roccomarcy

Guten Morgen,

ich muss das Thema noch einmal aufgreifen,
da ich zum Wochenende die Umstellung wahrscheinlich angehen werde.

Mein Plan wäre jetzt wie folgt:

Heute
- neuen Server promoten
Morgen
- FSMO-Rollen verschieben
- Replikation abwarten
Am Wochenende (Wartungsfenster)
- IP-Adresse des alten Servers ändern auf eine neue, andere
- DNS-Records aktualisieren lassen und DNS-Replikation abwarten
- dem neuen Server die alte Adresse des alten Servers geben
- DNS-Records aktualisieren lassen und DNS-Replikation abwarten

Meine Fragen dazu wären,

- Ich hätte doch schon gerne den Hostnamen des alten DCs auf den neuen, wie vorgehen?
- Wann den alten DC demoten? Direkt zum "Ende" des Wartungsfensters?

Gruß

vor 5 Minuten schrieb NilsK:

Moin,

 

nein, die Schlussfolgerung ist falsch. Ich würde mit dem Kunden in Ruhe sprechen und dabei auch das ganze Vorhaben zur Diskussion stellen, eine neue Domäne aufzumachen. Meist ist das technisch gar nicht nötig.

 

Das Argument mit "alles neu, dann haben wir keine Altlasten" kommt in 100% der Fälle quasi aus der Pistole. Ich habe es aber in 0 Prozent der Fälle als umsetzbar erlebt. Spätestens wenn dem Kunden am Montag nach der Umstellung klar wird, dass sein Helpdesk vor lauter "ich kann nicht zugreifen" nicht mehr arbeiten kann, merkt er, dass das keine gute Idee war.

 

Gruß, Nils

 

Ich glaube von Dukel war es nur ein "positiver" Nebeneffekt, dass man bei so einer Aktion auch gewisse Altlasten entfernen kann.

Das ist auf jeden Fall nicht das Ziel dieser Aufspaltung.

Von der oberen Etage ist es auf jeden Fall gewünscht, dass die Anzahl der Benutzer in eine eigene Domäne / Infrastruktur ausgelagert wird (ist auch ein sep. Standort), da dieses Unternehmen operativ nichts mehr mit dem jetzigen zu tun hat.

Das es bei so einer Umstellung für die Anwender zu Stolpersteinen kommen kann, ist uns bewusst. Das würden/werden wir im Vorfeld auch entsprechend kommunizieren.

Es ging nur um die Frage des "richtigen" Weges.

Ob manuell oder halt durch ADMT / Drittherstellertools.

Alles klar,

also würdet ihr auch eher dazu tendieren, die Benutzerkonten und Gruppen manuell (Skript) anzulegen und den Postfachinhalt zu verschieben.

Danke.

Wie handhaben denn solche Tools die Berechtigungen vom Postfach bzw. Benutzer?
Ich habe dann in Domäne A einen Benutzer mit Postfach und in Domäne B habe ich den Benutzer auch neuangelegt.

Nun kopiert/verschiebt mir das Tool den Inhalt des Postfaches auf den Benutzer in Domäne B?
Berechtigungsstrukturen (Postfachfreigaben, Kalenderfreigaben, Verteilerlisten?, usw) können doch nur übernommen bzw. werden doch nur funktionieren,

wenn die SID der Benutzer gleich ist, oder bin ich hier auf dem falschen Dampfer?

Eine Auftrennung des Unternehmens ist der Grund.

Guten Morgen,

welchen Weg geht ihr, wenn aus einer vorhandenen Domäne Benutzer inkl. Postfächer in eine neue Domäne überführt werden müssen?
Legt ihr alle Benutzerkonten inkl. Gruppenzugehörigkeit manuell an oder nutzt ihr für die Migration entsprechende Tools (wie z.B. ADMT)?

Es geht um ca. 50 Benutzerkonten inkl. Exchange-Postfach. In der neuen Domäne ist auch ein Exchange vorhanden.

vor 1 Minute schrieb testperson:

Hi,

 

als Zeitserver eignet sich ggfs. der FQDN der Domäne. Alternativ könnte man noch darüber nachdenken, Dienste (NTP, DNS, (LDAPS), ...) für Netzwerkkomponenten per Loadbalancer bereitzustellen.

 

Gruß

Jan

Ja, über sowas habe ich auch schon nachgedacht.
Problem bei einigen Geräten ist aber, dass diese mich nur eine IP eingeben lassen. Aber das könnte man ja ggf. über den LB realisieren.

Sollte ich den Austausch der DCs in einem Wartungsfenster durchführen oder geht es auch im laufenden Betrieb?

Gerade eben schrieb testperson:

Hi,

 

an dieser Stelle wäre es vermutlich einfacher, den ersten DC zu demoten, ggfs. im AD / DNS aufräumen und dann direkt den ersten neuen DC mit gleicher IP (und ggfs. Namen) zu installieren. Etwas später dann mit dem zweiten DC identisch verfahren.

 

Was machen die DCs denn noch neben "dem DC sein"? Evtl. solltet Ihr die Chance jetzt nutzen und diese Sachen bereinigen.

 

Gruß

Jan

Moin,

die machen nur Aufgaben, die ein DC zu erledigen hat.

Mein bzw. unser Problem ist nur, dass die IP-Adressen in div. Netzwerkkomponenten als Zeitserver eingetragen sind. Daher würde ich die IP-Adressen gerne beibehalten.

@mba:
Danke für den Tip, das hatte ich schon gelesen. Wir haben unseren Exchange 2010 auf dem aktuellen Stand, daher gehe ich davon aus, dass wir dort keine Probleme bekommen (sollten).

Gruß

Moin,

auf Server 2016.

Guten Morgen,

ich habe hier eine Umgebung mit einem physikalischen Domain-Controller, einem virtualisierten Domain-Controller sowie einem Exchange Server 2010.

Alle Systeme basieren auf Server 2008 R2. Der Austausch des Exchange Server 2010 steht zum Herbst diesen Jahres an.

Im Vorfeld wollen wir die beiden Domain-Controller austauschen, die im Netzwerk neben Ihren AD-Funktionalitäten für uns eine sehr zentrale Rolle spielen (Zeit, usw).

Daher würde ich gerne IP-Adressen beibehalten. Der virtualisierte Domain-Controller hält auch die FSMO-Rollen vor.

Die Kernfrage ist, ob ich nach folgendem Ablaufplan die Systeme austauschen kann.

- neuen physikalischen Domain-Controller aufnehmen und Replikation abwarten

- die IP-Adresse des vorherigen Domain-Controller ändern und DNS-Replikation abwarten

- dem neuen phys. Domain-Controller die IP-Adresse des alten geben und die DNS-Replikation abwarten

- den vorherigen physikalischen Domain-Controller aus der Domäne entfernen

Für den virtualisierten Domain-Controller würde ich die selben Schritte wie oben durchführen, jedoch vor der Änderung der IP-Adresse des vorhandenen Domain-Controllers

die FSMO-Rollen verschieben.

Ist dies ein gangbarer Weg?

vor 9 Minuten schrieb Crashbreaker:

Hm?

Wieso weg?

Was meinst du genau?

Oben schreibst du, dass deine Daten dir wichtig sind. Aber parallel versuchst du eine alternative Lösung zu finden, wie du den Austausch der Platte umgehen kannst.

Die Lösung in Form von Bastelei hast du bekommen, also kannst du dich entscheiden - entweder tauschst du die Elektronik und hoffst natürlich, dass es das war oder du machst einfach den Weg, wie alle anderen und kaufst eine neue Festplatte.

Deine 4TB Festplatte kostet kein Geld mehr und du hättest innerhalb ein paar Minuten Ruhe und vorallem die Gewissheit, dass du dich damit nicht mehr rumärgern musst.

Hallo,

welche Modelle hast du verglichen? Bzw. was genau brauchst du?

Hallo,

in naher Zukunft werden wir unseren älteren Server 2008 R2 Server gegen einen neuen austauschen. Dieser beherbergt auch das Ziel für die Ordnerumleitungen.

Wie handhabt ihr die Migration auf ein neues Ziel? Ich kann in den GPOs ja den neuen Pfad hinterlegen und die Daten vorher bereits rüberkopieren, dann wird am Ende ja nur noch

das Delta synchronisiert.

Aber es gibt ja auch einen großen Anteil von Anwenderprogramme, die in Konfigurationsdateien einen Pfad eintragen, der noch auf den alten Server zeigt.

Wir würden jetzt auch zu DFS-N migrieren, damit wir in der Zukunft das Problem nicht mehr haben (sollten).

vor 48 Minuten schrieb tesso:

Nur Port 80 und Zertifikat? Wie soll das gehen?

Das Problem scheint in deiner Apache Konfig zu liegen.

Wie Norbert schon vorgeschlagen hat, testweise mal ohne den Apache  probieren.

Nö, das war auf den Beitrag von testperson bezogen. Er fragte ja auf das passende Zertifikat. :-)

Und der Apache2 macht für WebApp, also OWA und ActiveSync, usw. den Proxy und hat dafür ein passendes Zertifikat.

Der http-Redirect ist auch wirklich nur HTTP, das sieht man im Konfig-Snippet in der Seite zuvor aber auch.

vor 8 Minuten schrieb testperson:

Ich würde SplitDNS konfigurieren. Intern hast du dann scheinbar ein Zertifikat einer eigenen CA oder selfsigned?

Der Apache hat ein passendes Zertifikat?

Der Listener für den http-Redirect hört auch tatsächlich nur auf Port 80 oder evtl. auch auf 443?

 

Irgendwann hatte iOS zumindest mal Probleme mit Autodiscover per http-Redirect.

Intern läuft ein selbstsigniertes aus dem IIS dagegen.

Der Apache hat ein passendes Zertifikat für die Domain und läuft bzw. horcht auch nur auf Port 80 und nicht auf Port 443.

vor 1 Minute schrieb NorbertFe:

Ja genau das meine ich. Und auch der eigentliche connect zeigt auf den exchange ohne reverse proxy.

Was ist der eigentlich connect? :)

Du hast oben aber auch von http redirect gesprochen? Wo hast du den denn konfiguriert? Das muss ja auch eine Art LB oder Proxy sein?

Ist mein Reverse-Proxy für div. Webdienste,

unter anderem auch für Outlook WebApp. Funktioniert soweit ja auch seit Jahren.

Gibt einem (gefühlt) mehr Sicherheit. :)

Den Apache ausklammern könnte ich sicher hinkriegen,

meinst du dann in Form von autodiscover.domain.de zeigt nicht mehr auf den Reverse-Proxy sondern direkt auf den Exchange?

vor 7 Minuten schrieb NorbertFe:

Und mal intern ohne Apache getestet?

upn=Mailadresse?

Ja, UPN ist gleich Mailadresse.

Hatte ich oben aber auch schon geschrieben.

Ok, wenn du so fragst - nein intern wird das für iOS nicht gebraucht.

Das dolle Teil fragt natürlich nicht scp.

Afaik wird das intern doch über den SCP abgefackelt?

Nein, aber die Hosts (autodiscover. und mail.) sind im internen DNS auch nicht registriert.

vor 3 Minuten schrieb NorbertFe:

Ja hab ich. Über Autodiscover-Eintrag mit einem san eintrag und über http Redirect bei anderen. Ich habe keine Probleme. Du? Wenn ja welche?

Testweise auf zwei iOS Endgeräten mit iOS 12 getestet.

Die Abfrage für Benutzername + Passwort und Servername unter iOS kommt dennoch.

Wie oben schon geschrieben habe ich im DNS einen autodiscover.domain.de Eintrag konfiguriert. Dieser landet auf dem Apache2 Proxy und macht einen http redirect auf den Exchange-Server.

Folgend der Auszug aus der Konfigurationsdatei (zusammenkopiert).

Zitat

 

<VirtualHost 172.16.0.13:80>
ServerName autodiscover.domain.de

 

RewriteEngine On
Redirect / https://mail.domain.de/

 

vor 33 Minuten schrieb testperson:

Hi,

 

die Frage wäre eher, an welcher Stelle hast du welche Probleme? Funktioniert der Active Sync Autodiscover Test bei dir: https://testconnectivity.microsoft.com/

 

Welche Exchange Version mit welchem Patchstand?

Welche iOS Version(en)?

Was für ein Zertifikat und wie sehen die virtuellen Verzeichnise aus?

Ist der Exchange direkt veröffentlicht oder über einen Proxy / was ist zwischen Exchange und "Internet"?

 

Gruß

Jan

 

Habe die Frage erstmal generell gestellt, da ich oft gelesen habe, dass es Probleme macht. Die Testconnectivity zeigt mir keine Probleme an, alles ist ok.

-> Exchange 2010 UR26, demnächst aber Exchange 2016

-> iOS 12.X auf div. iPhone / iPads

-> Benutzer haben als UPN die primäre E-Mailadresse

-> Exchange wird über apache Proxy veröffentlicht

-> Aus welchen virt. Verzeichnissen brauchst du die URL-Konfiguration?

Zitat

[PS] C:\Windows\system32>Get-ClientAccessServer | fl *intern*
AutoDiscoverServiceInternalUri : https://exchange.domaene.local.local/Autodiscover/Autodiscover.xml

[PS] C:\Windows\system32>Get-OutlookAnywhere | fl *intern,extern*
ExternalHostname : mail.domain.de

[PS] C:\Windows\system32>Get-ActiveSyncVirtualDirectory | fl *intern,extern*
ExternalUrl                   : https://mail.domain.de/Microsoft-Server-ActiveSync

[PS] C:\Windows\system32>Get-WebServicesVirtualDirectory | fl *intern,exter*
ExternalUrl                   : https://mail.domain.de/ews/exchange.asmx

[PS] C:\Windows\system32>Get-EcpVirtualDirectory | fl *intern,extern*
ExternalUrl                   : https://mail.domain.de/ecp

[PS] C:\Windows\system32>Get-OWaVirtualDirectory | fl *intern,extern*
ExternalUrl                   : https://mail.domain.de/owa

 

autodiscover.domain.de wurde im DNS des Providers konfiguriert.

Gruß

vor 23 Minuten schrieb NorbertFe:

Das geht auch mit Exchange.

Hast du das lauffähig mit iOS Mail? Über welche "Methode"?

Wenn man bei Google nach dem Thema schaut, liest man in den MS und Apple Foren häufiger, dass es kaputt ist seit einer bestimmten Version von iOS.

Hallo,

kann mir jemand sagen, ob die Autodiscover-Funktion innerhalb iOS Mail in Verbindung mit Exchange aktuell funktioniert?
Oder macht iOS Mail nur noch Autodiscover gegenüber Office 365?

Gruß