Zum Inhalt wechseln


Foto

Windows-Domäne mit zwei DCs erstellen

Active Directory

  • Bitte melde dich an um zu Antworten
51 Antworten in diesem Thema

#1 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 15. September 2014 - 16:28

Hallo,

 

das ist mein erster Post hier. Wäre möglich, dass ich noch öfters eine Frage hier stelle.

Zu meinem Hintergrund: Ich bin Quereinsteiger im IT-Bereich. Nach einem recht gut abgeschlossenen Ingenieursstudium hat es mich in die EDV verschlagen, wo ich eigentlich auch recht glücklich bin. Meine Aufgabe ist die EDV-Betreuung eines kleineren Unternehmens mit ca. 50 Rechnern.

 

Nun auch schon zum Problem. Von meinem Vorgänger hab ich eine ziemliche Baustelle geerbt, wenn ich das mal so sagen darf.

 

Momentan haben wir noch einen fast 15 Jahre alten Windows 2000 Server DC im Produktiveinsatz, der so langsam aber sicher die Grätsche macht. Vor zwei Wochen gab es einen Totalausfall. Im Server ist ein RAID 4, das nur noch mit drei Platten betrieben wird. Nun ist eine weitere Festplatte müde geworden. Irgendwo ist beim alten DC auch schon total der Wurm drin, so dass es meine ich wenig Sinn machen würde, die Domäne über einen 2003er Server zu einem 2008er Server zu migrieren. Die Namensauflösung ist teils fehlerhaft, ebenso wie die Verwaltung der Berechtigungen. Möglich wäre es aber...

 

Ich will die Domäne nun komplett neu aufsetzen. Um etwas Redundanz im System zu haben, möchte ich die neue Domäne durch einen zweiten DC absichern. 

 

Zur Verfügung steht, nach meiner ersten Planung, ein 2012er Essentials Server (nicht R2) als primärer DC und ein 2008er R2 Standard Server als sekundärer DC.

 

Meint ihr, mit so einer Konfiguration handle ich mir Probleme ein?

Wie wäre das grobe Vorgehen dabei? Muss ich dabei Rollen verteilen oder können die Dinger gleichberechtigt, quasi als "Spiegel", nebeneinander laufen?

 

Außerdem frage ich mich, wie ich die neue Domäne nennen sollte.

name.local scheint wohl nicht unbedingt vorteilhaft zu sein.

Hier im Forum kursiert auch die Möglichkeit intra.name.de. Was wäre die bessere Variante?

 

Und schließlich habe ich ein kleines Problem bezüglich des Zeitfensters zur Installation. Im laufenden Betrieb kann ich wohl kaum was machen. Sobald ich einen der aktuell eingesetzten Server zum primären DC mache, fliegt der ja aus der aktuellen Domäne. So bliebe mir nur das Fenster von Samstag Nachmittag bis Montag früh um 6e. Meint ihr, bis dahin ist so eine Umstellung (für einen "Anfänger") machbar?

 

Man muss dabei auch einige Maschinen berücksichtigen, die auf Netzwerkfreigaben zugreifen. Unter Umständen sind die recht zickig...


Bearbeitet von willy-goergen, 15. September 2014 - 16:31.


#2 NilsK

NilsK

    Expert Member

  • 12.475 Beiträge

 

Geschrieben 15. September 2014 - 16:53

Moin,

 

willkommen an Board, schön, dass du uns gefunden hast!

 

Mit einem Essentials-Server kannst du deine Domäne nicht aufsetzen, der kann nicht als DC arbeiten. Du benötigst also einen zweiten Standard-Server.

 

Was den logischen Aufbau anbelangt - am esten wäre es, wenn du dich anhand deiner konkreten Situation von jemandem beraten lässt, der sich damit auskennt. Zumindest solltest du ein praxisorientiertes Buch lesen oder dergleichen. Für Grundlagen oder für einen detaillierten Projektplan ist ein Forum nicht geeignet.

 

Deine bestehende Domäne würdest du grundsätzlich sicher reparieren und aktualisieren können und dabei den Alt-DC früh austauschen. Das ist ein gewisser Aufwand, aber unterschätze auch nicht den Aufwand, eine Domäne für 50 User neu zu machen.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#3 tesso

tesso

    Board Veteran

  • 2.263 Beiträge

 

Geschrieben 15. September 2014 - 17:04

Seit wann kann der Essentials kein DC sein?

Das Problem könnte die Userbeschrankung sein.

 

Ich sehe es wie Nils. Bei den Anforderungen und deiner Selbsteinschätzung, hole dir Hilfe. Dazu kommen bestimmt noch etliche Randbedingungen die du uns bisher veschwiegen, weil du sie vermutlich selbst nicht kennst. Du brauchst jemanden der sich auskennt und dir erst einmal die richtigen Fragen stellt, um deine Umgebung zu verstehen und den Aufwand abschätzen zu können.



#4 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 15. September 2014 - 17:11

Seit wann kann der Essentials kein DC sein?

Das Problem könnte die Userbeschrankung sein.

 

Das Problem mit einer eventuellen Userbeschränkung habe ich auch im Hinterkopf.

Prinzipiell ist es ja eher so, dass so ein 2012er Essentials Server zwingend seine eigene Domäne haben will, sofern man ihm das bei der Installation nicht mit sanfter Gewalt abgewöhnt. Der Beitritt zu einer bestehenden Domäne ist von MS eigentlich nicht vorgesehen.

 

Ein zweiter 2008er R2 Standard wäre auch noch vorhanden. Allerdings wollte ich den hauptsächlich für die Produktion nutzen. Da läuft die komplette Produktion drüber. Damit ist er eigentlich schon gut ausgelastet.

 

Meint ihr wirklich, ich sollte mir Hilfe holen? Hab auch schon überlegt... aber irgendwo komme ich mir dann wie das fünfte Rad am Wagen vor...

Es ist nicht so, dass ich mir nicht zu helfen weiß. Aber teilweise gehen meine Anforderungen (z.B. zwei DCs) doch etwas in die Tiefe.

 

Ein Buch zu lesen, bzw. zu kaufen, wäre vielleicht eine Möglichkeit. Ob ich die Zeit noch habe, weiß ich aber grad nicht. Beim nächsten Crash startet der alte DC vielleicht gar nicht mehr.


Bearbeitet von willy-goergen, 15. September 2014 - 17:15.


#5 tesso

tesso

    Board Veteran

  • 2.263 Beiträge

 

Geschrieben 15. September 2014 - 17:17

Du bekommst den schon als Domaincrontroller hinzu.

http://technet.micro...y/dn408637.aspx

http://blogs.technet...nvironment.aspx

 

Mit einem Buch lesen ist es nicht getan.

Hol dir Hilfe und lass dir ein System mit Dokumentation übergeben. Das kannst du dann auch betreuen. Hier ist anderes knowhow gefragt.

 

Wenn du einen netten Dienstleister hast, bist du bei allem dabei, kannst zuschauen, lernen und Fragen stellen.

 

Mir stellt sich auch die Frage, ob ich heute wirklich noch eine neue Umgebung mit 2008R2 oder 2012 ohne R2 aufbauen möchte.


Bearbeitet von tesso, 15. September 2014 - 17:19.


#6 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 15. September 2014 - 17:26

Wenn ich so drüber nachdenke, muss ich morgen mal mit dem Chef drüber reden.

 

Wir haben einen Dienstleister an der Hand. Irgendwie hat die Frau vom Chef wohl eine Firma, die solche Dienstleistungen (hoffentlich professionell) übernimmt. Zumindest hängt seine Verwandtschaft irgendwie mit drin.

 

Dieser Dienstleister sollte auch mal meine Urlaubs- oder Krankheitsvertretung übernehmen können. Von daher wäre es gar keine schlechte Idee, ihn mit einzubeziehen.


Bearbeitet von willy-goergen, 15. September 2014 - 17:27.


#7 tesso

tesso

    Board Veteran

  • 2.263 Beiträge

 

Geschrieben 15. September 2014 - 18:08

Gute Idee, sprich mit deinem Chef und halt uns auf dem Laufenden.



#8 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 15. September 2014 - 18:40

Das werde ich tun...

 

Hab grad mit meinem Vorgänger deswegen telefoniert. Wollte auch wissen, warum er so lange gewartet hat.

Irgendwie hatte er wohl Angst vor der Umstellung, die Pussy! 

 

Notfalls mach ich das selbst. Allerdings sollte wohl mindestens eine Person mit ein bisschen Ahnung teil meiner kranken Gedanken werden.



#9 NorbertFe

NorbertFe

    Expert Member

  • 30.934 Beiträge

 

Geschrieben 15. September 2014 - 19:23

Jemand der mal eben ohne triftigen Grund ne Domäne mit 50pcs und Usern "neu machen" will, sollte evtl. Ein wenig kürzer treten mit seinen Aussagen. Kommt nicht sehr angenehm rüber.

Bye
Norbert

Make something i***-proof and they will build a better i***.


#10 daabm

daabm

    Expert Member

  • 2.111 Beiträge

 

Geschrieben 15. September 2014 - 20:08

Jepp - "alleine" und übers Wochenende machst Du das nicht alleine "neu"... Das müßtest Du auf jeden Fall parallel aufbauen und testen.


Greetings/Grüße, Martin

Mal ein gutes Buch über GPOs lesen? Oder ein kleines, aber feines Blog darüber?

Und wenn mir die IT mal auf die Nerven geht - coke bottle design refreshment (-:


#11 NilsK

NilsK

    Expert Member

  • 12.475 Beiträge

 

Geschrieben 16. September 2014 - 07:19

Moin,

 

Seit wann kann der Essentials kein DC sein?

 

hab ich verwechselt mit Foundation. Geeignet ist Essentials in einer 50-User-Umgebung, in der es mehr als einen DC geben soll, aber trotzdem nicht.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#12 tesso

tesso

    Board Veteran

  • 2.263 Beiträge

 

Geschrieben 16. September 2014 - 07:54

Moin,

 

 

hab ich verwechselt mit Foundation. Geeignet ist Essentials in einer 50-User-Umgebung, in der es mehr als einen DC geben soll, aber trotzdem nicht.

 

Gruß, Nils

Auch der Foundation kann Domaincontroller sein. http://technet.micro...y/jj679892.aspx

 

Passt in diesem Konstrukt aber noch weniger.



#13 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. September 2014 - 08:41

 

[...]Muss ich dabei Rollen verteilen oder können die Dinger gleichberechtigt, quasi als "Spiegel", nebeneinander laufen?[...]

 

Hallo,

 

weder noch.

 

Im Regelfall sind die FSMO-Rollen auf dem ersten Domänencontroller. Ein Verteilen ist sinnlos. Es gibt kein Nebeneinander. Sollte der erste DC unwiederbringbar verloren gehen, dann ist auf zweiten DC das Sizen der FSMO-Rollen möglich.

 

Ein zweiter DC hostet das Active Directory, stellt die Namensaufklöung per DNS und den DHCP..Das wäre die (deine) Absicherung für den Fall des Versagens des 1.DC.

 

Damit ist aber die Haltung (deine Absicherung) der Benutzer- und Firmendaten noch nicht behandelt, das hat nämlich mit den DC nichts zu tun.

 

Auch ich emfehle das Hinzuziehen externer Hilfe.

 

Natürlich kannst Du eine neue Domäne aufsetzen, entweder mit einem neuen Namen oder gleichnamig in einem anderen Netz. Es ist aber wohl die Frage, ob das zeitlich Sinn macht, da nach deinem Bericht ein erhöhtes Risiko des Versagens der Geräte der jetzigen besteht.


Bearbeitet von lefg, 16. September 2014 - 09:02.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)


#14 willy-goergen

willy-goergen

    Board Veteran

  • 480 Beiträge

 

Geschrieben 16. September 2014 - 16:24

Danke für eure Antworten so weit. Ich fand (bzw. finde eigentlich immer noch) den Vorschlag bzgl. externer Hilfe ganz ok. Ich hatte heute auch schon Besuch von den Spezis, die mir da gestern in den Sinn gekommen sind.

 

Nun... ich weiß nicht. Ich bin überhaupt nicht drüber begeistert, was bei der Beratung herauskam.

Ich wollte ein Fahrzeug mit vier Rädern und eigenem Antrieb. anbieten will man mir ein Dreidrad mit Pedalen. So kommt's für mich rüber.

 

Was wo lief, ist den Leuten scheinbar zweitrangig.

 

Ich will zwei Domänencontroller, einen als Absicherung.

"Uhhh... ganz schwierig. An die bestehenden Server wollen wir nicht ranlangen. Das promoten eines Servers zum DC stellt einen sehr tiefgreifenden Schritt dar."

 

Was wäre dann die Alternative?

"Sie können bei uns einen neuen Server kaufen und wir richten ihn für Sie ein."

 

Was ist mit dem zweiten DC?

"Das geht vorerst dann nicht."

 

Ich hätte gerne serverseitig gespeicherte Benutzerprofile. Unser Netzwerk sollte schnell genug sein. Die Größe der Profile soll auf ca. 300 MB beschränkt sein.

"Das geht auch nicht, aber wir können Ihnen einen Terminalserver anbieten. Der Terminalserver kann aber nicht gleichzeitig DC sein. Sie bräuchten dafür zusätzlich Hardware."

 

Ich will keinen Terminalserver. Wie sieht dann das weitere Vorgehen aus?

"Wir setzen für Sie einen neuen Server auf und richten den für Sie ein."

 

Ente

 

Sorry Leute, aber ich fühl mich total verars***t. Nicht nur, dass der ausgeschiedene Kollege, von dem ich die Stelle übernommen habe, grob fahrlässig die Sache mit dem alten DC ignoriert hat, so hab ich jetzt auch noch die Nulpen an der Backe. Das was die können, kann ich schon lang. Da brauche ich keinen Dienstleister dafür.

 

Meine Vorgabe war, die DCs auf den bestehenden Servern zu installieren.

 

Eigentlich wollte ich den ersten Kommentar dazu hier wertungsfrei halten. Aber ich bin grade ziemlich unentspannt wegen dem Ganzen.


Bearbeitet von willy-goergen, 16. September 2014 - 16:31.


#15 lefg

lefg

    Expert Member

  • 20.510 Beiträge

 

Geschrieben 16. September 2014 - 16:45

Hallo,

 

nach deiner Schilderung verzichtete wohl auch ich auf diese Leute, deren Hilfe und Angebot.

 

Vom Prinzip ist das Einrichten eines Dc, auch eines 2.Dc überhaupt kein Problem so man das auf die Funktion als Dc und DNS beschränkt. Ein Dc ist aber kein "Spiegelserver" für Daten. Womit viele Anfänger ein Problem bekommen, das ist der DNS. Der Dienst DNS ist ein Dreh- und Angelpunkt einer Domäne.

 

Auch servergespeicherte Benutzerprofile sind kein Hexenwerk.

 

Es gibt Bücher, da steht das Schritt für Schritt drin, ebenso im Technet und anderen Publikationen.

 

Falls dir etwas Zeit bleibt, dann besorg dir den Lesestoff und baue.

 

Oder such eine anderen Dienstleister! Möglicherweise findest Du ja hier am Bord einen Selbstständigen oder Freiberufler mit räumlicher Nahe zu dir.


Bearbeitet von lefg, 16. September 2014 - 16:49.

Das Messbare messen, das Nichtmessbare messbar machen. Galilei.

 

Diskutiere nicht mit ***en, denn sie ziehen dich auf ihr Niveau und schlagen dich dort mit Erfahrung! (Hab ich bei Tom abgeguckt)

 

Koinzidenz begründet keine Korrelation und ist kein Beweis für Kausalität. (Hab ich bei Daniel abgeguckt) https://de.wikipedia...rgo_propter_hoc

 

Absolutistischer“ Geschäftsführungs-Dogmatismus, der jedwede Empirie aus der „Werkstatt“ schlichtweg ignoriert , führt eben zumeist früher als später ….  (Hab ich von Klabautermann)




Auch mit einem oder mehreren der folgenden Tags versehen: Active Directory