Server 2003 durch neuen Server 2k3 ersetzen

[M80331]

Hallo Leute,
heute mal ein eher exotisches Anliegen, da ich bisher nix und niemanden gefunden haben, wo genau der Fall eintrat und gelöst werden konnte.

Zur Vorgeschichte:
wir haben hier eine Server 2003 Domäne mit einem DC und einem Terminalserver, ca. 50 Clients (2k/XP).

Nun gibt es zwar brav von den Servern Backups, jedoch stellte sich uns eines Tages die Frage: was tun beim Hardware defekt des DC? Wir entschieden uns für Acronis Universal Restore und haben das in einer Testerumgebung erfolgreich erprobt.

Nun steht eine andere Frage im Raum: was wenn man den in die Jahre gekommenen DC ersetzen will, Altballast abwerfen aber AD/DNS übernehmen.

Meine Überlegung war nun:
den 2. Server als 2. DC/DNS in die Domäne aufnehmen,
ihn zum Globalen Katalog Server machen,
DNS replizieren lassen,
ihm die 5 FSMO Rollen geben,
somit dem 1. Server die Rollen nehmen,
ihn herabstufen und dann gänzlich aus der Domäne nehmen.
Der neue Server müßte dann nur mit der IP des alten agieren.

Ergebnis wäre ein frischer 2003er Server auf neuer Hardware, der nahtlos die alte Domäne kennt, der alte Server fliegt raus und der neue übernimmt als wäre nix gewesen.

***

Nun hab ich all das mehr schlecht als recht erklärt und auch probiert, ich konnte Server zu globalen Katalogen machen und FSMO Rollen übergeben bzw. nehmen lassen. Dennoch wollen sich die Clients nur auf dem alten DC anmelden, ist nur der neue online, finden sie die Domäne nicht.

Abgesehen davon, dass das alles nicht gerade im Sinne des Erfinders ist und man viel falsch machen kann. Aber hat sowas je mal jemand ausprobiert? Und wenn es so oder ähnlich möglich ist, gibt es da irgend eine bestimmte Vorgehensweise?

Es muss doch Wege geben für Leute die im Falle eines Hardware Defekt am primären DC diesen durch einen anderen ersetzen, ohne dass alle Clients neu aus der Domäne raus und wieder reingefahren werden müssen. Oder?

 

[systemkiller]

nicht gleiches - aber fast so genau hatte ich vor 2 wochen bei uns.

1 DC sollte wegen einiger Änderungen an Hard & Software neu aufgesetzt werden.

vorgehensweise ;

Reserve DC zum katalogserver gemacht
alle Rollen auf Reserve DC übertragen.

2 Tage laufen lassen und alle Replikationen nochmals überprüft, dann den 1 dc mit dcpromo runtergestuft.

WINS auf dem DC angepasst und die Verweise auf den alten DC entfernt.

Server neu aufgesetzt und mit DCpromo als sekundären DC in die Domäne geholt. Katalog wie alle FSMO wieder auf den 1.DC übertragen. Nach prüfung der Replikationen und Test (zweiten Server abgeklemmt) den 2 Server wieder mit DCPromo runtergestuft.

 

[Rego]

So wie Du das oben beschrieben hast ist das schon ok, nur die alte IP ist nicht wichtig.

Ich würde das so machen:
zweiten Server als DC installieren (natürlich mit DNS)
die Clients für den neuen DNS-Server per DHCP umstellen
FSMO und GC auf den neuen Server umstellen
alten Server testweise herunterfahren
Clients neu starten und anmelden
nach ausreichender Testzeit alten Server herunterstufen

Das ganze funktioniert NICHT, wenn Du einen speziellen Anmeldeserver definiert hast. Generell gilt aber, dass man normalerweise 2 DCs in einer Domäne haben sollte.

Ihr könntet natürlich auch gleich einen neuen 2008er Server installieren (würde genauso funktionieren). Wenn alles läuft könnte man die Domäne dann auch auf die 2008er Funktionsebene hochstufen.

 

[TheCadillacMan]

Ein Image als DC-Backup ist keine wirklich gute Idee: Warum Images nicht als Datensicherung taugen

Zum Umzug:
Der neue Server muss nicht die gleiche IP wie der alte haben. Active Directory basiert auf DNS, d. h. wenn dort ein Domain Controller registriert und erreichbar ist wird der verwendet. Wenn die Clients die Domäne nicht finden, liegt meist ein DNS-Problem vor.
An den Clients ist vermutlich der alte Server als DNS eingetragen, wenn du diesen vom Netz nimmst musst du an den Clients den neuen Server als DNS eintragen.
Um das zu automatisieren solltest du über den Einsatz von DHCP nachdenken. Damit erhalten die Clients nicht nur automatisch eine IP sondern auch DNS-Server, Router-Adresse etc.

 

[M80331]

Das ist es ja, als ich in die Firma kam hatten schon alle Clients statische IP's, deswegen dachte ich daran der neue Server könne dann auch die IP vom alten Server haben.

In einer Testumgebung hatte ich dem Testclient als primärer und alternativer DNS in der IP Config einfach beide Server gegeben, auch mal vertauscht, half nix.

Werde morgen mal die Testumgebung neu aufsetzen und das ganze mit DHCP probieren.
Muss dann der 2. Server auch DHCP haben, da er den ersten ja ersetzen soll (andere Scope/Range)?

Generell aber schonmal schön dass ich nicht ganz auf'm Holzweg bin, fehlt wohl nur die richtige Vorgehensweise und Übung...

 

[Frightener]

Wenn beide als DHCP laufen sollen, dürfen sich die Bereiche nicht überschneiden. Wenn Du aber sowieso noch keinen DHCP Server laufen hast, reicht es doch, dies nur auf dem neuen DC zu installieren.

Ansonsten stimme ich natürlich meinen Vorpostern zu, daß der alte Server nach Übertragung der FSMO Rollen testweise nur ausgeschaltet werden sollte, bis sicher ist, daß der neue einwandfrei funktioniert.

 

[systemkiller]

Un wenn bestimmte Clients eine eindeutige IP benötigen, kann man das ja unter Reservierung im DHCP-Server einstellen.

DNS
Achte darauf, das der Server in den TCP/IP Einstellungen der Netzwerkkarte als DNS auf sich selbst verweist ! (192.168.0.x) nicht 127.0.0.1 !!

weiterleitungen werden dann im DNS angelegt !

 

[M80331]

Also nochmal zurück an den Anfang, mal schauen ob ich das richtig verstehe:

In meiner Testumgebung setze ich also Server1 und 2 auf,
mache den ersten zum primären DC + DNS, gebe ihm z.B. IP Endnummer .1
und trage auch dort bei primärer DNS Server die 192.168.0.1 ein.
Dann lege ich zum Test ein paar Benutzer an.

Auch Server2 mache ich zum DC + DNS
oder muss ich ihn erst zum DNS machen bevor ich ihn zum DC mache?
Ich gebe ihm IP 192.168.0.2 und trage auch bei ihm als primären DNS Server sich selbst ein, ja?

Und bei beiden dann als sekundärer DNS den jeweils anderen oder wie?
Damit erstmal das replizieren klappt?!?

Nun habe ich jedoch im Produktivnetz viele Clients die alle statische IP's haben und als DNS den Server1 kennen. Es wäre also schön wenn das Ganze ohne DHCP geht.

Zurück zur Testumgebung, ich nehme einen Client in die Domäne auf, gebe ihm eine IP und als DNS kennt er erstmal nur die 192.168.0.1, somit hätte ich die reale Situation in der Testumgebung simuliert, der Client kann sich erwartungsgemäß anmelden.

Nun soll also ohne Änderung an den Clients Server2 die Funktion von S1 überhemen und S1 geht off.

Ich mache also S2 zum globalen Katalog Server.

Nun das kritische zur Reihenfolge:
Stufe ich jetzt schon S1 herab zum Memberserver oder mache ich erst das mit den FSMO Rollen?
Das mit den FSMO Rollen: gebe ich die also per GUI von S1 aus an S2, oder nehme ich mir per Verzeichnisdienstwiederherstellung die lieber von S2 aus von S1?

Dann war mein Gedanke weiter, dass ich dann irgendwann S1 vom Netz nehme, dem S2 die IP vom alten S1 gebe, und die Clients den als neuen und einzigen Server akzeptieren.

Ist das so richtig beschrieben, oder hab ich noch Denkfehler drin?

 

[Rego]

Das mit der IP-Adresse des Servers ändern "könnte" funktionieren. Du musst evtl. dann im DNS die Sachen ebenfalls ändern.

Mein Tipp wäre aber trotzdem auf DHCP zu bauen, dann bist Du auch für spätere Änderungen vorbereitet.

Ich habe es bei uns im Unternehmen so, dass alle Clients im Namen Ihr letztes Oktet von der IP-Adresse haben.

zB. XP-189 --> 192.168.1.189
Durch DHCP-Reservierungen kriegt jeder Client immer seine ihm zugewiesene IP. Ebenfalls kann man DNS-Server, WINS-Server, Gateway, usw... schnell und ohne großen Aufwand ändern.

Ich würde Dir deswegen nochmal empfehlen, lieber die Arbeit einmal aufsich zu nehmen um alles auf DHCP umzustellen und dann um einiges flexibler zu sein.

 

[M80331]

Würde ja DHCP nehmen, aber bin hier nur Admin Nr. 2 in der Hierarchie, nicht meine Entscheidung.

Aber jetzt habe ich einmal angefangen mit der Testumgebung, jetzt probier ich das mal aus.

DHCP oder nicht, hab auch überlegt ob es so "einfach" ist wie hier (ganz unten) :

Umzug von Microsoft Windows 2003 Domänencontrollern auf neue Hardware

Könnte klappen, oder?

 

[Rego]

könnte funktionieren, würde ich aber zuerst ausgiebig testen

 

[M80331]

Ausgiebig testen, naja davon rede ich ja die ganze Zeit, Testen und die richtige Vorgehensweise rausfinden.

Also ich habe jetzt folgendes getan:

S1 installiert, zum DC/DNS gemacht, ihm die IP .0.1 gegeben und das auch bei primärer DNS (statt der 127.0.0.1), dann noch Testuser angelegt.

S2 installiert, ihm die IP .0.2 gegeben, und als DNS Server die .0.1 und .0.2 eingetragen, hab ihn auch zum DNS Server gemacht und diesmal hab ich auch daran gedacht sekundäre statt primäre DNS Zonen zu nehmen, danach auch ihn mit dcpromo zum DC gemacht, dann zum Globalan Katalog gemacht, Replikation lief erfolgreich.

Nun ging es daran S1 offline zu nehmen. Ich habe ihn einfach über dcpromo herabstufen wollen, hat nicht funktioniert, kam die Fehlermeldung "Netlogon konnte nicht beendet werden".

Später fiel mir ein, ich sollte auch mal bei S1 das Häckchen bei Globaler Katalog rausnehmen. Nebeneffekt des missglückten Herabstufen war: die FSMO Rollen hatte er trotzdem an den einzig verbleibenden S2 übergeben; ein Blick in Ntdsutil hat's später nochmal bestätigt.

Btw.: Bisher funktionierte Ntdsutil beim connection Versuch nicht, mit der Fehlermeldung "RPC Server nicht verfügbar", als ich dann den Servername (z.B. server2) anstatt des FQDN (z.B. server2.netz.dom) probiert habe ging auch das, muss man auch erstmal drauf kommen. Ntdsutil hat dann bestätigt, die 5 Rollen waren bereits übergeben.

Nachdem das GC Häckchen raus war konnte dcpromo den S1 als DC demoten (sagt man das so?), und nach einem Neustart konnte er sich sogleich (als nunmehr "nur" Memberserver) an S2 anmelden.

Erster Lichtblick geglückt, dann habe ich auf dem alten S1 noch die DNS-Serverfunktion entfernt und ihm eine ganz andere IP gegeben.

Dann habe ich dem neuen S2 die IP vom alten S1 gegeben und siehe da, der Test PC an dem keinerlei Änderungen vorgenommen wurde, konnte sich bereitwillig anmelden und hat den neuen Server anstatt des alten akzeptiert. Diese Anmeldung ging mit den alten angelegten Usern genauso wie mit jetzt auf S2 neu angelegten Benutzern, Erfolg!

Alles in allem funktioniert der Weg also, wenn man die richtige Reihenfolge einhält.

Ich werde das ganze später noch einmal testen und eine Step-by-step Anleitung verfassen, aber nun bin ich auch so erstmal überglücklich. Kaum zu fassen was man Freitag Nachmittag auf'n Feierabend noch so hinzaubert.