Migration von DC 2k3 auf 2k16 möglich?

[kaineanung 14]

vor 20 Minuten schrieb Squire:

Moment - das kann nicht stimmen ... wenn das OS des SAN ESX von VMware sein soll ... für vSAN sind mindestens drei Nodes notwendig. 

Moment, das muss stimmen. Wir haben eine SAN. Wir haben also eine Storage-Einheit mit mehreren speziellen HDDs (redundanten Controllern, 2 Anschlüsse / HDD, usw. insgesamt 7 TB) und (momentan) einen Server (2. Server wird bestellt) auf denen die VMs laufen. Wir haben Sphere und haben eine VMWare-ESX-Lizenz. Für diese ESX-Geschichte haben wir uns einen externen Dienstleister geholt der sich nur um diese Dinge kümmert. Er hat uns beraten, eine Lizenz empfohlen und die passende Hardware dazu verkauft und aufgebaut und installiert. Leider haben wir nicht die Beste der möglichen Lizenzstufen aber eine Gute (wir können lediglich im laufenden Betrieb die VMs NICHT hin und her schieben sondern müssen diese herunterfahren).

also, wenn deine Aussage darauf hinaus wollte das ich hier Märchen erzähle: nein, das tue ich nicht. Aber vielleicht wird nur meine Unsicherheit und Unwissenheit hiermit unterstrichen. Dazu stehe ich aber und dafür frage ich ja euch ;)

 

Und was für 3 Nodes meinst du da? und was ist nun ein vSAN im Vergleich zu SAN?

Und was hat unsere ESX-SAN-VMWare mit der Migration eines DC von 2003 auf 2016 zu tun? Die SAN läuft Problemlos. Ich verwalte das Ding per vSphere regelmäßig --> mach dir keine Gedanken um Dinge die ich gar nicht gefragt hatte.... ;)

 

[testperson 1.527]

vor einer Stunde schrieb Squire:

Moment - das kann nicht stimmen ... wenn das OS des SAN ESX von VMware sein soll ... für vSAN sind mindestens drei Nodes notwendig. 

Nein. Seit AFAIK 6.0 U2 gibts auch ein 2 Node vSAN Cluser.

bearbeitet 28. August 2018 von testperson

[kaineanung 14]

vor 8 Minuten schrieb testperson:

Nein. Seit AFAIK 6.0 U2 gibts auch ein 2 Node vSAN Cluser.

Habe ich ein 1 Node SAN dann? Oder woran erkenne ich das genau?

Wie auch immer Leute: das ist nicht das Thema. Thema ist: Migration W2K3 -> W2K16..

[Lian 2.325]

Bitte zurück zum Thema

[kaineanung 14]

Ich möchte nur mal kurz den Zwischenstand in meinem virtuellen Netzwerk zur Migration von W2K3 auf W2K16 berichten: scheint so als ob die direkte Migration, wie bereits irgendwo gelesen gehabt, so nicht möglich sein wird weil der Sprung zu groß ist. Ich werde dies heute nun mit einem Zwischenschritt auf W2K8 ausprobieren.

 

Das poste ich deshalb weil sich vielleicht der Eine oder Andere jemals die gleiche Frage stellen wird oder selber gefragt wird (wie ich euch dazu befrage) und nun Aufschluss darüber erhält..

[NorbertFe 1.799]

Zumindest laut Microsoft ist es möglich.

https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers

 

Windows Server 2016 requires a Windows Server 2003 forest functional level. That is, before you can add a domain controller that runs Windows Server 2016 to an existing Active Directory forest, the forest functional level must be Windows Server 2003 or higher. If the forest contains domain controllers running Windows Server 2003 or later but the forest functional level is still Windows 2000, the installation is also blocked.

 

insofern wäre jetzt interessant, warum es bei dir nicht geklappt hat und welche Fehlermeldungen du erhalten hast.

[kaineanung 14]

Diesen Schritt habe ich bereits gestern Abend versucht und kenne nicht mehr den 100% genauen Wortlaut. Aber beim Hinzufügen der AD-Rolle bzw. dem Hinzufügen zu einer bestehenden Domäne, hieß es erst daß diese Funktionslevel der DC nicht auf Server 2003 waren. Dies habe ich dann hochgestuft. Dann hieß es die Gesamtstruktur wäre ebenfalls noch auf dem Level 2000 statt dem 2003. Dann habe ich dies in der Gesamtstruktur ebenfalls hochgestuft. (Übrigens: in meiner echten Domäne sind beide Werte auf Server 2003 und lediglich in meiner Testumgebung musste ich hochstufen) Dann schien es zu funktionieren weil er irgendwas gearbeitet hat bis die Meldung kam: kein Windows 2008 Server DC-Server gefunden.

 

 

Nachtrag:

Jetzt wollte ich den Wortlaut genau haben und habe es nochmals probiert mit dem Hinzufügen des DC zur bestehenden Domäne. Es passiert bei dem Punkt "Domänencontrolleroption" welcher gleich nach dem ersten Schritt "Bereitstellungskonfiguration" passiert. Die Fehlermeldung besagt:

 

"In dieser Domäne konnte kein Domänencontroller gefunden werden,

auf dem Windows Server 2008 oder höher ausgeführt wird. Damit ein

schreibgeschützter Domänencontroller installiert werden kann, muss

sich in der Domäne ein Domänencontroller befinden, auf dem

Windows Server 2008 oder höher ausgeführt wird."

 

 

[Gulp 226]

Das hört sich aber eher nach DNS Problemen an und warum willst Du einen schreibgeschützen DC erstellen?

 

Edit: ...., aber eigentlich stehts ja auch da,  schreibgeschützte DC's werden erst ab 2008 unterstützt. Einen schreibgeschützten DC brauchts Du in dem Szenario ja auch gar nicht erstellen, da solltest Du Dich besser noch etwas in das Thema vertiefen.

 

Grüsse

 

Gulp

bearbeitet 7. September 2018 von Gulp
Ergänzung

[kaineanung 14]

vor 19 Minuten schrieb Gulp:

Das hört sich aber eher nach DNS Problemen an und warum willst Du einen schreibgeschützen DC erstellen?

Ich will gar nicht das ein schreibgeschützter DC erstellt wird. Ich habe aber nirgends die Möglichkeit dies zu entscheiden. Nach dem Hinzufügen zu einer 'bestehenden Domäme' macht er irgendwas, springt auf diesen 2. Punkt 'Domänencontrolleroptionen' und macht irgendwas bis er diese Meldung anzeigt.

 

Und tatsächlich ist da ein Unterschritt aufgelistet der 'DNS-Server' heisst. Und ich kann nach der Fehlermeldung Häckchen setzen bei 'DNS-Server' und 'Globaler Katalog'. Jetztz aheb ich DNS-Server weggeklickt (ich habe ja einen Bind9-DNS-Server) und versuche es gleich nochmals.

Wenn alles schiefgeht transferiere ich temporär alles auf den MS-DNS-Server der DCs, stelle mein Bind9 ab und versuche es dann wieder. Danach kann ich ja wieder alles zurück auf Bind9 transferieren oder den Bind9 als Slave betreiben.

[Gulp 226]

Eine Windows Domäne benötigt spezielle DNS Einträge, wenn diese auf dem BIND fehlen oder nicht während der Erstellung des DC erstellt werden können, hast Du Dein Problem.

 

https://support.microsoft.com/de-de/help/816587/how-to-verify-that-srv-dns-records-have-been-created-for-a-domain-cont

 

https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

In Windows Domänen sollte man den ein oder anderen DC auch als DNS Server konfigurieren, damit solche Einträge auch automatisiert erstellt werden können. Mit externen DNS Servern kann das zwar auch funktionieren, erhöht aber den Wartungsaufwand und natürlich die möglichen Fehlerquellen.

 

Grüsse

 

Gulp

[lefg 276]

Moin

 

Und warum wird auf dem DC kein AD-integrierter DNS eingerichtet und benutzt? Und warum will man beim Erstellen des DC erst einen DNS einrichten und hinterher auf BIND9 umstellen?

bearbeitet 7. September 2018 von lefg

[kaineanung 14]

vor 11 Minuten schrieb lefg:

Und warum wird für die Domäne auf dem DC keine AD-integrierter DNS eingerichtet und benutzt?

Weil mein Vorgesetzter irgendwann mal beschlossen hat das wir mehr und mehr Dinge auf Linux schieben. Ich bin dann das 'ausführende Organ' und habe eben Bind9 aufgesetzt, Zonentransfer ausgeführt, MS-DNS deaktiviert und per DHCP (ebenfalls auf Linux mit ddns update auf Bind9-DNS) die DNS-Server verteilt (ja, ich habe noch ein Bind9-Slave zum Bind9-Master).

Somit fahren wir schon seit ca. 2-3 Jahren ohne MS-DNS und ohne MS-DHCP. Die Diensteinträge im DNS sind ja mit transferiert worden und verrichten ihren Job bisher ganz gut.

 

Jetzt stehe ich vor der Entscheidung: temporär zurück auf MS-DNS oder DC überreden mit dem Bind9-DNS zu arbeiten?

Das temporär würde sich so anschauen:

 

1.  MS DNS Dienst starten
2. Zonentransfers auf MS-DNS -> MS-DNS Slave, Bind9 Master
3. MS-DNS zum Master machen und Bind9 zum Slave
4. 2. DC promoten und alles was notwendig ist um einen 2. Server hinzuzufügen und zu migrieren
5. alten DC demoten und DC und DNS-Rolle entfernen (Fileserver ist noch drauf -> für eine kurze Zeit bleibt der noch in der Domäne)
6. wenn alles steht den DNS-Server auf dem neuen DC beenden (dieser ist ja Master und bind9 Slave -> Zonentransfer soltle gelaufen sein) und den Bind9 zum Master machen

So habe ich mir das vorgestellt WENN keiner eine Idee hat wie ich den W2K16-DC überreden kann gleich mit dem Bind9 zu arbeiten?

bearbeitet 7. September 2018 von kaineanung

[Gulp 226]

Mit diversen Änderungen im Domain Functional Level gehen durchaus auch diverse Änderungen im DNS einher, deswegen ist es keine gute Idee manche Dienste auf andere Systeme auszulagern. Ich möchte ja jetzt kein Bashing anfangen, aber wenn auf Linux auslagern, warum nicht dann auch konsequent die Domäne auf Samba aufziehen? Sonst wird es aus meiner Sicht ja auch dünn mit stichhaltigen Argumenten etwas auslagern zu wollen.

 

Auch wenn Du nur ausführendes Organ bist, gehört es meiner Ansicht nach zum Job des Verantwortlichen für IT/Server auch dazu dem Chef fundiert klar zu machen warum das auslagern von DNS und aus meiner Sicht auch des DHCP echter unnötiger und aus meiner Sicht auch unsinniger Aufwand ist, wenn man eine Windows Domäne auf einem Windows Server OS betreibt.

 

Ich will damit auch nicht sagen, dass sich eine Windows Domäne nicht auch mit einem BIND DNS und anderen DHCP Lösungen betreiben liesse, aber den Aufwand für ein aus meiner Sicht sehr überschaubares Stück Infrastruktur betreiben zu wollen halte ich entweder für fehlende Sachkenntnis oder eine schlichte ABM und nicht mehr.

 

Und das meine ich wirklich nicht persönlich.

 

Grüsse

 

Gulp

 

 

[NorbertFe 1.799]

vor 5 Stunden schrieb kaineanung:

Diesen Schritt habe ich bereits gestern Abend versucht und kenne nicht mehr den 100% genauen Wortlaut. Aber beim Hinzufügen der AD-Rolle bzw. dem Hinzufügen zu einer bestehenden Domäne, hieß es erst daß diese Funktionslevel der DC nicht auf Server 2003 waren. Dies habe ich dann hochgestuft. Dann hieß es die Gesamtstruktur wäre ebenfalls noch auf dem Level 2000 statt dem 2003. Dann habe ich dies in der Gesamtstruktur ebenfalls hochgestuft. (Übrigens: in meiner echten Domäne sind beide Werte auf Server 2003 und lediglich in meiner Testumgebung musste ich hochstufen) Dann schien es zu funktionieren weil er irgendwas gearbeitet hat bis die Meldung kam: kein Windows 2008 Server DC-Server gefunden.

 

 

Nachtrag:

Jetzt wollte ich den Wortlaut genau haben und habe es nochmals probiert mit dem Hinzufügen des DC zur bestehenden Domäne. Es passiert bei dem Punkt "Domänencontrolleroption" welcher gleich nach dem ersten Schritt "Bereitstellungskonfiguration" passiert. Die Fehlermeldung besagt:

 

"In dieser Domäne konnte kein Domänencontroller gefunden werden,

auf dem Windows Server 2008 oder höher ausgeführt wird. Damit ein

schreibgeschützter Domänencontroller installiert werden kann, muss

sich in der Domäne ein Domänencontroller befinden, auf dem

Windows Server 2008 oder höher ausgeführt wird."

 

 

Also ist deine Aussage oben einfach falsch. Ja man kann 2016 dcs zu einer Windows 2003 Domain hinzufügen. Dass es bei dir nicht geht, ist kein ms Problem, sondern abhängig von den Gegebenheiten deiner Umgebung.

[kaineanung 14]

vor 17 Minuten schrieb NorbertFe:

Also ist deine Aussage oben einfach falsch. Ja man kann 2016 dcs zu einer Windows 2003 Domain hinzufügen. Dass es bei dir nicht geht, ist kein ms Problem, sondern abhängig von den Gegebenheiten deiner Umgebung.

Ich habe heute den DNS-Server des DC wieder aktiviert, Zonentransfer des BIND9-Servers gemacht und den MS-DNS (auf dem DC) zum Master gemacht.

DHCP habe ich angewiesen nun diesen neuen DNS-Server als einzigen DNS zu verteilen im meinem virtuellen Testnetz.

Domainfunktionalität (Netzwerkdienste) und 'normale Namensauflösung' incl. Reverse-Auflösungen funktionieren tadellos.

Jetzt habe ich auf meinem W2K16 Server wieder versucht die AD-Rolle zu installieren und zu promoten -> das Gleiche Ergebnis -> kein W2K8 oder höherer Server in der Domäne gefunden!

 

Wie im Eingangspost oder kurz danach von mir gepostet, habe ich auch irgendwo gelesen das es mit der Migration von W2K3 auf W2K16 nicht direkt geht.

Als ihr mir hier gesagt habt das sollte gehen war ich ja happy, aber wenn ich den Umweg gehen muss dann ist das auch nicht weiter schlimm so fern das alles irgendwann mal funktionieren wird das wir endlich auf einem neuere DC angekommen sind ;))

 

Ausser du meinst noch andere Gegebenheiten in meiner Umgebung?

 

Ürigens: das promoten des "W2K8 Servers zum DC ist einige Schritte weiter gekommen als vorher noch ohne MS DNS.

Jetzt habe ich 'lediglich' eine Warnung an einer Stelle bekommen:

 

"Für den DNS-Server kann keine Delegierung erstellt werden, da die

autorisierende übergeordnete Zone nicht gefunden wurde oder

Windows DNS-Server nicht ausgeführt wird. Wenn Sie eine

Integration in eine vorhandene DNS-Infrastruktur vornehmen

möchten, sollten Sie in der übergeordneten Zone manuell eine

Delegierung an den DNS-Server erstellen, um eine zuverlässige

Namensauflösung von außerhalb der Domäne "Firmenname.local" zu

gewährleisten. Andernfalls ist keine Aktion erforderlich.

 

Möchten Sie den Vorgang fortsetzen?"

 

Und ich weiß nicht genau ob das für mich relevant sein soll oder nicht?

Ich habe hier eine Unterdomäne die 'von ausserhalb Anfragen sendet'.

Ist das jetzt relevant oder nicht?

Ausserdem handelt es sich um die Haupt-Zone die keine Übergeordnete Zone hat? Wo soll ich jetzt eine Delegation machen und an wen nicht nicht an den DNS-Server selber?