Dienstag, 11. April 2017

[SERVER][EXCHANGE][MIGRATION] Alter Domänenkontroller zu neuem Domänenkontroller migrieren

WICHTIG: Ein funktionierendes Backup ist nach wie vor das A. und O. Es kann immer etwas schief gehen!!

WICHTIG: Sollte auf dem alten Server ein Exchange sein (z.B. bei SBS) muss dieser vorgänig weg-migriert werden!

Schritt 1:

Auf dem alten und neuen Server, alle Windows Updates installieren, sowie schauen, das die Uhrzeit stimmt.

Domain Level:
Der Forest und Domain Functional Level sollten mindestens 2003 / 2008 sein, bitte wie hier beschrieben überprüfen:

Powershell:
$dse = ([ADSI] "LDAP://RootDSE")

# Domain Controller Functional Level
$dse.domainControllerFunctionality

# Domain Functional Level
$dse.domainFunctionality

# Forest Functional Level
$dse.forestFunctionality

Resultat:
Value  Forest        Domain             Domain Controller
0      2000          2000 Mixed/Native  2000
1      2003 Interim  2003 Interim       N/A
2      2003          2003               2003
3      2008          2008               2008
4      2008 R2       2008 R2            2008 R2
5      2012          2012               2012
6      2012 R2       2012 R2            2012 R2
7      2016          2016               2016

Erhöhen könnt Ihr dies hier:
Active Directory Users and Computers
-> Raise Domain Functional Level

Active Directory Domains and Trusts
-> Raise Forest Functional Level
-> Raise Domain Forest Level

Schritt 2:

Den neuen Server ganz normal installieren. Computername  (kann später nicht mehr geändert werden) sowie IP Adresse vergeben (IP kann geändert werden)

Als erster DNS sollte der alte Domänencontroller drinnstehen, solange bis die Migration fertig ist.

Wichtig: Sofern der neue Server eine Essentials-Verison ist: Den "Windows Server Essentials konfigurieren" - Wizard nicht ausführen, immer schliessen.

Schritt 3:

Neuer Server als 2er DC konfigurieren:

Erstmals den Server ganz normal wie ein Client in die Domäne aufnehmen.

Nach dem neustart, wieder den Server Manager öffnen:

Server Manager -> Rollen und Features -> Active Directory Domänendienste rolle installieren.

Anschliessen Server zu einem Domänencontroller machen, zu einer bestehenden Domäne hinzufügen.

Anmerkung: Kommt eine Meldung bez. Sysvol / FRS nicht mehr unterstützt, muss zuerst folgendes gemacht werden:
http://www.rebeladmin.com/2015/04/step-by-step-guide-for-upgrading-sysvol-replication-to-dfsr-distributed-file-system-replication/


DNS Server anklicken

DSRM Passwort setzen

Sollten Warnungen erscheinen ist dies normal -> installieren

WICHTIG: Nach dem neustart kann nun endlich der "Windows Server Essentials konfigurieren" - Wizard abgeschlossen werden

WICHTIG: Man hat nun je nach Lizenz (Foundation / SBS) 21 Tage Zeit, den alten DC sauber abzulösen!


WICHTIGE CHECKS!:

sysvol freigabe vorhanden?
Sind die Daten repliziert worden?
SYSVOL\domain.local\Policies -> Vergleicht den Inhalt mit dem alten Server!
SYSVOL\domain.local\scripts-> Vergleicht den Inhalt mit dem alten Server!

netlogon freigabe vorhanden?
Sind die Daten repliziert worden? -> Vergleicht den Inhalt mit dem alten Server!

Falls nicht, z.B. Netlogon Ordner nicht vorhanden, den SCRIPTS Odner neu erstellen:
Den Ordner C:\Windows\SYSVOL\sysvol\XY.local\SCRIPTS

Nochmals neu starten und erneut prüfen


Mögliche Lösungen: Keine Freigabe vorhanden:

  1. Click Start, click Run, type regedit, and then click OK.
  2. Locate the following subkey in Registry Editor:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. In the details pane, right-click the SysvolReady flag, and then click Modify.
  4. In the Value data box, type 0, and then click OK.
  5. Again in the details pane, right-click the SysvolReady flag, and then click Modify.
  6. In the Value data box, type 1, and then click OK.

Freigaben vorhanden aber leer:

Run the following command on all domain controllers in the forest.
Net Stop NTFRS  (stop the file replication service)
Go Into Registry Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
Change the BurFlags DWORD to = D4 on the Primary Domain Controller and change to D2 on all of the backup domain controllers.
Start the NTFRS service again by using Net Start NTFRS command


Falls es dennoch nicht geht:
https://noelpulis.com/fix-missing-sysvol-and-netlogon-after-domain-controller-promotion/


OHNE DIESE FREIGABEN UND INHALTE BITTE NICHT FORTFAHRE


WICHTIGE CHECKS!:

Überprüfen ob alles auf den neuen Server repliziert wurde, jenachdem kann dies ein wenig dauern!
(maximal 20min)

CMD als Admin:
repadmin /showrepl

Auf jeder Zeile sollte erfolgreich stehen, ansonnsten nach 20min nochmals versuchen


AD Users, AD Gruppen, DNS, GPO's, alles vorhanden?

Klickt euch einfach mal schnell durch!

Schritt 4:

DHCP Server installieren und konfigurieren (DHCP auf dem alten abschalten, sonnst lässt er sich auf dem neuen nicht installieren, oder kurz netzwerkkabel ziehen ;))

Migration des DHCPs mit den Leases etc.:
https://blog.thunderbyte.ch/2018/07/migration-dhcp-server-migrieren.html

WICHTIG: Den ersten DNS gleich auf den neuen Server stellen. KEINEN zeiten DNS angeben!

Schritt 5:

FMOS Rollen übertragen:

Ihr müsst nur eine der Methoden machen, Powershell / CMD jeweils vom neuen Server aus:

Methoder per Powershell:
Move-ADDirectoryServerOperationMasterRole -Identity SERVER2019 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

Methode per CMD:
ntdsutil

roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master


Manuelle Methode:
Auf dem neuen Server:

AD Benutzer und Computer
-> Operations Masters (Betriebsmaster)
RID, PDC, Infrastructure ändern

AD Domains and trusts
-> Active Directory Domain Controller ändern
Den neuen DC auswählen
-> Operations Masters (Betriebsmaster) ändern

CMD (als Admin ausführen): regsvr32 schmmgmt.dll

CMD: mmc
Snap-In Hinzufügen: AD Schema
-> Active Directory Domain Controller ändern
Den neuen DC auswählen
-> Operations Masters (Betriebsmaster) ändern

Zur Kontrolle, folgender CMD:
Netdom Query Fsmo
-> es sollte überall der neue Server drinstehen


Schritt 6:

Nochmals überprüfen ob alles auf den neuen Server repliziert wurde, jenachdem kann dies ein wenig dauern!
(maximal 20min)

repadmin /showrepl

Auf jeder Zeile sollte erfolgreich stehen, ansonnsten nach 20min nochmals versuchen


AD Users, AD Gruppen, DNS, GPO's, alles vorhanden?

Schritt 7:

Vorbereitende arbeiten vor Downtime:

Netzwerkeinstellungen DNS Server Anpassen (Grundsatz):
Auf allen Servern, Geräten mit fixer IP (Drucker etc.), DHCP Server Einstellungen:
den ersten DNS auf den neuen DC ändern, KEINEN zweiten DNS hinterlegen.

AUSNAHME: Auf dem neuen DC Selber, als zweiter DNS 127.0.0.1

DNS Server Eigenschaften (Neuer und alter DC):
Alter DC: Weiterleitung an neuen DC (zu oberst) und ein externer DNS an zweiter stelle
Neuer DC: Weiterleitung NUR an zwei externe DNS (oder Firewall)

WICHTIG: Auf dem neuen DC müsst Ihr ziemlich sicher die Weiterleitung an den alten DC rausnehmen



Dateifreigaben / Druckerfreigaben:

Auf dem neuen Server, die Datenfreigaben nachbauen (Berechtigungen gleich setzen etc.)

Für das Datenkopieren, könnt Ihr gleich Batchfiles vorbereiten:
https://blog.thunderbyte.ch/2017/10/migration-scripts-und-batches-fur-eine.html

Druckertreiber installieren und freigeben.
Optimalerweise können diese schon getestet werden mit dem Kunden.


Netlogon- / Anmelde-Script zu GPO:
Ggf. ist es noch ein Server der "alten Schule", welcher NETLOGON scripte nutzte.
Es wäre empfehlenswert diese durch GPO's zu ersetzen.


Standard GPO's:
Vielleicht verwendet euer Unternehmen Standard-GPO's für Kunden.
Es wäre nun ein guter Zeitpunkt diese zu installieren / updaten.

Roamingprofile:
Mit folgendem Powershell Befehl, könnt Ihr schauen, welche Benutzer Roaming Profile habt:

Get-ADUser -Filter * -Properties Name, SAMAccountName, ProfilePath | Where {$_.ProfilePath -ne $null} | ft Name, SAMAccountName, ProfilePath

Ändert diese doch vorgängig schon auf den neuen Server, das spart Zeit!

Waren Fehler beim Roaming auf den PCs werden sich diese nun auch gleich zeigen,
es entsteht etwas weniger Stress bei der umstellung dann vor Ort.


Analyse GPO's:
Geht doch mal alle bestehenden GPO's durch (in allen OU's) und schaut die Einstellungen an.

Folgendes zu beachten:

-WICHTIG: Sind GPO's für Ordnerumletungen vorhanden? Desktop / Bilder / etc. auf den Server? Grundsätzlich empfehle ich diese auf den lokalen PC zurück zu schieben.

-Sind scripte vorhanden, welche ggf. mit UNC Pfad vom alten Server sind? \\alterserver\x? Merkt euch diese
-Sind Netzlaufwerk GPO's vorhanden? Merkt euch diese

-Machen GPO's noch sinn? z.B. GPO's welche nur für Windows 7 PCs gelten, aber es sind keine Windows 7 PCs vorhanden -> löschen

-Sind Drucker installations GPO's vorhanden? Ich würde diese auf "löschen" stellen und die freigegebenen Drucker des neuen Servers verteilen


-Ist eine WSUS GPO noch aktiv? Ab Windows 10 empfehle ich unter 50 User keinen WSUS:
Entfernen gemäss: http://blog.thunderbyte.ch/2016/08/server-wsus-richtig-deinstallieren.html


Schritt 8:

VorOrt (Downtime)
Daten in Datenfreigaben zügeln, GPO's anpassen (Netzlaufwerke, Ordnerumleitungen, etc.)
Alle Benutzer An- und Abmelden


Schritt 9:

NUR sofern der alte Server ein SBS war:
Im Server manager des SBS, "Active Direcotry Certificate Services" Rolle DeInstallieren



Schritt 10:

Den alten Server herunterstufen:
Ab Server 2012: Im Servermanager, Active Directory Domänendienste rolle deinstallieren
Ältere Server; CMD: dcpromo

WICHTIG: Ja nicht "Dieser Server ist der letzte Domänencontroller" auswählen!!

Sollte "RCP Server nicht verfügbar" erscheinen, im Zusammenhang mit dem löschen der Übergeordneten DNS Zone:
Dies liegt wohl daran, das keine übergeordnete Zone vorhanden ist. Die Meldung kann ignoriert werden

Sollte "Access Denied" Meldung erscheinen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/34387653-30ba-4737-8213-f7eb5f49cf4b/remove-a-domain-controller-when-dcpromo-bombs?forum=winserverDS

Sollte folgender Fehler erscheinen:

Der Vorgang konnte nicht durchgeführt werden. Fehler: 

Active Directory konnte die verbleibenden Daten in der Verzeichnispartition 
DC=DomainDnsZones,DC=DOMAIN,DC=CONTOSO,DC=local nicht zum Domänencontroller \\Server-XY.contoso.local übertragen. 
"Dem Verzeichnisdienst fehlen verbindliche Konfigurationsinformationen. Er kann daher den Besitz der Betriebsmodi für wechselnde Einzelmaster nicht bestimmen."

Lässt sich das Problem wie folgt lösen:
https://www.zueschen.eu/fehler-bei-active-directory-domain-controller-herunterstufung-forestdnszones-fsmoroleowner-attribut/


Im Zweifelsfall, fall es wirklich nicht geht: FORCEREMOVAL (auf eignene Gefahr!)
Sollte es dennoch nicht gehen, bleibt meist nur ein Versuch mit: CMD: dcpromo /forcremoval

Jedoch müssen danach die Metadaten aufgeräumt werden:
https://social.technet.microsoft.com/wiki/contents/articles/3984.domain-controller-demotion-and-metadata-cleanup.aspx

Schritt 11:

Nach dem Neustart, der Server in eine Arbeitsgruppe aufnehmen bzw. wie ein Client aus der Domäne nehmen

Der Alte Server muss nuch nur noch aus dem AD auf dem neuen Server (AD Benutzer und Computer) gelöscht werden.

Alten Server herunterfahren und nie wieder einschalten, hoffentlich ;)

Schritt 13:

DNS Aufräumen:
Es kann sein das im DNS-Manager noch leichen vom alten Server zu finden sind. Einfach ALLE Ordner der Forward Lookup Zone öffnen und nach der IP / Namen des alten DCs durchsuchen. Einträge löschen welche ebenfalls mit dem neuen bereits vorhanden sind, oder abändern sofern nur der alte drinn ist (oft der fall in _msdcs)

2 Kommentare: