Ich habe nun schon einige Mails bezüglich der Migration von Domain Controllern erhalten, die noch mit einem älteren Betriebssystem laufen. In den meisten Mails geht es darum, die IP-Adresse des ursprünglichen Domain Controllers beizubehalten.
Die Umgebungen, die in den Mails geschildert wurden, waren alle samt ähnlich, nur das Betriebssystem auf dem der ursprüngliche Domain Controller läuft variiert. In den meisten Fällen gab es nur einen Domain Controller der auf Windows Server 2008 läuft und nun durch Windows Server 2016 ersetzt werden soll. In einem Fall gab es sogar noch einen Domain Controller der auf Server 2003 läuft.
Es ist natürlich nicht empfohlen nur einen Domain Controller zu betreiben, allerdings lassen manch kleine Umgebungen auch nichts anderes zu.
Dieser Artikel widmet sich der Migration eines Active Directory mit nur einem Domain Controller basierend auf Server 2008 zu Server 2016 inklusive der Beibehaltung der ursprünglichen IP des Server 2008 DCs.
Server 2003 ist hier außen vor, kann aber mittels der gleichen Methode zunächst zu Server 2008 und danach von Server 2008 zu Server 2016 migriert werden. Eine direkte Migration von Server 2003 zu Server 2016 DCs ist nicht möglich.
Die Umgebung
Für diesen Artikel habe ich deine Testumgebung erzeugt, die wie folgt aufgebaut ist:
Es gibt einen Windows Server 2008 Domain Controller mit der statischen IP 172.16.100.10 und dem Namen DC2008. Im Netzwerk gibt es weitere Clients, welche den Domain Controller als DNS Server nutzen. Der Name des Active Directory lautet frankysweb.local.
Es wurde ein neuer Windows Server 2016 mit dem Namen DC2016 und der IP 172.16.100.20 installiert. Der Server ist bisher nur Mitglied des Active Directory und nutzt ebenfalls DC2008 als DNS Server. Nach Abschluss der Migration soll der neue Server wieder die IP 172.16.100.10 bekommen.
Neuen Domain Controller installieren
Zunächst muss die Rolle “Active Directory-Domänendienste” auf DC2016 installiert werden, bevor DC2016 zum Domain Controller hochgestuft werden kann:
Für die Zeit der Migration von DC2008 zu DC2016 werden also zwei Domain Controller laufen.
Nachdem die Rolle installiert wurde, kann DC2016 direkt zum DC hochgestuft werden:
Die Standardeinstellungen können so belassen werden:
Auch im nächsten Dialog muss nur das Kennwort für den Wiederherstellungsmodus gesetzt werden, die Häkchen bei “DNS-Server” und “Globaler Katalog” bleiben gesetzt:
Eine Delegierung wird in den meisten kleinen Umgebungen nicht benötigt, daher kann die Warnung ignoriert werden:
Die weiteren Dialoge können alle mit “Weiter” bestätigt werden. Im letzten Dialog wird noch eine Zusammenfassung mit zwei Warnungen angezeigt. In diesem Fall sind die beiden Warnungen als Hinweise anzusehen:
- Es kann keine Delegierung für den übergeordneten DNS Server erstellt werden –> wird hier nicht benötigt
- NT4 Clients können sich nicht mehr verbinden –> wird ebenfalls nicht mehr benötigt
Nachdem DC2016 automatisch neu gestartet wurde, gibt es nun also zwei Domain Controller für die Domain frankysweb.local:
Jetzt sollten noch die Ereignis Protokolle durchgesehen werden, ob es zu Fehlern bei der Replikation gekommen ist. Zum Test kann auch ein neues Benutzerkonto angelegt und dann geprüft werden, ob es auf beiden DCs angezeigt wird. Wenn die Replikation funktioniert, kann es weitergehen.
FSMO Rollen verschieben
Das Verschieben der FSMO Rollen von DC2008 zu DC2016 funktioniert am einfachsten per Command Line und dem Tool “ntdsutil”. Die folgenden Befehle können genutzt werden um alle FSMO Rollen von DC2008 zu DC2016 zu verschieben (Hinweis: Die Verbindung wird zu DC2016 aufgebaut):
roles connection connect to server DC2016 quit transfer schema master transfer naming master transfer RID master transfer PDC transfer Infrastructure Master
Die Abfragen müssen dann mit “OK” bestätigt werden.
mit dem Befehl “netdom query fsmo” kann überprüft werden, ob alle FSMO Rollen verschoben wurden:
Wenn dies erfolgt ist, kann es mit dem nächsten Schritt weitergehen.
Alten Domain Controller entfernen
Ab jetzt ist etwas Downtime nötig. Der alte Domain Controller wird entfernt und damit auch der alte DNS Server. Alle Clients/Server die ausschließlich die IP 172.16.100.10 (von DC2008) als DNS-Server konfiguriert haben, können den neuen Domain Controller nicht via DNS finden. Dieser Schritt sollte also in einem Wartungsfenster erfolgen.
Um eine Downtime zu vermeiden kann auch einfach der neue Server als primärer DNS Server eingestellt werden, wenn dies auf allen Clients erfolgt, muss natürlich auch nicht die IP-Adresse des neuen Domain Controllers geändert werden. Hier geht es nun aber genau um den Fall dass der neue Server die IP des alten Servers erben soll. Daher weiter im Text.
DC2008 wird nun runtergestuft, dies funktioniert mit dem Befehl “dcpromo”:
Es öffnet sich der Dialog zum entfernen des Domain Controllers. Das Häkchen bei “Domäne löschen, da dies der letzte Domänencontroller in der Domäne ist” darf NICHT gesetzt werden:
Im darauffolgenden Dialog muss ein neues lokales Administrator Kennwort angegeben werden:
Die Zusammenfassung kann bestätigt werden:
Die Domain Controller Rolle wird nun von DC2008 entfernt und der Server kann neu gestartet werden.
Nachdem DC2008 neu gestartet wurde, gibt es in der OU “Domain Controllers” nur noch das Computerkonto von DC2016:
DC2008 kann nach dem Neustart runtergefahren werden, somit ist die IP Adresse frei und kann gleich dem neuen Domain Controller zugeordnet werden. Vorher sind allerdings noch ein paar Aufräumarbeiten nötig.
Aufräumarbeiten
Das alte Computer Konto von DC2008 findet sich nun in der OU “Computers” und kann hier gelöscht werden:
Die DNS Einstellung der Netzwerkkarte auf DC2016 kann nun korrigiert werden, hier ist noch die IP von DC2008 eingetragen:
Hier wird nun als DNS Server 127.0.0.1 verwendet. Es ist hier übrigens wenig sinnvoll einen Router oder öffentlichen DNS Server ans Sekundären DNS Server einzutragen, da diese in der Regel nicht die Zonen für das lokale Active Directory auflösen können. In Umgebungen mit nur einem DC steht hier also nur 127.0.0.1:
Im DNS-Manager müssen nun einmal alle Zonen und Subzonen durchgesehen werden, hier bleiben oft Leichen des alten Domain Controllers zurück. Hier können anhand der alten IP / Hostnamen Leichen erkannt und gelöscht werden:
Die delegierte Zone “_msdcs” hat ebenfalls noch einen alten Nameserver Eintrag, dieser muss ebenfalls korrigiert werden:
Hier ist mal ein Beispiel für eine Leiche, die bei mir nicht gelöscht wurde:
Wie gesagt, geht alle Zonen und Subzonen einmal durch und schaut nach alten Einträgen, irgendwo bleibt immer etwas zurück. Auch die Reverse Zone nicht vergessen.
IP Adresse des DCs ändern
Das Ändern der IP Adresse ist nun kein Hexenwerk mehr. Zuerst wird die IP von DC2008 auf DC2016 konfiguriert:
Danach folgt ein “ipconfig /registerdns”:
Dann wird der Anmeldedienst neu gestartet:
Jetzt noch einmal kurz im DNS Aufräumen und die folgenden drei alten Einträge löschen:
Fertig. Sicherheitshalber sollten Exchange und SQL-Server wenn vorhanden einmal neu gestartet werden.
Hallo.
Kann mir jemand sagen, was vor/bei einer Migration zu beachten ist wenn es eine Vertrauensstellung zu einer anderen Domain gibt?
Wie sieht das nach der Migration mit den Gruppenrichtlinien aus?
Meine alte Windows 2008R2 Domäne hatte bereits Windows 10 Clients und dem entsprechend dann manuell eingespielte Administrative Vorlagen für Gruppenrichtlinien, die nicht immer korrekt angezogen wurden. Nachdem nun die alten Server durch Windows2016 ersetzt, die NTFRS Replizierung mit DFRSMIG aktualisiert und Replizierungsdurcheinander bereinigt wurde, frage ich mich, ob dabei nun die „alten“ verspuhlten Gruppenrichtlinien weiterhin verwendet werden, oder ob durch das Anheben der Domänenfunktionsebene auch die Gruppenrichtlinien von Windows 2016/Windows 10, die richtigen sind.
Ich hab dennoch das Gefühl das es nicht so passt. Weiss das jemand?
Kann dieses Tutorial auch noch für eine Migration 2008 auf 2019 genutzt werden, oder sind die Schritte dann anders?
Das umstellen auf Server 2019 DCs geht. Aber wenn du einen Exchange drin hast, welchen du noch upgraden musst, kann es sein dass du den alten AD Controller nicht gleich Nuken kannst. In manche Konstellationen brauchst du sogar Server 2012 R2 als Zwischen Domaincontroller mit dabei sein müssen damit die Upgrades tatsächlich 100% durchgehen.
Das hat meiner Meinung nach nur was mit der Gesamtstrukturfunktionsebene sowie der Exchange Version und der entsprechenden Kompatibilität zu tun (siehe Hinweis weiter oben von mir). Habe bereits einen „gewachsenen Exchange 2010“ mit 2019DCs und Funktionsebene 2012 erfolgreich auf Exchange 2016 migriert. Da sind die Publicfolder das größere Problem.
Hatte aber den Fall dass keine 2012 R2 DCs mehr in der 2012-Level Domain waren und wir den Exchange 2010 nicht loswerden konnten. Erst als wir temporär einen 2012 R2 DC wieder dazugenommen, und diesen im Exchange 2010 als einzigen DNS eingetragen, haben konnte der Exchange 2010 deinstalliert werden. Genau darauf zielt meine Warnung.
Das hat prinzipiell nun auch funktioniert. Auch der Exchange hat das alles gut verkraftet. Jedoch habe ich ein anderes Problem. Trotz des Bewegens der FSMO-Rollen auf den neuen DC kann ich den alten nicht herunterfahren, weil sich dann nichts mehr daran authentifizieren kann. Sogar der neue DC kennt sich dann selbst nicht. Völlig kurios. Daher wage ich es auch nicht, per dcpromo den alten herunterzustufen. Ich muss ihn aber aus der Domäne heraus bekommen, weil ich das AD-Schema anheben muss. Gibt es etwas, das ich machen muss, was nicht oben in der Anleitung steht?
Das ist die Grenze ab der man direkt schauen muss was Sache ist. Wenn der Server 2019 keine Update bekommt bevor er DC wurde gibt es Probleme, wenn irgendwelche Replikationen nicht so tun wie sie sollen gibt es Probleme. Hier gibt es zu viele Möglichkeiten wieso da was schief gegangen ist, und raten ist ab hier nicht mehr sinnvoll.
Der Tipp mit der Replikation war Gold! Tatsächlich hatte sich der Replikationsdienst verabschiedet, nachdem der alte Server nach einem Neustart nicht mehr sauber gestartet war. Ich konnte eben nach der Reparatur tatsächlich die Netzwerkverbindung temporär trennen und erkennen, dass nun der neue PDC genutzt wird. Auch lassen sich auf dem neuen Server nun endlich GPOs und sonstige AD-Daten wieder sauber bearbeiten.
Danke für die Ausführungen. Dann sollte alles passen – und wer seinen Exchange 2010 im Moment nicht mit dem aktuellsten Patch betreibt, dem ist ja eh nicht zu helfen (ich sag nur CVE-2020-0688).
Nein, wir haben auch von Exchange 2010 auf 2016 migriert und haben auch ADs mit Windows Server 2019 im Einsatz hängt ja auch von Deiner Domänenfunktionsebene ab und die ist bei uns auch noch auf 2008 R2. Was Du ja so noch lassen kannst.
Nachtrag Exchange 2010 ist ab SP3 RU22 oder höher kompatibel zur Gesamtstruktur Ebene 2016 (Windows Server 2016 auch). Siehe hier in der Matrix von Microsoft: https://docs.microsoft.com/de-de/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2019
Danke erstmal für diese tolle Anleitung.
Bevor ich mich ans Umsetzen wage, wollte ich noch eins abklären:
Aktuell setzen wir Exchange 2010 auf Server 2008R2 ein (die Migration zu Exchange Online + Server 2019) wird im Anschluss an die DC/NS Migration als eigenes Projekt durchgeführt werden). Gibt es in dieser Konstellation Probleme, wenn ich den DC wie im Artikel beschrieben direkt auf 2019 hochziehe? Laut Microsoft ist Exchange 2010 ja nicht einmal mit einem DC 2016 kompatibel).
muss man den alten DC herunterstufen oder kann man nach dem Verschieben der Rollen den alten Rechner einfach herunterfahren und entsorgen?
Du solltest diesen auf jedenfall Depromoten, sonst hast Du später ev. Probleme und Leichen in Deinem AD. Du kannst in aber auch später zwingen den alten DC zu entfernen, falls Du das schon gemacht hast :-)
Jetzt bleibt noch einen Frage: Wie kann ich den Namen des neuen DC2016 zu dem alten Namen DC2008 umbennen. Somit wäre doch für diee Clients alles bei „Alten“…
Geht das problemlos über den Befehl netdom computername ALTER-COMPUTERNAME /add:NEUER-COMPUTERNAME?
Domänencontroller umbenennen ist nicht.
Alten Domänencontroller entfernen, und neuen mit dem Namen des alten aufsetzen. IP Ändern geht, aber Name nein.
DNS-Umstellung nicht ganz schlüssig.
Ich habe es so gelernt, dass man bei Installation der Rolle „Active Directory Domänendienste“ auch gleichzeitg die Rolle „DNS Server“ mitinstalliert. Durch das Heraufstufen des neuen Servers zum zweiten Domänencontroller wird das Active Directory dann auf den neuen Server repliziert, und da die Daten des DNS-Servers auch im Active Directory gespeichert sind ist direkt alles klar.
Nun stellt sich die Frage, ob die Clients ihre IP-Adressen von einem DHCP-Server erhalten, oder ob sie manuell eingetragen sind. Sofern auf dem alten Server auch ein DHCP-Server steckt, so muss auch dieser auf den neuen Server übertragen werden. In diesem Fall spielt es keine Rolle, ob der neue Server eine andere IP hat, als der alte Server. Der DHCP-Server regelt das schon – an den Clients genügt ein Neustart.
Sind die IP-Adressen (warum auch immer) an den Clients manuell eingetragen, empfiehlt sich natürlich dem neuen Server die IP-Adresse des alten Servers zu geben. In diesem Fall ist tatsächlich eine Downtime unumgänglich.
Hallo Frank,
super Anleitung Danke.
Wir haben zwei DC mit Windows 2008 R2 und einen Exchange Server 2010.
Ich möchte nächste Woche die beiden DC zu Windows 2016 Migrieren. Gibt es etwas zu beachten was den Exchange 2010 Server angeht?
Gruß
Michi
Hallo,
ich habe 3 DC, einen alten Win 2008, einen 2012 R2 und jetzt neu aufgesetzt einen Win 2016, der dann den 2008 ablösen soll. Das AD-Schema läuft aber noch auf Win 2000. Mein ehemaliger IT-Mann, der leider ausgewandert ist, hat auf dem DC 2008 auch noch die IP-Adresse des 1. DC Win 2000. Exchange ist 2010.
Frage: sollte ich zunächst AD anheben ? Oder erst den DC 2008 herausnehmen Oder ist diese Reihenfolge egal ?
Danke – Jörg
Du musst zuerst mindestens auf Domain Level 2008 anheben, bevor Du weitermachen kannst.
Was ist mit Adprep /Forestprep und Adprep /Domainprep /Gpprep, werden diese Schritte nicht mehr benötigt?
Hallo Fischle,
doch, die Strukturen müssen aktualisiert werden. Man kann das entweder mit den von Dir erwähnten Befehlen händisch machen. Alternativ werden die Strukturen automatisch von allein aktualisiert, sobald man auf dem neuen Server die Active Directory Domänendienste installiert.
Ich persönlich mag es jedoch lieber, wenn man es händisch macht. Geht bei dem Assistenten was schief, weiss man nicht, was im Hintergrund alles passiert ist – macht man es hingegen händisch step by step, kann ich bei Problemen immer an der Stelle eingreifen, wo was schiefgeht (aber eigentlich geht ja nichts schief).
Am Ende dann, wie im Artikel oben schon beschrieben, einmal mit „netdom query fsmo“ am besten am alten DC prüfen, ob der neue DC nun bei allen Rollen nun der neue Sheriff ist. ;-)
Anmerkung: es gibt tolle Bücher von Ulrich Boddenberg -leider keine aktuellen mehr. Aber ich persönlich habe im Buch „Windows Server 2012 R2“ nachgeschaut – dort ist alles Schritt für Schritt sauber erklärt. Passt auch für Win Server 2019 – da hat sich nichts geändert. Der Autor ist super gut, wenn es darum geht, Abläufe zu erlernen und allgemeines Verständnis zu bekommen. Im aktuellen Buch „Windows Server 2019“ von Peter Kloep findet man hingegen zu diesem Thema mal rein gar nichts.
Moin,
ich würde gerne einen SBS 2011 ablösen auf diese art und weise. Gibt es hier Erfahrungen?
Kann ich das einfach machen mit einem 2012 R2 oder gibt es was gesondertes zu beachten.
Ich lese nämlich das Kevin das problem fehlender SYSVOL und NETLOGON beklagt.
Liebe Grüße
René
Würde denn was dagegen sprechen einen CNAME im DNS von dem alten DC auf den neuen zu setzen, natürlich vorausgesetzt das sich der Namen ändert ?
Somit könnte man doch eventuell Fehler mit alten Einstellungen evtl. Bei Zugriff auf Freigaben o.ä umgehen.
Hallo Frank,
ich habe den Migration des Domaincontrollers von 2008 R2 zu Server 2016 dank der ausführlichen Anleitung erfolgreich vollzogen. Ich habe wie in der Anleitung die IP-Adresse vom alten DC auf den neuen DC übernommen. Bei mir erscheint im Netzwerksymbol ein gelbes Ausrufezeichen und das kein Internetzugriff besteht. Internet funktioniert, auch auf den Clients im Netzwerk. Hat jemand schonmal ein ähnliches Phänomen gehabt?
Viele Grüße
Marco
Hallo Frank,
wir haben vor kurzem ein SBS2011 auf einen neuen Domäncontroller 2016 migriert und hochgestuft.
Jedoch ist es so, dass auf dem neuen DC die Freigaben „SYSVOL“ und „NETLOGON“ fehlen.
Somit habe ich das Problem, dass die Rollen „PDC“ und „naming Master“ sich nicht übertragen lassen. Diese springen immer wieder auf den alten DC (SBS2011).
Gibt es hier eine Idee wie mann die Freigaben auf dem neuen DC wieder angezeigt bekommt oder hat jemand ein ähnliches Szenario schonmal gehabt und kann mir den ein oder anderen Tipp geben ?
Viele Grüße
Kevin
Moin!
Vielen Dank für den tollen Artikel!
Das mit der Migration des SYSVOL scheint jedoch ein essentieller Bestandteil im Rahmen einer solchen Migration zu sein. Könntest Du das eventuell ein wenig näher erläutern? Oder hat es einen guten Grund, dass Du das hier nicht erwähnst? Was hat es damit auf sich? Wann genau während der Migration sollte/muss das gemacht werden? Was sind die Voraussetzungen hierfür?
Herzlichen Dank und weiter so!
LG
Thorsten
Hallo Frank, soweit ich es verstanden habe, ist in Deinem Beispiel die Domain noch in der 2008 Domänenfunktionsebene. Wie sollte ich vorgehen, damit neuere Betriebssysteme auch berücksichtigt werden können?
Wie sieht es denn aus wenn ich den selber Computernamen (nicht nur IP) haben will wie der 2008/2012 ? Da sehr viele DNS Einträge auf diesen zeigen?
Hi, da ich das gleiche vor habe, würde ich auch gerne wissen, ob dies möglich ist den gleichen Namen, nachdem der alte DC heruntergefahren wurde, zu erteilen. Ich habe die Antwort von Pingback gelesen, aber das denke ich muss doch einfacher gehen, oder?
Besten Dank im voraus!
Hallo erstmal
Der Name sollte nach dem der alte DC aus der Domäne entfert wurde kein Problem sein, man kann mit Hilfe vom DNS-Server einen zusätzlichen Namen hinterlegen.
Hallo ,
in einigen Anleitungen wird empfohlen den alten DC vor dem Hochstufen des 2016er mittels
adprep /forestprep bzw. adprep /domainprep vorzubereiten… ist das nötig, bzw. was hat es für Folgen, das nicht zu tun?
grüße
Thomas
Es ist offiziell nicht unbedingt nötig, wenn die Domänen- und Forest-Funktionsebene mindestens 2003 ist. Allerdings fiel bei mir NTFRS auf die Nase, bis ich die Funktionsebenen auf dem alten DC auf 2008R2 aktualisiert hatte.
DFSRMIG wollte ich in dem Zustand nicht durchführen, da dafür explizit die einwandfreie Replikation zwischen allen DCs notwendig ist – und das war hier ja nicht gegeben.
Ich habe das gleiche Problem, der 2008R2 ist mir durch einen Stromausfall weggebrochen und auf dem
2016 war das AD nicht mehr erreichbar, nach dem der 2008R2 wieder hochgefahren ist ging es wieder.
Das heißt ich kann jetzt noch adprep /forestprep bzw. adprep /domainprep ausführen ?
Von alten Migrationen kenne ich es allerdings auch nicht anders und habe es immer vorher ausgeführt.
Hallo Frank,
bei mir läuft ein Exchange Server 2016 auf einem Windows Server 2012 und möchte jetzt den Server auf 2016 updaten. Der Server ist als zweiter Server in die Domäne eingebunden.
Würde es ausreichen wenn ich den Server 2016 mit gleichen Namen und IP Adresse neu installiere und den Exchange Server 2016 installiere und zum Schluss nur die Datenbank einbinde
Grüsse
Andy
Hallo Bernd,
Danke für deine Anleitung. Das hilft sehr. Ich habe ein Szenario bei dem ich 2 Server (Server und Backup) betreibe und beide sowohl HW als auch Windows ersetzen will. Ist mein Schluss richtig, dass ich einen Server einfach ausschalten kann, und den neuen direkt mit den Daten (Name und IP) des ausgeschalteten Rechners installieren und konfigurieren kann. Das ganze Spiel 2 mal mache, da ich ja zwei Rechner habe. Ich gehe davon aus, dass ich dazu auch FSMO ausführe, dann aber nicht transferiere sondern übernehme.
Danke für deine Antwort im Voraus!
Grüsse
Rolf
Hallo,
da ich auch nicht so oft den Server siedle, habe ich eine Frage:
In einer Anleitungen (https://docs.microsoft.com/en-us/windows-server-essentials/migrate/prepare-your-source-server-for-windows-server-essentials-migration#BKMK_MPT) steht, man soll das Migration Preparation Tool einsetzen.
Warum brauchst du das nicht?
Danke!
LG Bernd
Hallo Bernd,
im Artikel handelt es sich nicht um Windows Server Essentials. Daher wird auch kein Migration Preparation Tool benötigt.
Gruß,
Frank
Nachtrag: Beim Benutzernamen muss man die Domäne des alten Servers voranstellen [domäne]\[benutzer]
Jetzt komme ich erstmal weiter.
Hallo,
ich möchte nächstes Jahr den Server auch umziehen. Dafür habe ich zum testen eine VM mit Server 2008 R2 und eine VM mit Server 2019 Insider erstellt. Der neue Server findet zwar die Domäne des alten Servers aber Aufgrund falscher Anmeldeinfos oder dem Benutzerkontonamen komme ich nicht weiter. Welche müssen da rein? Der lokale Admin oder der Admin vom alten Server? Ich habe beides ohne Erfolg probiert.
Roger Schär:
Na klar geht das! Erst mal normale Migration auf 2016-DCs, quasi temporäre DCs, den alten DC sauber entfernen und den neuen DC mit genau dem Namen und der IP in die nun freie Lücke platzieren.
Ist halt Arbeit, ansonsten kein Problem. Und besser für die Zeit wenn niemand sonst arbeitet.
Einmal mehr, besten Dank für die tolle Anleitung.
Ich möchte in meinem Fall, dass nicht nur die IP Adresse von alten DC übernommen wird, sondern auch noch den Hostname. Am Ende der Migration soll also der neue DC gleich heisst wie der alte. Wie gehe ich da vor?
Tolle Anleitung! Danke!
Ich habe genau diesen Austausch in den nächsten Wochen vor.
In unserem kleinen Büro habe ich bisher den DC (Server 2008)und den Exchange 2010 auf einem PC laufen (ich weiß, das sollte man nicht machen, läuft aber seit 2012 problemlos). Muss ich noch zusätzlich etwas beachten, damit der Exchange auf dem alten DC weiterläuft wenn ich auf Server 2016 migriere wie beschrieben?
Der Exchange 2010 wird auf 2016 auf eigenem Server ebenfalls in den nächsten Wochen migriert, aber einen Schritt nach dem anderen :-)
@Bernd
Aufwand / Zeitabschätzung: Wie viel Aufwand ist es allen Geräten, Server und PCs mit festen IP Einstellungen mit dem neuen DNS zu konfigurieren gegen die Übernahme der IP des vorigen Domaincontrollers. Für die Domaincontroller alleine ist das vom Aufwand her egal ob man die IP übernimmt, da sehe ich keinen Unterschied.
Natürlich hat man immer zwei DNS Server eingetragen, aber Windows frägt erst nach einer Sekunde den zweiten eingetragenen. Je nach Dienst potenziert sich das schnell auf 10+ Sekunden da manche Dienste eben gleich 10+ DNS Anfragen gemacht werden. https://support.microsoft.com/en-us/help/2834226/net-dns-dns-client-resolution-timeouts
Andere OS-e bzw Geräte und deren Timing bezüglich DNS Timeouts sehen noch viel schlimmer aus, manche fragen nach 30 Sekunden den zweiten eingetragenen.
Hallo,
Motto: lieber einen Kaffee mehr trinken bevor ein Blödsinn passiert…
Aber wieso gleiche IP?
Am Hauptstandort hab ich eh 3 DCs, draußen 1-2, aber irgendeiner ist immer erreichbar.
FSMO rollen gehen eh nicht doppelt also wieso?
Hallo,
na zum Beispiel, weil der DHCP auf dem DC beim Provider für das MPLS-Netz gesetzt ist.
Bis der das aktualisiert hat dauert das Wochen!
Also entweder rechtzeitig vorher die neue IP mitteilen oder eben die IP mitnehmen.
Noch ein wichtiger Hinweis:
In einer Exchange 2010 Organisation werden offiziell keine Windows Server 2016 Domaincontroller unterstützt.
Hier die Exchange Kompatibilitätsmatrix beachten!
Sollte wieder funktionieren!
https://blogs.technet.microsoft.com/rmilne/2018/06/21/exchange-2010-support-for-windows-server-2016-domain-controllers/
Super Anleitung, vielen Dank für Deine Mühen!
Eine Sache mache ich anders:
Die DNS Einstellungen der LAN Karte vom 2016-er DC korrigiere ich sobald er mit-DC geworden ist, direkt nach dem Neustart. Dann noch DNS-Server und Client am 2016-er durchstarten und gut ist es.
Sobald der 2016-er mit DC geworden ist wird geprüft ob der DNS brav alles repliziert hat und ob NETLOGON sich brav repliziert (test via „Neues Textdokument.txt“ erstellen und in den anderen netlogons nachsehen ob es auftaucht).
RegisterDNS entfällt normalerweise, das macht er spätestens nach 15 Minuten selbst. Meist schneller, ich habe selten mehr als eine Minute gesehen bis die DNS Einträge automatisch angepasst werden, auf allen DCs.
Das manuelle transferieren der Rollen ist nicht zwingend nötig, aber ich mache diesen Schritt zur Sicherheit auch immer.
Wenn man das passend angeht kann der neue 2016-er DC die IP vom vorigen 2008-er oder 2012-er DC übernehmen, direkt nachdem der 2016-er DC geworden ist und die LAN Karte angepasst wurde. Aber dann muss man dem DNS und der AD zeit geben damit sie sich selbst sortieren. Selbst mit laufendem Exchange in der AD klappt dieses IP-tausch-Spielchen, man darf nur nicht ungeduldig oder Hektisch werden.