Neuer DC soll übernehmen

[digganet 10]

Hallo,

 

kurz zur Vorgeschichte:

Vor gut einem Jahr haben wir einen neuen Server angeschafft mit Win2003R2. Unser EDV-Dienstleister hatte die Aufgabe, den neuen Server zum DC zu machen, da der alte (Win2000Server) abgeschaltet werden sollte. Das ist auch passiert, der alte Server wurde eingemottet.

 

Zum aktuellen Problem:

Unser Server lässt keine neue User mehr zu, da die Prüfung gegen den globalen Katalog nicht möglich ist.

 

Jetzt hab ich mich eine Weile belesen und festgestellt, dass der alte Server immernoch in der Domäne als DC (und Betriebsmaster) angelegt ist, der neue nur nebenher läuft und eingestellt ist, sich aller Nase lang mit dem alten zu replizieren. Kann er ja nicht. Der alte ist ja nimmer am Netz. Zum Glück ist der alte noch da. Also hab ich ihn wieder aus dem Archiv gekramt und angestöpselt. Ergebnis: Ich kann z. B. den Haken für den globalen Katalog setzen (war vorher ausgegraut).

 

Jetzt möchte ich den alten Server sauber aus der Domäne nehmen und den neuen mit allen Aufgaben betrauen. Den Dienstleister möchte ich damit nicht beauftragen. Er hatte seinen Auftrag ja schon damals falsch verstanden oder diesen schlicht mit geringstem Aufwand ausgeführt. Wie gehe ich vor? Meine Kenntnisse in diesem Bereich sind bestenfalls autodidaktisch erarbeitet und sicherlich sehr lückenhaft. Ich möchte das ganze aber ordentlich machen. Bin für eure Hilfe dankbar.

[Daim 12]

Servus,

 

Also hab ich ihn wieder aus dem Archiv gekramt und angestöpselt.

 

der Windows 2000 DC war aber nicht länger als 60 Tage aus?

Denn somit wäre die Tombstone Lifetime bereits abgelaufen.

 

 

Wie gehe ich vor?

 

Auf dem Windows Server 2003 DC sollte zum einen das DNS installiert und zum anderen,

die Forward Lookup Zone AD-integriert gespeichert sein. Die Clients müssen dann natürlich den neuen DC entweder statisch oder per DHCP mitgeteilt bekommen.

 

Danach solltest Du die 5 FSMO Rollen auf den neuen DC verschieben:

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

 

Bevor Du den alten DC mit DCPROMO aus der Domäne nimmst,sichere noch das EFS-Zertifikat:

faq-o-matic.net » Was muss ich tun, um den ersten DC zu deinstallieren?

 

Bestehende Freigaben könntest Du ebenfalls vom alten DC exportieren und auf dem neuen DC importieren.:

HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares

 

 

Drucker kannst Du mit dem Print Migrator kopieren/verschieben:

Download details: Windows Print Migrator 3.1

 

Anmeldeskripte anpassen.

Die Daten kannst Du mit NTBACKUP Sichern und auf dem neuen wiederherstellen.

Was sonst noch zu beachten ist, erfährst du aus diesem Artikel:

 

Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen

 

 

Wenn alle Dienste und Daten vom Windos 2000 DC auf den Windows Server 2003 DC übernmmen wurden, stufst du den DC ordnungsgemäß unter START -AUSFÜHREN - DCPROMO herunter. Du folgst lediglich dem Assistenten und löschst zu allerletzt noch die Hülle des DCs in der MMC "Standorte und Dienste".

[phoenixcp 10]

Ok, als erstes solltest du überprüfen, das die Aktion ohne Nebenwirkungen abgegangen ist. Ist dem so, dann solltest du im nächsten Schritt die FSMO-Rollen vom alten auf den neuen DC übertragen.

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben

 

Je nachdem ob dein Dienstleister das EFS-Recovery-Zertifikat übernommen hat oder nicht, solltest du dann gemäß folgendem Artikel den alten DC demoten, damit der sauber aus dem Netz genommen wird:

faq-o-matic.net » Was muss ich tun, um den ersten DC zu deinstallieren?

 

Vor Ablauf der gesamten Aktion würde ich mir aber den folgenden Artikel reinziehen, um die sauber durch deinen Dienstleister abgearbeiteten Schritte zu identifizieren und ggf. weitere fehlende nachzuziehen bzw. zu korrigieren:

Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen

Denn genau das wäre ja bei dir der Fall, den ersten und einzigen DC austauschen.

 

Mit der dann freigewordenen Hardware würde ich die Überlegung eines zweiten DC's aus Sicherheitsgründen anstellen.

 

Ggf. solltest du auch Regressansprüche gegen deinen Dienstleister prüfen. Dafür sind wir allerdings nicht die Anlaufstelle, dafür konsultierst du den Rechtsbeistand deines Vertrauens.

 

 

/narf, warum sind die anderen immer schneller? :D

[NilsK 2.808]

Vielleicht solltet ihr mal einen Männerchor aufmachen.

 

Gruß, Nils

[phoenixcp 10]

Off-Topic:
Der MCSE-Board VoIP-Chor... hm.... du organisierst du Gründungsveranstaltung? :D

[Daim 12]

Vielleicht solltet ihr mal einen Männerchor aufmachen.

 

Off-Topic:

Aber nur wenn du mitmachst, ja? Dann können wir gleich einen Männer-Balett aufmachen.

Ich spiele dann DJ und ihr hüpft mit rosanen Leggings durch die Gegend. ;)

[Alith Anar 39]

Hauptsache mit Bommeln <duck>

[digganet 10]

der Windows 2000 DC war aber nicht länger als 60 Tage aus? Denn somit wäre die Tombstone Lifetime bereits abgelaufen.

Doch. Wie eingangs geschrieben, ist der Tausch fast ein Jahr her. Hat das Konsequenzen?

 

Auf dem Windows Server 2003 DC sollte zum einen das DNS installiert

Wurde damals gemacht.

 

und zum anderen, die Forward Lookup Zone AD-integriert gespeichert sein.

Das heißt?

 

Die Clients müssen dann natürlich den neuen DC entweder statisch oder per DHCP mitgeteilt bekommen.

Haben sie. Statisch.

 

Bevor Du den alten DC mit DCPROMO aus der Domäne nimmst,sichere noch das EFS-Zertifikat:

Kann ich irgendwie feststellen, ob das damals schon gemacht wurde?

[phoenixcp 10]

Doch. Wie eingangs geschrieben, ist der Tausch fast ein Jahr her. Hat das Konsequenzen?

Mehr zur Tombstone Lifetime findest du hier:

faq-o-matic.net » Das Geheimnis der Tombstone Lifetime

 

Zum Thema AD-integriertes DNS: faq-o-matic.net » Was muss ich beim DNS für Active Directory beachten? (Reloaded)

 

Zum Thema EFS-Zertifikat:

Und nun wird's interessant: Das Zertifikat des EFS-Recovery-Agent ist standardmäßig ausschließlich auf dem ersten installierten DC vorhanden. Wenn dieser entfernt wird, ist das Zertifikat weg - es sei denn, man sichert es vorher. Und das geht so (tunlichst macht man dies direkt nach der Installation des ersten DC!):

 

* Auf dem ersten DC öffnet man die "Default Domain Policy".

* Dort navigiert man nach: Computereinstellungen/Sicherheitseinstellungen/Richtlinien öffentlicher Schlüssel/Agent zum Wiederherstellen verschlüsselter Daten (oder so ähnlich).

* Hier findet man (im Regelfall) das Zertifikat des Administrators.

 

Sollte es damals übernommen worden sein, müsstest du es auf diesem Wege auf dem neuen DC finden. Ansonsten ist es noch auf dem alten DC und du musst es dort auf dem Weg exportieren, wie es in dem Artikel faq-o-matic.net » Was muss ich tun, um den ersten DC zu deinstallieren? beschrieben ist.

[Daim 12]

Doch. Wie eingangs geschrieben, ist der Tausch fast ein Jahr her. Hat das Konsequenzen?

 

Ja, es hat Konsequenzen. Ein DC muss sich mindestens einmal in der Tombstone Lifetime mit seinen Replikationspartnern replizieren. Die Tombstone Lifetime (TSL) wird mit dem installieren des allerersten DCs in einer Gesamtstruktur und zwar für alle Domänen festgelegt. Diese kann nicht pro Domäne konfiguriert werden. Natürlich kann der Wert der TSL manuell verändert werden. Die TSL beträgt unter Windows 2000 (mit allen SPs) = 60 Tage. Ist die TSL abgelaufen und der DC hat sich mit seinen Replikationspartnern nicht einmal repliziert, entstehen "Lingering Objects", zu deutsch, herumlungernde Objekte.

 

Yusuf`s Directory - Blog - Lingering Objects (veraltete Objekte)

 

 

Deshalb darf auch keine System State Sicherung, die älter als die TSL ist verwendet werden.

 

 

Das heißt?

 

Kontrolliere im DNS Snap-In, ob in den Eigenschaften deiner FLZ bei TYP "Active Directory-integriert" steht.

[digganet 10]

So, das Zertifikat habe ich gesichert.

 

Bei der FLZ steht da: "Active-Directory integriert, primär". OK so?

 

Das Snap-In AD-Schema habe ich hinzugefügt und wollte hier mit der Übertragung der Rollen beginnen. Geht aber nicht. Überall folgende Meldung:

 

"Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar.

Die Übertragung des aktuellen Betriebsmasters konnte nicht durchgeführt werden."

 

Ich habe den Vorgang auf beiden Servern probiert (jedesmal vorher verbunden).

 

"NETDOM QUERY FSMO" ergab auf dem alten Server für alle Rollen, dass dieser Inhaber ist. Der neue Server kennt netdom nicht.

[phoenixcp 10]

Bei der FLZ steht da: "Active-Directory integriert, primär". OK so?

ja

 

Das Snap-In AD-Schema habe ich hinzugefügt und wollte hier mit der Übertragung der Rollen beginnen. Geht aber nicht. Überall folgende Meldung:

 

"Der angeforderte FSMO-Vorgang konnte nicht ausgeführt werden. Der aktuelle FSMO-Inhaber war nicht erreichbar.

Die Übertragung des aktuellen Betriebsmasters konnte nicht durchgeführt werden."

 

Ich habe den Vorgang auf beiden Servern probiert (jedesmal vorher verbunden).

 

"NETDOM QUERY FSMO" ergab auf dem alten Server für alle Rollen, dass dieser Inhaber ist. Der neue Server kennt netdom nicht.

 

Ok, das ist auch eine der Nebenwirkungen der Tombstone Lifetime.

Das bedeutet, das du die FSMO-Rollen nicht auf normalen Wege übertragen kannst, sondern sie seizen musst (brutal rüberziehen)

Mehr dazu findest du hier:

Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben und Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller

[Daim 12]

Bei der FLZ steht da: "Active-Directory integriert, primär". OK so?

 

Ja, korrekt. So werden die DNS-Informationen im AD gespeichert und somit automatisch auf die Replikationspartner repliziert.

 

 

"NETDOM QUERY FSMO" ergab auf dem alten Server für alle Rollen, dass dieser Inhaber ist. Der neue Server kennt netdom nicht.

 

NETDOM befindet sich in den Windows Support Tools, die sich wiederum auf der Windows Server 2003 CD im Verzeichnis Support\Tools befinden. Dann verschiebe die Rollen "mit Gewalt" (durch "seize") auf den neuen DC.

 

Flexible Single Master Operation Transfer and Seizure Process

 

Danach darf der Ursprungsträger aber nie mehr online gehen und diesen musst du dann ausschalten.

[digganet 10]

OK. Alles via seize gemacht. Er hat gemurrt, dass eine ordentliche Übertragung nicht möglich ist (aber das wusste ich ja vorher schon) und hat dann die Aufgaben dem neuen Server zugewiesen. In den AD-Fenstern wird auch überall der neue Server als Betriebsmaster geführt.

 

Noch nicht klar sind mir allerdings die Schritte 17-20 aus: Entfernen von Daten aus Active Directory nach fehlgeschlagener Domänencontroller-Herabstufung. Was dort beschrieben ist finde ich nicht.

Oder anders gefragt: Wie lösche ich jetzt die Einträge des alten Servers sauber? Dieser ist ja z.b. noch in "Standorte und Dienste" angelegt (allerdings ohne Eintrag "NTDS Settings").

[Daim 12]

Er hat gemurrt, dass eine ordentliche Übertragung nicht möglich ist (aber das wusste ich ja vorher schon) und hat dann die Aufgaben dem neuen Server zugewiesen.

 

Ja, dass ist normal. Denn auch bei der seize-Funktion wird immer versucht, trotzdem die Rollen zuerst online zu übertragen und erst wenn das fehlschlägt, wird "geseized".

 

 

Noch nicht klar sind mir allerdings die Schritte 17-20 aus:

 

Das steht doch dort klar beschrieben.

 

 

Was dort beschrieben ist finde ich nicht.

 

Du wirst die DNS Zone "_msdcs.root-Domäne.TLD" unter Windows 2000 nicht haben, sondern lediglich den Ordner _msdcs unterhalb deiner FLZ. Kontrolliere eben im DNS ob alle Einträge des alten DCs raus sind und falls nicht, lösche sie.

 

 

Oder anders gefragt: Wie lösche ich jetzt die Einträge des alten Servers sauber?

 

In dem du dich an den Artikel hälst.

Die Schritte 17 und 18 beziehen sich auf das DNS und der Schritt 19 trifft auf deine Situation nicht zu.

 

 

Dieser ist ja z.b. noch in "Standorte und Dienste" angelegt (allerdings ohne Eintrag "NTDS Settings").

 

Das ist ledgilich noch die Hülle, die auch beim normalen Herutnerstufen eines DCs mit DCPROMO stehen bleibt. Diesen kannst du einfach händisch löschen aus "Standorte und Dienste" und ist im übrigen in Schritt 20 des Artikels auch so beschrieben.