Der richtige Migrationspfad…?

[derjunge 1]

Hallo an Alle,

habe heute eine Arbeit zugeschoben bekommen, die ein anderer ewig hinausgezogen hat, bis er dann gekündigt hat… Und nun ich hab das Problem am Hals. Und logisch die ganze Sache soll so schnell wie möglich erledigt werden, da sie schon ewig steht.

Die Situation ist folgende:

 

-HP ML350G6 mit VMWare Esxi 5.5 und folgenden VMs drauf:

    -SBS 2011 Server (AD,DNS,Echange,ESTOS Telefonserver)

    -UBUNTU Server (Fileserver, Datenbankserver)

-Ca. 50 User

-Der Server ist extern auflösbar(SBS201 Name = MX.domain.com)

-Der UBUNTU Server hängt iwie in der Domain wegen der Userrechte der Netzlaufwerke und der Datenbanken

-User die sich teilweiße über vpn verbinden (1-2 mal im Monat)

-Externe Domaintrusts zu öffentlichen Gemeinden

-Nichts in des SBS Console konfiguriert, alles per Hand

-Startscrips für Server selbst für externe Verbindungen, und Scrips für Clients in alle Richtungen

 

DAS Problem:

Der SBS verliert immer den Trust zu den anderen Domains, laut den anderen Domainadmins liegt es definitiv am SBS, mit einem normalen PDC funktionier das scheinbar perfekt. Schlagt mich jetzt nicht tot, ich weiß es nicht ob es stimmt, aber in der Aufgabenplanung finde ich ein trust-Scripte die jedes Monat ausgeführt werden. Also wird was dran sein.

 

DIE Aufgabe:

Mit bereits gekaufter Win2008R2 + Exchange 2010 Lizenz, soll das ganze so umgebaut werden dass ich am Ende alles wieder gleich am Laufen habe, durch den „richtigen“ DC soll das domaintrust-Problem gelöst werden.

 

DIE verzwickte Lage:

Zum einen hab ich eine Migration so noch nie gemacht, des Weiteren muss ich so wie ich es sehe eine VM mit AD und Exchange installieren und kann nicht sauber einen PDC und Exchange einzeln installieren. Einmal weil ich nicht zu den Clients komme, und zum Zweiten extern bzgl DNS nichts umstellen kann. Das größte Problem aber ist dass Keiner wirklich Bescheid weis. Bzgl. Telefonserver-Software muss ich sowieso jemand anderen beauftragen, da ich damit nichts am Hut habe.

 

Tja und nun fehlt mehr ehrlich gesagt schon mal der richtige Ansatz wie die Sache durchziehe. Vor allem das Thema Servername angeht nach der Migration auf den neuen Server. Wäre echt sehr Dankbar um Denkanstöße wie ich vorgehen soll.

DAS einzig Gute:

Ich habe hier eine Kopie der 2 VMs, Status vor 2 Wochen. D.h. ich kann die Migration am richtigen System bis zum Erbrechen Testen. Des Weiteren glaube ich dass nach dem das Ding geschaukelt ist ich um einiges schlauer geworden bin (Hoffe ich zumindest).

Bin um jede Meinung und Rat dankbar.

bearbeitet 1. Oktober 2014 von derjunge

[Alith Anar 38]

Eigentlich würde ich dir 3 Sachen raten:
 

1: Was steht den in den Log Files warum der Trust verloren geht. Eine Neuinstallation bringt nicht unbedingt eine neuere, bessere, stabilere Trustanbindung.

2: Analysiere die ganzen Scripte die da laufen und gucke was die machen. (wenn die nicht mehr benötigt werden stellen sie bestenfalls ein Sicherheitsproblem dar)

3: Wenn du 2. (sinnvollerweise auch 1.) erledigt hast hol dir externe Hilfe.
 

[Dukel 436]

Wie hast du es geschaft einen Trust einzurichten? Ein SBS unterstützt keine Trusts.

[tcpip 12]

 

Wie hast du es geschaft einen Trust einzurichten?

 

Hat er doch gar nicht. :rolleyes:

 

Aber in die Richtung geht es. Es ist nicht supportet,was nicht heißt das man es nicht einrichten kann. Getestet habe ich es nicht.

 

Ich könnte wetten das der SBS diese eingerichteten Trust verwirft und die Scripte diese wieder einrichten. Eventlog prüfen.

 

Der normale Migrationsweg weg vom SBS ist sicherlich eine Lösung.

 

Du kannst zusätzlichen einen DC und einen Exchange in die vorhandene SBS Domäne installieren und alle Dienste migrieren. Da gibt es zu Hauf Anleitungen.

 

Mußt mal schauen welche 2008R2 Lizenz Du genau hast und wie viele virtuelle Server Du damit betreiben darfts. Stichwort Enterprise, Datacenter. Ansonsten muss eine zweite Lizenz her.

 

Ein HP ML350G6 mit ausreichend RAM, CPU und HDD sollte ohne weiteres diese beiden Server vertragen können.

 

Dem Ubuntu und dem ESTOS ist das im Endefekt egal wenn am Ende DNS und IP´s auf den neuen DC verweisen.

 

 

DIE verzwickte Lage:

Zum einen hab ich eine Migration so noch nie gemacht,

 

Das denke ich auch jeden Tag ;)

 

Gruß

 

tcpip

 

 

 

[derjunge 1]

@ Alith Anar

Mir ist versändlich dass ein neuer Server nur zwangsläufig was bringt... Die Scrips werde ich mir mal genau ansehen... Die Sache ist einfach die, dass ich den Auftrag bekommen habe, er lautet nicht löse das Trustproblem, sondern mach die Migration... Wenn du mir schon jetzt sagst hol Hilfe von Ausen, dann glaube ich sage ich die Sache einfach ab... Ich kann leider mit keinen Infos und Hilfe der anderen rechnen.

 

@Dunkel

Wie gesagt ich hab nichts gemacht, die Situation wurde mir zugeschoben. Wie derjenige den Trust gemacht hat, da bin ich überfragt... Weis auch absolut nicht wer den Server konfiguriert hat. Wars***einlich waren es 10 verschiedene Leute...

[NorbertFe 1.799]

Naja wenn das Ding außerhalb jeglicher supporteten und lizenzierten Umgebung betrieben wird, würde ich mir erstmal einen Plan machen, wie du das gerade ziehen willst/kannst. Und wenn du darin keine Erfahrung haben solltest, dann empfiehlt es sich, externe Unterstützung hinzuzuziehen.

 

Bye

Norbert

[Alith Anar 38]

@derjunge
Es sollte kein Angriff auf dich sein, nur wenn du in deinem Posting schon schreibst das du noch keine Migration gemacht hast und dein grösstes Problem derzeit darin besteht wie die Rechner zu benamen sind, dann solltest du dieses Projekt nicht alleine durchziehen.

Wenn du auch noch keine Information darüber hast, was auf dem Server eigentlich passiert (Startscripte) etc. wird dir niemand bei einer Migration helfen können, bzw.läufst du in immer neue Fallstricke.

[derjunge 1]

Sooo, wahrscheinlich haben die Meisten gedacht ich habe aufgegeben, dem ist aber nicht so. Habe mich soweit es ging informiert über das laufende System und immer wenn es ging die Migration getestet. Weiters wird mir eine Kollege helfen, zwar hat er auch noch keine Migration gemacht, aber er weiß sich schon zu helfen bei AD und Exchange. Nun die ergänzenden Infos:

 

-Habe mit dem Admin der externen Domäne geredet, er hat vor der Installation des SBS2011 gewarnt, und doch hat man ihn installiert. Nach 30 Tagen verwirft der SBS den Trust ohne Meldung im Eventlog. Das Script wird jeden Tag ausgeführt:

 

     netdom trust MEINEDOMAIN.EU /domain:EXTERNEDOMAIN.NET /realm /twoway /add /pt:keykeykey

    ksetup.exe /SetEncTypeAttr EXTERNEDOMAIN.NET AES256-keykeykey

 

-Es existiert nur ein Loginscript für die Clients, das des Servers wir nicht mehr verwendet.

 

-Habe mit dem Zuständigen der Telefonanlage geredet, solange der FQDN u die IP gleich bleibt kann er Estos ohne Probleme migrieren. Die Software ist nur der Connector für Outlook, die Anlage ist eine externe Avaya.

 

-Der Exchange empfängt weder versendet er direkt. Die Mails werden empfangen und Versand von einem Linux Server der über VPN angebunden ist. Also sollte es eigentlich kein Problem sein wenn der Server Name geändert wird

 

-Lizenzen sind 2x Win2008R2 Standard u 1x Exchange 2010 Standard

 

Was habe ich gemach:
Zwei neue Server in die Domäne eingebunden, auf einen Exchange 2010 installiert, beim anderen dcpromo gemacht. Alles gut geklappt.

Postfächer vom SBS auf den neuen Exchange-Server verschoben, public folder neu angelegt, Connectoren angepasst bzw gelöscht, u anschließend die alte Database gelöscht. Dann Exchange auf dem SBS deinstalliert. Testweise Popcon installiert zu schauen ob die neuen Connectoren funktionieren und einen Smarthost konfiguriert. Mails rein und raus =OK. Das alles hat mit kleineren Schwierigkeiten sauber funktioniert. OWA läuft, auf den Clients muss ein neues Outlook Profile angelegt werden. Das liegt am neuen Exchange Servernamen, aber die Migration scheint sauber durchgelaufen zu sein. Soweit so gut.

 

Nun beginnen die Probleme, bin jetzt eigentlich im falschen Forum, denn das Problem habe ich mit AD und DNS. Ich hoffe ihr könnt mir trotzdem helfen.

 

Die DNS Einstellungen sind wie folgt:

 

SBS2011:

DNS1: Firewall

DNS2:127.0.0.1

 

NEW-DC:

DNS1: SBS2011

DNS2:127.0.0.1

 

EXCHANGE2010:

DNS1: SBS2011

DNS2: NEW-DC

 

So funktioniert alles, nur kann der SBS mit nslookup die anderen Server nicht auflösen. FSMO Rolle übergeben funktioniert nach einigen Versuchen zwar, aber immer wieder kommt die Meldung der FSMO Inhaber kann nicht erreicht werden. Also DNS so umgestellt das der SBS den neuen DC als DNS1 hat und umgekehrt. So kann jeder Server jeden auflösen, jedoch selbes Problem bei FSMO übergeben, mal gehts mal nicht. Das kuriose, wenn ich die DNS-Server so eingestellt habe, kann ich die Exchange Managementkonsole nicht mehr starten. Eventlog sagt, Servername kann nicht aufgelöst werden. Auch bei manuellem sauberen Eintragen im DNS dasselbe Problem.

Ich dachte mir dann iwann egal, ich stufe jetzt den SBS runter. Doch ging nicht, Fehlermeldung, ein zweiter DC kann nicht gefunden werden? Eventlog leer…

Ich hab irgend nen scheiß DNS Problem und komme nicht dahinter. Hab testweise auch mal IPV6 deaktiviert, keine Besserung. Hat jemand nen Tipp für mich? Kann es damit zusammenhängen dass die TLD der Domäne .EU laute? Ich weiß nicht wie derjenige es geschafft hat, soweit ich weiß kann man den SBS normalerweise ja nur mit .LOCAL konfigurieren… Wäre echt dankbar für Hilfe, bzw Ratschläge was ich noch beachten sollte bzw ob ich was vergessen habe.

 

Ein Bekannte von mir hat mich auf die Seite SBSmigration.com hingewiesen. Dort kann man Migrations-Kits kaufen. Laut diversen Berichten gehen die Meinungen ziemlich auseinander. Es wird mit dieser „swing“-Methode ein temporärer Server aufgebaut. Hat das schon jemand gemacht, bzw was halte ihr davon?

 

Mfg

derjunge

[zahni 521]

Nochmal: Suche Dir externe Hilfe. ein SBS unterstützt keine Trusts (solltest Du nun gemerkt haben). Darum war er auch billiger.

Und einen Trust ungesichert im Internet (zumindest verstehe ich das so), also ohne VPN, da rollen sich mir die Fußnägel...

 

Prüfe mal, ob der der Server schon Verbindungen nach China oder Ukraine/Russland offen hat.

 

Ach ja, Deine DNS-Konfig ist falsch. Anfängerfehler.

[derjunge 1]

 

Nochmal: Suche Dir externe Hilfe. ein SBS unterstützt keine Trusts (solltest Du nun gemerkt haben). Darum war er auch billiger.

Und einen Trust ungesichert im Internet (zumindest verstehe ich das so), also ohne VPN, da rollen sich mir die Fußnägel...

 

Prüfe mal, ob der der Server schon Verbindungen nach China oder Ukraine/Russland offen hat.

 

Ach ja, Deine DNS-Konfig ist falsch. Anfängerfehler.

 

Zur Ergänzung, externedomäne.net wird in DNS an eine class-c IP-Adresse weitrgeleitet. Ins gleiche Subnet wie der Linux Mailserver. Also der Trust läuft über VPN. Sorry hatte ich vergessen zu schreiben.

 

Danke dass du mich darauf hinweist, aber verstehe mich nicht falsch, mir ist wesentlich mehr geholfen wenn du mir den Fehler sagst. Ob ich die Sache mache oder nicht steht noch in den Sternen, aber ich will die Migration in meiner Test Umgebung machen, ich will es einfach können und lernen!

 

Bzgl DNS hatte ich auch schon mit dns1 127.0.0.1 beim SBS getestet, nach dem  FSMO Rollen übertragen a dasselbe Problem beim neuen DC.

bearbeitet 13. Oktober 2014 von derjunge

[zahni 521]

Nimm es einfach wie es ist. Das Projekt ist zu komplex für Dich.

 

Tipp für DNS: Man trägt in einem Netz, in dem ein Windows DNS-Server benutzt wird, niemals irgendwo einen Internet-DNS in den IP-Einstellungen ein. Auch keinen DNS vom Router.

Du fragst Dich jetzt sicher wie man nun das Internet "auflöst", gelle?

Beschäftige Dich mit den Grundlagen Windows DNS bzw. DNS allgemein.

 

Wen man IPv6 deaktiviert, funktioniert Exchange nicht mehr, usw.

[Alith Anar 38]

Arbeitst du noch in der Demo-Umgebung oder schon im Produktivbereich?

 

Tausche mal beim SBS und beim DC die Reihenfolge der DNS Server.

Dann gucke mal im DNS-Server ob zwischen beiden Server eine Repilkation stattfindet. - Gibt es evtl in der Ereignisanzeige einen Hinweis auf fehlende Syncronisation zwischen des DCs (SBS und Neuer DC) - Tumbstone Zeit beachten.

 

Die FSMO Rollen sollten noch auf dem SBS bleiben. Der ist gerne Chef im Ring und mag es überhaupt nicht wenn Ihm diese Rollen entzogen werden.

Wenn du schon alles umgezogen hast auf den neuen Exchange Server, wozu benötigst du dann noch ein Toolkit für eine Swing Migration? An sich hast du das doch schon umgesetzt. Du musst "nur" noch dein DNS Problem lösen.


 

[derjunge 1]

@zahni
Wenn ich einsehen soll dass das Projekt zu komplex für mich ist, wäre das einem Aufgeben gleichgesetzt. Aufgeben wenn die halbe Arbeit gemacht ist gibt’s bei mir nicht. Wenn jemand den Weg an einem Tag machen kann und ich dafür ein Jahr brauch, dann soll es so sein. Wenn ich den Weg am Ende richtig gegangen bin ich zufrieden, bin ich zufrieden.

Der Tipp keinen extern DNS im gesamten System zu verwenden war mir eine Hilfe gewesen. Im DNS-Servern war als Weiterleitung der Google DNS eingetragen, über den ich mir nie Gedanken gemacht habe. Hab sie jetzt raus und bei beiden DCs den locahlost als DNS1 dringen, und siehe da, jeder Server kann nun jeden sauber auflösen.

 

@Alith Anar

Nein ist alles noch im Testlab, also arbeite an Clones der richtigen VMs.

Die Replication von AD und DNS klappt zwischen den DCs. Habe aber gerade gesehen dass mir dcdiag am neuen DC sagt: Advertising nicht bestanden, und der er kann sich die Zeit nicht vom SBS holen… seltsam nur dass sie stimmt. Nächste Baustelle…

[Dr.Melzer 191]

Wenn ich einsehen soll dass das Projekt zu komplex für mich ist, wäre das einem Aufgeben gleichgesetzt.

Das würde bedeuten dass du einsiehst den notwendigen Wissensstand noch nicht zu haben und Hilfe benötigst. Nicht mehr und nicht weniger.

 

Aufgeben wenn die halbe Arbeit gemacht ist gibt’s bei mir nicht.

Der Satz fällt wohl unter die Kategorie "berühmte letzte Worte"...

 

Wenn jemand den Weg an einem Tag machen kann und ich dafür ein Jahr brauch, dann soll es so sein. Wenn ich den Weg am Ende richtig gegangen bin ich zufrieden, bin ich zufrieden.

Du übersiehst einen wichtigen Fakt: Du bist einfach auf dem falschen Weg, hast für den Weg die falschen Schuhe an und zudem versuchst du einen schneebedeckten Bergweg in Badelatschen zu laufen. Du wirst nicht ein Jahr benötigen, sondern du wirst nie ankommen! Das MUSS schief gehen!

[NeMiX 76]

OWA läuft, auf den Clients muss ein neues Outlook Profile angelegt werden. Das liegt am neuen Exchange Servernamen, aber die Migration scheint sauber durchgelaufen zu sein. Soweit so gut.

 

 

 

Da ist schon was falsch. Bei einer sauberen Migration und bei passenden DNS Settings an Servern und Clients wird das Profil automatisch migriert und der User muss nichts machen.