Jump to content

Migration von DC 2k3 auf 2k16 möglich?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Soweit ich weiß sind Snapshots von DC's nicht unterstützt. Ich würde da eher mit nem Offline-Backup oder der Windows Sicherung ran gehen. Und die Sicherung auch nur, wenn tatsächlich NICHTS anderes am laufen ist was auch nur im entferntesten vom AD abhängt. Vielleicht bin ich da etwas paranoid, aber lieber zu vorsichtig als dann die große Sch….. 

Link zu diesem Kommentar
vor 16 Minuten schrieb kaineanung:

Dann verstehe ich nicht was das Problem sein sollte ein Image des einzigen DCs in der Domäne zu machen für das Worst-Case-Szenario um wieder zurückzugehen?

Marco31 rät ja DRINGEND davon ab. Aber er hat im letzten Post ja Stichwörter genannt die ich mal kurz ergoogeln werde...

 

Aber dennoch einmal vorab: wenn sich alles auf diesem einen Server abspielt, dann sollte ich zurückspringen können auf das zuvor erstellte Image da die Änderungen sonst nichts anderes mit einbezogen haben und das Netzwerk und die 'Domäne' dann einfach so weiterlaufen sollten wie vor dem fehlgeschlagenen Versuch der Migration.

 

Dir sagt der Begriff "relationale Datenbank" etwas? Das Active Directory ist eine ......

 

Kurz gesagt, wenn die Datenbank zur Hälfte gesichert ist und die Datenbank in die bereits gesicherte Hälfte Daten eintütet, weil dort eine freie Zeile in der Datei ist, hast Du im Endergebnis eine inkonsistente Datensicherung bei einem Image. Man kann maximal darüber nachdenken, ein Offline Image zu machen, also von einem Sicherungsdatenträger booten und damit ein Image machen. Das scheitert vielfach an mangelnder Treiberunterstützung für entsprechende RAID Controller und auch daher wird eben ein Image nicht als die Methode der Wahl angesehen. Bei einem einzigen DC kann man das USN Rollback Szenario durchaus vernachlässigen, hier gibt es ja keine Replikation.

 

Darauf spezialisierte Backup Mechanismen, wie beispielsweise das Sichern des Systemstate in der Windows Sicherung halten die Datenbank beim Backup über ein API an, damit eben das nicht passiert.

 

Und das bringt mich wieder an den Punkt, warum sollte ich mir einen Kopf um Images machen, wenn ich ja sicherlich bei so wichtigen Systemen eine entsprechende Backup Strategie habe, die ich auf Funktion und Wiederherstellbarkeit getestet habe, zumindest im Produktivbereich. In der Testumgebung ist das aus meiner Sicht unnötiger Aufwand, da habe ich ja meinen Ausgangspunkt, davon lege ich bei allen VM's eine Offline Kopie zur Seite und nehme die zum Testen. Klappt da was nicht, werfe ich den Kram weg und mache mir eine neue Offline Kopie, da muss ich erst recht nicht mit Images oder Snapshots herumhampeln.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
vor 4 Minuten schrieb Marco31:

Soweit ich weiß sind Snapshots von DC's nicht unterstützt. Ich würde da eher mit nem Offline-Backup oder der Windows Sicherung ran gehen. Und die Sicherung auch nur, wenn tatsächlich NICHTS anderes am laufen ist was auch nur im entferntesten vom AD abhängt. Vielleicht bin ich da etwas paranoid, aber lieber zu vorsichtig als dann die große Sch…

Du hast ja mit deiner Einstellung vollkommen Recht.

Ich bin auch paranoid und gerade deshalb will ich alle Möglichkeiten nutzen um ganz sicher zurückspringen zu können im Falle eines Desasters bei der Migration.

Und da wir ja noch Amateurhaft unterwegs sind und nur einen DC (NOCH, bald sind es wenigstens 2) betrieben, dachte ich mir: wenn ausserhalb des DCs bei so einer Migration nichts anderes verändert wird (bis auf den DNS der ebenfalls auf dem DC ist) dann dürfte ein Imagen und notfalls recovern kein Problem darstellen.

 

Und das wollte ich lediglich noch hier einmal sicherstellen...

 

Hättest du mir gesagt: nein, pass auf, die Client-PCs werden bei der Gelegenheit auch irgendwie sofort und unmittelbar mit beeinflusst und es gibt kein Zurück mehr und das Image rettet dich nicht mehr, dann wäre das eine Aussage und für mich eben das Totschlagargument für nicht imagen...

vor 2 Minuten schrieb Gulp:

Dir sagt der Begriff "relationale Datenbank" etwas? Das Active Directory ist eine ......

 

Kurz gesagt, wenn die Datenbank zur Hälfte gesichert ist und die Datenbank in die bereits gesicherte Hälfte Daten eintütet, weil dort eine freie Zeile in der Datei ist, hast Du im Endergebnis eine inkonsistente Datensicherung bei einem Image. Man kann maximal darüber nachdenken, ein Offline Image zu machen, also von einem Sicherungsdatenträger booten und damit ein Image machen. Das scheitert vielfach an mangelnder Treiberunterstützung für entsprechende RAID Controller und auch daher wird eben ein Image nicht als die Methode der Wahl angesehen. Bei einem einzigen DC kann man das USN Rollback Szenario durchaus vernachlässigen, hier gibt es ja keine Replikation.

Gott sei dank habe ich auch meine Qualitäten. Windows-Netzwerk-Administration gehört nicht dazu aber dafür das Programmieren und Datenbanken allgemein.

Natürlich sagt mir die relationale Datenbank etwas.

 

Und das was du erwähnt hast mit der offline-Sicherung:

entschuldigung das ich das nicht klarer und deutlicher Formuliert hatte:

ich rede die ganze Zeit davon! Ich dachte daß mit Acronis und Ghostimage sowieso nur Offline-Images gehen? Wir machen es jedenfalls immer ausschliesslich als Offline-Variante. Booten von Stick oder CD und dann ein Image auf eine externe HDD machen. Im Notfall das gleiche SPiel nochmal nur statt 'backupen' -> 'recovern'.

 

 

Also nochmal: ich rede die ganze Zeit ausschließlich von a) einem DC welchen wir in der Domäne haben und b) einem Offline-imagen

 

Spricht da etwas dagegen diese Vorsichtsmaßnahme so zu ergreifen?

Link zu diesem Kommentar

Es kann passieren, dass Clients rausfliegen. Jeder PC hat einen Computeraccount mit Passwort - das kaspern DC und Client selbst aus und die Kennwörter sind synchron. Wenn Du ein Image zurückspielst kann es passieren, dass Clients in der Zwischenzeit ein neues Kennwort ausgehandelt haben und dann keinen Zugriff mehr auf die Domäne haben (Stichwort Domaintrust).

 

Wie schon geschrieben wurde - wenn dann aller...aller...allerhöchstens Image vom ausgeschalteten System - auf gar keinem Fall vom laufenden System. Image und DC .. das geht nicht zusammen!

 

und was deinen versuch angeht - wenn die Freigaben auf dem W2k3 nicht mehr funktionieren - dann hat etwas nicht geklappt!

bearbeitet von Squire
Link zu diesem Kommentar

Was machst du denn, wenn gerade im Moment deines Images jemand sein Passwort ändert oder ein Client das Computerkennwort ändert? Dann hättest du das von Gulp beschriebene Szenario.

Klar, lässt sich schlimmstenfalls reparieren. Aber für den Fall der Fälle würde ich da keinen Snapshot verwenden, sondern wie auch von Gulp vorgeschlagen die Windows-Sicherung oder ein Offline-Backup.

Link zu diesem Kommentar

Du musst Dich nicht entschuldigen, wir sprechen ja noch über das Thema und Du siehst, es ist weit komplexer als es zu Beginn den Anschein hatte und nimmt nicht wenig Zeit in Anspruch. Ich will damit auch nicht sagen, dass Deine Migration am Ende nicht klappt, nach den ganzen Hinweisen in diesem Thread würde ich meinen Du wärest auf die meisten Stolperfallen antsprechend hingewiesen worden und hast entsprechende Maßnahmen soweit ergriffen. Man könnte jetzt an der ein oder anderen Stelle noch etwas penibel stochern aber das wäre ja auch nicht zielführend. Wenn man die Kosten Deiner bisherigen Zeit und Arbeit nun gegen den Einsatz eines entsprechend erfahrenen Dienstleisters entgegenstellt, wieviel habt Ihr denn letztlich gespart? (OK, ein bisschen Ketzerei darf ja wohl sein ..... ;-) )

 

Bei Images sollte man sich bei DC's eben entsprechend in der Materie Active Directory und Imagesoftware mehr als gut auskennen, wie gesagt bei den VM's würde ich mir eine Kopie der Maschine auf die Seite legen, da muss an den Kram nicht denken.

 

Was die nicht auflösbaren SID Einträge beim Fileserver angeht, was für ein User ist dort angemeldet und ist der Server überhupt noch in der Domäne? Da spricht viel dafür, dass es entweder a: ein lokaler User ist der die SID mangels Browsing Rechten im LDAP schlicht nicht auflösen kann oder b: die fehlende Domänenmitgliedschaft, die dann automatisch zu a: führt.

 

 

 

Grüsse

 

Gulp

bearbeitet von Gulp
Link zu diesem Kommentar
vor 14 Minuten schrieb Squire:

Es kann passieren, dass Clients rausfliegen. Jeder PC hat einen Computeraccount mit Passwort - das kaspern DC und Client selbst aus und die Kennwörter sind synchron. Wenn Du ein Image zurückspielst kann es passieren, dass Clients in der Zwischenzeit ein neues Kennwort ausgehandelt haben und dann keinen Zugriff mehr auf die Domäne haben (Stichwort Domaintrust).

Das wird aber nicht an einem Samstag Nachmittag passieren da bei uns dann niemand anwesend ist. Wir reden nicht vom zurückspringen auf das Image nach x Tagen. Wir reden von recovern nach ein paar Stunden wenn die Migration im Desaster endet.

Und was die raus geflogenen Clients betrifft (sollte es aus welchen Gründen auch immer doch passieren): wenn das passiert ist es halb so wild. Client in die Arbeitsgruppe nehmen und anschließend wieder in die Domäne und er ist wieder im Spiel...

 

vor 16 Minuten schrieb Marco31:

Was machst du denn, wenn gerade im Moment deines Images jemand sein Passwort ändert oder ein Client das Computerkennwort ändert? Dann hättest du das von Gulp beschriebene Szenario.

Klar, lässt sich schlimmstenfalls reparieren. Aber für den Fall der Fälle würde ich da keinen Snapshot verwenden, sondern wie auch von Gulp vorgeschlagen die Windows-Sicherung oder ein Offline-Backup.

Wie gesagt: die Migration passiert an einem Tag wenn keiner hier bei der Arbeit ist. Und wenn das dennoch passieren sollte: Verlustei n so einem Krieg gibt es immer ein paar... ;)

 

Und nochmals: ich rede die ganze Zeit von einem Offline-Bakup -> somit ist das ok euerer Meinung nach?

vor 7 Minuten schrieb Gulp:

Du musst Dich nicht entschuldigen, wir sprechen ja noch über das Thema und Du siehst, es ist weit komplexer als es zu Beginn den Anschein hatte und nimmt nicht wenig Zeit in Anspruch. Ich will damit auch nicht sagen, dass Deine Migration am Ende nicht klappt, nach den ganzen Hinweisen in diesem Thread würde ich meinen Du wärest auf die meisten Stolperfallen antsprechend hingewiesen worden und hast entsprechende Maßnahmen soweit ergriffen. Man könnte jetzt an der ein oder anderen Stelle noch etwas penibel stochern aber das wäre ja auch nicht zielführend.

Ich bin eben ein Harmonie-bedürftiger Mensch und entschuldige mich lieber vorsichthalber bevor jemand denkt ich würde hier was fordern und pochen und keine einsicht zeigen wollen und unbelehrbar sein oder der Gleichen.

Und ja, das Thema ist komplexer als der Anschein am Anfang. Aber mit der Zeit und der gewonnen Erfahrung im IT-Leben hat man gelernt das es meistens immer so ist und man am Ende meistens doch den richtigen Weg (mit ein paar Wirrungen und Umwege) findet.

 

Übrigens: habe das Szenario gerade nochmals durchgespielt und man kann tatsächlich von W2K3 auf W2K16 direkt migrieren... ;)

 

vor 10 Minuten schrieb Gulp:

Wenn man die Kosten Deiner bisherigen Zeit und Arbeit nun gegen den Einsatz eines entsprechend erfahrenen Dienstleisters entgegenstellt, wieviel habt Ihr denn letztlich gespart?

Man hätte für heute und jetzt etwas gespart (also ich bin eine billige Arbeitskraft hier... nur um das mal klar zu stellen;)), aber das wird bestimmt nicht die einzige Migration in der Firma hier bleiben. Und in Zukunft kann ich das ohne fremde Hilfeu nd werde mein Wissen in der internen Wikipedia verweigen für alle folgenden Generationen oder auch für meine heutigen Kollegen...

Somit haben wir uns viel gespart UND ich bin wertvoller geworden und kann endlich den Mindestlohn für mich einfordern... ;)

 

vor 12 Minuten schrieb Gulp:

Was die nicht auflösbaren SID Einträge beim Fileserver angeht, was für ein User ist dort angemeldet und ist der Server überhupt noch in der Domäne? Da spricht viel dafür, dass es entweder a: ein lokaler User ist der die SID mangels Browsing Rechten im LDAP schlicht nicht auflösen kann oder b: die fehlende Domänenmitgliedschaft, die dann automatisch zu a: führt.

 

Wie ich bereits weiter oben festgestellt hatte:

höchstwahrscheinlich habe ich den Server beim 'demoten' aus der Domäne geschmissen und es nicht einmal bemerkt weil mein Augenmerk nicht beim Fileserver lag sondern bei dem anderen DC.

Aber ich spiele das Szenario gerade nochmals durch (sogar ohne W2K8 als Zwischenschritt) und werde mehr darauf achten. Ich berichte dann.

Link zu diesem Kommentar
vor 9 Minuten schrieb kaineanung:

Übrigens: habe das Szenario gerade nochmals durchgespielt und man kann tatsächlich von W2K3 auf W2K16 direkt migrieren... ;) ......

 

Sag ich ja die ganze Zeit ;-) ..........

 

vor 9 Minuten schrieb kaineanung:

Man hätte für heute und jetzt etwas gespart (also ich bin eine billige Arbeitskraft hier... nur um das mal klar zu stellen;)), ......

Du magst ja billig sein, aber auch wir kosten normalerweise Geld, das musst Du eigentlich auch bedenken.

 

Grüsse

 

Gulp

Link zu diesem Kommentar
vor 39 Minuten schrieb Gulp:

Du magst ja billig sein, aber auch wir kosten normalerweise Geld, das musst Du eigentlich auch bedenken

Meinst du mit 'wir' wie "wir Administratoren"? Klar kosten wir. Sogar viele von uns sehr viel. Aber ein Externer würde für die jetzige Migration locker 3k haben wollen und in einigen Jahren, wenn dann W2K20 kommt dann nochmal 3K und 4 Jahre später bei W2K24 ebenfalls.

So koste ich mein Betrieb höchstens ~2k für die Lernphase und das jetzige Migrieren (sagen wir mal 2 Wochen also) und später machen wir das nur noch kurz nebenher und koste dadurch nur noch ein paar Hunderter für die Migration selber...

 

Ich denke es selber machen zu können ist unterm Strich immer günstiger und das macht den Job ja auch aus: sich immer weiter und weiter bilden... ;)

Ich habe Anwendungsentwicklung gelernt. Jetzt bin ich mehr und mehr in der Serverlandschaft (Linux + MS) und Netzwerke. Also Mädchen-für-alles. und das ist ja der Reiz unseres Jobs, oder?

 

Oder meinst du mit 'wir' euch hier?

Ja wo kann ich spenden? Denn für solch eine Hilfe macht man das doch gerne!

Link zu diesem Kommentar

Ich meine schon das Board hier, hier gibt es einen Haufen Member deren Dienste außerhalb des Boords nicht billig sind und die das hier alles kostenlos machen.

 

Spenden und/oder zB eine Premium MItgliedschaft (Werbefreies Forum und zB Mailadressen mit deinname@mcseboard.de) kann man bei den Moderatoren erfragen, zB bei Lian oder Dr.Melzer ......

 

Grüsse

 

Gulp

 

bearbeitet von Gulp
Link zu diesem Kommentar

Ich habe nun von W2K3 nach W2K16 migriert (direkt) und erstmal scheint alles zu laufen. Auch der Fileserver selber! Habe ihn dieses mal nicht aus der Domäne geworfen oder Sonstiges.

 

Jetzt schaue ich mir das Ereignisprotokoll des AD DS an:

Ich bekomme ich regelmäßigen Abständen ein Eintrag der mir gar nichts sagt:

 

>Der DNS-Server hat einen kritischen Active Direcotry-Fehler ermittelt. Stellen Sie sicher, dass Active Directory ordnungsgemäß funktioniert. Die erweiterten Fehlerdebuginformationen (die

eventuell leer sind) laten "0000051B: AtrErr: DSID-030F2312, #1:

                0: 0000051B: DSID-030F2312, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 20119 (nTSecurityDescriptor)". Die Ereignisdaten enthalten den Fehlercode.<

 

Weiß zufällig jemand was das zu bedeuten hat?

Also meine AD funktioniert soweit daß ich mich anmelden kann, User können verwaltet werden wie Passwörter zurücksetzen und auch neue USer können angelegt werden und sich am Client anmelden. Der Fileserver funktioniert auch einwandfrei. Die Berechtigungen stehen, neue können vergeben werden und alte entzogen usw..

Wäre dieses Fehlermeldung nicht würde ich behaupten: genau so soll es sein....

 

Ach ja, FRS nach DFRS habe ich noch nicht migriert. Das sollte aber nicht problematisch sein...

Mist, ich glaube ich habe die FSMO nicht übertragen... ich muss alles nocheinmal machen... vielleicht ist es ja das? Sogar sehr wahrscheinlich..... grr

Link zu diesem Kommentar

Hallo Leute,

 

ich habe nun mindestens 5 mal in der Testumgebung die Domäne von Server 2003 auf Server 2016 migriert und denke daß ich nun kapiert habe was zu tun ist und brav in unsere Wiki eingetragen.

 

Jetzt will ich aber einen Schritt weiter planen: DNS.

Da ihr wisst das wir hier Bind9 als DNS nutzen, und dies auch weiterhin sehr gerne machen würden, stellt sich mir die Frage was ich am besten machen könnte um beide Welten zu nutzen.

Irgendjemand hat in einem der vorangegangenen Beiträgen erwähnt gehabt das man Bin9 als Slave und MS DNS als Master konfigurieren könnte.

 

Da ein Slave jedoch 'Read-Only' ist, habe ich dann natürlich ein Problem da die Verwaltung der Clients, und das DDNS seitens des DHCPs nach wie vor von ISC-DHCP-Server-Dienst in Linux ausgeführt wird.

 

Da ich ja nicht wirklich alle Zonen als Slave nutzen MUSS, dachte ich an folgendes Szenario:

 

MS Server DNS:

Master:

_msdcs.firma.local

 

Bind9 DNS:

Master:

firma.local

firma.de

Subdomain.local

Reverse-Lookup-Zonen

 

Slave:

_msdcs.firma.local

 

Was meint ihr, würde das gehen?

Sprich: der MS DNS kümmert sich aktiv nur um die Netzwerkdienste, der Bind9-Server kümmert sich um die Clients im Netzwerk.

Bisher hatte ich in der Firma.local-Zone auch alle Netzwerkdienste der Domäne eingetragen.

Wie ich das aber nun sehe sind im MS-DNS diese Netzwerkdienst-Auflösungen (nennt man ja so, richtig?) separiert in der Zone '_msdcs.Firma-local'-Zone abgelegt und das trifft sich ja dann gut:

diese Zone lassei ch als Master beim MS-DNS, die anderen (Client-) Zonen belasse ich auf dem Bind9 und säubere diesen nur von den Netzwerkdiensten der AD die bisher da enthalten waren.

 

1. Würde das so funktionieren

2. Sieht hier jemand Probleme die ich nicht erkennen kann?

3. Spricht da in Zukunft dann auch nichts dagegen mehrere DCs zu promoten ohne am BIND-Server irgendwas ändern zu müssen? Das Promoten und die Kommunikation der DCs in der Domäne läuft unabhängig des DNS-Servers bis daß die Netzdienste eingetragen werden können und diese sollen ja auf dem MS bleiben.

 

Dazu fällt mir abern och eine Frage auf:

Nicht jeder DC soll eine integrierten DNS-Server am Laufen haben, richtig? Muss ich dann beim Aufsetzen eines weiteren DCs irgendwas DNS-spezifisches beachten? Oder einfach AD Rolle installieren, promoten und das war es? Er nimmt dann den DNS den er selber als Client hinterlegt bekommen hat in den Netzwerkeinstellungen, oder?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...