Jump to content

Migration von DC 2k3 auf 2k16 möglich?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute,

 

endlich ist es soweit und meine Chefs haben meine Gebete erhört und wir modernisieren unser DC.

Wir haben immer noch nur einen (!) DC im einsatz und dieser ist ein Windows Server 2003 (!).

Endlich bekomme ich 2 DCs und das alles auf neustem Betriebssystem (2016).

 

So, ich soll ein Konzept entwerfen, aufzeigen was wir brauchen und die Vorgehensweise erläutern.

Ich habe mich schon um die Systemanforderung ein wenig informiert und die ist human. Irgendwo hieß es auch lieber nicht HighEnd-Server dafür aber mehre im Einsatz. Für ca. 250 Clients müssten 2 gute Server ausreichen. Wenn nicht kann man leicht einen weiteren DC hinzufügen (machen die Loadbalancing dann automatisch?).

 

Was mich aber brennend interessiert, ist ob man überhaupt von einem 2k3 auf ein 2k16 direkt migrieren kann? Ich habe irgendwo im Internet gelesen daß eine Migration auf 2k16 frühestens ab Server 2k8 möglich sei.

Wenn daß stimmt, dann müsste ich die Migration in 2 Schritten durchführen: 2k3 -> 2k8 -> 2k16 (statt 2k3 -> 2k16). Auch habe ich eine Frage was das äusserst wichtige DNS in dieser Geschichte angeht: der DNS-Dienst ist bei den meisten DC-Servern aktiv. Man muss im aktuellen DNS irgendwas eintragen nachdem man den 2. DC aufgesetzt hat. Ich weiß zwar noch nicht was (da könnt ihr mir vielleicht Auskunft geben), aber mich interessiert brennend ob dies auch mit einem Bind9-DNS-Server funktioniert. Wir haben unsere DHCP- und DNS-Server auf Linux ausgelagert.

 

Also

1. Stimmt es daß es nur moderate Hardwareanforderungen sind die ein DC stellt? Es sind 2 Server für ca. 250 Clients geplant?

2. Funktioniert das 'Loadbalancing' automatisch sobald ein weiterer DC-Server in der Domäne seine Arbeit aufnimmt?

3. Ist eine Migration von MS Server 2003 Enterprise auf MS Server 2016 Standard möglich oder muss man einen Zwischenschritt einlegen z.B. erst auf MS Server 2k8 migrieren um dann erst auf MS Server 2k16?

4. Kann man dies mit egal welchem DNS-Server bewerkstelligen (Bind9) und was muss man da genau eintragen?

5. Ist die Vorgehensweise so wie ich das irgendwann mal vor gefühlten 80 Jahren gelernt habe: 2. DC-Server in der Domäne implementieren mit aktivem Pre-2000-Modus und dann den Schema-Master (heisst doch irgendwie so?) auf diesen delegieren. Danach den alten Server herausnehmen und den Pre-2000-Modus deaktivieren. Nun ist man auf einen vollwertigen MS2016-DC migriert, richtig? Danach kann man dann den eigentlich 2. DC-Server aufnehmen.

6. Gibt es gute, möglichst deutschsprachige Anleitungen dazu? Mein Englisch ist nicht schlecht, aber bei so etwas wichtigem würde ich deutsch natürlich bevorzugen.

7. Ich habe vor dies erst in einer virtuellen Umgebung durch zuspielen. Da ich VirtualBox verwenden werde habe ich noch die Frage ob es problematisch ist in einem gleichen Netzwerksegment unterschiedliche Domänen zu betreiben?

Der Server (virtuell) benötigt ja auch Zugriff auf das Internet um sich zu aktualisieren und auf mein Netzwerk um Daten hin und her zu schaufeln. Beste Lösung ist eine 'Briged Netzwerkkarte' zu verwenden um dies als Client unseres Netzwerkes als Gast zu betreiben.

 

Ich hoffe auf weiterführende Informationen, Hilfe und Vorschläge.

Ich danke euch schon einmal im Voraus für eure Hilfe oder zumindest für das Durchlesen bis hierher!

Link zu diesem Kommentar

Hi,

 

solange dein DFL und FFL mindestens 2003 ist, kannst du direkt auf 2016er DCs (außer im unwahrscheinlichen Fall, dass du Windows Server 1709 nutzt).

 

zu 1) Ja. Virtualisiert ihr? Wenn möglich würde ich immer auf 3 DCs setzen. Dann hast du im Falle einer Wartung immer noch 2 online. ;)

zu 2) In der Regel "Ja".

zu 3) Ja. Kein Zwischenschritt bzw. siehe oben in Klammern.

zu 4) Theoretisch ja. In der Praxis würde ich immer Windows DNS für das AD (und seine Clients) nehmen. Alles andere kannst du zur Not ja später an die Bind9 forwarden bzw. das Benötigte von dort aus an die Win DNS forwarden. (Beim nochmaligen Lesen bin ich mir hier nicht sicher. Würde halt immer Win DNS nutzen ;))

zu 5) Grob: Server 2016 installieren, AD Rolle installieren, Promoten, Replikation abwarten, (FSMO Rollen übertragen auf einen 2016 DC), 2003 demoten, aus dem AD entfernen, ggfs. aufräumen. Dann solltest bzw. müsstest du SYSVOL von FRS auf DFS migrieren: https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/

zu 6) https://docs.microsoft.com/de-de/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers

zu 7) Das würde ich definitiv strikt trennen!

 

Das klingt für mich allerdings so, als solltet Ihr euch da jemanden ins Haus holen, der das nicht zum ersten Mal macht. So ein AD ist halt nicht ganz unwichtig. Des Weiteren könnte es bei euch noch die ein oder andere Abhängigkeit geben, die man vorher prüfen / anpassen müsste.

 

Gruß

Jan

 

bearbeitet von testperson
Link zu diesem Kommentar

@testperson

 

Hi,

vielen dank für deine Antwort!

 

1. Ein DC wird virtualisiert auf einer ESX-SAN, der zweite wird in einem 'Hardware-Redundantem' Serverrack installiert (ist irgendeine Technologie die z.B. 5 Hardwareserver managed und die 'Betriebssysteme' hin und her schieben tut wie es gerade benötigt wird. Die Server sind sozusagen in einem Cluster oder so. Haben wir noch nicht, werden wir uns erst einmal einen so ins Haus stellen und ausprobieren. z.B. der DC kommt da drauf). Ich denke das erst mal 2 DC ausreichend werden da beide DC hochverfügbar gehalten werden: SAN und dieses redundante Zeug.

3.1 " DFL und FFL mindestens 2003" wie finde ich das heraus im DC 2003? Ich seeh z.B. eine Domänenfunktionsebene und eine Gesamtstrukturfunktionseben. Beide auf Windows Server 2003 gesetzt?

3.2 Server 1709? Was ist das, wo sehe ich das?

4. Wir haben keine Windows-DNS und das alels vom Bind9 zurück zu übertragen ist vielleicht ein zu großer Akt. Ich werde es einfach mal riskieren. Zumal ich es aj in der virtuellen Umgebung erst einmal nachspielen werde. Ich kann ja für die Migration selber das DNS am DC aktivieren, diesen zum Slave machen und den BIND9 zum Master, danach andersherum während ich dann die DC-Rolle installiere und aktiviere. Wenn alles dann steht wieder Bind9 zum Master und DNS-Rolle am AD deaktivieren. So könnte ich es mir vorstellen. Hört sich das plausibel an?

5.1. Sobald ich AD-Rolle installiert und promotet habe, finden die 2 DC sich und synchroniseren alles was es zu synchronisieren gibt? Und das automatisch? Hört sich super an.

5.2 Demoten und aus dem AD entfernen des Win 2003 geht indem ich die Rolle deaktiviere oder deinstalliere? Ggf. Aufräumen heisst im groben was genau?

7. Einfacher gesagt als getan. Wie soll ich das trennen wenn ich das bei der Arbeit machen will? Das einzige ist: ich installiere die Dinge nur im eigenen virtuellen Netz. Aber wie schaut es dann aus mit dem Zugang ins Internet und dem Zugang zu unserem Netzwerk (z.B. Dateiserver o.ä.?) Ich kann auch 2 Netzwerkkarten virtuell betreiben: eine bridged und eine im eigenen virtuellen Netz. Wird das reichen? Also mein virtueller Testserver hat dann 2 Netzwerkkarten: 1. Virtuelels Netz mit eigenem Netzwerksegment und 2. bridged oder NAT zum Verbinden ins Internet oder unserem LAN? Wird das Eine dem Anderen da nicht in die Quere kommen? Wie macht ihr das so?

 

 

Zitat

Das klingt für mich allerdings so, als solltet Ihr euch da jemanden ins Haus holen, der das nicht zum ersten Mal macht. So ein AD ist halt nicht ganz unwichtig. Des Weiteren könnte es bei euch noch die ein oder andere Abhängigkeit geben, die man vorher prüfen / anpassen müsste.

 

Wenn es soweit ist: Ich komme am Wochenende und mache ein Image vom aktuellen DC. Dann wird das alles durchgeführt. Wenn es steht: alles gut. Wenn es nicht steht: Image zurück spielen und es ist so wie ursprünglich (hoffe ich). Oder verursache ich noch woanders Änderungen die nicht mit dem Recovery des Serverimages zurückgesetzt werden würde?

Ist jetzt nur mein Gedankengang wie ich es machen würde. Vielleicht holen wir uns auch jemand externen um das durchzuführen... Wir müssen aber erst alles wissen damit wir entscheiden können wie und was..

 

Link zu diesem Kommentar

zu Punkt 1: Warum um alles in der Welt will man sowas? ich würde alles in der ESX Farm laufen lassen. Wir haben bei uns ziemlich alles virualisiert - außer einen Server für ein CAD System. Da stellt sich der Hersteller doof an - supported ist das nur direkt auf Blech.

 

Der Rest läuft bei uns in der Zentrale auf zwei Clustern mit 14 ESX Servern ... und in jeder Niederlassung stehen VRTXn mit zwei Blades mit ESX drauf!

 

Gut gemeinter Rat. Hol Dir einen vernünftigen Dienstleister, der die Geschichte mit euch durchzieht und plant!

 

ggf. wäre so eine DellEMC VRTX wirklich was für euch. Ich würde die mit zwei M640 Blades bestücken und ja nach Notwendigkeit entsprechend Platten reinsetzen. Die ESX auf SD Karten in den Blades ... die Platten als Shared Storage. Dann noch das Essentials Paket von VMware. Mit der Hardware  bist Du redundant aufgestellt ... Allerdings was noch fehlt in Deiner Betrachtung ist ein Backupkonzept.

Was hast Du eigentlich für ein Budget für die Migration?

 

Nochmal ... nachdem Deine Kenntnisse allen Anschein nach rudimentär oder ziemlich angestaubt sind - hol Dir Unterstützung! 

bearbeitet von Squire
Link zu diesem Kommentar

Hhmm, DCs und Bind als DNS Server, das schreit spätestens bei der Migration nach Problemen. Und getrennte DNS-Zonen mit Forwarding kann man machen. Mein Prinzip ist eher "kiss" - "keep it simple and stupid".  Ich schließe mich der Meinung nach einem kompetenten Dienstleister an. Dieser sollte aufgrund einer Analyse eurer Umgebung und euren Anforderungen zumindest ein rudimentäres Migrations- und Betriebskonzept erstellen, Erst dann wirst ihr wirklich was ihr an HW und SW benötigt. 

Link zu diesem Kommentar
Am 24.8.2018 um 21:35 schrieb Squire:

zu Punkt 1: Warum um alles in der Welt will man sowas? ich würde alles in der ESX Farm laufen lassen. Wir haben bei uns ziemlich alles virualisiert - außer einen Server für ein CAD System. Da stellt sich der Hersteller doof an - supported ist das nur direkt auf Blech.

Mein Teamleiter ist experimentierfreudig was so etwas angeht. Was einen neueren DC Server nach Win2k3 angeht war er weniger experimentierfreudig (Nach dem Motto: geht  doch -> warum daran was ändern...?)

Und wir haben so ein Server RAID-5 System begutachtet in produktiver Umgebung und ich muss auch sagen: not bad...

Und wenn mein Teamleiter so etwas will,  da freue ich mich auch darauf was neues kennen zu lernen...

Und man muss schon sagen: so ein server-RAID-5-System UND eine ESX-SAN ist doch schon unschlagbar...

 

Am 24.8.2018 um 21:35 schrieb Squire:

Der Rest läuft bei uns in der Zentrale auf zwei Clustern mit 14 ESX Servern ... und in jeder Niederlassung stehen VRTXn mit zwei Blades mit ESX drauf!

 

Wir haben 2 ESX-Server und ein 6 TB großes Storage. Auf diesen Servern läuft aber unser ERP-System und der DMS-Server. Dazu noch mein primärer Ubuntu-DHCP und Master-DNS-Server.

VRTxn ist was genau? Wir haben auch noch 2 Tochterfirmen die eventuell irgendwann mal angebunden werden (sind bereits mit ASA-direktleitungen 'angebunden'. Jedoch nicht Domänentechnisch. Vielleicht ja irgendwann mal?

 

Und das mit dem Rat einer externen Dienstleisters:

Ja vielleicht machen wir das ja auch? Aber erstmal sammele ich die Informationen zusammen und dann schaue ich es mir mal an ob ich das auch schaffen könnte? Ein Image von der DC machen und danach kann doch nichts schief gehen, richtig? Notfalls eben recovern und dann einen externen Dienstleister holen?

 

Am 24.8.2018 um 21:35 schrieb Squire:

Was hast Du eigentlich für ein Budget für die Migration?

Das soll ich ja nun ermitteln so 'Pi-Mal-Daumen'. Aber dabei spielt nicht nur die Migration des DCs eine Rolle sondern das Vereinen unserer Server auf weniger Hardware (VM SAN & RADI-5-Server-System). Ich denke das Geld sollte jetzt kein allzu große Rolle spielen solange es nicht 'ausufert'.. Aber dafür bin ich nicht zuständig und mache erst mal meinen Job als 'Späher'.

 

Am 24.8.2018 um 22:39 schrieb DocData:

250 Clients, ein 2003 DC, ein „ESX-SAN“ ist geplant. Ist dieser Thread Satiere??

Ein ESX-SAN ist vorhanden, ein zusätzliches RAID-5-Server-System ist geplant (z.B. Spherenium SmartCube von TechIt).

Wieso kommst du darauf dies wäre Satire?

250 Clients ist überschaubar. 2003 DC ist total überaltert, meine Gebete wurden aber lange Zeit überhört. Was soll ich dazu noch sagen ausser: Lieber spät als nie und Gott sei Dank?

Am 25.8.2018 um 13:23 schrieb djmaker:

Hhmm, DCs und Bind als DNS Server, das schreit spätestens bei der Migration nach Problemen. Und getrennte DNS-Zonen mit Forwarding kann man machen. Mein Prinzip ist eher "kiss" - "keep it simple and stupid". 

 

Aber andere, große Firmen mit einigen Tausend Clients, nutzen auch Bin9 als DNS Server trotz einer Windows-Domäne (jedenfalls laut recherche im Internet damals wo wir umgestiegen sind). Das muss odch irgendwie funktionieren?

Ausserdem: notfalls kann ich ja für die Migration den lokalen DNS aktivieren und danach einen Bind9-Slave dranhängen um alles zu übertragen, den Windows-DNS abzustellen und den Bind9-Slave zum Master machen? Oder übersehe ich da irgendwas gerade?

 

 

Link zu diesem Kommentar

Das

Am 24.8.2018 um 12:01 schrieb kaineanung:

7. Einfacher gesagt als getan. Wie soll ich das trennen wenn ich das bei der Arbeit machen will? Das einzige ist: ich installiere die Dinge nur im eigenen virtuellen Netz. Aber wie schaut es dann aus mit dem Zugang ins Internet und dem Zugang zu unserem Netzwerk (z.B. Dateiserver o.ä.?) Ich kann auch 2 Netzwerkkarten virtuell betreiben: eine bridged und eine im eigenen virtuellen Netz. Wird das reichen? Also mein virtueller Testserver hat dann 2 Netzwerkkarten: 1. Virtuelels Netz mit eigenem Netzwerksegment und 2. bridged oder NAT zum Verbinden ins Internet oder unserem LAN? Wird das Eine dem Anderen da nicht in die Quere kommen? Wie macht ihr das so?

das

Am 24.8.2018 um 12:01 schrieb kaineanung:

Wenn es soweit ist: Ich komme am Wochenende und mache ein Image vom aktuellen DC. Dann wird das alles durchgeführt. Wenn es steht: alles gut. Wenn es nicht steht: Image zurück spielen und es ist so wie ursprünglich (hoffe ich). Oder verursache ich noch woanders Änderungen die nicht mit dem Recovery des Serverimages zurückgesetzt werden würde?

Ist jetzt nur mein Gedankengang wie ich es machen würde. Vielleicht holen wir uns auch jemand externen um das durchzuführen... Wir müssen aber erst alles wissen damit wir entscheiden können wie und was..

und das

vor einer Stunde schrieb kaineanung:

Ein Image von der DC machen und danach kann doch nichts schief gehen, richtig? Notfalls eben recovern und dann einen externen Dienstleister holen?

spricht entweder in der Tat für Satire oder für deinen Nickname.

 

Sprich bitte um Himmels willen vorher mit einem Dienstleister über deine Pläne und lass dich davon abbringen!

Link zu diesem Kommentar

@testperson

 

Was spricht dagegen? Wir haben nur einen DC im Moment. Wenn ich diesen Image und jederzeit zurückspielen kann, kann ich soviel ändern wie ich will und es betrifft nur diesen Server + eventuell den DNS. Bei Bind9 ist das aber so das alles in Zonendateien stehen die ich dann vorher backupen kann.

Also: was spricht dagegen? Übersehe ich etwas?

 

 

Ach ja, die Kommentare von wegen ich würde nix blicken kann man sich einfach sparen weil es ja offensichtlich ist: würde ich es blicken, würde ich ja nicht fragen müssen.... ;)

 

Link zu diesem Kommentar
vor 5 Minuten schrieb testperson:

Ja, stimmt, so ein Active Directory ist genau die Komponente im Netzwerk, mit der man experementieren und rumspielen sollte.

 

Die Frage ist ja auch deshalb folgende:

WENN es momentan EIN DC Server ist, und diesen kann man vorher 1:1 sichern, KANN da irgendwas schief laufen wenn man es einfach mal ausprobieren tut am WE?

 

1. Ich sichere also den 2k3 DC mit einem Acronis-Image

2. Ich installiere einen 2k16 Server und mache ihn zum DC der aktuellen Domäne

3. Ich delegiere alles auf den neuen Wk16-Server (Schema-Master)

4. Je nach Ergebnis

4.1 Schief gelaufen:

4.1.1 W2K16 herunterfahren und aus dem Netz nehmen

4.1.2 DC W2K3 recovern

4.1.3 Eventuell DNS-Server recovern (Zonendateien zurück spielen)

4.2 Gut gelaufen:

4.2.1 W2K3 AD-Rolle entziehen

4.2.2 W2K3 aus der Domäne herausnehmen

4.2.3 Einen weiteren W2k16 DC aufbauen

 

Übersehe ich da etwas oder kann man dies. ohne den Super-GAU zu verursachen, einfach mal ausprobieren und notfalls eben zurückspringen zum Image?

 

Und ich probiere dies natürlich erst inmal in der virtuellen Umgebung. Und wir werden sogar wahrscheinlich auch einen externen Dienstleister holen. Aber ich will meine Möglichkeiten in Erfahrung bringen bevor wir in der EDV-Runde irgendwas besprechen und entscheiden.

Link zu diesem Kommentar
vor 2 Stunden schrieb kaineanung:

Und wir haben so ein Server RAID-5 System begutachtet in produktiver Umgebung und ich muss auch sagen: not bad...

Und wenn mein Teamleiter so etwas will,  da freue ich mich auch darauf was neues kennen zu lernen...

Und man muss schon sagen: so ein server-RAID-5-System UND eine ESX-SAN ist doch schon unschlagbar...

 

 

was soll ein Server-Raid-5 System sein? meinst Du einen Server mit HDDs im Raid5 Verbund?

 

VRTX = DellEMC VRTX 

 

(nebenbei - wir haben unsere Umgebung in der Zentrale auf 14 ESX Servern an 2x70TB All Flashstorage ) ERP läuft noch auf Solariskisten

Link zu diesem Kommentar
vor 45 Minuten schrieb lefg:

Ist kein weiteren Speicher zur Verfügung zum Installieren von Experimenten?

Wie meinst du das? Der aktuelle DC läuft auf einer nativen Kiste. Erst jetzt, also der neue Server, wandert auf den ESX- Der 2. DC dann auf das andere System (Raid5-Server-Verbund).

vor 46 Minuten schrieb lefg:

Soll der 2016 auf die Hardware vom 2003, also Inplace Migration? Oder soll der 2016 auf neue Hardware?

Nein, die Hardware ist uralt und wird nicht weiter verwendet. Der 2016er wird virtualisiert.

vor 47 Minuten schrieb Squire:

was soll ein Server-Raid-5 System sein? meinst Du einen Server mit HDDs im Raid5 Verbund?

Nein, das ist ein Rack aus 5 Servern welche nicht einmal baugleich sein müssen. Eine übergeordnete Instanz verwaltet alle und gibt diesen 'Verbund' nach aussen hin als ein Hardwareserver. Diese Server sind unteriander redundant wie eben ein RAID-5-Verbund an HDDs. Fällt einer aus, so läuft der Betrieb nach wie vor weiter. Tauscht man den ausgefallenen Server durch einen neuen, wird darauf repliziert.

Wir haben uns das angeschaut und es sieht vielversprechend aus. SmartCube Spherenium von TechIt.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...