Migration Domain Controller zu Server 2016

Ich habe nun schon einige Mails bezüglich der Migration von Domain Controllern erhalten, die noch mit einem älteren Betriebssystem laufen. In den meisten Mails geht es darum, die IP-Adresse des ursprünglichen Domain Controllers beizubehalten.

Die Umgebungen, die in den Mails geschildert wurden, waren alle samt ähnlich, nur das Betriebssystem auf dem der ursprüngliche Domain Controller läuft variiert. In den meisten Fällen gab es nur einen Domain Controller der auf Windows Server 2008 läuft und nun durch Windows Server 2016 ersetzt werden soll. In einem Fall gab es sogar noch einen Domain Controller der auf Server 2003 läuft.

Es ist natürlich nicht empfohlen nur einen Domain Controller zu betreiben, allerdings lassen manch kleine Umgebungen auch nichts anderes zu.

Dieser Artikel widmet sich der Migration eines Active Directory mit nur einem Domain Controller basierend auf Server 2008 zu Server 2016 inklusive der Beibehaltung der ursprünglichen IP des Server 2008 DCs.

Server 2003 ist hier außen vor, kann aber mittels der gleichen Methode zunächst zu Server 2008 und danach von Server 2008 zu Server 2016 migriert werden. Eine direkte Migration von Server 2003 zu Server 2016 DCs ist nicht möglich.

Die Umgebung

Für diesen Artikel habe ich deine Testumgebung erzeugt, die wie folgt aufgebaut ist:

Migration Domain Controller zu Server 2016

Es gibt einen Windows Server 2008 Domain Controller mit der statischen IP 172.16.100.10 und dem Namen DC2008. Im Netzwerk gibt es weitere Clients, welche den Domain Controller als DNS Server nutzen. Der Name des Active Directory lautet frankysweb.local.

Es wurde ein neuer Windows Server 2016 mit dem Namen DC2016 und der IP 172.16.100.20 installiert. Der Server ist bisher nur Mitglied des Active Directory und nutzt ebenfalls DC2008 als DNS Server. Nach Abschluss der Migration soll der neue Server wieder die IP 172.16.100.10 bekommen.

Neuen Domain Controller installieren

Zunächst muss die Rolle “Active Directory-Domänendienste” auf DC2016 installiert werden, bevor DC2016 zum Domain Controller hochgestuft werden kann:

Migration Domain Controller zu Server 2016

Für die Zeit der Migration von DC2008 zu DC2016 werden also zwei Domain Controller laufen.

Nachdem die Rolle installiert wurde, kann DC2016 direkt zum DC hochgestuft werden:

Migration Domain Controller zu Server 2016

Die Standardeinstellungen können so belassen werden:

Migration Domain Controller zu Server 2016

Auch im nächsten Dialog muss nur das Kennwort für den Wiederherstellungsmodus gesetzt werden, die Häkchen bei “DNS-Server” und “Globaler Katalog” bleiben gesetzt:

Migration Domain Controller zu Server 2016

Eine Delegierung wird in den meisten kleinen Umgebungen nicht benötigt, daher kann die Warnung ignoriert werden:

Migration Domain Controller zu Server 2016

Die weiteren Dialoge können alle mit “Weiter” bestätigt werden. Im letzten Dialog wird noch eine Zusammenfassung mit zwei Warnungen angezeigt. In diesem Fall sind die beiden Warnungen als Hinweise anzusehen:

Migration Domain Controller zu Server 2016

  • Es kann keine Delegierung für den übergeordneten DNS Server erstellt werden –> wird hier nicht benötigt
  • NT4 Clients können sich nicht mehr verbinden –> wird ebenfalls nicht mehr benötigt

Nachdem DC2016 automatisch neu gestartet wurde, gibt es nun also zwei Domain Controller für die Domain frankysweb.local:

Migration Domain Controller zu Server 2016

Jetzt sollten noch die Ereignis Protokolle durchgesehen werden, ob es zu Fehlern bei der Replikation gekommen ist. Zum Test kann auch ein neues Benutzerkonto angelegt und dann geprüft werden, ob es auf beiden DCs angezeigt wird. Wenn die Replikation funktioniert, kann es weitergehen.

FSMO Rollen verschieben

Das Verschieben der FSMO Rollen von DC2008 zu DC2016 funktioniert am einfachsten per Command Line und dem Tool “ntdsutil”. Die folgenden Befehle können genutzt werden um alle FSMO Rollen von DC2008 zu DC2016 zu verschieben (Hinweis: Die Verbindung wird zu DC2016 aufgebaut):

roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Die Abfragen müssen dann mit “OK” bestätigt werden.

Migration Domain Controller zu Server 2016

mit dem Befehl “netdom query fsmo” kann überprüft werden, ob alle FSMO Rollen verschoben wurden:

Migration Domain Controller zu Server 2016

Wenn dies erfolgt ist, kann es mit dem nächsten Schritt weitergehen.

Alten Domain Controller entfernen

Ab jetzt ist etwas Downtime nötig. Der alte Domain Controller wird entfernt und damit auch der alte DNS Server. Alle Clients/Server die ausschließlich die IP 172.16.100.10 (von DC2008) als DNS-Server konfiguriert haben, können den neuen Domain Controller nicht via DNS finden. Dieser Schritt sollte also in einem Wartungsfenster erfolgen.

Um eine Downtime zu vermeiden kann auch einfach der neue Server als primärer DNS Server eingestellt werden, wenn dies auf allen Clients erfolgt, muss natürlich auch nicht die IP-Adresse des neuen Domain Controllers geändert werden. Hier geht es nun aber genau um den Fall dass der neue Server die IP des alten Servers erben soll. Daher weiter im Text.

DC2008 wird nun runtergestuft, dies funktioniert mit dem Befehl “dcpromo”:

Migration Domain Controller zu Server 2016

Es öffnet sich der Dialog zum entfernen des Domain Controllers. Das Häkchen bei “Domäne löschen, da dies der letzte Domänencontroller in der Domäne ist” darf NICHT gesetzt werden:

Migration Domain Controller zu Server 2016

Im darauffolgenden Dialog muss ein neues lokales Administrator Kennwort angegeben werden:

Migration Domain Controller zu Server 2016

Die Zusammenfassung kann bestätigt werden:

Migration Domain Controller zu Server 2016

Die Domain Controller Rolle wird nun von DC2008 entfernt und der Server kann neu gestartet werden.

Migration Domain Controller zu Server 2016

Nachdem DC2008 neu gestartet wurde, gibt es in der OU “Domain Controllers” nur noch das Computerkonto von DC2016:

Migration Domain Controller zu Server 2016

DC2008 kann nach dem Neustart runtergefahren werden, somit ist die IP Adresse frei und kann gleich dem neuen Domain Controller zugeordnet werden. Vorher sind allerdings noch ein paar Aufräumarbeiten nötig.

Aufräumarbeiten

Das alte Computer Konto von DC2008 findet sich nun in der OU “Computers” und kann hier gelöscht werden:

Migration Domain Controller zu Server 2016

Die DNS Einstellung der Netzwerkkarte auf DC2016 kann nun korrigiert werden, hier ist noch die IP von DC2008 eingetragen:

Migration Domain Controller zu Server 2016

Hier wird nun als DNS Server 127.0.0.1 verwendet. Es ist hier übrigens wenig sinnvoll einen Router oder öffentlichen DNS Server ans Sekundären DNS Server einzutragen, da diese in der Regel nicht die Zonen für das lokale Active Directory auflösen können. In Umgebungen mit nur einem DC steht hier also nur 127.0.0.1:

Migration Domain Controller zu Server 2016

Im DNS-Manager müssen nun einmal alle Zonen und Subzonen durchgesehen werden, hier bleiben oft Leichen des alten Domain Controllers zurück. Hier können anhand der alten IP / Hostnamen Leichen erkannt und gelöscht werden:

Migration Domain Controller zu Server 2016

Die delegierte Zone “_msdcs” hat ebenfalls noch einen alten Nameserver Eintrag, dieser muss ebenfalls korrigiert werden:

Migration Domain Controller zu Server 2016

Hier ist mal ein Beispiel für eine Leiche, die bei mir nicht gelöscht wurde:

Migration Domain Controller zu Server 2016

Wie gesagt, geht alle Zonen und Subzonen einmal durch und schaut nach alten Einträgen, irgendwo bleibt immer etwas zurück. Auch die Reverse Zone nicht vergessen.

IP Adresse des DCs ändern

Das Ändern der IP Adresse ist nun kein Hexenwerk mehr. Zuerst wird die IP von DC2008 auf DC2016 konfiguriert:

Migration Domain Controller zu Server 2016

Danach folgt ein “ipconfig /registerdns”:

Migration Domain Controller zu Server 2016

Dann wird der Anmeldedienst neu gestartet:

Migration Domain Controller zu Server 2016

Jetzt noch einmal kurz im DNS Aufräumen und die folgenden drei alten Einträge löschen:

Migration Domain Controller zu Server 2016

Migration Domain Controller zu Server 2016

Migration Domain Controller zu Server 2016

Fertig. Sicherheitshalber sollten Exchange und SQL-Server wenn vorhanden einmal neu gestartet werden.

37 Gedanken zu „Migration Domain Controller zu Server 2016“

  1. Eine Sache mache ich anders:
    Die DNS Einstellungen der LAN Karte vom 2016-er DC korrigiere ich sobald er mit-DC geworden ist, direkt nach dem Neustart. Dann noch DNS-Server und Client am 2016-er durchstarten und gut ist es.
    Sobald der 2016-er mit DC geworden ist wird geprüft ob der DNS brav alles repliziert hat und ob NETLOGON sich brav repliziert (test via „Neues Textdokument.txt“ erstellen und in den anderen netlogons nachsehen ob es auftaucht).
    RegisterDNS entfällt normalerweise, das macht er spätestens nach 15 Minuten selbst. Meist schneller, ich habe selten mehr als eine Minute gesehen bis die DNS Einträge automatisch angepasst werden, auf allen DCs.
    Das manuelle transferieren der Rollen ist nicht zwingend nötig, aber ich mache diesen Schritt zur Sicherheit auch immer.

    Wenn man das passend angeht kann der neue 2016-er DC die IP vom vorigen 2008-er oder 2012-er DC übernehmen, direkt nachdem der 2016-er DC geworden ist und die LAN Karte angepasst wurde. Aber dann muss man dem DNS und der AD zeit geben damit sie sich selbst sortieren. Selbst mit laufendem Exchange in der AD klappt dieses IP-tausch-Spielchen, man darf nur nicht ungeduldig oder Hektisch werden.

    Antworten
  2. Noch ein wichtiger Hinweis:

    In einer Exchange 2010 Organisation werden offiziell keine Windows Server 2016 Domaincontroller unterstützt.

    Hier die Exchange Kompatibilitätsmatrix beachten!

    Antworten
  3. Hallo,

    Motto: lieber einen Kaffee mehr trinken bevor ein Blödsinn passiert…
    Aber wieso gleiche IP?

    Am Hauptstandort hab ich eh 3 DCs, draußen 1-2, aber irgendeiner ist immer erreichbar.
    FSMO rollen gehen eh nicht doppelt also wieso?

    Antworten
    • Hallo,
      na zum Beispiel, weil der DHCP auf dem DC beim Provider für das MPLS-Netz gesetzt ist.
      Bis der das aktualisiert hat dauert das Wochen!
      Also entweder rechtzeitig vorher die neue IP mitteilen oder eben die IP mitnehmen.

      Antworten
  4. @Bernd
    Aufwand / Zeitabschätzung: Wie viel Aufwand ist es allen Geräten, Server und PCs mit festen IP Einstellungen mit dem neuen DNS zu konfigurieren gegen die Übernahme der IP des vorigen Domaincontrollers. Für die Domaincontroller alleine ist das vom Aufwand her egal ob man die IP übernimmt, da sehe ich keinen Unterschied.
    Natürlich hat man immer zwei DNS Server eingetragen, aber Windows frägt erst nach einer Sekunde den zweiten eingetragenen. Je nach Dienst potenziert sich das schnell auf 10+ Sekunden da manche Dienste eben gleich 10+ DNS Anfragen gemacht werden. https://support.microsoft.com/en-us/help/2834226/net-dns-dns-client-resolution-timeouts
    Andere OS-e bzw Geräte und deren Timing bezüglich DNS Timeouts sehen noch viel schlimmer aus, manche fragen nach 30 Sekunden den zweiten eingetragenen.

    Antworten
  5. Tolle Anleitung! Danke!
    Ich habe genau diesen Austausch in den nächsten Wochen vor.
    In unserem kleinen Büro habe ich bisher den DC (Server 2008)und den Exchange 2010 auf einem PC laufen (ich weiß, das sollte man nicht machen, läuft aber seit 2012 problemlos). Muss ich noch zusätzlich etwas beachten, damit der Exchange auf dem alten DC weiterläuft wenn ich auf Server 2016 migriere wie beschrieben?

    Der Exchange 2010 wird auf 2016 auf eigenem Server ebenfalls in den nächsten Wochen migriert, aber einen Schritt nach dem anderen :-)

    Antworten
  6. Einmal mehr, besten Dank für die tolle Anleitung.
    Ich möchte in meinem Fall, dass nicht nur die IP Adresse von alten DC übernommen wird, sondern auch noch den Hostname. Am Ende der Migration soll also der neue DC gleich heisst wie der alte. Wie gehe ich da vor?

    Antworten
  7. Roger Schär:
    Na klar geht das! Erst mal normale Migration auf 2016-DCs, quasi temporäre DCs, den alten DC sauber entfernen und den neuen DC mit genau dem Namen und der IP in die nun freie Lücke platzieren.
    Ist halt Arbeit, ansonsten kein Problem. Und besser für die Zeit wenn niemand sonst arbeitet.

    Antworten
  8. Hallo,
    ich möchte nächstes Jahr den Server auch umziehen. Dafür habe ich zum testen eine VM mit Server 2008 R2 und eine VM mit Server 2019 Insider erstellt. Der neue Server findet zwar die Domäne des alten Servers aber Aufgrund falscher Anmeldeinfos oder dem Benutzerkontonamen komme ich nicht weiter. Welche müssen da rein? Der lokale Admin oder der Admin vom alten Server? Ich habe beides ohne Erfolg probiert.

    Antworten
  9. Hallo Bernd,
    Danke für deine Anleitung. Das hilft sehr. Ich habe ein Szenario bei dem ich 2 Server (Server und Backup) betreibe und beide sowohl HW als auch Windows ersetzen will. Ist mein Schluss richtig, dass ich einen Server einfach ausschalten kann, und den neuen direkt mit den Daten (Name und IP) des ausgeschalteten Rechners installieren und konfigurieren kann. Das ganze Spiel 2 mal mache, da ich ja zwei Rechner habe. Ich gehe davon aus, dass ich dazu auch FSMO ausführe, dann aber nicht transferiere sondern übernehme.

    Danke für deine Antwort im Voraus!
    Grüsse
    Rolf

    Antworten
  10. Hallo Frank,
    bei mir läuft ein Exchange Server 2016 auf einem Windows Server 2012 und möchte jetzt den Server auf 2016 updaten. Der Server ist als zweiter Server in die Domäne eingebunden.
    Würde es ausreichen wenn ich den Server 2016 mit gleichen Namen und IP Adresse neu installiere und den Exchange Server 2016 installiere und zum Schluss nur die Datenbank einbinde

    Grüsse
    Andy

    Antworten
  11. Hallo ,

    in einigen Anleitungen wird empfohlen den alten DC vor dem Hochstufen des 2016er mittels
    adprep /forestprep bzw. adprep /domainprep vorzubereiten… ist das nötig, bzw. was hat es für Folgen, das nicht zu tun?

    grüße
    Thomas

    Antworten
    • Es ist offiziell nicht unbedingt nötig, wenn die Domänen- und Forest-Funktionsebene mindestens 2003 ist. Allerdings fiel bei mir NTFRS auf die Nase, bis ich die Funktionsebenen auf dem alten DC auf 2008R2 aktualisiert hatte.
      DFSRMIG wollte ich in dem Zustand nicht durchführen, da dafür explizit die einwandfreie Replikation zwischen allen DCs notwendig ist – und das war hier ja nicht gegeben.

      Antworten
      • Ich habe das gleiche Problem, der 2008R2 ist mir durch einen Stromausfall weggebrochen und auf dem
        2016 war das AD nicht mehr erreichbar, nach dem der 2008R2 wieder hochgefahren ist ging es wieder.

        Das heißt ich kann jetzt noch adprep /forestprep bzw. adprep /domainprep ausführen ?

        Von alten Migrationen kenne ich es allerdings auch nicht anders und habe es immer vorher ausgeführt.

        Antworten
  12. Wie sieht es denn aus wenn ich den selber Computernamen (nicht nur IP) haben will wie der 2008/2012 ? Da sehr viele DNS Einträge auf diesen zeigen?

    Antworten
    • Hi, da ich das gleiche vor habe, würde ich auch gerne wissen, ob dies möglich ist den gleichen Namen, nachdem der alte DC heruntergefahren wurde, zu erteilen. Ich habe die Antwort von Pingback gelesen, aber das denke ich muss doch einfacher gehen, oder?

      Besten Dank im voraus!

      Antworten
      • Hallo erstmal
        Der Name sollte nach dem der alte DC aus der Domäne entfert wurde kein Problem sein, man kann mit Hilfe vom DNS-Server einen zusätzlichen Namen hinterlegen.

        Antworten
  13. Hallo Frank, soweit ich es verstanden habe, ist in Deinem Beispiel die Domain noch in der 2008 Domänenfunktionsebene. Wie sollte ich vorgehen, damit neuere Betriebssysteme auch berücksichtigt werden können?

    Antworten
  14. Moin!
    Vielen Dank für den tollen Artikel!
    Das mit der Migration des SYSVOL scheint jedoch ein essentieller Bestandteil im Rahmen einer solchen Migration zu sein. Könntest Du das eventuell ein wenig näher erläutern? Oder hat es einen guten Grund, dass Du das hier nicht erwähnst? Was hat es damit auf sich? Wann genau während der Migration sollte/muss das gemacht werden? Was sind die Voraussetzungen hierfür?
    Herzlichen Dank und weiter so!
    LG
    Thorsten

    Antworten
  15. Hallo Frank,

    wir haben vor kurzem ein SBS2011 auf einen neuen Domäncontroller 2016 migriert und hochgestuft.
    Jedoch ist es so, dass auf dem neuen DC die Freigaben „SYSVOL“ und „NETLOGON“ fehlen.
    Somit habe ich das Problem, dass die Rollen „PDC“ und „naming Master“ sich nicht übertragen lassen. Diese springen immer wieder auf den alten DC (SBS2011).

    Gibt es hier eine Idee wie mann die Freigaben auf dem neuen DC wieder angezeigt bekommt oder hat jemand ein ähnliches Szenario schonmal gehabt und kann mir den ein oder anderen Tipp geben ?

    Viele Grüße
    Kevin

    Antworten
  16. Hallo Frank,

    ich habe den Migration des Domaincontrollers von 2008 R2 zu Server 2016 dank der ausführlichen Anleitung erfolgreich vollzogen. Ich habe wie in der Anleitung die IP-Adresse vom alten DC auf den neuen DC übernommen. Bei mir erscheint im Netzwerksymbol ein gelbes Ausrufezeichen und das kein Internetzugriff besteht. Internet funktioniert, auch auf den Clients im Netzwerk. Hat jemand schonmal ein ähnliches Phänomen gehabt?

    Viele Grüße
    Marco

    Antworten
  17. Würde denn was dagegen sprechen einen CNAME im DNS von dem alten DC auf den neuen zu setzen, natürlich vorausgesetzt das sich der Namen ändert ?
    Somit könnte man doch eventuell Fehler mit alten Einstellungen evtl. Bei Zugriff auf Freigaben o.ä umgehen.

    Antworten
  18. Moin,

    ich würde gerne einen SBS 2011 ablösen auf diese art und weise. Gibt es hier Erfahrungen?
    Kann ich das einfach machen mit einem 2012 R2 oder gibt es was gesondertes zu beachten.

    Ich lese nämlich das Kevin das problem fehlender SYSVOL und NETLOGON beklagt.

    Liebe Grüße
    René

    Antworten
    • Hallo Fischle,

      doch, die Strukturen müssen aktualisiert werden. Man kann das entweder mit den von Dir erwähnten Befehlen händisch machen. Alternativ werden die Strukturen automatisch von allein aktualisiert, sobald man auf dem neuen Server die Active Directory Domänendienste installiert.
      Ich persönlich mag es jedoch lieber, wenn man es händisch macht. Geht bei dem Assistenten was schief, weiss man nicht, was im Hintergrund alles passiert ist – macht man es hingegen händisch step by step, kann ich bei Problemen immer an der Stelle eingreifen, wo was schiefgeht (aber eigentlich geht ja nichts schief).

      Am Ende dann, wie im Artikel oben schon beschrieben, einmal mit „netdom query fsmo“ am besten am alten DC prüfen, ob der neue DC nun bei allen Rollen nun der neue Sheriff ist. ;-)

      Anmerkung: es gibt tolle Bücher von Ulrich Boddenberg -leider keine aktuellen mehr. Aber ich persönlich habe im Buch „Windows Server 2012 R2“ nachgeschaut – dort ist alles Schritt für Schritt sauber erklärt. Passt auch für Win Server 2019 – da hat sich nichts geändert. Der Autor ist super gut, wenn es darum geht, Abläufe zu erlernen und allgemeines Verständnis zu bekommen. Im aktuellen Buch „Windows Server 2019“ von Peter Kloep findet man hingegen zu diesem Thema mal rein gar nichts.

      Antworten
  19. Hallo,

    ich habe 3 DC, einen alten Win 2008, einen 2012 R2 und jetzt neu aufgesetzt einen Win 2016, der dann den 2008 ablösen soll. Das AD-Schema läuft aber noch auf Win 2000. Mein ehemaliger IT-Mann, der leider ausgewandert ist, hat auf dem DC 2008 auch noch die IP-Adresse des 1. DC Win 2000. Exchange ist 2010.

    Frage: sollte ich zunächst AD anheben ? Oder erst den DC 2008 herausnehmen Oder ist diese Reihenfolge egal ?

    Danke – Jörg

    Antworten
  20. Hallo Frank,

    super Anleitung Danke.

    Wir haben zwei DC mit Windows 2008 R2 und einen Exchange Server 2010.

    Ich möchte nächste Woche die beiden DC zu Windows 2016 Migrieren. Gibt es etwas zu beachten was den Exchange 2010 Server angeht?

    Gruß

    Michi

    Antworten
  21. DNS-Umstellung nicht ganz schlüssig.

    Ich habe es so gelernt, dass man bei Installation der Rolle „Active Directory Domänendienste“ auch gleichzeitg die Rolle „DNS Server“ mitinstalliert. Durch das Heraufstufen des neuen Servers zum zweiten Domänencontroller wird das Active Directory dann auf den neuen Server repliziert, und da die Daten des DNS-Servers auch im Active Directory gespeichert sind ist direkt alles klar.
    Nun stellt sich die Frage, ob die Clients ihre IP-Adressen von einem DHCP-Server erhalten, oder ob sie manuell eingetragen sind. Sofern auf dem alten Server auch ein DHCP-Server steckt, so muss auch dieser auf den neuen Server übertragen werden. In diesem Fall spielt es keine Rolle, ob der neue Server eine andere IP hat, als der alte Server. Der DHCP-Server regelt das schon – an den Clients genügt ein Neustart.
    Sind die IP-Adressen (warum auch immer) an den Clients manuell eingetragen, empfiehlt sich natürlich dem neuen Server die IP-Adresse des alten Servers zu geben. In diesem Fall ist tatsächlich eine Downtime unumgänglich.

    Antworten
  22. Jetzt bleibt noch einen Frage: Wie kann ich den Namen des neuen DC2016 zu dem alten Namen DC2008 umbennen. Somit wäre doch für diee Clients alles bei „Alten“…

    Geht das problemlos über den Befehl netdom computername ALTER-COMPUTERNAME /add:NEUER-COMPUTERNAME?

    Antworten
    • Domänencontroller umbenennen ist nicht.
      Alten Domänencontroller entfernen, und neuen mit dem Namen des alten aufsetzen. IP Ändern geht, aber Name nein.

      Antworten

Schreibe einen Kommentar