Zum Inhalt springen
  • 1

Domaincontroller, AD, DNS, DHCP, WSUS, Druckdienste umziehen auf neuen Domaincontroller


Frage

Geschrieben

Hallo zusammen,

ich bin dabei mit einer Windows-Domäne in der Ausbildung zu üben und wollte einen vollständigen Umzug von einem Domaincontroller auf einen dritten Domaincontroller machen, um den ersten löschen zu können.

Meine Testdomäne befindet sich in ProxMox VE, Windows Server 2019, 1. Domaincontroller der DHCP,AD, DNS, Druckdienste und WSUS inne hat und 2. Domaincontroller, der redundant DNS und AD bedient. 

Wie bekomme ich bestmöglich meinen Master-Domaincontroller auf den dritten übertragen, ohne mir meine Domäne zu zerschießen?

Besten Dank

6 Antworten auf diese Frage

Empfohlene Beiträge

  • 0
Geschrieben

Moin,

der Grobe Plan wäre neuen Server aufsetzen, DHCP und DNS und AD-Dienste installieren und einrichten, FSMO-Rollen übertragen, auf altem DC Dienste deinstallieren, DC herunterstufen und ausschalten. Wenn alles gut geht, hakelt die nächste Zeit nichts und Du kannst das Computerkonto aus der Domäne löschen...

Viel Erfolg

 

  • 0
Geschrieben
vor 21 Minuten schrieb FISI-Prüfer:

Moin,

der Grobe Plan wäre neuen Server aufsetzen, DHCP und DNS und AD-Dienste installieren und einrichten, FSMO-Rollen übertragen, auf altem DC Dienste deinstallieren, DC herunterstufen und ausschalten. Wenn alles gut geht, hakelt die nächste Zeit nichts und Du kannst das Computerkonto aus der Domäne löschen...

Viel Erfolg

Danke für die schnelle Antwort.

Mehr ist es nicht? Keine Zonen übertragen, keine Adressbereiche übernehmen oder Files finden und auf Controller übernehmen, damit mir das AD nicht verreckt?

Hmm, dann kann ich schon die Dienste deinstallieren...

  • 0
Geschrieben
vor 2 Stunden schrieb Pusteblume10:

Mehr ist es nicht?

Jain.

Ein neuer DC synchronisiert sich mit seinen "Nachbarn" und übernimmt die kompletten Einstellungen der AD (User und Computerkonten, Gruppen, Richtlinien...) automatisch. Das AD ist an der Stelle reicht robust. Du solltest nur vor dem Herunterstufen sicher sein, dass die FSMO Rollen nicht auf dem DC sind den du weg hauen willst.

Jeder In der Domäne registrerte DNS Server synchronisiert sich ebenfalls mit seinen Nachbarn.

Wenn du also den zweiten DC tauschen willst, hau ihn wech.

Bei DC1, bzw den Diensten die er anbietet wird das etwas mehr Aufwand:

DHCP überträgt sich NICHT automatisch! Aber, er lässt sich sehr einfach umziehen. Aber Vorsicht! 2 DHCP Server die die selben Adressräume verteilen kann lustige Auswirkungen haben!

Printserver hat in seine GUI eine Option zur Migration, also neue Server mit der Printserverrolle und rüber damit

WSUS... Tja, WSUS... Ich habe mir noch nie die Mühe gemacht einen WSUS zu migrieren, ich habe immer den Alten weggeworfen und einen Neuen hochgezogen. Warum? Weil bereinigen in umziehen länger dauert als "weg und neu".

In einer produktiven Umgebung gilt allerdings "1 Service, ein Server", also eine Maschine für AD + DNS, und je eine für DHCP, Print und WSUS.

Warum?

Erstens: Sicherheit! DHCP, Print und WSUS Server reden extrem viel mit Dingen die nicht unbedingt sicher sind! Auf einem DC ist man immer mit Domainadminrechten unterwegs, sollte da also mal das Kennwort abgefangen werden ist das der Super-GAU, bzw der Jackpot für den Angreifer.

Zweitens: Verfügbarkeit! AD, DNS und DHCP sind Prio1 Systeme, die dürfen im produktiven Umfeld nicht (lange) weg sein. Deswegen im Idealfall redundant (bei DCs also min 2) und so störungsfrei (sprich so alleine) wie möglich.

Printserver sollte man zu jeder Tages- und Nachtzeit neu starten könne ohne dass einen (großen) Impact hat. Die können manchmal recht zickig sein. Quasi wie Drucker, nur in größer.

WSUS zickt? Tja, blöd gelaufen *neue VM aus Template erstell* echt blöd *WSUS Rolle installier* zu schade drum *Produkte auswähl, laden lass, GPO anpass, alte VM wegwerf*.

  • 0
Geschrieben
vor 12 Stunden schrieb Maniska:

Jain.

Ein neuer DC synchronisiert sich mit seinen "Nachbarn" und übernimmt die kompletten Einstellungen der AD (User und Computerkonten, Gruppen, Richtlinien...) automatisch. Das AD ist an der Stelle reicht robust. Du solltest nur vor dem Herunterstufen sicher sein, dass die FSMO Rollen nicht auf dem DC sind den du weg hauen willst.

Jeder In der Domäne registrerte DNS Server synchronisiert sich ebenfalls mit seinen Nachbarn.

Wenn du also den zweiten DC tauschen willst, hau ihn wech.

Bei DC1, bzw den Diensten die er anbietet wird das etwas mehr Aufwand:

DHCP überträgt sich NICHT automatisch! Aber, er lässt sich sehr einfach umziehen. Aber Vorsicht! 2 DHCP Server die die selben Adressräume verteilen kann lustige Auswirkungen haben!

Printserver hat in seine GUI eine Option zur Migration, also neue Server mit der Printserverrolle und rüber damit

WSUS... Tja, WSUS... Ich habe mir noch nie die Mühe gemacht einen WSUS zu migrieren, ich habe immer den Alten weggeworfen und einen Neuen hochgezogen. Warum? Weil bereinigen in umziehen länger dauert als "weg und neu".

In einer produktiven Umgebung gilt allerdings "1 Service, ein Server", also eine Maschine für AD + DNS, und je eine für DHCP, Print und WSUS.

Warum?

Erstens: Sicherheit! DHCP, Print und WSUS Server reden extrem viel mit Dingen die nicht unbedingt sicher sind! Auf einem DC ist man immer mit Domainadminrechten unterwegs, sollte da also mal das Kennwort abgefangen werden ist das der Super-GAU, bzw der Jackpot für den Angreifer.

Zweitens: Verfügbarkeit! AD, DNS und DHCP sind Prio1 Systeme, die dürfen im produktiven Umfeld nicht (lange) weg sein. Deswegen im Idealfall redundant (bei DCs also min 2) und so störungsfrei (sprich so alleine) wie möglich.

Printserver sollte man zu jeder Tages- und Nachtzeit neu starten könne ohne dass einen (großen) Impact hat. Die können manchmal recht zickig sein. Quasi wie Drucker, nur in größer.

WSUS zickt? Tja, blöd gelaufen *neue VM aus Template erstell* echt blöd *WSUS Rolle installier* zu schade drum *Produkte auswähl, laden lass, GPO anpass, alte VM wegwerf*.

Auch dir danke für die Antwort. Dass das natürlich nicht optimal ist, wenn es alles auf einem Server läuft ist bekannt, ist nur eine Testdomäne, damit wir mit den Diensten etwas vertrauter werden und mit Virtualisierung, aber klar, dass man das im Betrieb nie so laufen lassen würde. 

  • 0
Geschrieben
vor 16 Stunden schrieb Maniska:

Jain.

Ein neuer DC synchronisiert sich mit seinen "Nachbarn" und übernimmt die kompletten Einstellungen der AD (User und Computerkonten, Gruppen, Richtlinien...) automatisch. Das AD ist an der Stelle reicht robust. Du solltest nur vor dem Herunterstufen sicher sein, dass die FSMO Rollen nicht auf dem DC sind den du weg hauen willst.

Jeder In der Domäne registrerte DNS Server synchronisiert sich ebenfalls mit seinen Nachbarn.

Wenn du also den zweiten DC tauschen willst, hau ihn wech.

Bei DC1, bzw den Diensten die er anbietet wird das etwas mehr Aufwand:

DHCP überträgt sich NICHT automatisch! Aber, er lässt sich sehr einfach umziehen. Aber Vorsicht! 2 DHCP Server die die selben Adressräume verteilen kann lustige Auswirkungen haben!

Printserver hat in seine GUI eine Option zur Migration, also neue Server mit der Printserverrolle und rüber damit

WSUS... Tja, WSUS... Ich habe mir noch nie die Mühe gemacht einen WSUS zu migrieren, ich habe immer den Alten weggeworfen und einen Neuen hochgezogen. Warum? Weil bereinigen in umziehen länger dauert als "weg und neu".

In einer produktiven Umgebung gilt allerdings "1 Service, ein Server", also eine Maschine für AD + DNS, und je eine für DHCP, Print und WSUS.

Warum?

Erstens: Sicherheit! DHCP, Print und WSUS Server reden extrem viel mit Dingen die nicht unbedingt sicher sind! Auf einem DC ist man immer mit Domainadminrechten unterwegs, sollte da also mal das Kennwort abgefangen werden ist das der Super-GAU, bzw der Jackpot für den Angreifer.

Zweitens: Verfügbarkeit! AD, DNS und DHCP sind Prio1 Systeme, die dürfen im produktiven Umfeld nicht (lange) weg sein. Deswegen im Idealfall redundant (bei DCs also min 2) und so störungsfrei (sprich so alleine) wie möglich.

Printserver sollte man zu jeder Tages- und Nachtzeit neu starten könne ohne dass einen (großen) Impact hat. Die können manchmal recht zickig sein. Quasi wie Drucker, nur in größer.

WSUS zickt? Tja, blöd gelaufen *neue VM aus Template erstell* echt blöd *WSUS Rolle installier* zu schade drum *Produkte auswähl, laden lass, GPO anpass, alte VM wegwerf*.

Die Dienstetrennung sollte man für das echte Leben immer im Hinterkopf haben.

Den Part mit dem WSUS sehe ich genauso. Hau wech, mach neu.

Im Prinzip ist es das auch schon ... insbesondere in einer Testumgebung. 

Viel Erfolg 

  • 0
Geschrieben

Ich würde WSUS und Druckdienste auf einem Separaten Blech o. VM (wenn es Cluster ist) betreiben... wie schon mein Vorgänger hier schreibt, AD, DNS und DHCP sind Prio1. 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...