Server 2000 Umstellung auf Server 2003

[lepfa 10]

Hallo Boardler :)

 

Habe ein kleines Firmennetz mit Windows Server 2000 und 6 Clients Windows 2000 pro.

Auf dem Server sind das AD, DNS, DHCP und WINS konfiguriert. Die Clients sind Domänenmitglieder.

Mein Vorhaben (durch die Geschäftsleitung avisiert) VPN für bestimmte User. Meine Frage (ich hatte vergangenen Sonntag mit VPN experimentiert und hier im Board ein posting gestartet->da es keine gegenteiligen Meinungen gab, nahm ich an das dies so korrekt wäre http://www.mcseboard.de/showthread.php?t=69574)

 

Daraufhin habe ich das Geld "locker" machen können für Windows Server 2003. Jetzt hoffe ich natürlich, dass es kein Fehler gewesen ist. Sonst würde die Software in meinen Privatbesitz übergehen müssen und von meinem spärlichen Gehalt abgezogen :/.

 

Mit VPN experimentiere ich noch weiter aber was wichtiger ist, wäre der Umbau von Windows Server 2000 auf Windows Server 2003 ohne Update. Ich möchte den 2003er gerne vorher installieren und konfigurieren und nach Möglichkeit so viel wie möglich replizieren. Vorher sollte aber der Server 2003 auch schon als eigenständiger DC funktionieren. Mit einer "ähnlichen" Config zzgl. VPN. Ist so etwas möglich und wenn ja worauf sollte ich achten.

 

besten Dank lepfa

[weg5st0 10]

Hi Lepfa,

 

also 2003 installieren - rumbasteln und wenns funzt zusammenmigirieren - NÖ!

 

installiere den 2003 und mache Ihn zum Memberserver. (Wie die Clients in die Domäne aufnehmen).

 

Dann machst du deine Tests bis alles geht wie gewünscht. Dann kannst du nämlich auch noch gefahrlos das Computerkonto löschen und neu installieren.

 

Wenns dann geht, machst du auf dem neuen einen DCPromo und machst alles damit er der Boss der Domäne wird (FSMO Rollen, DNS umziehen, DHCP, WINS, ...)

 

Dann kannst du dir überlegen ob der 2000er nicht doch weiterlaufen soll (2 DCs sind besser als einer, auch wenn sie mixed 2000/2003 sind).

[lepfa 10]

also 2003 installieren - rumbasteln und wenns funzt zusammenmigirieren - NÖ!

@schade :)

 

installiere den 2003 und mache Ihn zum Memberserver. (Wie die Clients in die Domäne aufnehmen).

@hm -> kann ich dann im gleichen Subnetz VPN einrichten und nutzen? habe etwas darüber gelesen, dass dies wohl nicht so einfach wäre! Will VPN (L2TP/IPSec) nur zum testen im LAN einführen. Sonst via NAT-T!

 

Dann machst du deine Tests bis alles geht wie gewünscht. Dann kannst du nämlich auch noch gefahrlos das Computerkonto löschen und neu installieren.

@welches Computerkonto?

 

Wenns dann geht, machst du auf dem neuen einen DCPromo und machst alles damit er der Boss der Domäne wird (FSMO Rollen, DNS umziehen, DHCP, WINS, ...) ->ok

 

Dann kannst du dir überlegen ob der 2000er nicht doch weiterlaufen soll (2 DCs sind besser als einer, auch wenn sie mixed 2000/2003 sind)

@ich glaube eher nicht

 

danke.. hast Du vielleicht noch ein paar Tips aus der Praxis plz :)

ich habe bis Ende 2005 dafür Zeit! also ich kann noch mehrmals neuinstallieren :)

[weg5st0 10]

danke.. hast Du vielleicht noch ein paar Tips aus der Praxis plz :)

ich habe bis Ende 2005 dafür Zeit! also ich kann noch mehrmals neuinstallieren :)

 

 

Sorry aber ich geh jetzt heim - aber bis ende des Jahres kriegst du sicher noch ein paaaaar tipps.

[dippas 10]

Hallo ihr zwei,

 

ich möchte mich hier mal einklinken und mir die Freiheit nehmen, dass eine oder andere zu korrigieren.

 

Zunächst aber mal ein kleiner Dämpfer:

 

Die IPsec NAT-T-Unterstützung für die Serverseite wird der Routing und RAS-Funktion von Windows 2000 nicht hinzugefügt.

 

bei mir wäre das der Fall.. Client XP pro mit SP2 - NAT (dsl Router) - Internet - NAT (dsl Router) - VPN Server (WIndows 2000 Server) mit L2TP IPSec!

 

Das ist bei dir nicht der Fall.

 

Daraufhin habe ich das Geld "locker" machen können für Windows Server 2003. Jetzt hoffe ich natürlich, dass es kein Fehler gewesen ist. Sonst würde die Software in meinen Privatbesitz übergehen müssen und von meinem spärlichen Gehalt abgezogen :/.

 

Wenn ich dir helfe, überweist Du dann den halben Betrag an mich? :D

 

Scherz beiseite.

 

Also, zunächst einmal ist es falsch gewesen, den Server 2003 zu kaufen mit dem Argument, dass VPN dann funzt. Das klappt nämlich auch mit W2k (sowohl PPTP alsauch IPSec). NAT-T ist in Deinem Fall kein Argument.

 

Allerdings ist die Investition aus mind. 2 Gründen doch eine gute gewesen: 1. W2k wird von MS nicht weiter supportet und 2. der Funktionsumfang/die Bedienbarkeit ist bei W2k3 deutlich besser geworden.

 

Aber jetzt zu Deinem Fall:

Ob du von extern eine VPN-Verbindung aufbauen kannst, ist abhängig von den Möglichkeiten und der Konfiguration des Routers. Um von extern eine VPN-Verbindung aufbauen zu können, muss der Router Anfagen für das entsprechend gewünschte Protokoll sauber zum Server durchleiten.

 

Beispielsweise möchtest Du eine PPTP-Verbindung aufbauen. Dann muss der Router Anfagren auf Port 1723 TCP und Protokoll GRE an den Server schicken. Bei IPSec ist es Port 500 UDP.

 

Wenn der Rest der Konfiguration auf dem Server (Berechtigungen etc.) passen, dann ist die Sache schon erledigt. Das klappt auch mit W2k, denn W2k kann eingehende VPN-Verbindungen verarbeiten. Nur muss der Router die entsprechend auch an den Server leiten ;)

 

So, nun zur Migration:

 

Den Server zu installieren und zum Memberserver zu machen, ist soweit ohne Probleme möglich.

 

Allerdings fliegt dir das AD um die Ohren, sobald Du den zum DC machen möchtest, ohne vorher eine Schemaänderung am W2k-Server vorgenommen zu haben. Wie das geht? W2k3-CD in den W2k-Server stecken, und "Start/Ausführen", dann "Pfad zum CD-ROM:\I836 setup.exe /forestprep und /domainprep" ausführen. Mach dich da mal schlau bezüglich dieser Schalter! Das ist ganz wichtig!

 

Ist die Schemaänderung durch, kannst Du via dcpromo den W2k3-Server zum DC machen.

 

Jetzt noch zu Deinen Diensten:

- Mit dcpromo erstellst Du ein Replikat des AD auf den W2k3-Server. Das funtz automatisch.

- DNS installierst Du auch auf dem W2k3-Server und auf beiden konfigurierst Du es Active Directory integriert. Damit ist diese Replikation auch automatisch im Sack

- WINS noch auf den W2k3 drauf und auf beiden den jeweils anderen als Replikationspartner eintragen

- DHCP kann man folgendermaßen lösen:

1. Du richtest den DHCP-Server auf dem W2k3 genauso wie auf den W2k ein (ausnahme die Angabe welcher WINS- und DNS-Server angesprochen wird -> hier dann der W2k3), authorisierst den aber noch nicht. Dann schaltest Du den W2k-DHCP ab und den anderen an (authorisieren). Vorher Rechner, die dynamische IPs beziehen ausschalten.

2. Du richtest den DHCP auf dem W2k3-Server mit einem anderen Bereich aber gleicher IP-Konfiguration ein und lässt beide parallel laufen.

Ich persönlich ziehe Lösung 1 vor.

- Files kopierst Du via robocopy samt der Berechtigungen auf den neuen Server

- auf dem W2k-Server installierte Drucker schiebst du via PrinterMigrationTool rüber

 

... Fortsetzung folgt ...

[dippas 10]

... Fortsetzung ...

 

 

Abschlussarbeiten:

1. Anmeldescripte so ändern, das diese auf den neuen Server zeigen

2. Dienste auf dem W2k-Server nacheinander abschalten (Replikationspartner im WINS wieder zurückändern)

3. FSMO-Rollen auf den W2k3 übertragen (z.B. via ntdsutil)

4. W2k-Server via dcpromo wieder zum Memberserver herunterstufen

5. W2k-Server via Arbeitsplatz/eigenschaften/Netzwerk wieder in eine Arbeitsgruppe packen

6. Computerkonto des W2k auf dem W2k3-Server in "AD - Benutzer und Computer" (OU Computer) löschen.

 

Immer schön darauf achten, dass die Ereignisprotokolle fehlerfrei sind.

 

Das war´s.

 

grüße

 

dippas

 

PS: weitere Fragen gerne posten. Bei Fehlern hilft oft auch die Boardsuche weiter.

 

[edit]

Ach ja, noch was vergessen:

Die Tests mit der VPN-Verbindung kannst Du ja gerne machen, aber eine Neuinstallation des Rechners ist nicht erforderlich, denn Du "verkonfigurierst" im schlimmsten Fall nur die Konfiguration von VPN. Dass kann man einfach wieder durch eine andere Konfiguration "rückgängig" machen.

[/edit]

[lepfa 10]

Hallo ihr zwei,

 

ich möchte mich hier mal einklinken und mir die Freiheit nehmen, dass eine oder andere zu korrigieren.

@danke :-)

 

Zunächst aber mal ein kleiner Dämpfer:

@grrr :(

 

 

 

Das ist bei dir nicht der Fall.

 

 

 

Wenn ich dir helfe, überweist Du dann den halben Betrag an mich? :D

@ bin ich froh Deine Kontonummer nicht zu kennen :D

 

Scherz beiseite.

 

Also, zunächst einmal ist es falsch gewesen, den Server 2003 zu kaufen mit dem Argument, dass VPN dann funzt. Das klappt nämlich auch mit W2k (sowohl PPTP alsauch IPSec). NAT-T ist in Deinem Fall kein Argument.

@ich hatte es befürchtet

 

Allerdings ist die Investition aus mind. 2 Gründen doch eine gute gewesen: 1. W2k wird von MS nicht weiter supportet und 2. der Funktionsumfang/die Bedienbarkeit ist bei W2k3 deutlich besser geworden.

@ :rolleyes:

 

Aber jetzt zu Deinem Fall:

Ob du von extern eine VPN-Verbindung aufbauen kannst, ist abhängig von den Möglichkeiten und der Konfiguration des Routers. Um von extern eine VPN-Verbindung aufbauen zu können, muss der Router Anfagen für das entsprechend gewünschte Protokoll sauber zum Server durchleiten. Beispielsweise möchtest Du eine PPTP-Verbindung aufbauen. Dann muss der Router Anfagren auf Port 1723 TCP und Protokoll GRE an den Server schicken. Bei IPSec ist es Port 500 UDP. Wenn der Rest der Konfiguration auf dem Server (Berechtigungen etc.) passen, dann ist die Sache schon erledigt. Das klappt auch mit W2k, denn W2k kann eingehende VPN-Verbindungen verarbeiten. Nur muss der Router die entsprechend auch an den Server leiten ;)

@der Router kann es! lt Datenblatt!

 

So, nun zur Migration:

 

Den Server zu installieren und zum Memberserver zu machen, ist soweit ohne Probleme möglich.

 

Allerdings fliegt dir das AD um die Ohren, sobald Du den zum DC machen möchtest, ohne vorher eine Schemaänderung am W2k-Server vorgenommen zu haben. Wie das geht? W2k3-CD in den W2k-Server stecken, und "Start/Ausführen", dann "Pfad zum CD-ROM:\I836 setup.exe /forestprep und /domainprep" ausführen. Mach dich da mal schlau bezüglich dieser Schalter! Das ist ganz wichtig!

@werde ich tun

 

Ist die Schemaänderung durch, kannst Du via dcpromo den W2k3-Server zum DC machen.

 

Jetzt noch zu Deinen Diensten:

- Mit dcpromo erstellst Du ein Replikat des AD auf den W2k3-Server. Das funtz automatisch.

@aha. ich kann mich gar nicht entsinnen eine Funktion da gesehen zu haben! Werde es probieren.. welche IP's nutze ich auf dem W2k3-Server?

 

- DNS installierst Du auch auf dem W2k3-Server und auf beiden konfigurierst Du es Active Directory integriert. Damit ist diese Replikation auch automatisch im Sack

@ok

 

- WINS noch auf den W2k3 drauf und auf beiden den jeweils anderen als Replikationspartner eintragen

- DHCP kann man folgendermaßen lösen:

1. Du richtest den DHCP-Server auf dem W2k3 genauso wie auf den W2k ein (ausnahme die Angabe welcher WINS- und DNS-Server angesprochen wird -> hier dann der W2k3), authorisierst den aber noch nicht. Dann schaltest Du den W2k-DHCP ab und den anderen an (authorisieren). Vorher Rechner, die dynamische IPs beziehen ausschalten.

@hm.. kann ich dann die IP des Win2k Servers eigentlich (wenn der abgeschaltet ist) wieder nutzen ohne Probleme mit DNS, AD, VPN etc.

 

2. Du richtest den DHCP auf dem W2k3-Server mit einem anderen Bereich aber gleicher IP-Konfiguration ein und lässt beide parallel laufen.

Ich persönlich ziehe Lösung 1 vor.

- Files kopierst Du via robocopy samt der Berechtigungen auf den neuen Server

- auf dem W2k-Server installierte Drucker schiebst du via PrinterMigrationTool rüber

 

... Fortsetzung folgt ...

 

@froie mich schon darauf :-)

[dippas 10]

Wenn ich dir helfe, überweist Du dann den halben Betrag an mich?

@ bin ich froh Deine Kontonummer nicht zu kennen

 

Das lässt sich ändern ;)

 

Jetzt noch zu Deinen Diensten:

- Mit dcpromo erstellst Du ein Replikat des AD auf den W2k3-Server. Das funtz automatisch.

@aha. ich kann mich gar nicht entsinnen eine Funktion da gesehen zu haben! Werde es probieren.. welche IP's nutze ich auf dem W2k3-Server?

 

Grundsätzlich nimmt man bei Servern immer eine feste IP. Die IP, die Du hier wählst, ist eine aus Deinem Netz, welche frei ist und nicht durch einen DHCP vergeben wird.

 

@hm.. kann ich dann die IP des Win2k Servers eigentlich (wenn der abgeschaltet ist) wieder nutzen ohne Probleme mit DNS, AD, VPN etc.

 

Du kannst die IP des W2k-Servers wieder nutzen. VPN (Ausnahme bei Konfiguration des DHCP-Relay-Agents) und AD interessiert die IP eines Servers nicht auf dem sie laufen. Gleiches gilt für DHCP und WINS. Allerdings sollte DNS sauber laufen, bevor man die IP "mal eben" ändert, denn an DNS hängt so ziemlich alles unter W2k3.

 

Wichtig ist es aber - in deinem Fall -, dass der Server in den Netzwerkeigenschaften unter DNS auf sich selbst verweist. Dann aktualiersiert er seine eigenen DNS-Einträge unter der neuen IP automatisch. Das ist deshalb wichtig, weil der DNS-Server, der ja auch auf diesem Server drauf ist, durch die Änderung der Netzwerkeigenschaften auch eine andere iP erhält.

 

Ach ja: DHCP-Einstellungen (WINS, DNS) auch für die Clients auf die neue IP ändern.

 

Die Änderung der IP ist aber nicht erforderlich. Vielleicht belässt Du sie einfach.

 

grüße

 

dippas

[lepfa 10]

ich danke ganz doll.. darauf kann ich aufbauen! Eine winzige Kleinigkeit hätte ich gern noch gewußt :) Die Installation und Konfiguration des W2k3 Servers erfolgt aber nicht auf der Hardware, auf der der Server dann laufen soll... :/ würde eine Spiegelung dann später alles zum zusammenbrechen bringen und läßt sich der W2k3 Server überhaupt nach einer Spiegelung dann noch starten.. ich denke nicht. das die Umstellung der Hardware massive Probleme bringen kann und wird, dessen bin ich mir bewußt. Aber es würde mich für ein Backup schon interessieren ob dies zu realisieren ist. Danke für den Hinweis "Relay-Agent" bin bei Microsoft fündig gewurden http://windows.microsoft.com/windows2000/de/server/help/default.asp?url=/windows2000/de/server/help/sag_dhcp_imp_bestpractices.htm somit verstehe ich jetzt auch was das Programm für eine Bedeutung hat.

 

best regards lepfa

 

Grundsätzlich nimmt man bei Servern immer eine feste IP. Die IP, die Du hier wählst, ist eine aus Deinem Netz, welche frei ist und nicht durch einen DHCP vergeben wird.

ich denke da habe ich mich verdrückt ausgekehrt :-) bei der Heraufstufung des W2k3 Servers zum DC mittels dcpromo meinte ich, dass es mir noch nicht aufgefallen ist ein bestehendes AD automatisch zu replizieren .. :wink2:

 

@edit (ich muss noch mal rumeditieren :-)

 

Win2k wird von MS nicht weiter supportet

was bedeutet das im Detail? es ist mir zwar bekannt, aber was dies in der Praxis für Auswirkungen hat, im Moment, ist mir noch sehr unklar

[dippas 10]

Die Installation und Konfiguration des W2k3 Servers erfolgt aber nicht auf der Hardware, auf der der Server dann laufen soll... :/ würde eine Spiegelung dann später alles zum zusammenbrechen bringen und läßt sich der W2k3 Server überhaupt nach einer Spiegelung dann noch starten.. ich denke nicht. das die Umstellung der Hardware massive Probleme bringen kann und wird, dessen bin ich mir bewußt. Aber es würde mich für ein Backup schon interessieren ob dies zu realisieren ist.

 

Warun installierst und konfigurierst Du einen Server auf anderer hardware, wenn Du doch um die entstehenden Probleme weist

 

Win2k wird von MS nicht weiter supportet

was bedeutet das im Detail? es ist mir zwar bekannt, aber was dies in der Praxis für Auswirkungen hat, im Moment, ist mir noch sehr unklar

 

Das beudeutet, das W2k nicht weiterentwickelt wird und nur noch Sicherheitspatches - die zwingend notwendig sind - verfügbar werden. Weiterer Support (z.B. telefonisch) hat sich auch erledigt.