matthias.hue
Goto Top

Active Directory - Upgrade oder Migration?

Sehr geehrte Community und IT-Kollegen,

wir sind derzeit an der Umstrukturierung unserer IT-Infrastruktur und planen dieses Jahr noch das AD auf 2012 R2 homogen zu bekommen.
Wie sehen andere "Profis" die Thematik.
Wir haben unsere Domänen über die Jahre von NT auf 2003 (aktuell) immer wieder upgedatet.
D.h. einen neuen Server in die Domäne gehängt und als DC promoviert.

Wir möchten dieses Jahr noch unsere AD-Strukturen auf eine homogene Landschaft von 2012 R2 hochstufen.

Nach diversen Empfehlungen von Consultingfirmen und Workshops der letzten Monate haben wir immer wieder die Mitteilung bekommen, unser AD auf 2012R2 mittels Migration zu bekommen - Sprich das ganze soz. neu aufzusetzen um die Altlasten nicht mehr mit zu nehmen.

Nun ja, das ist ja alles schön und gut, aber bedeutet sehr viel Aufwand. D.h. GUID-SID´s der Objekte migrieren auf die neue parallele grüne Wiese Landschaft, Filefreigaben und Co. prüfen, etc. pp.

Wie steht Ihr zum Thema Upgrade der jetzigen 2003er AD-Struktur auf 2008R2 und dann auf 2012R2 mittels "Gesamtfunktionsebene" heraufstufen...
JA man nimmt die Altlasten der NT Zeit mit, ist das nun wirklich so schlimm?

Bin gespannt auf eure Kommentare und freue mich darauf.

Mit freundlichen Grüßen,
Matthias Hüttinger

Content-Key: 269912

Url: https://administrator.de/contentid/269912

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: wiesi200
wiesi200 22.04.2015 um 14:50:12 Uhr
Goto Top
Hallo,

wollten die Consultingfirmen daran was verdienen das die die Migration selber machen bzw. das ganze danach warten?

Also meiner Meinung nach wenn das AD sauber läuft, warum dann neu aufsetzen.
Mitglied: emeriks
emeriks 22.04.2015 um 14:57:44 Uhr
Goto Top
Hi,
Also mir fällt spontan kein Grund ein, warum Ihr nicht weiter den Upgrade-Weg gehen solltet. Diese Spinnereien höre und lese ich so oft: "mit einem sauberen AD neu anfangen". Wenn man es in der Vergangenheit nicht auf die Reihe bekommen hat, das AD "sauber" zu halten, dann bekommt man das in Zukunft höchstwahrscheinlich auch nicht hin, es sein denn, man lernt es endlich oder hat es inzwischen gelernt. Oder man lässt die Finger davon.
Was sollen denn "Altlasten der NT Zeit" sein, welche hier in irgendeiner Weise stören könnten? Das einzige, was mir spontan einfällt, wäre der NetBIOS-Domänenname, welcher (seit der ersten Migration von NT4 nach Win2000) möglicherweise nicht mehr zum DNS-Namen "passt". Falls ja und wenn das denn sooo kritisch ist: Bitte - wer keine Arbeit hat ...

Also: Wenn es keinen konkreten, objektiven Grund gibt, mit einer neuen Domain oder gar neuem Forest anzufangen, dann klare Antwort: Nein zur Migration. Ja zum Upgrade.

Natürlich muss man bei allen beteiligten Systemen (Applikationen wie Geräte) auf Kompatibilität und ggf. auf deren Upgradepfade achten. Da ist die AD-Funktionsebenen ein wichtiger Punkt. Wenn man sich nicht sicher ist, ob alle beteiligten Systeme mit einer höheren Funktionsebene (Domain und/oder Forest) als aktuell klar kommen, dann muss man diese zunächst auch nicht zwangsläufig anheben. Anheben muss man nur, wenn man bestimmte Funktionalitäten im AD benötigt, wie z.B. dem AD-Papierkorb, oder wenn bestimmte Systeme das erfordern.

E.
Mitglied: matthias.hue
matthias.hue 22.04.2015 um 15:05:48 Uhr
Goto Top
Hallo emeriks, Hallo wiesi200,

vielen Dank für eure bereits konstruktiven Meinungen.
Zur Thematik, ja klar wollen die Consulter natürlich daran verdienen.
Zur Beschreibung von Ihnen emeriks, wir haben auch nicht wirklich Lust und auch die Zeit (personellen Ressourcen) um eine Migration auf eine neue AD-Domäne selbst bewerkstelligen zu können.

Ich wollte mit diesem Post generell auch nochmals ein Diskussions-Thema ins Leben rufen, da ich über Google nur einige wenige interessante englisch sprachige Threads zu lesen bekommen habe, ohne sachliche und konstruktive Meinungen hierzu.

Ich bin mal noch auf weitere Posts gespannt.

Vielen Dank für Ihre Meinungen.
Mitglied: wiesi200
wiesi200 22.04.2015 um 15:19:02 Uhr
Goto Top
Zitat von @matthias.hue:

Hallo emeriks, Hallo wiesi200,

vielen Dank für eure bereits konstruktiven Meinungen.
Zur Thematik, ja klar wollen die Consulter natürlich daran verdienen.

Und das ist der Punkt, bei einer Migration ohne die Tücken des ganzen Netzwerks zu kennen ist das für die ein nicht kalkulierbare Risiko.
Bei einer neu Anlage können die Sagen das ist so und so viel Arbeit und verdienen ihr garantiertes Geld daran.
Mitglied: Dani
Dani 22.04.2015 um 22:17:15 Uhr
Goto Top
@emeriks
Wenn man es in der Vergangenheit nicht auf die Reihe bekommen hat, das AD "sauber" zu halten, dann bekommt man das in Zukunft höchstwahrscheinlich auch nicht hin, es sein denn, man lernt es endlich oder hat es inzwischen gelernt. Oder man lässt die Finger davon.
Naja, oft haben auch die Vorgänger einfach gemacht was Sie wollten, z.B. Schemaerweiterungen für benutzerdefinierte Attribute. Das kannst du nicht rückgängig machen. Genauso wurde evtl. ein DC nicht sauber heruntergestuft und deinstalliert. Also wäre ein Metadata Cleanup sinnvoll.

@matthias.hue
An deiner Stelle würde ich erst einmal die Ereignisanzeigen aller DCs anschauen und evtl. Fehler/Warnungen aufarbeiten und ggf. beheben. Parallel oder Danach das Tool Active Directory Replication Status Tool laufen lassen. Dann wäre das Thema Replikation klar. Außerdem im DNS-Server jeweils Forward/ReverseZonen kontrollieren und alte/falsche Einträge entfernen. Grundsätzlich auch Dokumentieren, welcher DC die FSMO-Rollen besitzt, wer DNS und GC ist.

Falls ihr noch einen Exchange 2003 im Einsatz habt, muss dieser zuerst migriert werden, bevor der letzte DC mit Windows Server 2003 aus der Domäne entfernt wird. Ansonsten funktioniert dein Exchangeserver nicht mehr.

Grundsätzlich ist auch zu überlegen, ob man Die Datenbank + Protokolle und Sysvol auf dem Betriebssystemlaufwerk, wie die Standardkonfiguration leider ist, liegen lässt. Wir nutzen inzwischen eine separate Partion auf der nur diese 3 Dinge liegen. Denn Windows Updates oder Fehlerreports können schnell die Festplatte voll machen und in diesem Moment stellt der DC seine Arbeit ein.

mittels "Gesamtfunktionsebene" heraufstufen...
Das würde ich erst machen, wenn alles 2-3 Wochen problemlos funktioniert. Denn ein Downgrade ist ohne weiteres nicht mehr möglich.


Gruß,
Dani