Jump to content

Zwei Domain-Controller austauschen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen,

 

ich habe hier eine Umgebung mit einem physikalischen Domain-Controller, einem virtualisierten Domain-Controller sowie einem Exchange Server 2010.

Alle Systeme basieren auf Server 2008 R2. Der Austausch des Exchange Server 2010 steht zum Herbst diesen Jahres an.

 

Im Vorfeld wollen wir die beiden Domain-Controller austauschen, die im Netzwerk neben Ihren AD-Funktionalitäten für uns eine sehr zentrale Rolle spielen (Zeit, usw).

Daher würde ich gerne IP-Adressen beibehalten. Der virtualisierte Domain-Controller hält auch die FSMO-Rollen vor.

 

Die Kernfrage ist, ob ich nach folgendem Ablaufplan die Systeme austauschen kann.

 

- neuen physikalischen Domain-Controller aufnehmen und Replikation abwarten

- die IP-Adresse des vorherigen Domain-Controller ändern und DNS-Replikation abwarten

- dem neuen phys. Domain-Controller die IP-Adresse des alten geben und die DNS-Replikation abwarten

- den vorherigen physikalischen Domain-Controller aus der Domäne entfernen

 

Für den virtualisierten Domain-Controller würde ich die selben Schritte wie oben durchführen, jedoch vor der Änderung der IP-Adresse des vorhandenen Domain-Controllers

die FSMO-Rollen verschieben.

 

Ist dies ein gangbarer Weg?

Link zu diesem Kommentar

Hi,

 

an dieser Stelle wäre es vermutlich einfacher, den ersten DC zu demoten, ggfs. im AD / DNS aufräumen und dann direkt den ersten neuen DC mit gleicher IP (und ggfs. Namen) zu installieren. Etwas später dann mit dem zweiten DC identisch verfahren.

 

Was machen die DCs denn noch neben "dem DC sein"? Evtl. solltet Ihr die Chance jetzt nutzen und diese Sachen bereinigen.

 

Gruß

Jan

Link zu diesem Kommentar
Gerade eben schrieb testperson:

Hi,

 

an dieser Stelle wäre es vermutlich einfacher, den ersten DC zu demoten, ggfs. im AD / DNS aufräumen und dann direkt den ersten neuen DC mit gleicher IP (und ggfs. Namen) zu installieren. Etwas später dann mit dem zweiten DC identisch verfahren.

 

Was machen die DCs denn noch neben "dem DC sein"? Evtl. solltet Ihr die Chance jetzt nutzen und diese Sachen bereinigen.

 

Gruß

Jan

Moin,

 

die machen nur Aufgaben, die ein DC zu erledigen hat.

Mein bzw. unser Problem ist nur, dass die IP-Adressen in div. Netzwerkkomponenten als Zeitserver eingetragen sind. Daher würde ich die IP-Adressen gerne beibehalten.

 

@mba:
Danke für den Tip, das hatte ich schon gelesen. Wir haben unseren Exchange 2010 auf dem aktuellen Stand, daher gehe ich davon aus, dass wir dort keine Probleme bekommen (sollten).


Gruß

Link zu diesem Kommentar
vor 1 Minute schrieb testperson:

Hi,

 

als Zeitserver eignet sich ggfs. der FQDN der Domäne. Alternativ könnte man noch darüber nachdenken, Dienste (NTP, DNS, (LDAPS), ...) für Netzwerkkomponenten per Loadbalancer bereitzustellen.

 

Gruß

Jan

Ja, über sowas habe ich auch schon nachgedacht.
Problem bei einigen Geräten ist aber, dass diese mich nur eine IP eingeben lassen. Aber das könnte man ja ggf. über den LB realisieren.

 

Sollte ich den Austausch der DCs in einem Wartungsfenster durchführen oder geht es auch im laufenden Betrieb?

Link zu diesem Kommentar
  • 5 Monate später...

Guten Morgen,

ich muss das Thema noch einmal aufgreifen,
da ich zum Wochenende die Umstellung wahrscheinlich angehen werde.

Mein Plan wäre jetzt wie folgt:

Heute
- neuen Server promoten
Morgen
- FSMO-Rollen verschieben
- Replikation abwarten
Am Wochenende (Wartungsfenster)
- IP-Adresse des alten Servers ändern auf eine neue, andere
- DNS-Records aktualisieren lassen und DNS-Replikation abwarten
- dem neuen Server die alte Adresse des alten Servers geben
- DNS-Records aktualisieren lassen und DNS-Replikation abwarten

Meine Fragen dazu wären,

- Ich hätte doch schon gerne den Hostnamen des alten DCs auf den neuen, wie vorgehen?
- Wann den alten DC demoten? Direkt zum "Ende" des Wartungsfensters?

Gruß

Link zu diesem Kommentar

Moin,

 

da sich deine DCs ja alle am selben Standort befinden, brauchst du nicht so lange Wartezeiten. Man kann das alles in einem Rutsch machen und zwischendurch halt Kaffeepausen einplanen (wenn überhaupt). Ein Tag für alles würde dicke ausreichen. 

 

Was den Namen anbelangt: Wenn du das wirklich willst (ich halte nichts davon, weil es ungünstige Abhängigkeiten festschreibt), dann kannst du zum Ende deiner Liste den Namen des DCs ändern, wenn du vorher den alten entfernt (oder ebenfalls umbenannt) hast. Wann du das wiederum tust, ist praktisch ausschließlich eine organisatorische Frage.

 

Ich lese jetzt aber nur noch von einem DC, wolltest du nicht zwei tauschen?

 

Gruß, Nils

 

Link zu diesem Kommentar
vor 6 Minuten schrieb NilsK:

Moin,

 

da sich deine DCs ja alle am selben Standort befinden, brauchst du nicht so lange Wartezeiten. Man kann das alles in einem Rutsch machen und zwischendurch halt Kaffeepausen einplanen (wenn überhaupt). Ein Tag für alles würde dicke ausreichen. 

 

Was den Namen anbelangt: Wenn du das wirklich willst (ich halte nichts davon, weil es ungünstige Abhängigkeiten festschreibt), dann kannst du zum Ende deiner Liste den Namen des DCs ändern, wenn du vorher den alten entfernt (oder ebenfalls umbenannt) hast. Wann du das wiederum tust, ist praktisch ausschließlich eine organisatorische Frage.

 

Ich lese jetzt aber nur noch von einem DC, wolltest du nicht zwei tauschen?

 

Gruß, Nils

 

Moin,

 

danke für die schnelle Rückmeldung. Einleitend habe ich leider nicht erwähnt, dass es in der Organisation noch zwei Domänen-Controller gibt, die an einem anderen Standort stehen (VPN).
Daher das "Herauszögern" über mehrere Tage.

 

Bzgl. des Namens bin ich auf deiner Seite, ich weiß allerdings, dass in irgendwelchen Anwendungen oder Skripten dieser bestimmt fest hinterlegt ist. Daher der Gedanke, auch den Namen zu übernehmen. Wobei ich jetzt schon darüber nachdenke, dass ich nur die IP-Adresse des alten DC's übernehme, den Namen aber "auslaufen" lasse.

D.h. ich lasse den alten DC parallel noch ein paar Wochen am Laufen und versuche die Skripte / Anwendungen zu finden, wo dieser Name noch eingetragen sein könnte?

 

Ja, zwei DCs sind betroffen.

Der zweite ist aber mMn nicht so kritisch, da dieser ja nicht die FSMO-Rollen usw. beinhaltet.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...