Umzug Windows 2003 DC auf neue HardwareTeil 2 - Austausch H-DC2

Teil 1 - Überblick und Vorarbeiten

Autor: Ulf Kirsten, MCSEboard.de

Voraussetzung für das Herunter- und Heraufstufen eines Domänencontrollers ist eine bestehende und funktionierende Netzwerkverbindung sowie ein Benutzerkonto mit ausreichenden Berechtigungen.
Die FSMO-Rolle "Infrastrukturmaster" sollte in einer Gesamtstruktur mit mehreren Domänen nicht auf einem „Global Catalog“ Server ausgeführt werden, andernfalls funktioniert der Infrastrukturmaster nicht, außer alle Domänencontroller der eigenen Domäne sind „Global Catalog“ Server.
Ein „Global Catalog“ Server besitzt durch Replikation immer die aktuellen Daten von Objekten aller Domänen, z.B. Mitglieder von universellen Gruppen, Anmeldename usw. Der Infrastrukturmaster kontrolliert seine Objektdaten mit dem „Global Catalog“ Server und repliziert diese Änderungen zu allen Domänencontrollern der eigenen Domäne. Ist der „Global Catalog“ Server gleichzeitig Infrastrukturmaster, dann können keine Objektreferenzen durch den Infrastrukturmaster festgestellt werden und es findet nie eine Replikation zu allen Domänencontrollern der eigenen Domäne statt.

Überblick zur Testumgebung

Bei meinen Überlegungen zu einer Testumgebung bin ich von einem heute weit verbreiteten Geschäftsmodell ausgegangen. Das Unternehmen besteht aus einer Hauptniederlassung und einem oder mehreren Zweigniederlassungen.

Es existiert eine Gesamtstruktur mit einer einzigen Domäne. Der Domänenname lautet „Firma.de“. Firma.de besitzt zwei physische Standorte, die auch als AD-Standorte konfiguriert sind. In der Hauptniederlassung befinden sich zwei Domänencontroller (H-DC1, H-DC2) und in der Zweigniederlassung (Z-DC1) ist ein Domänencontroller vorhanden. Die Abbildung 1 zeigt einen Überblick über die physische Struktur.
Der Domänencontroller H-DC1 ist Besitzer aller FSMO-Rollen (Flexible Single Master Operations Rollen – PDC-Emulator, RID-, Infrastruktur-, Domainnamen-, Schemamaster). Die Domänenfunktions- und die Gesamtstrukturfunktionsebene ist jeweils „Windows 2000 pur" – Somit ist dieses HowTo auch für Windows 2000 Domänen geeignet.

Abb. 1

Weiterhin ist DNS in das Active Directory integriert. Die Anbindung der Zweigniederlassung zur Zentrale erfolgt mittels einer 256kB-Anbindung. Tabelle 1 zeigt die Netzwerkkonfiguration der drei Server.

Tabelle 1

Die Vorarbeiten

Es besteht der Auftrag alle drei Domänencontroller auszutauschen. Damit an den Clientsystemen keine Einstellungen geändert werden müssen, sollen die „neuen“ Server mit denselben Namen, IP-Adresse und Diensten wieder in Einsatz genommen werden.

Die drei neuen Server können vorab schon mit dem Betriebssystem Windows Server 2003 installiert werden. Der beim Setup automatisch generierte Computername kann belassen werden. Zudem muss der Dienst DNS vor dem Hochstufen zum Domänencontroller installiert werden.

Die Installation kann auch nur auf einem Server erfolgen, dann mit Sysprep ein „Miniimage“ erstellen und auf die anderen beiden Server verteilen. Sysprep ist wichtig, da somit wieder eine neue SID für jeden Server generiert wird.

Ist die Installation des IIS-Dienstes mit vorgesehen, z.B. beim Einsatz von WSUS, dann sollte dies erst geschehen, wenn der Server „richtig“ fertig ist. Denn bei der Installation werden zwei neue Benutzer für den anonymen Zugang zu den Internetinformationsdiensten (IUser_[Servername] und IWAM_[Servername]) erstellt. Würde IIS vor dem Image installiert werden, dann gibt es dreimal denselben Benutzer – nicht wirklich ratsam! Eine Umbenennung der Benutzer ist ebenfalls möglich, aber weitere Einstellungen an verschiedenen Stellen sind anzupassen und daher mühselig.

Bevor mit dem Austausch begonnen werden kann, ist es ratsam, bei den bestehenden Servern ein Vollbackup durchzuführen.

Kurzanleitung - Der einfachste und schnellste Weg

Achtung: Eine Umbenennung von Domänencontrollern ist nur möglich, wenn die Domänenfunktionsebene „Windows Server 2003“ ist.

  • alle drei Server zu zusätzlichen Domänencontrollern der Domäne heraufstufen
  • FSMO-Rollen an einen bestimmten neuen DC übertragen, andernfalls werden beim Herunterstufen die FSMO-Rollen an einen beliebigen anderen Domänencontroller übertragen
  • mind. einen neuen DC zum Global Catalog Server machen
  • alte Domänencontroller herunterstufen und aus dem Netz nehmen
  • IP-Adresse und Servername der neuen Server anpassen
  • die neuen Namen im DNS und im Active Directory hinzufügen
  • Replikation in alle AD-Standorte und Dienste überprüfen und anpassen
  • zusätzliche Dienste installieren und anpassen

Wichtig: Wenn der DC der Zweigniederlassung am Standort der Hauptniederlassung zu einem Domänencontroller heraufgestuft wird, dann muss dieser manuell in den Standort seines Subnetzes verschoben werden (bei mir wäre das der Standort „Zweigniederlassung“).

©MCSEboard.de, Ulf Kirsten

Umzug Windows 2003 DC auf neue HardwareTeil 2 - Austausch H-DC2