Hallo zusammen,

ich bin dabei mit einer Windows-Domäne in der Ausbildung zu üben und wollte einen vollständigen Umzug von einem Domaincontroller auf einen dritten Domaincontroller machen, um den ersten löschen zu können.

Meine Testdomäne befindet sich in ProxMox VE, Windows Server 2019, 1. Domaincontroller der DHCP,AD, DNS, Druckdienste und WSUS inne hat und 2. Domaincontroller, der redundant DNS und AD bedient. 

Wie bekomme ich bestmöglich meinen Master-Domaincontroller auf den dritten übertragen, ohne mir meine Domäne zu zerschießen?

Besten Dank

Moin,

der Grobe Plan wäre neuen Server aufsetzen, DHCP und DNS und AD-Dienste installieren und einrichten, FSMO-Rollen übertragen, auf altem DC Dienste deinstallieren, DC herunterstufen und ausschalten. Wenn alles gut geht, hakelt die nächste Zeit nichts und Du kannst das Computerkonto aus der Domäne löschen...

Viel Erfolg

 

vor 21 Minuten schrieb FISI-Prüfer:

Moin,

der Grobe Plan wäre neuen Server aufsetzen, DHCP und DNS und AD-Dienste installieren und einrichten, FSMO-Rollen übertragen, auf altem DC Dienste deinstallieren, DC herunterstufen und ausschalten. Wenn alles gut geht, hakelt die nächste Zeit nichts und Du kannst das Computerkonto aus der Domäne löschen...

Viel Erfolg

Danke für die schnelle Antwort.

Mehr ist es nicht? Keine Zonen übertragen, keine Adressbereiche übernehmen oder Files finden und auf Controller übernehmen, damit mir das AD nicht verreckt?

Hmm, dann kann ich schon die Dienste deinstallieren...

vor 2 Stunden schrieb Pusteblume10:

Mehr ist es nicht?

Jain.

Ein neuer DC synchronisiert sich mit seinen "Nachbarn" und übernimmt die kompletten Einstellungen der AD (User und Computerkonten, Gruppen, Richtlinien...) automatisch. Das AD ist an der Stelle reicht robust. Du solltest nur vor dem Herunterstufen sicher sein, dass die FSMO Rollen nicht auf dem DC sind den du weg hauen willst.

Jeder In der Domäne registrerte DNS Server synchronisiert sich ebenfalls mit seinen Nachbarn.

Wenn du also den zweiten DC tauschen willst, hau ihn wech.

Bei DC1, bzw den Diensten die er anbietet wird das etwas mehr Aufwand:

DHCP überträgt sich NICHT automatisch! Aber, er lässt sich sehr einfach umziehen. Aber Vorsicht! 2 DHCP Server die die selben Adressräume verteilen kann lustige Auswirkungen haben!

Printserver hat in seine GUI eine Option zur Migration, also neue Server mit der Printserverrolle und rüber damit

WSUS... Tja, WSUS... Ich habe mir noch nie die Mühe gemacht einen WSUS zu migrieren, ich habe immer den Alten weggeworfen und einen Neuen hochgezogen. Warum? Weil bereinigen in umziehen länger dauert als "weg und neu".

In einer produktiven Umgebung gilt allerdings "1 Service, ein Server", also eine Maschine für AD + DNS, und je eine für DHCP, Print und WSUS.

Warum?

Erstens: Sicherheit! DHCP, Print und WSUS Server reden extrem viel mit Dingen die nicht unbedingt sicher sind! Auf einem DC ist man immer mit Domainadminrechten unterwegs, sollte da also mal das Kennwort abgefangen werden ist das der Super-GAU, bzw der Jackpot für den Angreifer.

Zweitens: Verfügbarkeit! AD, DNS und DHCP sind Prio1 Systeme, die dürfen im produktiven Umfeld nicht (lange) weg sein. Deswegen im Idealfall redundant (bei DCs also min 2) und so störungsfrei (sprich so alleine) wie möglich.

Printserver sollte man zu jeder Tages- und Nachtzeit neu starten könne ohne dass einen (großen) Impact hat. Die können manchmal recht zickig sein. Quasi wie Drucker, nur in größer.

WSUS zickt? Tja, blöd gelaufen *neue VM aus Template erstell* echt blöd *WSUS Rolle installier* zu schade drum *Produkte auswähl, laden lass, GPO anpass, alte VM wegwerf*.

vor 12 Stunden schrieb Maniska:

Jain.

Ein neuer DC synchronisiert sich mit seinen "Nachbarn" und übernimmt die kompletten Einstellungen der AD (User und Computerkonten, Gruppen, Richtlinien...) automatisch. Das AD ist an der Stelle reicht robust. Du solltest nur vor dem Herunterstufen sicher sein, dass die FSMO Rollen nicht auf dem DC sind den du weg hauen willst.

Jeder In der Domäne registrerte DNS Server synchronisiert sich ebenfalls mit seinen Nachbarn.

Wenn du also den zweiten DC tauschen willst, hau ihn wech.

Bei DC1, bzw den Diensten die er anbietet wird das etwas mehr Aufwand:

DHCP überträgt sich NICHT automatisch! Aber, er lässt sich sehr einfach umziehen. Aber Vorsicht! 2 DHCP Server die die selben Adressräume verteilen kann lustige Auswirkungen haben!

Printserver hat in seine GUI eine Option zur Migration, also neue Server mit der Printserverrolle und rüber damit

WSUS... Tja, WSUS... Ich habe mir noch nie die Mühe gemacht einen WSUS zu migrieren, ich habe immer den Alten weggeworfen und einen Neuen hochgezogen. Warum? Weil bereinigen in umziehen länger dauert als "weg und neu".

In einer produktiven Umgebung gilt allerdings "1 Service, ein Server", also eine Maschine für AD + DNS, und je eine für DHCP, Print und WSUS.

Warum?

Erstens: Sicherheit! DHCP, Print und WSUS Server reden extrem viel mit Dingen die nicht unbedingt sicher sind! Auf einem DC ist man immer mit Domainadminrechten unterwegs, sollte da also mal das Kennwort abgefangen werden ist das der Super-GAU, bzw der Jackpot für den Angreifer.

Zweitens: Verfügbarkeit! AD, DNS und DHCP sind Prio1 Systeme, die dürfen im produktiven Umfeld nicht (lange) weg sein. Deswegen im Idealfall redundant (bei DCs also min 2) und so störungsfrei (sprich so alleine) wie möglich.

Printserver sollte man zu jeder Tages- und Nachtzeit neu starten könne ohne dass einen (großen) Impact hat. Die können manchmal recht zickig sein. Quasi wie Drucker, nur in größer.

WSUS zickt? Tja, blöd gelaufen *neue VM aus Template erstell* echt blöd *WSUS Rolle installier* zu schade drum *Produkte auswähl, laden lass, GPO anpass, alte VM wegwerf*.

Auch dir danke für die Antwort. Dass das natürlich nicht optimal ist, wenn es alles auf einem Server läuft ist bekannt, ist nur eine Testdomäne, damit wir mit den Diensten etwas vertrauter werden und mit Virtualisierung, aber klar, dass man das im Betrieb nie so laufen lassen würde. 

vor 16 Stunden schrieb Maniska:

Jain.

Ein neuer DC synchronisiert sich mit seinen "Nachbarn" und übernimmt die kompletten Einstellungen der AD (User und Computerkonten, Gruppen, Richtlinien...) automatisch. Das AD ist an der Stelle reicht robust. Du solltest nur vor dem Herunterstufen sicher sein, dass die FSMO Rollen nicht auf dem DC sind den du weg hauen willst.

Jeder In der Domäne registrerte DNS Server synchronisiert sich ebenfalls mit seinen Nachbarn.

Wenn du also den zweiten DC tauschen willst, hau ihn wech.

Bei DC1, bzw den Diensten die er anbietet wird das etwas mehr Aufwand:

DHCP überträgt sich NICHT automatisch! Aber, er lässt sich sehr einfach umziehen. Aber Vorsicht! 2 DHCP Server die die selben Adressräume verteilen kann lustige Auswirkungen haben!

Printserver hat in seine GUI eine Option zur Migration, also neue Server mit der Printserverrolle und rüber damit

WSUS... Tja, WSUS... Ich habe mir noch nie die Mühe gemacht einen WSUS zu migrieren, ich habe immer den Alten weggeworfen und einen Neuen hochgezogen. Warum? Weil bereinigen in umziehen länger dauert als "weg und neu".

In einer produktiven Umgebung gilt allerdings "1 Service, ein Server", also eine Maschine für AD + DNS, und je eine für DHCP, Print und WSUS.

Warum?

Erstens: Sicherheit! DHCP, Print und WSUS Server reden extrem viel mit Dingen die nicht unbedingt sicher sind! Auf einem DC ist man immer mit Domainadminrechten unterwegs, sollte da also mal das Kennwort abgefangen werden ist das der Super-GAU, bzw der Jackpot für den Angreifer.

Zweitens: Verfügbarkeit! AD, DNS und DHCP sind Prio1 Systeme, die dürfen im produktiven Umfeld nicht (lange) weg sein. Deswegen im Idealfall redundant (bei DCs also min 2) und so störungsfrei (sprich so alleine) wie möglich.

Printserver sollte man zu jeder Tages- und Nachtzeit neu starten könne ohne dass einen (großen) Impact hat. Die können manchmal recht zickig sein. Quasi wie Drucker, nur in größer.

WSUS zickt? Tja, blöd gelaufen *neue VM aus Template erstell* echt blöd *WSUS Rolle installier* zu schade drum *Produkte auswähl, laden lass, GPO anpass, alte VM wegwerf*.

Die Dienstetrennung sollte man für das echte Leben immer im Hinterkopf haben.

Den Part mit dem WSUS sehe ich genauso. Hau wech, mach neu.

Im Prinzip ist es das auch schon ... insbesondere in einer Testumgebung. 

Viel Erfolg 

Ich würde WSUS und Druckdienste auf einem Separaten Blech o. VM (wenn es Cluster ist) betreiben... wie schon mein Vorgänger hier schreibt, AD, DNS und DHCP sind Prio1.