52106
Goto Top

Alter DC wegen Defekt nicht mehr vorhanden was passiert mit FSMO Rollen?

Guten Tag, habe folgendes Problem: Eine Domäne mit zwei Win2k DC's. Einer dieser beiden DC's (das war der erste in der Domäne) hatte einen nicht reparablen Hardwaredefekt (war auch schon 6 Jahre alt). Jetzt habe ich einen neuen Win2k3 Server, der im Moment nur als Memberserver dient. Aufgrund der von mir gewünschten AD-Sicherheit hätte ich gerne mein AD wieder auf beiden Servern vorhanden. Wenn ich jetzt den Win2k3 Server mit DCPROMO zum DC hochstufe, kann es da zu irgendwelchen Problemen kommen? Oder muss ich was beachten?

Content-Key: 102267

Url: https://administrator.de/contentid/102267

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: napperman
napperman 20.11.2008 um 12:49:21 Uhr
Goto Top
Das wird so wohl nicht funktionieren. Der erste DC ist ja nicht mehr da, woher soll der neue also replizieren? Du wirst die FSMO Rollen auf den 2. DC übertragen müssen (siehe http://www.ralphschoell.de/index2.php?option=com_content&do_pdf=1&a ... )
Dann hast Du wieder einen PDC. Erst danach würde ich den neuen Server hochpromoten.
Achtung: Der Servername des defekten Servers darf nie mehr in der Domain verwendet werden!!!
Mitglied: 52106
52106 20.11.2008 um 13:28:45 Uhr
Goto Top
Ok der Name des ersten DC's wird nicht mehr in der Domäne erscheinen. Soll ich dann die FSMO Rollen per Befehle "SEIZE" auf den 2. DC übetragen, weil der 1. DC ja nicht mehr vorhanden ist. Deswegen würde der Befehl "Transfer" mit ntdsutil nicht funktionieren.
Mitglied: napperman
napperman 20.11.2008 um 13:36:32 Uhr
Goto Top
Genau, für Transfer müsstest Du duch ja am 1.DC anmleden, das geht ja nicht mehr.
Mitglied: napperman
napperman 20.11.2008 um 13:38:23 Uhr
Goto Top
Hier nochmal der KB von MS:
http://support.microsoft.com/kb/255504
Mitglied: 52106
52106 20.11.2008 um 13:52:33 Uhr
Goto Top
Ja den Beitrag hatte ich mir schon durchgelesen, wollte nur ein feedback von jemanden haben der vielleicht ein ähnliches Szenario schon mal gehabt hat.

Vielen Dank!!! face-wink
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 20.11.2008 um 13:53:52 Uhr
Goto Top
Salut,

Wenn ich jetzt den Win2k3 Server mit DCPROMO zum DC hochstufe,
kann es da zu irgendwelchen Problemen kommen? Oder muss ich was beachten?

nein, Probleme bekommst du dadurch kein, WENN du an alles denkst. face-wink
Die FSMO-Rollen müssen natürlich vorher auf einem Windows 2000 DC noch existieren.

Zu allererst sollte ein /aktuelles/ sowie natürlich funktionierendes Backup vom System State existieren.

Du musst im ersten Schritt das Active Directory-Schema aktualisieren bzw. auf Windows Server 2003 vorbereiten. Dazu führst du das Tool ADPREP von der Windows Server 2003 CD aus. Falls die neue Maschine ein Windows Server 2003 --> R2 <-- sein sollte, beachte bitte, dass du das ADPREP von der zweiten R2 CD verwendest. Denn das ADPREP bei R2 befindet sich auf beiden CDs.

[Yusuf`s Directory - Blog - Schemaupdate beim Windows Server 2003 R2]
http://blog.dikmenoglu.de/PermaLink,guid,111a653b-29bb-4afe-8b3c-a9bb6f ...

Du führst das ADPREP mit dem Parameter /FORESTPREP auf deinem 2000er Schema-Master aus. Anschließend führst du ADPREP mit den Parametern "/DOMAINPREP /GPPREP" auf dem Infrastruktur-Master in der Domäne aus, in der du den neuen Server hinzufügen möchtest.

Danach füge den neuen Server als "zusätzlichen Domänencontroller einer bereits existierenden Domäne" hinzu. Deine Forward Lookup Zone (FLZ) im DNS sollte auf deinem 2000er DC idealerweise AD-integriert gespeichert sein und "Nur sichere" Updates zulassen".

Wenn die FLZ im AD gespeichert ist, erleichtert dir die Replikation das Leben ein wenig.

[Yusuf`s Directory - Blog - Einen zusätzlichen DC in die Domäne hinzufügen]
http://blog.dikmenoglu.de/PermaLink,guid,17ede6c6-8670-478e-8560-68a544 ...


In den TCP/IP Einstellungen des neuen Servers trägst Du als ersten und einzigsten DNS den bestehenden 2000er DC ein.
Erst wenn die Replikation stattgefunden hat, kannst du die DNS-Server Einstellung verändern.

[Yusuf`s Directory - Blog - Welcher DNS-Server sollte eingetragen werden ?]
http://blog.dikmenoglu.de/PermaLink,guid,24f40242-9e27-4bff-b8dd-56926a ...

Somit hast Du das AD und DNS auf Deinen neuen DC "gesichert".


Dann solltest Du die 5 FSMO-Rollen auf den neuen DC noch verschieben:

[Yusuf`s Directory - Blog - Die FSMO-Rollen verschieben]
http://blog.dikmenoglu.de/PermaLink,guid,b0641d19-fa8b-4aa2-8732-aea54c ...


Zusätzlich solltest Du den neuen DC zum GC deklarieren.
Dieses kannst Du in dem Snap-In "Standorte- und Dienste" in dem jeweiligen Standort, auf Deinem Server - in den Eigenschaften der NTDS-Settings den Haken bei "Globaler Katalog" setzen.

[Yusuf`s Directory - Blog - Globaler Katalog (Global Catalog - GC)]
http://blog.dikmenoglu.de/PermaLink,guid,3dc2b382-f818-45ce-bcd2-f86922 ...


Was sonst noch alles zu beachten ist und wie du die einzelnen Dienste übernehmen kannst, erfährst du aus diesem Artikel:

[Yusuf`s Directory - Blog - Den einzigen Domänencontroller austauschen]
http://blog.dikmenoglu.de/PermaLink,guid,0f062c72-4b37-4db2-9f0e-af3fa8 ...


Zum Schluss noch eine Empfehlung: Wenn möglich, sollten in jeder Domäne zwei DCs existieren.


Viele Grüße
Yusuf Dikmenoglu