PDC wird ersetzt

Elbo · 28.02.2005

Hallo erstmal..

Ich hab am Wochenende eine kleine Operation vor mir, und wollt mich lieber im Vorhinein über eine sinnvolle Vorangehensweise Informieren.

Folgendes Szenario:

Momentaner Zustand:

3 Server

1 PDC AD Windows 2000 Server + Terminalserver (er war mal der einzige Server, daher dieser Kopfstand PDC + terminal auf dem selben System)
1 alter SQL Server Windows 2000 Server welcher schon durch einen neuen SQL ersetzt wurde
1 neuer SQL Server Windows Server 2003 + Exchange 2003

der PDC AD soll ausgetauscht werden, dabei Kopfstand PDC + Terminalserver beheben.

Der Plan:

Der alte PDC soll abgeschalten werden.
Die kompletten Aufgaben des PDC + AD, sollen auf den alten SQL verschoben werden.
Der neue Server soll nur die Terminalfunktionen übernehmen.
SQL und XCHange bleiben unangetastet.

Jetzt meine Denkansätze...

PDC Transfer (ich denke per NDSUTIL) alten PDC -> neuen PDC (alten SQL)

Terminaldienstelizensen.. Der Lizensserver läuft auf dem alten PDC, kann man den Lizens-Server mit verschieben? Ode rmuss ich den neu Aufsetzen, und bei Microsoft anrufen und neu Aktivieren lassen..

Exchange 2003 dieses ist ja fest in die AD integriert.. Da hab ich quasi noch keinerlei vorstellungen wie der die Umstellung des PDC AD Auswirkungen auf den Exchange haben.

Evtl habt ihr ja ein paar Tips.. etwas worauf man vorher achten sollte, was einem aber erst hinterher auf die Füße fallen könnte..

Danke im Voraus..

Christian

Joshua · 01.03.2005

Eins vornweg: In einem Active Directory gibts keine PDC-/BDC-Architektur mehr, alle DCs sind gleichberechtigt und verwalten die entsrpechenden Server-Rollen, auch FSMO genannt.

Installiere einen neuen Server als DC und übernimm alle FSMO auf diese neue Maschine. Wenn das erledigt ist, stufe den alten DC zum Memberserver herunter und schalte ihn ab.

Übertragen der FSMO:
http://www.wintotal.de/Artikel/fsmo/fsmo.php

Cheers,
Joshua

Elbo · 01.03.2005

Die MMC Snapins brauch ich nicht zu installieren wenn der Server von vornherein als zusätzlicher Server in eine AD installiert wird .. oder? dann sollte der die doch mit installieren..?

Wie schaut es mit dem DNS-Server aus? Muss ich den DNS-Zonenmaster umbiegen? Oder macht der das von selber?

Exchange dürfte das ganze garnicht mitbekommen..

Meine Letzte Sorge gilt daher dem Terminaldienste Lizenz-Server, welcher auf dem Abschaltserver läuft. Ich kann zwar einfach nen neuen Aufsetzen, alles versuchen einzutragen, und sollten Fehler kommen bei MS anrufen und so, bin mir aber nicht im klaren wie gut der MS Support am Wochenende ist.

Oder gibt es auch da eine Möglichkeit der Portierung?

Joshua · 01.03.2005

Elbo schrieb:
Die MMC Snapins brauch ich nicht zu installieren wenn der Server von vornherein als zusätzlicher Server in eine AD installiert wird .. oder? dann sollte der die doch mit installieren..?

Jein - prinzipiell wird alles, was du brauchst, auf dem neuen DC installiert, bis auf das SnapIn für den Schemamaster, das musst du immer zusätzlich installieren.

Wie schaut es mit dem DNS-Server aus? Muss ich den DNS-Zonenmaster umbiegen? Oder macht der das von selber?

Wenn du AD-integrierte Zonen verwendest werden diese auf ALLE DCs repliziert, brauchst dir also keine Birne machen. Wenn es normale, also primäre Zonen sind, erstelle auf dem neuen Server sekundäre Zonen, übertrage die Zonen vom primären DNS-Server und mache sie danach zu primären bzw. AD-integrierten Zonen.

Exchange dürfte das ganze garnicht mitbekommen..

Eigentlich nicht - du musst auf dem Exchange (und auf allen anderen Maschinen mit statischen Einträgen) nur in TCP/IP-Eigenschaften den prim. DNS-Server ändern.

Meine Letzte Sorge gilt daher dem Terminaldienste Lizenz-Server, welcher auf dem Abschaltserver läuft. Ich kann zwar einfach nen neuen Aufsetzen, alles versuchen einzutragen, und sollten Fehler kommen bei MS anrufen und so, bin mir aber nicht im klaren wie gut der MS Support am Wochenende ist.

Das ist ein Problem, die lassen sich nicht wirklich einfach umziehen. Setz nen neuen Lizenzserver auf und aktiviere den TS erneut via Internet, das geht afaik problemlos, hab ich auch schon mehrere Male gemacht. Die ID wird bei MS automatisch generiert und per Mail versandt, das klappt auch am Wochenende.

Oder gibt es auch da eine Möglichkeit der Portierung?

Ich möchte fast wetten, das es die gibt - habs aber noch nicht ausprobiert. Evtl. stolpert Raven noch über diesen Thread, er kann dir da sicher mehr zu sagen.

Bedenke bei der Replikation zwischen den DCs/Übernahme der FSMO bitte, das das nicht von jetzt auf gleich geht, d.h. bestenfalls installierst du den zweiten DC schon morgen und überträgst auch direkt die FSMO und die DNS-Funktionen.

Cheers,
Joshua

Elbo · 01.03.2005

Danke erstmal für die Hinweise. Ich werd dann spätestens AM Montag info geben wie und ob alles geklappt hatt.

Martin von Wittich · 01.03.2005

also Josh, nur die Betriebsmaster zu übertragen, ist doch nicht alles? Ich würde die Profile, Freigaben + freigegebene Dateien, andere Programme und Dienste und deren Daten (DHCP, WINS, IIS, alles, was nicht repliziert wird; sowie auch ganz andere Programme/Dienste, die nicht zu Windows dazugehören) auch mitnehmen... den Globalen Katalog ebenfalls...

Die MMC Snapins brauch ich nicht zu installieren wenn der Server von vornherein als zusätzlicher Server in eine AD installiert wird .. oder? dann sollte der die doch mit installieren..?

Hi Elbo,
was meinst du damit? Das Snapin, dass man in Joshs Artikel registrieren muss? Das musst du schon registrieren, weil dieses Snapin (aus Sicherheitsgründen?...) normalerweise nicht registriert ist. Allerdings werden die FSMOs spätestens bei der Runterstufung des alten Server von Windows automatisch auf den neuen verschoben.

Wie schaut es mit dem DNS-Server aus? Muss ich den DNS-Zonenmaster umbiegen? Oder macht der das von selber?

Installier auf dem neuen Server den DNS-Dienst und stell einfach sicher, dass alles komplett rüber repliziert wurde. Dann sollte das in Ordnung sein.

Den globalen Katalog musst du auch übertragen (Active Directory - Standorte und Dienste ==> (dort müsste irgendwo dein Server stehen; weiß den genauen Weg nicht auswendig) ==> Eigenschaften von NTDS Settings ==> Haken für Globaler Katalog setzen.

Zum Thema Portierung: ja, ist auch möglich (es sei denn, du setzt dynamische Datenträger ein....). Du musst ein Image des alten Servers erstellen und dies auf den neuen Server draufspielen; dann die Windows-CD einlegen, bei der Installation die Festplatte auswählen und dann Reparieren auswählen. Mit ein bisschen Glück sollte der Server nach einigen kleinen Korrekturen (IP!) normal weiterlaufen.
Diese Technik habe ich bereits erfolgreich eingesetzt.

Ein Image solltest du dir für Notfälle sowieso anfertigen; wenn was schiefgeht, kannst du damit den alten Server wiederherstellen und nochmal von vorn anfangen. Genau dieser Weg hat mir letztens eine Menge Ärger erspart

MfG Martin

Joshua · 01.03.2005

Martin schrieb:
also Josh, nur die Betriebsmaster zu übertragen, ist doch nicht alles? Ich würde die Profile, Freigaben + freigegebene Dateien, andere Programme und Dienste und deren Daten (DHCP, WINS, IIS, alles, was nicht repliziert wird; sowie auch ganz andere Programme/Dienste, die nicht zu Windows dazugehören) auch mitnehmen... den Globalen Katalog ebenfalls...

Stimmt - daran hatte ich nicht gedacht.....

Allerdings werden die FSMOs spätestens bei der Runterstufung des alten Server von Windows automatisch auf den neuen verschoben.

Darauf würde ich mich nicht verlassen !
Das ist mir schon ein paar Mal in die Hose gegangen.....

Cheers,
Joshua

Elbo · 01.03.2005

Martin schrieb:
Ein Image solltest du dir für Notfälle sowieso anfertigen; wenn was schiefgeht, kannst du damit den alten Server wiederherstellen und nochmal von vorn anfangen. Genau dieser Weg hat mir letztens eine Menge Ärger erspart

MfG Martin

Acronis ist mein ständiger Begleiter

Martin von Wittich · 01.03.2005

PCDJoshua schrieb:
Martin schrieb:

also Josh, nur die Betriebsmaster zu übertragen, ist doch nicht alles? Ich würde die Profile, Freigaben + freigegebene Dateien, andere Programme und Dienste und deren Daten (DHCP, WINS, IIS, alles, was nicht repliziert wird; sowie auch ganz andere Programme/Dienste, die nicht zu Windows dazugehören) auch mitnehmen... den Globalen Katalog ebenfalls...

Zum Vergrößern anklicken....

Stimmt - daran hatte ich nicht gedacht.....

mensch Joshua... wenn dir das mal in der Produktion passiert, was sagst du dann deinem Cheffe? ;D

Allerdings werden die FSMOs spätestens bei der Runterstufung des alten Server von Windows automatisch auf den neuen verschoben.

Zum Vergrößern anklicken....

Darauf würde ich mich nicht verlassen !
Das ist mir schon ein paar Mal in die Hose gegangen.....

Wenn du das sagst, dann glaub ich dir das auch. Ich habs letztens einfach vergessen und da hat es (glücklicherweise) von allein geklappt, daher der Hinweis

Ich werde das dann wohl besser in Zukunft nicht vergessen........

MfG Martin

Elbo · 02.03.2005

So ich richte gerade den neuen Terminalserver ein..
Feines Maschinchen.. Hp Dual Xeon usw

Was mich noch interessieren würde. Wie macht Windows das mit den Profilen? Man hat zwar Profile für jeden Nutzer, die auch den Namen des Users tragen, wenn man diese jedoch kopiert hatt man oft das Problem das Windows dann das kopierte Profil nicht nutzt, sondern ein neues Anlegt.

Meine Vermutung / Hoffnung ist ja das es bei meinen Bisherigen tests nur an den NTFS Permissions lag. Hab Profile bislang immer nur von einer Ausgebauten Festplatte auf ein komplett neu aufgesetztes System kopiert..

Wenn ich jedoch das AD portiere, dann sind ja alle User gleich, auch die Permissons sollten gleich bleiben, so das der neue Terminalserver das kopierte Profil auch gleich nutzt. (denk ich mal.)

Wobei ich ja beim Kopieren wieder die Rechte übernehmen muss..

So war es zumindest beim letzten mal.

Martin von Wittich · 03.03.2005

Hi Elbo,

Elbo schrieb:
wenn man diese jedoch kopiert hatt man oft das Problem das Windows dann das kopierte Profil nicht nutzt, sondern ein neues Anlegt.

wie meinst du das genau? Dass du einfach auf demselben Server das Profil von Benutzer A kopierst und dieses dann B nennst, damit es das Profil von Benutzer B wird? Dann würde ich tatsächlich davon ausgehen, dass es an den Berechtigungen liegt. Du solltest erstmal bedenken, dass Windows NTFS-Berechtigungen niemals mitkopiert; wenn du die auch kopieren willst, dann musst du XCOPY benutzen. Wenn du Profile kopierst, musst du die Berechtigungen/Besitzer aber sowieso neu festlegen. Wenn du nur erreichen möchtest, dass deine Benutzer einheitliche Profile bekommen, dann solltest du es lieber mit einem domänenweiten Default User-Profil versuchen...

Wenn ich jedoch das AD portiere, dann sind ja alle User gleich, auch die Permissons sollten gleich bleiben, so das der neue Terminalserver das kopierte Profil auch gleich nutzt. (denk ich mal.)

Ja, aber wie gesagt: Windows kopiert Berechtigungen nicht mit...

MfG Martin

Joshua · 03.03.2005

Martin schrieb:
Ja, aber wie gesagt: Windows kopiert Berechtigungen nicht mit...

Stimmt - wie schön, das es Tools wie den TotalCommander gibt ;D

Cheers,
Joshua

Elbo · 03.03.2005

Ne ich hab mich warscheinlich bissel doof ausgedrückt.

Ich Kopiere Ein Profil von Benutzer: User

Das Profil nennt sich User.domain

Um das Profil zu kopieren muss ich den besitz Übernehmen. Da ich auch als Admin nicht in vom System angelegte Userprofile zugreifen kann.

Dann kopiere ich es auf den neuen Server, auf dem es den Selben User gibt (Neu Angelegt, nicht per NTDSUTIL portiert)
Ich hab dem User rechte auf den Ordner User.domain gegeben.

Nach dem ersten Anmelden gibt es dann plötzlich User.domain1 mit einem neuen Profil.

Meine Vermutung: Windows vergleicht nicht den namen, sondern die ID die hinter dem namen steckt. Und da ist diese nunmal anders, auch wenn der name der selbe ist. Wenn ich den neuen server jedoch portiert habe, quasi die selbe userdb wie auf dem alten läuft, dann haben die user ja auch die gleiche ID und dann sollte es sogar funktionieren. (denk ich mal)

Martin von Wittich · 04.03.2005

Elbo schrieb:
Dann kopiere ich es auf den neuen Server, auf dem es den Selben User gibt (Neu Angelegt, nicht per NTDSUTIL portiert)
Ich hab dem User rechte auf den Ordner User.domain gegeben.

Nach dem ersten Anmelden gibt es dann plötzlich User.domain1 mit einem neuen Profil.

Meine Vermutung: Windows vergleicht nicht den namen, sondern die ID die hinter dem namen steckt. Und da ist diese nunmal anders, auch wenn der name der selbe ist. Wenn ich den neuen server jedoch portiert habe, quasi die selbe userdb wie auf dem alten läuft, dann haben die user ja auch die gleiche ID und dann sollte es sogar funktionieren. (denk ich mal)

Das sehe ich ähnlich; das Problem liegt wohl in der SID. Wenn du den Profilordner auf den neuen Server kopierst und dort entweder dem Besitz des zukünftigen Nutzers übergibst oder ihm die entsprechenden Rechte gewährst (und evtl. die Berechtigungen aller untergeordneten Daten ersetzt), dann hast du ihm die Rechte auf alle seine Dateien gegeben. Allerdings sind auch Berechtigungsinformationen mit SIDs in der Registrierung gespeichert (ntuser.dat), und die hättest du dann nicht geändert. Wenn Windows nicht auf die Registry zugreifen kann, könnte es sein, dass es automatisch ein neues Profil erstellt.
Du könntest mal testweise versuchen, die ntuser.dat zu löschen. Dann würde Windows sie (hoffentlich) neu erstellen; der betr. Benutzer würde dabei aber alle seine persönlichen Einstellungen verlieren.
Die andere Methode wäre, die ntuser.dat per Hand zu laden und die Berechtigungen dort anzupassen (Registrierungseditor -> Struktur laden [geht AFAIK nur bei XP/2003!] -> einen beliebigen Namen eingeben -> Rechtsklick auf den neuen Eintrag unter HKEY_USERS -> Berechtigungen). Dort solltest du die alten (ungültigen) SIDs löschen und die neuen Benutzer eintragen; evtl. musst du die untergeordneten Berechtigungen ersetzen.

Ob das alles so klappt, weiß ich absolut nicht; aber ich weiß, dass das eine Heidenarbeit wird, wenn du ne Menge Benutzer hast. Vielleicht kann man das scripten...?

Vielleicht sollten wir hier mal irgendwie ganz allgemein nützliche Scripts sammeln!

MfG Martin

Elbo · 08.03.2005

Sooo

wie versprochen der Statusbericht.

Um 9 Uhr begannen wir mit der Sicherung aller Beteiligter Server, 11 Uhr waren wir damit fertig.
11 Uhr dann haben wir den neuen und den alten AD Controller alleine an ein Eigenes Siwtch gesteckt, und mit der Portierung begonnen. 13 Uhr dann (nachdem das Ereignisslog das Synchronisieren mit erfolgreich eingestuft hatt) den neuen alleine ans Netz angeschlossen und den SQL / Exchangeserver hochgefahren. Anmelden von win2k Usern, XP Usern und Windows 98 Usern an Domain, Datenbank und Outlook funktionierte unspektakulär ohne irgendwelche Fehler.

Dann noch etwas Drucker und Freigaben eingerichtet, Terminal mit Programmen ausgestattet, erfahren, das die Microsoft Geschäftszeiten Montag bis Freitag von 8 bis 17 Uhr sind

, und damit erstmal nur Temporäre Clientzugriffslizensen für den Terminal ausgestellt werden können.

Im großen und ganzen eine Runde Sache. Der alte AD-Controller steht aber noch da.. man kann ja nie wissen was in 60 Tagen so alles passiert

Danke für die Hilfe hier aus dem Forum.

Mfg

Christian

PDC wird ersetzt

Elbo

Joshua

Elbo

Joshua

Elbo

Martin von Wittich

Joshua

Elbo

Martin von Wittich

Elbo

Martin von Wittich

Joshua

Elbo

Martin von Wittich

Elbo

PDC wird ersetzt

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums