SBS 2008 Migration zu 2012R2

[Stefan40 0]

Hallo,

 

ich bin gerade dabei unseren SBS 2008 Premium gegen Einzelprodukte abzulösen. Stand Aktuell:

 

Es gibt 2 weitere DCs

Exchange 2007 wurde durch 2013 abgelöst und ist inzwischen vom SBS deinstalliert

SharePoint wurde auf 2013 Fundation migriert (aber altes SharePoint wurde noch nicht vom SBS deinstalliert)

WSUS macht inzwischen ein anderer Server (Aber WSUS noch nicht deinstalliert)

DHCP wurde auf einen anderen DC verschoben

Der DHCP vergibt inzwischen nur noch die IP Adressen neuen DNS Server. Nicht mehr den SBS

 

Bisher ohne Probleme.

 

Jetzt die Fragen:

 

1) Was mach ich mit der installierten Zertifikatsstelle? Ich brauche die nicht. Sehe aber das sie Zertifikate für die DCs ausstellt. Muss da was migriert werden? Oder Einfach deinstalliert?

 

2) Gibt es spezielle Gruppenrichtlinien die ich ändern müsste, weil sie speziell für den SBS sind? Gibt da z.B. Scriptverweise auf die SBSlogon.exe

 

3) Nachdem die 2 oberen Punkte geklärt wären, würde doch das Verschieben der FSMO Rollen folgen und dann zeitnah den SBS als DC herabstufen.

 

4) Die beiden nicht deinstallierten Dienste (WSUS und SharePoint) muss ich ja nicht unbedingt vorher entfernen. Sind dann einfach Weg, wenn der SBS nicht mehr angeschaltet wird.

 

Danke

 

 

[Nobbyaushb 1.372]

Moin,

 

SBS ist immer etwas speziell, besonders beim "Auflösen"

 

Die FSMO-Rollen erst verschieben, wenn du den Server depromoten und ausschalten willst!

 

Wenn die Clients überall die neuen DNS drin haben bzw. per DHCP bekommen, kannst du das prüfen, indem du den SBS tagsüber einfach mal aus läßt.

 

Wenn was nicht geht, werden die User dir das schon sagen.

 

;)

 

Gibt übrigens einen ähnlichen Thread mit SBS2011:

http://www.mcseboard.de/topic/208561-sbs-2011-abl%C3%B6senmigrierenbackup/page-3?do=findComment&comment=1315815

bearbeitet 20. Oktober 2016 von Nobbyaushb

[Stefan40 0]

Das weis ich, dass es speziell ist. Deswegen auch die Nachfrage... ;-)

 

Ja, den Thread habe ich gesehen. Wollt ihn aber nicht noch komplizierter machen.

 

Das könnte ich mal machen mit dem Ausschalten. Was ich aber nicht merken würde, ist das mit den Zertifikatsdiensten. Was für Zertifikate bekommen die DCs wenn es keine AD Cert Stelle mehr gibt? Und muss die zuerst deinstalliert werden bevor der Server depromotet wird oder gar gelöscht?

 

 

[Nobbyaushb 1.372]

Das weis ich, dass es speziell ist. Deswegen auch die Nachfrage... ;-)

 

Ja, den Thread habe ich gesehen. Wollt ihn aber nicht noch komplizierter machen.

 

Das könnte ich mal machen mit dem Ausschalten. Was ich aber nicht merken würde, ist das mit den Zertifikatsdiensten. Was für Zertifikate bekommen die DCs wenn es keine AD Cert Stelle mehr gibt? Und muss die zuerst deinstalliert werden bevor der Server depromotet wird oder gar gelöscht?

Die Root-CA kannst du moven - und das solltest du auch.

Eine der vielen Anleitungen:

https://ammarhasayen.com/2015/02/02/upgrade-your-root-ca-to-windows-2012-r2-pki/

 

;)

[NorbertFe 1.835]

Kann man machen, aber wenns nur für Exchange und den SBS genutzt wurde, würd ich den Kram einfach einreißen (ordnungsgemäß ausser Betrieb nehmen) und ggf. ganz drauf verzichten oder eine neue aufbauen.

[Stefan40 0]

Hmm... 2. Verschiedene Meinungen... :)

 

Für Exchange 2013 habe ich jetzt ein echtes Zertifikat. Nichts selbst erstelltes.

Die CA wird von mir jetzt gar nicht mehr (aktiv) benutzt. Wenn nichts dagegen spricht würde ich eher drauf verzichten.

 

Aber da stellt sich die Frage wie nehme ich sie korrekt außer Betrieb. Und könnte ich ggf. wieder eine neue Installieren, falls ich merke das war jetzt doof sie einzureisen...?

 

Und bräuchte ich dafür einen Extra Server oder kann ich das mit auf einen DC packen?

 

 

[NorbertFe 1.835]

Deinstallieren wäre schonmal ne gute Idee, oder? ;) Man _kann_ sowas auf einen DC installieren, man sollte es aber nicht auf einen DC installieren.

[Nobbyaushb 1.372]

Anmerkung: seit Server 2012R2 kann man eine CA NICHT mehr auf einem DC installieren.

 

:D

[NorbertFe 1.835]

Hmm bist du dir da sicher? Also zumindest kann man sehr wohl eine CA auf einem 2012R2 DC betreiben, ich hab nämlich neulich erst eine deinstalliert. ;) Kann natürlich sein, dass die von 2008R2 inplace aktualisiert wurde.

[Nobbyaushb 1.372]

Hmm bist du dir da sicher? Also zumindest kann man sehr wohl eine CA auf einem 2012R2 DC betreiben, ich hab nämlich neulich erst eine deinstalliert. ;) Kann natürlich sein, dass die von 2008R2 inplace aktualisiert wurde.

Muss so sein,

 

wir konnten unsere Root-CA nicht von 2008R2 zu 2012R2 moven, da sich der Dienst mit dem Hinweis, das es es auf einem DC nicht mehr geht nicht installieren konnte.

 

;)

[Sunny61 773]

Wenn ich https://technikblog.rachfahl.de/losungen/umzug-einer-pki-von-windows-server-2008-r2-auf-windows-server-2012-r2/ richtig gelesen habe, installieren die im Howto die CA auf einem W2012R2 DC.

[Stefan40 0]

Der Link von Sunny sieht auch gut aus. Da istallieren die auf einen DC. In den Kommentaren zur Seite entbrandet aber auch eine Diskussion ob der Name des Servers gleich sein muss. Das würde mir nicht gefallen.

 

Einen Extra Server nur für die CA seh ich nicht ganz ein. Denke ich sichere sie und deinstalliere sie dann. Notfalls muss es doch möglich sein wieder eine neue CA zu installieren. Das dann die alten Zertifikate nicht mehr gehen ist aber dann klar.

 

Das einzige was mir etwas Kopfzerbrechen bereitet ist, das jeder DC automatisch ein Zertifikat für den Zweck Clientauthentifizierung und Serverauthentifizierung bekommt und bei Ablauf auch selbständig ein neues anfordert.

Braucht jeder DC unbedingt sowas oder ist das nur auf "Vorrat". Was macht er wenn keine CA da ist...?