Migration Domain Controller zu Server 2016

Ich habe nun schon einige Mails bezüglich der Migration von Domain Controllern erhalten, die noch mit einem älteren Betriebssystem laufen. In den meisten Mails geht es darum, die IP-Adresse des ursprünglichen Domain Controllers beizubehalten.

Die Umgebungen, die in den Mails geschildert wurden, waren alle samt ähnlich, nur das Betriebssystem auf dem der ursprüngliche Domain Controller läuft variiert. In den meisten Fällen gab es nur einen Domain Controller der auf Windows Server 2008 läuft und nun durch Windows Server 2016 ersetzt werden soll. In einem Fall gab es sogar noch einen Domain Controller der auf Server 2003 läuft.

Es ist natürlich nicht empfohlen nur einen Domain Controller zu betreiben, allerdings lassen manch kleine Umgebungen auch nichts anderes zu.

Dieser Artikel widmet sich der Migration eines Active Directory mit nur einem Domain Controller basierend auf Server 2008 zu Server 2016 inklusive der Beibehaltung der ursprünglichen IP des Server 2008 DCs.

Server 2003 ist hier außen vor, kann aber mittels der gleichen Methode zunächst zu Server 2008 und danach von Server 2008 zu Server 2016 migriert werden. Eine direkte Migration von Server 2003 zu Server 2016 DCs ist nicht möglich.

Die Umgebung

Für diesen Artikel habe ich deine Testumgebung erzeugt, die wie folgt aufgebaut ist:

Migration Domain Controller zu Server 2016

Es gibt einen Windows Server 2008 Domain Controller mit der statischen IP 172.16.100.10 und dem Namen DC2008. Im Netzwerk gibt es weitere Clients, welche den Domain Controller als DNS Server nutzen. Der Name des Active Directory lautet frankysweb.local.

Es wurde ein neuer Windows Server 2016 mit dem Namen DC2016 und der IP 172.16.100.20 installiert. Der Server ist bisher nur Mitglied des Active Directory und nutzt ebenfalls DC2008 als DNS Server. Nach Abschluss der Migration soll der neue Server wieder die IP 172.16.100.10 bekommen.

Neuen Domain Controller installieren

Zunächst muss die Rolle “Active Directory-Domänendienste” auf DC2016 installiert werden, bevor DC2016 zum Domain Controller hochgestuft werden kann:

Migration Domain Controller zu Server 2016

Für die Zeit der Migration von DC2008 zu DC2016 werden also zwei Domain Controller laufen.

Nachdem die Rolle installiert wurde, kann DC2016 direkt zum DC hochgestuft werden:

Migration Domain Controller zu Server 2016

Die Standardeinstellungen können so belassen werden:

Migration Domain Controller zu Server 2016

Auch im nächsten Dialog muss nur das Kennwort für den Wiederherstellungsmodus gesetzt werden, die Häkchen bei “DNS-Server” und “Globaler Katalog” bleiben gesetzt:

Migration Domain Controller zu Server 2016

Eine Delegierung wird in den meisten kleinen Umgebungen nicht benötigt, daher kann die Warnung ignoriert werden:

Migration Domain Controller zu Server 2016

Die weiteren Dialoge können alle mit “Weiter” bestätigt werden. Im letzten Dialog wird noch eine Zusammenfassung mit zwei Warnungen angezeigt. In diesem Fall sind die beiden Warnungen als Hinweise anzusehen:

Migration Domain Controller zu Server 2016

  • Es kann keine Delegierung für den übergeordneten DNS Server erstellt werden –> wird hier nicht benötigt
  • NT4 Clients können sich nicht mehr verbinden –> wird ebenfalls nicht mehr benötigt

Nachdem DC2016 automatisch neu gestartet wurde, gibt es nun also zwei Domain Controller für die Domain frankysweb.local:

Migration Domain Controller zu Server 2016

Jetzt sollten noch die Ereignis Protokolle durchgesehen werden, ob es zu Fehlern bei der Replikation gekommen ist. Zum Test kann auch ein neues Benutzerkonto angelegt und dann geprüft werden, ob es auf beiden DCs angezeigt wird. Wenn die Replikation funktioniert, kann es weitergehen.

FSMO Rollen verschieben

Das Verschieben der FSMO Rollen von DC2008 zu DC2016 funktioniert am einfachsten per Command Line und dem Tool “ntdsutil”. Die folgenden Befehle können genutzt werden um alle FSMO Rollen von DC2008 zu DC2016 zu verschieben (Hinweis: Die Verbindung wird zu DC2016 aufgebaut):

roles
connection
connect to server DC2016
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Die Abfragen müssen dann mit “OK” bestätigt werden.

Migration Domain Controller zu Server 2016

mit dem Befehl “netdom query fsmo” kann überprüft werden, ob alle FSMO Rollen verschoben wurden:

Migration Domain Controller zu Server 2016

Wenn dies erfolgt ist, kann es mit dem nächsten Schritt weitergehen.

Alten Domain Controller entfernen

Ab jetzt ist etwas Downtime nötig. Der alte Domain Controller wird entfernt und damit auch der alte DNS Server. Alle Clients/Server die ausschließlich die IP 172.16.100.10 (von DC2008) als DNS-Server konfiguriert haben, können den neuen Domain Controller nicht via DNS finden. Dieser Schritt sollte also in einem Wartungsfenster erfolgen.

Um eine Downtime zu vermeiden kann auch einfach der neue Server als primärer DNS Server eingestellt werden, wenn dies auf allen Clients erfolgt, muss natürlich auch nicht die IP-Adresse des neuen Domain Controllers geändert werden. Hier geht es nun aber genau um den Fall dass der neue Server die IP des alten Servers erben soll. Daher weiter im Text.

DC2008 wird nun runtergestuft, dies funktioniert mit dem Befehl “dcpromo”:

Migration Domain Controller zu Server 2016

Es öffnet sich der Dialog zum entfernen des Domain Controllers. Das Häkchen bei “Domäne löschen, da dies der letzte Domänencontroller in der Domäne ist” darf NICHT gesetzt werden:

Migration Domain Controller zu Server 2016

Im darauffolgenden Dialog muss ein neues lokales Administrator Kennwort angegeben werden:

Migration Domain Controller zu Server 2016

Die Zusammenfassung kann bestätigt werden:

Migration Domain Controller zu Server 2016

Die Domain Controller Rolle wird nun von DC2008 entfernt und der Server kann neu gestartet werden.

Migration Domain Controller zu Server 2016

Nachdem DC2008 neu gestartet wurde, gibt es in der OU “Domain Controllers” nur noch das Computerkonto von DC2016:

Migration Domain Controller zu Server 2016

DC2008 kann nach dem Neustart runtergefahren werden, somit ist die IP Adresse frei und kann gleich dem neuen Domain Controller zugeordnet werden. Vorher sind allerdings noch ein paar Aufräumarbeiten nötig.

Aufräumarbeiten

Das alte Computer Konto von DC2008 findet sich nun in der OU “Computers” und kann hier gelöscht werden:

Migration Domain Controller zu Server 2016

Die DNS Einstellung der Netzwerkkarte auf DC2016 kann nun korrigiert werden, hier ist noch die IP von DC2008 eingetragen:

Migration Domain Controller zu Server 2016

Hier wird nun als DNS Server 127.0.0.1 verwendet. Es ist hier übrigens wenig sinnvoll einen Router oder öffentlichen DNS Server ans Sekundären DNS Server einzutragen, da diese in der Regel nicht die Zonen für das lokale Active Directory auflösen können. In Umgebungen mit nur einem DC steht hier also nur 127.0.0.1:

Migration Domain Controller zu Server 2016

Im DNS-Manager müssen nun einmal alle Zonen und Subzonen durchgesehen werden, hier bleiben oft Leichen des alten Domain Controllers zurück. Hier können anhand der alten IP / Hostnamen Leichen erkannt und gelöscht werden:

Migration Domain Controller zu Server 2016

Die delegierte Zone “_msdcs” hat ebenfalls noch einen alten Nameserver Eintrag, dieser muss ebenfalls korrigiert werden:

Migration Domain Controller zu Server 2016

Hier ist mal ein Beispiel für eine Leiche, die bei mir nicht gelöscht wurde:

Migration Domain Controller zu Server 2016

Wie gesagt, geht alle Zonen und Subzonen einmal durch und schaut nach alten Einträgen, irgendwo bleibt immer etwas zurück. Auch die Reverse Zone nicht vergessen.

IP Adresse des DCs ändern

Das Ändern der IP Adresse ist nun kein Hexenwerk mehr. Zuerst wird die IP von DC2008 auf DC2016 konfiguriert:

Migration Domain Controller zu Server 2016

Danach folgt ein “ipconfig /registerdns”:

Migration Domain Controller zu Server 2016

Dann wird der Anmeldedienst neu gestartet:

Migration Domain Controller zu Server 2016

Jetzt noch einmal kurz im DNS Aufräumen und die folgenden drei alten Einträge löschen:

Migration Domain Controller zu Server 2016

Migration Domain Controller zu Server 2016

Migration Domain Controller zu Server 2016

Fertig. Sicherheitshalber sollten Exchange und SQL-Server wenn vorhanden einmal neu gestartet werden.

3 Replies to “Migration Domain Controller zu Server 2016”

  1. Eine Sache mache ich anders:
    Die DNS Einstellungen der LAN Karte vom 2016-er DC korrigiere ich sobald er mit-DC geworden ist, direkt nach dem Neustart. Dann noch DNS-Server und Client am 2016-er durchstarten und gut ist es.
    Sobald der 2016-er mit DC geworden ist wird geprüft ob der DNS brav alles repliziert hat und ob NETLOGON sich brav repliziert (test via „Neues Textdokument.txt“ erstellen und in den anderen netlogons nachsehen ob es auftaucht).
    RegisterDNS entfällt normalerweise, das macht er spätestens nach 15 Minuten selbst. Meist schneller, ich habe selten mehr als eine Minute gesehen bis die DNS Einträge automatisch angepasst werden, auf allen DCs.
    Das manuelle transferieren der Rollen ist nicht zwingend nötig, aber ich mache diesen Schritt zur Sicherheit auch immer.

    Wenn man das passend angeht kann der neue 2016-er DC die IP vom vorigen 2008-er oder 2012-er DC übernehmen, direkt nachdem der 2016-er DC geworden ist und die LAN Karte angepasst wurde. Aber dann muss man dem DNS und der AD zeit geben damit sie sich selbst sortieren. Selbst mit laufendem Exchange in der AD klappt dieses IP-tausch-Spielchen, man darf nur nicht ungeduldig oder Hektisch werden.

  2. Noch ein wichtiger Hinweis:

    In einer Exchange 2010 Organisation werden offiziell keine Windows Server 2016 Domaincontroller unterstützt.

    Hier die Exchange Kompatibilitätsmatrix beachten!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.