Migration von DC 2k3 auf 2k16 möglich?

[Dukel 436]

Nochmal die Idee von mir. Wie wäre es mit einer strikten Trennung zwischen dem AD Netzwerk und den Gästen. Dann kannst du erstes mit Windows DNS / DHCP (ohne weitere Kosten) umsetzen und letzteres mit Linux (hier kannst du die vorhandenen Systeme nutzen). Dann bekommen die Gäste auch keinen Zugriff auf z.B. interne Hostnamen aus dem DNS.

[kaineanung 14]

vor 8 Minuten schrieb Dukel:

Nochmal die Idee von mir. Wie wäre es mit einer strikten Trennung zwischen dem AD Netzwerk und den Gästen. Dann kannst du erstes mit Windows DNS / DHCP (ohne weitere Kosten) umsetzen und letzteres mit Linux (hier kannst du die vorhandenen Systeme nutzen). Dann bekommen die Gäste auch keinen Zugriff auf z.B. interne Hostnamen aus dem DNS.

Wenn ich diese Netzdienste von der MS-AD nach BIND9 vererben kann (Master/Slave) und dort zusätzlich (also vereint / 'gemerged') die Zonen die wir hier haben hinzufügen kann -> dann hätte ich ja nur einen Server den ich wirklich und tatsächlich verwalten muss. Der DC kümmert sich nur um sein Zeug, der Bind eben um das was ein DNS-Server eben tut: Clientnamen auf IP und umgekehrt auflösen...

Ausserdem  müsste ich dann einen weiteren DHCP-Server aufsetzen und ein separates Netz einführen weil die DHCP sich sonst in die Quere kommen würden und es nicht funktionieren würde.

Das ist viel mehr Aufwand....

 

 

Und ich kämpfe hier ja darum den MS-DNS einzubeziehen! Bisher war der DNS-Dienst deaktiviert auf dem DC und alles auf BIND9 ausgelagert. Das kann ich wieder machen, will aber diese Netzdienste bei MS behalten um in Zukunft nicht immer Zonentransfers machen zu müssen wenn wir migrieren oder ein weiterer DC hinzukommt. Dies im Zusammenspiel mit dem BIND9 würde gehen, ich bekomme es nicht schnell hin und da jemand anfänglich gemeint hat ich könne beide Welten miteinander vereinen, hat mir diese Idee am besten gefallen...

MS für die Netzdienste, Bind für die Clientnamen/IP-Auflösung oder Forwarden auf die externen DNS-Server....

Beide Welten klingt doch gut, oder? Man findet bei Google auch viele Treffer wenn man danach sucht: das Beste aus beiden Welten: einfache Verwaltung beim MS, die Robustheit und Unverwüstlichkeit und Sicherheit des BIND......

Lügen denn alle?

[Dukel 436]

Im Gäste Netz braucht man ja eigendlich nur ein Resolving DNS Server und ein paar wenige Records, die man manuell pflegen kann.

Ein eigenes Netz ist eh empfehlenswert. Ich möchte meine Gäste nicht in meinem internen Netz haben!

 

[Gulp 226]

Wie gesagt, ob 300 oder 1000 Euro (es geht nicht um den speziellen Betrag, wobei man den schon bei der Anschaffung des Windows Servers mit einkalkuliert) ändert nichts an der Tatsache, dass Du oder Dein Chef jetzt wieder den Mehraufwand vergisst, den eine zweigleisige Strategie erfordert. Das nenne ich nun wirklich nicht Weitsicht, zumal Du mit Deiner "Weiterblidung" im Augenblick einen sehr begrenzten Spezialfall betrachtest, der Dir im "normalen" Business keinen Mehrnutzen bringt, weil man das üblicherweise eben anders löst.

 

Ganz einfach ohne doppelte Server-Administration, Netz physikalisch trennen, Router für 100-200 Euro kaufen, kleine DSL Leitung extra, Gäste zufrieden .... geht auch ohne Windows oder LInux.

 

Grüsse

 

Gulp

[monstermania 53]

EiEiEi,

da möchte sich aber Jemand unbedingt Probleme machen.

Das mit dem Gästenetz hab ich auch gedacht. Das läuft z.B. bei uns komplett über die Firewall/UTM und ist per vLAN strikt vom internen LAN bzw. WLAN getrennt. Dafür braucht es dann auch keine Windows CAL.

Und ja, wir haben auch Linux(Server) im Einsatz. DNS und DHCP läuft aber komplett über Windows.

Aber warum auch einfach, wenn es komliziert geht! 

[kaineanung 14]

vor 51 Minuten schrieb monstermania:

Aber warum auch einfach, wenn es komliziert geht!

Man könnte aber auch sagen:

warum die Scheuklappen nicht ablegen und auch mal über den Tellerrand schauen?

 

[Lian 2.327]

Hallo,

 

bitte verfalle nicht in das alte Linux <> Windows-Thema. Unsere Community ist nicht so gestrickt anderes zu verteufeln und wir setzen durchaus auf heterogene Netzwerke:

Es ergibt nur nicht für alle Dienste Sinn etwas anderes zu nutzen und das ist hier der Fall.

 

Eine Bitte: Lasst doch die Grundsatzdiskussion und bleibt beim Thema. Wer etwas beizutragen hat, kann dies gerne tun.

Die Sinnhaftigkeit ist nun oft genug erwähnt worden, ich denke es reicht nun.

 

Danke für Euer Verständnis

 

[kaineanung 14]

vor 3 Minuten schrieb Lian:

Eine Bitte: Lasst doch die Grundsatzdiskussion und bleibt beim Thema. Wer etwas beizutragen hat, kann dies gerne tun.

Die Sinnhaftigkeit ist nun oft genug erwähnt worden, ich denke es reicht nun.

ICH habe sicherlich keine Grundsatzdiskussion angestoßen. Nein, ich wehrte mich bisher sogar dagegen! Ich will nur die Informationen zu denen ich meine Fragen gestellt hatte und mehr nicht.

 

Daher habe ich auch 2 Post früher gemeint: warum nicht beide Welten vereinen? Oder die MS-AD will doch niemand absetzen usw..

Warum nicht dies und warum nicht das? Fakt ist: wir haben einen DHCP mitsamt Failover-DHCP und Bind mit Replikation im Einsatz und das läuft sehr gut und sehr stabil und überhaupt.

Wenn ich frage ob man diese zwei Welten vereinen kann dann will ich darauf hingewiesen werden daß dies kein Sinn macht und der Gleichen. Aber nach Tagen des 'Hinweisens' ist dann auch mal Schluss und dann kann man sich ja Fachlich über das Thema unterhalten wer die Kenntnis hat und gewillt ist zu helfen.

 

 

[Lian 2.327]

Die Bitte ging an alle, daher nochmal:

 

Bitte zurück zum Thema.

 

[kaineanung 14]

Ich wollte doch berichten und das mache ich hiermit auch:

 

Mein erster Test mit dem "MS-DNS AD integrated" nur für die "_msdcs.Fimra.local", welche an Bind 'vererbt' wird (Bind dient als Slave auf diese Zone), und auf dem Bind die Standard-Zonen (Firma.local, Firma.de, Reverse-Lookupzonen usw.) war sehr gut. Ich muss also nicht einmal die Standardzonen, die auf dem Bind sind, nach MS-DNS replizieren / transferieren.

 

Somit ist das, was ich für mich selber in den letzten Posts vorgeschlagen hatte, praktikabel bzw. funktioniert.

MS-DNS verwaltet nur die Netzdienste und repliziert diese Zone an den Bind, dort sind die anderen Zonen der Domänen mitsamt Reverse-Lookup beinhaltet und werden auch nur dort verwaltet und nicht an den MS-DNS transferiert. Die Clients bekommen die Bind-Server (wir haben einen Master und einen Slave als Backup) als 1. und 2. DNS zugewiesen.

 

So, das Thema ist ja jetzt erledigt und das kann man relativ flott und einfach umsetzen.

 

MS-DNS -> _msdcs (Master)

Bind-> _msdcs (Slave)

Bind -> alle anderen Zonen (Master)

Clients -> als DNS-Server Bind hinterlegt.

 

Ein anderes Thema diesbezüglich ist aber jetzt, und da weiß ich nicht ob ich ein neues Thema eröffnen sollte oder hier fragen da es ja direkt damit zu tun hat:

 

mein DNS-Server auf den DC war deaktiviert und leer. jetzt möchte ich eine _msdcs-Zone erstellen mit den Netzdiensten dc, gc, usw..

Ich habe auch diverse Anleitungen gefunden und ausgeführt und das komische war: in meiner Testumgebung hat es das erste mal genau nach Anleitung auch funktioniert!

Danach manuell gelöscht und wieder versucht zu wiederholen: geht nicht -> die _msdcs-Zone kann ich manuell erstellen und als NS trägt sich auch der DC ein. ABER auch nach 1 Stunde hat er nicht, im Gegensatz zum ersten Versucht, die Subzonen selber angelegt und mit eintägen zu den Diensten versehen!

 

Ich bin wie folgt vorgegangen (und wie gesagt, beim ersten mal hat es funktioniert und ich bin mir relativ sicher das es nach einer Wiederherstellung des Snapshots wieder funktionieren wird da 'das Erste mal':

 

1. Zone manuell erstellen mit dem Namen '_msdcs.Firma.local' (Firma.local -> Unsere Domäne). Primär und AD integriert. Updates: Nur sichere. Auf allen Domänencontrollern in der AD-Domäne 'Firma.local'

 

2. in der cmd: 'ipconfig /flushdns', 'ipconfig /registerdns', 'net stop netlogon' und 'net start netlogon' nacheinander ausgeführt

 

3. Ein paar Minuten später im DNS-Server-Manager aktualisiert und immer wieder nachgeschaut bis die ganzen Dienste eingetragen wurden und angezeigt wurden. Hat gefühlt ca. 15 Minuten gedauert. Beim ersten mal hat das so auch geklappt. Danach nicht mehr.

 

So, kann mir jemand sagen was ich noch tun muss damit ich das wieder hinbekommen kann? Ich vermute das der reale DC sich genauso verhalten wird wie der in der Testumgebung nachdem die erst erstellte Zone gelöscht wurde und beim zweiten mal nicht mehr 'will'.

Ich vermute ja das ich vielleicht ein 'ipconfig /unrgisterdns' bräuchte, was es aber so nicht zu geben scheint.

 

Jemand einen Tip?

 

[kaineanung 14]

Okey, habe es selber gefunden:

Ohne zuvor replizierte Firma.local-Domänen-Zone funktioniert es wohl nicht.

Also: im Root von 'Forward-Lookupzonen einen Sekundäre Zone von der Domänen-Zone erstellen und kurz replizieren lassen,

dann daneben eine _msdcs.Firma.local-Zone, AD-integriert (und Option "...auf allen DC-DNS-Servern..") erstellen. Danach kann man die o.g. Schritte mit dem ipconfig /flushdns usw. ausführen.

Im Anschluss kann man, wie es aussieht, die sekundäre Zone "Forma-local" wieder löschen. (Bin gerade daran alles nochmals zu testen und dann zu migrieren. Wenn alles erflogreich werde ich berichten für alle anderen Anfänger die auf gleiche Probleme laufen sollten).

 

Die _msdcs.Firma.local-Zone an den Bind replizieren lassen (Bind dann für diese Zone permanent als Slave einrichten) und alles funktioniert wunderbar.

[kaineanung 14]

Ich habe hier doch noch ein kleines Problemchen bei dem mir vielleicht der Eine oder Andere helfen könnte:

 

Ich habe nun den DNS-Server am laufen bei welchem ich die Domänen-Netzwerkdienste als '_msdcs'-Zone betreibe.

Zuvor habe ich ein Zonentransfer der "Firma.local"-Zone vom BIND-Server vorgenommen, diese Zone dann zur Primären AD-integrierten Zone gemacht und dann die msdcs-Zone replizieren lassen.

 

Wenn ich nun mit dem dnslint-Tool (von MS) von einem AD-Client aus die AD und DNS checken lasse, bekomme ich eine Warnung

 

'One or more DNS servers is not authoritative for the domain'

 

Dies ist 'nur' eine Warnung (gelb) und der Betrieb des DNS ist nicht eingeschränkt. Auch eine Migration der Domäne von W2K3 nach W2K16 funktioniert.

 

Dennoch würde ich diese Warnung gerne weg bekommen.

 

Wenn ich diese msdcs-Zone an den BIND repliziere, bekomme ich dann dort, wenn ich das Tool dann laufen lasse und die AD checken lasse und angebe das der DNS-Server eben nun der BIND-Server ist, die gleiche Meldung wie oben, aber nun in rot statt gelb, was dann auch bedeutet daß es ein Fehler und keine Warnung mehr ist.

 

Wenn ich es also schaffe dieser Zone irgend eine 'Autortät' zu vergeben, müssten meine Probleme gelöst sein. Aber wie mache ich das?

Die Autorität ist doch bestimmt der Server welcher diese Zone verwaltet? In der SOA der _MSDCS-Zone steht auch der W2K3-DC-Server drin als 'Primärer Server'.

In der Firma-local-Zone ebenfalls und das egal ob ausgegraut (Sekundäre Zone) oder aktiv / bearbeitbar (Primäre Zone + AD integriert). Ich habe beide Fälle ausprobiert.

 

 

 

So, wie bekomme ich das hin der Zone eine Autorität zu vergeben?