Ich möchte demnächst einen Domänencontroller migrieren meine vorgehensweise wäre wie folgt geplant.
folgende IST Situation ist gegeben
1x 2003 er DC
1x 2008r2 DC
Einen Tag vorher Migriere ich die FSMO Rollen auf den 2008er DC
Dann möchte ich den alten DC herunterstufen zum Memberserver da ich die IP Adresse des bestehenden Servers verwenden will/muss da sonst sämtliche FW regeln wieder angepasst werden müssen.
- Muss ich den DNS Service nach dem runterstufen manuell löschen
Danach gebe ich dem neuen DC die alte IP und Promote ihn zum neuen Domänencontroller. Müssen vorher noch die bestehenden ADMX Files sichern?
die FSMO-Rollen hättest du schon längst auf den 2008-DC übertragen sollen, weil nur dadurch alle neuen AD-Funktionen verfügbar werden. Jedenfalls gibt es keinen Grund, das erst kurz vor der Umstellung zu machen.
Das DNS solltest du auf jeden Fall nach dem Herunterstufen des 2003-DCs (und vor dem Installieren des neuen DC) prüfen und ggf. manuell bereinigen. Ebenso ggf. WINS.
ADM- und ADMX-Dateien musst du nicht manuell migrieren, die replizieren sich selbst mit dem AD.
Muss ich bei der Deinstallation vorher die DNS Replikation rausnehmen? oder kann ich DNS einfach so löschen
Jetzt habe ich noch 2 Fragen da die Migration von 2000 auf 2003 schon ein paar jahre her ist. Die DC´s stellen die Anmeldung in mehreren Vlans zur Verfügung. Diese Verbindungen werden Gefirewallt. Reicht es hier aus wenn ich folgende Ports freigebe?
TCP Ports
smb (445)
ldap (389)
1025-1100
DNS (53)
kerberos (88)
135
netbios-ssn (139)
49152-49159 (gibt es hier ein whitepaper wie ich diese einschränken kann?)
UDP Ports
DNS (53)
kerberos (88)
ldap (389)
netbios-ns(139)
netbios-dgm(138)
Muss ich bei der Deinstallation vorher die DNS Replikation rausnehmen?
das kommt darauf an, wie DNS bei euch repliziert. Wenn es AD-integriert ist, reicht es, den DC per dcpromo herunterzustufen, er wird dann automatisch aus der Replikation entfernt. Wenn ihr Primary/Secondary habt, dann solltest du prüfen, dass der zu deinstallierende Server nicht mehr der Primary ist und willst ihn evtl. aus der Liste berechtigter Server für die Zonenübertragung entfernen.
Diese Verbindungen werden Gefirewallt.
Interessant, das Verb kannte ich noch gar nicht.
Allgemein ist AD und interne Firewalls immer so eine Sache. Wenn es aber bislang geht, sollte es künftig auch funktionieren. Was du beachten musst, ist bei Microsoft ausführlich dokumentiert, Boogle oder Ging sollten dir den Weg weisen.
Der Umzug hat soweit geklappt. Jetzt habe ich noch eine Frage da ich schon länger keinen DC mehr migriert habe. Die Firewallregeln waren OK!
Wie ist der beste Weg die FSMO Rollen aufzuteilen?
auf dem neuen DC hab ich bis jetzt den Infrastrukurmaster welche Rolle wäre hier noch gut diese draufzutun?
