Dienstag, 11. April 2017

[SERVER][EXCHANGE][MIGRATION] Alter Domänenkontroller zu neuem Domänenkontroller migrieren

WICHTIG: Ein funktionierendes Backup ist nach wie vor das A. und O. Es kann immer etwas schief gehen!!

WICHTIG: Sollte auf dem alten Server ein Exchange sein (z.B. bei SBS) muss dieser vorgänig weg-migriert werden!


Schritt 1:
Auf dem alten Server, alle Windows Updates installieren, sowie schauen, das die Uhrzeit stimmt

Domain Level:
Der Forest und Domain Functional Level sollten mindestens 2003 / 2008 sein, bitte wie hier beschrieben überprüfen:
https://serverfault.com/questions/512228/how-to-check-ad-ds-domain-forest-functional-level-from-domain-joined-workstation
Bzw:
Active Directory Users and Computers
-> Raise Domain Functional Level
Active Directory Domains and Trusts
-> Raise Forest Functional Level
-> Raise Domain Forest Level

Schritt 2:
Den neuen Server ganz normal installieren. Computername sowie IP Adresse vergeben (kann später nicht mehr geändert werden)

Als erster DNS sollte der alte Domänencontroller drinnstehen, solange bis die Migration fertig ist

Wichtig: Sofern der neue Server eine Essentials-Verison ist: Den "Windows Server Essentials konfigurieren" - Wizard nicht ausführen, immer schliessen

Schritt 3:
Neuer Server als 2er DC konfigurieren:

Erstmals den Server ganz normal wie ein Client in die Domäne aufnehmen

nach dem neustart, wieder den Server Manager öffnen

Server Manager -> Rollen und Features -> Active Directory Domänendienste rolle installieren


Server zu einem Domänencontroller machen, zu einer bestehenden Domäne hinzufügen

Anmerkung: Kommt eine Meldung bez. Sysvol / FRS nicht mehr unterstützt, muss zuerst folgendes gemacht werden:
http://www.rebeladmin.com/2015/04/step-by-step-guide-for-upgrading-sysvol-replication-to-dfsr-distributed-file-system-replication/



DNS Server anklicken

DSRM Passwort setzen




Sollten Warnungen erscheinen ist dies normal -> installieren

Wichtig: Nach dem neustart kann nun endlich der "Windows Server Essentials konfigurieren" - Wizard abgeschlossen werden

Man hat nun je nach Lizenz 21 Tage Zeit, den alten DC sauber abzulösen!

Wichtig:
sysvol freigabe vorhanden?  Sind die Daten repliziert worden?
netlogon freigabe vorhanden? Sind die Daten repliziert worden? (Policies Ordner)

Falls nicht, z.B. Netlogon Ordner nicht vorhanden, den SCRIPTS Odner neu erstellen:
Den Ordner C:\Windows\SYSVOL\sysvol\XY.local\SCRIPTS

Nochmals neu starten und erneut prüfen


Mögliche Lösungen: Keine Freigabe vorhanden:
  1. Click Start, click Run, type regedit, and then click OK.
  2. Locate the following subkey in Registry Editor:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
  3. In the details pane, right-click the SysvolReady flag, and then click Modify.
  4. In the Value data box, type 0, and then click OK.
  5. Again in the details pane, right-click the SysvolReady flag, and then click Modify.
  6. In the Value data box, type 1, and then click OK.

Freigaben vorhanden aber leer:

Run the following command on all domain controllers in the forest.
Net Stop NTFRS  (stop the file replication service)
Go Into Registry Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
Change the BurFlags DWORD to = D4 on the Primary Domain Controller and change to D2 on all of the backup domain controllers.
Start the NTFRS service again by using Net Start NTFRS command


Falls es dennoch nicht geht:
https://noelpulis.com/fix-missing-sysvol-and-netlogon-after-domain-controller-promotion/



OHNE DIESE FREIGABEN BITTE NICHT FORTFAHREN
BITTE SCHAUT AUCH OB DIE ORDNER NICHT EINFACH LEER SIND






Überprüfen ob alles auf den neuen Server repliziert wurde, jenachdem kann dies ein wenig dauern!
(maximal 20min)

repadmin /showrepl

Auf jeder Zeile sollte erfolgreich stehen, ansonnsten nach 20min nochmals versuchen

AD Users, AD Gruppen, DNS, alles vorhanden?

Schritt 4:

DHCP Server installieren und konfigurieren (DHCP auf dem alten abschalten, sonnst lässt er sich auf dem neuen nicht installieren, oder kurz netzwerkkabel ziehen ;))

Migration des DHCPs mit den Leases etc.:
https://blog.thunderbyte.ch/2018/07/migration-dhcp-server-migrieren.html

Den ersten DNS gleich auf den neuen Server stellen

Schritt 5:
FMOS Rollen übertragen:

Methoder per Powershell:
Move-ADDirectoryServerOperationMasterRole -Identity SERVER2019 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster

Methode per CMD:

ntdsutil
roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master


Manuelle Methode:
Auf dem neuen Server:

AD Benutzer und Computer
-> Operations Masters (Betriebsmaster)
RID, PDC, Infrastructure ändern

AD Domains and trusts
-> Active Directory Domain Controller ändern
Den neuen DC auswählen
-> Operations Masters (Betriebsmaster) ändern

CMD (als Admin ausführen): regsvr32 schmmgmt.dll

CMD: mmc
Snap-In Hinzufügen: AD Schema
-> Active Directory Domain Controller ändern
Den neuen DC auswählen
-> Operations Masters (Betriebsmaster) ändern

Zur Kontrolle, folgender CMD:
Netdom Query Fsmo
-> es sollte überall der neue Server drinstehen

Schritt 6:
Nochmals überprüfen ob alles auf den neuen Server repliziert wurde, jenachdem kann dies ein wenig dauern!
(maximal 20min)

repadmin /showrepl

Auf jeder Zeile sollte erfolgreich stehen, ansonnsten nach 20min nochmals versuchen

AD Users, AD Gruppen, DNS, alles vorhanden?

Schritt 7: Vorbereitend für VorOrt / Downtime
-DNS vom neuen und dem alten DC auf den neuen DC ändern
-DNS weiterleitungen prüfen (alter DC rausnehmen)
-Auf dem neuen Server, die Datenfreigaben nachbauen (Berechtigungen gleich setzen)
-Drucker installieren und freigeben

Was vorgänig gemacht werden kann:
Roamingprofile auf den neuen Server setzen
Ordnerumleitungen auf den neuen Server verschieben
Drucker per GPO vom neuen Server installieren und die alten löschen
Bei allen Geräten mit fixer IP (z.B. Drucker) den neuen DNS anpassen

Schritt 8: VorOrt (Downtime)
Datenfreigaben zügeln, GPO's anpassen (Netzlaufwerke, Ordnerumleitungen, etc.)
Alle Benutzer An- und Abmelden


Schritt 9:
NUR Sofern der alte Server einen Exchange hatte (z.B. SBS Server) welcher aber Migriert wurde (z.B.. auf einen neuen oder Office 365)
Exchange 2007/2010 DeInstallieren:

Remove public folders and OAB
  • Remove public folder database: http://technet.microsoft.com/en-us/library/cc164367(EXCHG.80).aspx
    & http://technet.microsoft.com/en-us/library/aa998329(EXCHG.80).aspx

    (Anmerkung:
    Get-PublicFolderStatistics –Server SERVERNAME

    Get-PublicFolderStatistics –Server SERVERNAME| Remove-PublicFolder
    )
  • Disable (ACHTUNG, NICHT LÖSCHEN, NUR DEAKTIVIEREN) all mailboxes in your Exchange Management Console (this in effect, deletes mailboxes attached to users)
  • Now you can go to add/remove programs and uninstall. Make sure to deselect all
    roles, and once the top roles are deselected, the management tools below can be
    selected. The readiness checks will run and possibly fail because there are a few
    more steps.  
  • HUB Transport -> Delete SendConnectors

Ggf hilfen diese commands
Get-OfflineAddressBook | Remove-OfflineAddressBook
Get-Mailbox -Database "Mailbox Database"
Get-Mailbox -Database "Mailbox Database" -Archive
Get-Mailbox -Database "Mailbox Database" -Arbitration
Get-Mailbox –Arbitration | Disable-Mailbox –Arbitration –DisableLastArbitrationMailboxAllowed


Schritt 10: Nur sofern der alte Server ein SBS war:
Im Server manager des SBS, "Active Direcotry Certificate Services" Rolle DeInstallieren



Schritt 11:
Den SBS mit "dcpromo" aus dem AD rausnehmen:
WICHTIG: Ja nicht "Dieser Server ist der letzte Domänencontroller" auswählen!!

Sollte "RCP Server nicht verfügbar" erscheinen, im Zusammenhang mit dem löschen der Übergeordneten DNS Zone:
Dies liegt wohl daran, das keine übergeordnete Zone vorhanden ist. Die Meldung kann ignoriert werden

Sollte "Access Denied" Meldung erscheinen:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/34387653-30ba-4737-8213-f7eb5f49cf4b/remove-a-domain-controller-when-dcpromo-bombs?forum=winserverDS

Sollte folgender Fehler erscheinen:
Der Vorgang konnte nicht durchgeführt werden. Fehler: 

Active Directory konnte die verbleibenden Daten in der Verzeichnispartition 
DC=DomainDnsZones,DC=DOMAIN,DC=CONTOSO,DC=local nicht zum Domänencontroller \\Server-XY.contoso.local übertragen. 
"Dem Verzeichnisdienst fehlen verbindliche Konfigurationsinformationen. Er kann daher den Besitz der Betriebsmodi für wechselnde Einzelmaster nicht bestimmen."

Lässt sich das Problem wie folgt lösen:
https://www.zueschen.eu/fehler-bei-active-directory-domain-controller-herunterstufung-forestdnszones-fsmoroleowner-attribut/


Im Zweifelsfall, fall es wirklich nicht geht: FORCEREMOVAL (auf eignene Gefahr!)
Sollte es dennoch nicht gehen, bleibt meist nur dcpromo /forcremoval
Jedoch müssen danach die Metadaten aufgeräumt werden:
https://social.technet.microsoft.com/wiki/contents/articles/3984.domain-controller-demotion-and-metadata-cleanup.aspx


Nach dem Neustart, der Server in eine Arbeitsgruppe aufnehmen bzw. wie ein Client aus der Domäne nehmen

Der Alte Server muss nuch nur noch aus dem AD auf dem neuen Server (AD Benutzer und Computer) gelöscht werden

Alten Server herunterfahren und nie wieder einschalten, hoffentlich ;)


Schritt 12:
Falls der alte Server ein SBS war, prüft doch, ob die WSUS GPO noch aktiv ist:
http://blog.thunderbyte.ch/2016/08/server-wsus-richtig-deinstallieren.html


Schritt 13:
DNS Aufräumen:
Es kann sein das im DNS-Manager noch leichen vom alten Server zu finden sind. Einfach ALLE Ordner der Forward Lookup Zone öffnen und nach der IP / Namen des alten DCs durchsuchen. Einträge löschen welche ebenfalls mit dem neuen bereits vorhanden sind, oder abändern sofern nur der alte drinn ist (oft der fall in _msdcs)
Eingestellt von
Labels: , ,

2 Kommentare:

Abonnieren Kommentare zum Post (Atom)