboot dauerte sonst etwa 4-6 Minuten.

Viele Grüße
Sebastian
 
Man müsste mehr über die Netzwerkkonfig beider DCs wissen. Prinzipiell sind die Eventlogs eine gute Anlaufstelle für die Fehlersuche 😉
 
Hi,

falls jemand anderes mal auf das Problem stoßen sollte - ich konnte es folgendermaßen lösen:

Der betroffene (primäre) DC hatte als DNS die Loopback-Adresse 127.0.0.1 eingetragen - die habe ich durch die lokale IP der Firewall, die eben den DNS übernimmt, ersetzt. Problem behoben.

VG
Sebastian

PS: Danke nochmal für die hilfreichen Kommentare in diesem Thread.
 
speedcOre schrieb:
Der betroffene (primäre) DC hatte als DNS die Loopback-Adresse 127.0.0.1 eingetragen - die habe ich durch die lokale IP der Firewall, die eben den DNS übernimmt, ersetzt. Problem behoben.
Der DNS eines DC sollte immer auf sich selbst (idealerweise auf die "echte" LAN-IP und nicht die Loopback-Adresse) oder einen anderen DC zeigen (sofern man keine dedizierten DNS-Server für die AD-Zone hat, dafür müsst die Umgebung aber extrem groß sein). Firewalls, Router etc. sind i. d. R. nur DNS-Forwarder zum ISP-DNS und damit für AD ungeeignet. Was für ein Gerät ist denn deine Firewall?

Ich gehe davon aus, dass du das Problem nur verschoben hast. Stell den DNS wieder auf sich selbst und achte im Event Log mal auf Fehler.
 
Wenn ich mich richtig erinnere ist es bei zwei DCs Best Practice immer den jeweils anderen DC als primären DNS-Server im Interface einzutragen. Das hat zumindest den Vorteil, dass der DC beim Neustart nicht auf den eigenen DNS-Server angewiesen ist, der ja erstmal selbst gestartet werden muss. Müsste da aber nochmal nach entsprechenden Quellen suchen.
 
Nur weil ein primärer DNS eingetragen ist heißt das nicht, dass erst der primäre und dann der sekundäre DNS gefragt wird. Lass mal ein Wireshark mitlaufen und gucke welcher DNS als erstes angesprochen wird. Mal ist es der primäre, mal der sekundäre. Von daher ist es egal ob man sich gegenseitig als primären einträgt.
 
Zurück
Oben