Website-Icon Frankys Web

Migration Domain Controller zu Server 2016

Ich habe nun schon einige Mails bezüglich der Migration von Domain Controllern erhalten, die noch mit einem älteren Betriebssystem laufen. In den meisten Mails geht es darum, die IP-Adresse des ursprünglichen Domain Controllers beizubehalten.

Die Umgebungen, die in den Mails geschildert wurden, waren alle samt ähnlich, nur das Betriebssystem auf dem der ursprüngliche Domain Controller läuft variiert. In den meisten Fällen gab es nur einen Domain Controller der auf Windows Server 2008 läuft und nun durch Windows Server 2016 ersetzt werden soll. In einem Fall gab es sogar noch einen Domain Controller der auf Server 2003 läuft.

Es ist natürlich nicht empfohlen nur einen Domain Controller zu betreiben, allerdings lassen manch kleine Umgebungen auch nichts anderes zu.

Dieser Artikel widmet sich der Migration eines Active Directory mit nur einem Domain Controller basierend auf Server 2008 zu Server 2016 inklusive der Beibehaltung der ursprünglichen IP des Server 2008 DCs.

Server 2003 ist hier außen vor, kann aber mittels der gleichen Methode zunächst zu Server 2008 und danach von Server 2008 zu Server 2016 migriert werden. Eine direkte Migration von Server 2003 zu Server 2016 DCs ist nicht möglich.

Die Umgebung

Für diesen Artikel habe ich deine Testumgebung erzeugt, die wie folgt aufgebaut ist:

Es gibt einen Windows Server 2008 Domain Controller mit der statischen IP 172.16.100.10 und dem Namen DC2008. Im Netzwerk gibt es weitere Clients, welche den Domain Controller als DNS Server nutzen. Der Name des Active Directory lautet frankysweb.local.

Es wurde ein neuer Windows Server 2016 mit dem Namen DC2016 und der IP 172.16.100.20 installiert. Der Server ist bisher nur Mitglied des Active Directory und nutzt ebenfalls DC2008 als DNS Server. Nach Abschluss der Migration soll der neue Server wieder die IP 172.16.100.10 bekommen.

Neuen Domain Controller installieren

Zunächst muss die Rolle “Active Directory-Domänendienste” auf DC2016 installiert werden, bevor DC2016 zum Domain Controller hochgestuft werden kann:

Für die Zeit der Migration von DC2008 zu DC2016 werden also zwei Domain Controller laufen.

Nachdem die Rolle installiert wurde, kann DC2016 direkt zum DC hochgestuft werden:

Die Standardeinstellungen können so belassen werden:

Auch im nächsten Dialog muss nur das Kennwort für den Wiederherstellungsmodus gesetzt werden, die Häkchen bei “DNS-Server” und “Globaler Katalog” bleiben gesetzt:

Eine Delegierung wird in den meisten kleinen Umgebungen nicht benötigt, daher kann die Warnung ignoriert werden:

Die weiteren Dialoge können alle mit “Weiter” bestätigt werden. Im letzten Dialog wird noch eine Zusammenfassung mit zwei Warnungen angezeigt. In diesem Fall sind die beiden Warnungen als Hinweise anzusehen:

Nachdem DC2016 automatisch neu gestartet wurde, gibt es nun also zwei Domain Controller für die Domain frankysweb.local:

Jetzt sollten noch die Ereignis Protokolle durchgesehen werden, ob es zu Fehlern bei der Replikation gekommen ist. Zum Test kann auch ein neues Benutzerkonto angelegt und dann geprüft werden, ob es auf beiden DCs angezeigt wird. Wenn die Replikation funktioniert, kann es weitergehen.

FSMO Rollen verschieben

Das Verschieben der FSMO Rollen von DC2008 zu DC2016 funktioniert am einfachsten per Command Line und dem Tool “ntdsutil”. Die folgenden Befehle können genutzt werden um alle FSMO Rollen von DC2008 zu DC2016 zu verschieben (Hinweis: Die Verbindung wird zu DC2016 aufgebaut):

roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Die Abfragen müssen dann mit “OK” bestätigt werden.

mit dem Befehl “netdom query fsmo” kann überprüft werden, ob alle FSMO Rollen verschoben wurden:

Wenn dies erfolgt ist, kann es mit dem nächsten Schritt weitergehen.

Alten Domain Controller entfernen

Ab jetzt ist etwas Downtime nötig. Der alte Domain Controller wird entfernt und damit auch der alte DNS Server. Alle Clients/Server die ausschließlich die IP 172.16.100.10 (von DC2008) als DNS-Server konfiguriert haben, können den neuen Domain Controller nicht via DNS finden. Dieser Schritt sollte also in einem Wartungsfenster erfolgen.

Um eine Downtime zu vermeiden kann auch einfach der neue Server als primärer DNS Server eingestellt werden, wenn dies auf allen Clients erfolgt, muss natürlich auch nicht die IP-Adresse des neuen Domain Controllers geändert werden. Hier geht es nun aber genau um den Fall dass der neue Server die IP des alten Servers erben soll. Daher weiter im Text.

DC2008 wird nun runtergestuft, dies funktioniert mit dem Befehl “dcpromo”:

Es öffnet sich der Dialog zum entfernen des Domain Controllers. Das Häkchen bei “Domäne löschen, da dies der letzte Domänencontroller in der Domäne ist” darf NICHT gesetzt werden:

Im darauffolgenden Dialog muss ein neues lokales Administrator Kennwort angegeben werden:

Die Zusammenfassung kann bestätigt werden:

Die Domain Controller Rolle wird nun von DC2008 entfernt und der Server kann neu gestartet werden.

Nachdem DC2008 neu gestartet wurde, gibt es in der OU “Domain Controllers” nur noch das Computerkonto von DC2016:

DC2008 kann nach dem Neustart runtergefahren werden, somit ist die IP Adresse frei und kann gleich dem neuen Domain Controller zugeordnet werden. Vorher sind allerdings noch ein paar Aufräumarbeiten nötig.

Aufräumarbeiten

Das alte Computer Konto von DC2008 findet sich nun in der OU “Computers” und kann hier gelöscht werden:

Die DNS Einstellung der Netzwerkkarte auf DC2016 kann nun korrigiert werden, hier ist noch die IP von DC2008 eingetragen:

Hier wird nun als DNS Server 127.0.0.1 verwendet. Es ist hier übrigens wenig sinnvoll einen Router oder öffentlichen DNS Server ans Sekundären DNS Server einzutragen, da diese in der Regel nicht die Zonen für das lokale Active Directory auflösen können. In Umgebungen mit nur einem DC steht hier also nur 127.0.0.1:

Im DNS-Manager müssen nun einmal alle Zonen und Subzonen durchgesehen werden, hier bleiben oft Leichen des alten Domain Controllers zurück. Hier können anhand der alten IP / Hostnamen Leichen erkannt und gelöscht werden:

Die delegierte Zone “_msdcs” hat ebenfalls noch einen alten Nameserver Eintrag, dieser muss ebenfalls korrigiert werden:

Hier ist mal ein Beispiel für eine Leiche, die bei mir nicht gelöscht wurde:

Wie gesagt, geht alle Zonen und Subzonen einmal durch und schaut nach alten Einträgen, irgendwo bleibt immer etwas zurück. Auch die Reverse Zone nicht vergessen.

IP Adresse des DCs ändern

Das Ändern der IP Adresse ist nun kein Hexenwerk mehr. Zuerst wird die IP von DC2008 auf DC2016 konfiguriert:

Danach folgt ein “ipconfig /registerdns”:

Dann wird der Anmeldedienst neu gestartet:

Jetzt noch einmal kurz im DNS Aufräumen und die folgenden drei alten Einträge löschen:

Fertig. Sicherheitshalber sollten Exchange und SQL-Server wenn vorhanden einmal neu gestartet werden.

Die mobile Version verlassen