qandat
Goto Top

Kann man einen Server 2012R2 als DC in einer Server 2008R2 DC Domäne betreiben?

Hallo zusammen,

auch nach viel Recherche bin ich mir nicht zu 100% sicher. Daher die Frage:

Kann man einen Server 2012R2 als DC in einer Domäne betreiben, ohne "alles" auf Server2012R2 heraufzustufen? Die Server2008R2 DCs sollen erst mal weiter primäre DCs bleiben. Müssen Domänenschema auf Version 69 (Windows Server 2012 R2) und die Domain Revision auf Revision 9 (Windows Server 2012 R2) heraufgestuft werden? Gibt es dann Probleme mit den primären 2008R2 DCs?

Derzeitiger Stand
Zwei Standorte

3x DCs Windows Server 2008 R2
1x Exchange Server 2010 Service Pack 3 - Update Rollup 6 (eigenständiger Server mit Windows Server 2008 R2, KEIN DC)
Xx Server 2003
Xx Server 2008R2
Xx Server 2012R2 (keine DCs)

Domänenfunktionsebene: Windows Server 2008 R2
Gesamtstrukturfunktionsebene: Windows Server 2008 R2
Domänenschema: Version 47 -> Windows Server 2008 R2
Domain Revision: Revision 5 -> Windows Server 2008 R2

Wenn ich es richtig verstehe müssen Domänenschema und Domain Revison hochgezogen werden, bevor ein Server 2012R2 als DC eingesetzt werden kann, oder? Sind euch da Probleme bekannt z.B. in Bezug auf Exchange oder den alten Server 2003? Sollte eigentlich ja kein Problem sein.

Content-Key: 312857

Url: https://administrator.de/contentid/312857

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: Winary
Winary 17.08.2016 aktualisiert um 14:50:27 Uhr
Goto Top
Hallo,

da man auch heute noch von Server 2003 auf 2012 migrieren kann, gibt es dahingehend keine Inkompatibilitäten. Die Gesamtstruktur-Funktionsebene muss mindestens 2003 sein.

Die primären DC machen keine Probleme, solange sie auf dem aktuellen Update-Stand sind. Jedenfalls sind mir bis dato keine bekannt.

Warum sollen sie primär bleiben? Du kaufst dir doch kein neues Auto nur um mit deinem alten weiter zu fahren. face-smile

Edit: Die Funktionsebene muss auch nicht auf 2012 angehoben werden, wenn du die paar neueren Funktionen davon nicht nutzen willst. Es hat mehr diesen 2012-ist-jünger-als-2008-Effekt. face-smile Also größtenteils beruhigt das nur das Seelenheil.

Grüße Winary
Mitglied: Dani
Dani 17.08.2016 um 15:34:36 Uhr
Goto Top
Moin,
Die Server2008R2 DCs sollen erst mal weiter primäre DCs bleiben.
Primäre DCs gibt es seit Windows 2000 nicht mehr. Du meinst sicherlich die FSMO-Rollen. face-smile

Wenn ich es richtig verstehe müssen Domänenschema und Domain Revison hochgezogen werden, bevor ein Server 2012R2 als DC eingesetzt werden kann,
Das übernimmt, wenn notwendig, der Assistent. Mircosoft hat dazu einen guten Artikel veröffentlicht.


Gruß,
Dani
Mitglied: QandAt
QandAt 17.08.2016 aktualisiert um 16:08:14 Uhr
Goto Top
Hallo / Moin,

@Winary
Das klingt beruhigend. Die DCs sind alle auf dem aktuellen Patch Level.
Primär sollen sie bleiben, weil hier von den anderen Admins Probleme befürchtet werden. Wie ein Post drunter steht ist "Primär" jetzt wohl "nur noch" die FSMO-Rollen bzw Betriebsmaster. Diese können ja auf dem "HauptDC" bleiben und müssen nicht auf den 2012er übertragen werden.

Kann es denn Probleme z.B. für irgendwelche Software geben, wenn man die Funktionsebene auf 2012R2 heraufstuft? Mir sind keine bekannt, deswegen frage ich ins blaue hinaus.


@Dani
Ja, habe es gerade bemerkt. Wie oben geschrieben können die FSMO-Rollen bzw. Betriebsmaster ja auf dem "HauptDC" bleiben und müssen nicht auf den 2012er übertragen werden.

Welchen Assistenten meinst du? Wenn man ein Inplaceupgrade (2008R2 CD auf 2012R2) macht? Das wollten wir ja nicht machen. Oder meinst du den Assistenten wenn man die Active Directory Directory Services Rolle ausrollt?

Dank und Gruß
Mitglied: Dani
Dani 17.08.2016 aktualisiert um 16:19:05 Uhr
Goto Top
Moin,
Welchen Assistenten meinst du? Wenn man ein Inplaceupgrade (2008R2 CD auf 2012R2) macht? Das wollten wir ja nicht machen. Oder meinst du den Assistenten wenn man die Active Directory Directory Services Rolle ausrollt?
Sorry, zweideutig geschrieben. Ich meinen zweiteres.
6052.add2012dcto2003l

Kann es denn Probleme z.B. für irgendwelche Software geben, wenn man die Funktionsebene auf 2012R2 heraufstuft? Mir sind keine bekannt, deswegen frage ich ins blaue hinaus.
Ja durchaus möglich. Nils hat das Thema ausführlich im Blog zusammengefasst. Wir testen im Regelfall solche Dinge vorab in einer Kopie der Domäne samt kritischen/wichtigen Serverdienste. Wenn dort keine Probleme festgestellt werden wird das Ganze im produktiven Netzwerk umgesetzt.


Gruß,
Dani
Mitglied: Winary
Winary 18.08.2016 um 08:17:38 Uhr
Goto Top
Zitat von @QandAt:
Kann es denn Probleme z.B. für irgendwelche Software geben, wenn man die Funktionsebene auf 2012R2 heraufstuft? Mir sind keine bekannt, deswegen frage ich ins blaue hinaus.

Das muss man pauschalisieren. Es kann immer etwas passieren. Das ist aber je nach Umgebung und eingesetzter Software verschieden. Es gibt Software, die ein gewisses Schema voraussetzen und/oder etwas daran verändern/hinzufügen. Aber mir wäre neu, dass eine Schema-Erweiterung, was ja eine Heraufstufung der Funktionsebenen zur Folge hat, am alten Schema irgendetwas ersetzt, sodass es Auswirkungen auf bestehende Software hätte. Dafür lege ich aber nicht die Hand ins Feuer; es ist mir nur bisher noch nicht untergekommen.
Mitglied: QandAt
QandAt 18.08.2016 um 09:30:24 Uhr
Goto Top
Moin,

@ Dani, Witzigerweise habe ich den Artikel vor meinem Post hier schon gelesen ;).
Die Möglichkeit mit der Kopie der Domäne haben wir leider nicht. Ich habe aber mal das Schema exportiert und konnte bis auf zwei Stellen alles auch MS zustufen (2003 auf 2008R2, Exchange 2007 auf 2010 auf 2013, wobei der 2013 dann nicht genutzt wurde).

@Winary, das stimmt, zu den Ergebnissen bin ich bei meiner Recherche bisher auch gekommen.
Mitglied: Dani
Dani 18.08.2016 um 09:53:11 Uhr
Goto Top
@Winary
Dafür lege ich aber nicht die Hand ins Feuer; es ist mir nur bisher noch nicht untergekommen.
Gute Entscheidung, sonst wärst du bereits eine Hand los. face-wink Wir haben solch eine Software z.B. im Einsatz. Ob es aber "nur" eine Schemaabfrage ist, welches blockiert oder auch einen technischen Hintergrund hat, konnte bisher keiner verbindlich sagen.


Gruß,
Dani
Mitglied: rzlbrnft
rzlbrnft 18.08.2016 um 10:24:55 Uhr
Goto Top
Zitat von @QandAt:
Kann es denn Probleme z.B. für irgendwelche Software geben, wenn man die Funktionsebene auf 2012R2 heraufstuft? Mir sind keine bekannt, deswegen frage ich ins blaue hinaus.

Das ist für dich eh erst relevant, wenn du die 2008er Server als DCs entsorgst, denn vorher kannst du gar nicht hochstufen.
Mitglied: QandAt
QandAt 22.08.2016 um 09:31:41 Uhr
Goto Top
Vielleicht kann mich jemand von euch noch einmal unterstützen. Es geht um zwei Dinge im Schema, die ich nicht 100%ig zuweisen kann. Vielleicht könnt ihr mir sagen, ob diese bei euch existieren.

Ich gehe davon aus, dass dieser Eintrag neu erstellt wurde:
DN	CN=LastLogonComputer,CN=Schema,CN=Configuration,DC=TeleTeam,DC=local
objectClass	attributeSchema
whenCreated	20121126103144.0Z
whenChanged	20121126103144.0Z
attributeID	1.2.840.113556.1.8000.2554.43462.50066.52527.18438.39034.5517919.16316584.2
isSingleValued	TRUE
lDAPDisplayName	lastLogonComputer
name	LastLogonComputer
objectCategory	CN=Attribute-Schema,CN=Schema,CN=Configuration,DC=DOMÄNENNAME,DC=local
subClassOf	
governsID	
mayContain	
mustContain	
description

Und dieser Eintrag wurde anscheinend zumindest modifiziert:
DN	CN=User,CN=Schema,CN=Configuration,DC=DOMÄNENNAME,DC=local
objectClass	classSchema
whenCreated	20051109234239.0Z
whenChanged	20121126103629.0Z
attributeID	
isSingleValued	
lDAPDisplayName	user
name	User
objectCategory	CN=Class-Schema,CN=Schema,CN=Configuration,DC=DOMÄNENNAME,DC=local
subClassOf	organizationalPerson
governsID	1.2.840.113556.1.5.9
mayContain	lastLogonComputer;msExchOriginatingForest;msExchIMAPOWAURLPrefixOverride;kMServer;msExchConferenceMailboxBL;msExchResourceProperties;msExchResourceGUID;msExchControllingZone;msExchQueryBaseDN;msDS-SourceObjectDN;msSFU30NisDomain;msSFU30Name;x500uniqueIdentifier;userSMIMECertificate;userPKCS12;uid;secretary;roomNumber;preferredLanguage;photo;labeledURI;jpegPhoto;homePostalAddress;givenName;employeeType;employeeNumber;displayName;departmentNumber;carLicense;audio
mustContain	
description

An und für sich dürften diese aber keine Probleme bereiten, oder?
Mitglied: rzlbrnft
rzlbrnft 22.08.2016 um 09:38:23 Uhr
Goto Top
Was das ist steht doch recht schön bei "name".
1) Attributsbeschreibung LastLogonComputer, also wann sich ein PC das letzte mal angemeldet hat
2) Klasse "user". Die wurde bei der Installation des Exchange modifiziert.
Das sind Active Directory Standardeinträge.
Mitglied: QandAt
QandAt 22.08.2016 um 10:10:54 Uhr
Goto Top
Hallo rzlbrnft,

ja, nur wurden diese 2012 geändert, da wurde nichts bewusst umgestellt und diese Beiden Einträge sind auch die einzigen von 2012. Aber ein Programmierer wollte für eine Anwendung zusätzliche Felder und das war in dem Jahr. Deswegen glaube ich, dass dies die zusätzlich angelegten / Editierten sind. Wäre super wenn das jemand von euch eben prüfen könnte, ob ihr die Felder habt und unter mayContain auch ungefähr das selbe drin steht.
Mitglied: rzlbrnft
rzlbrnft 23.08.2016 um 09:11:52 Uhr
Goto Top
Hab mal nachgeschaut, LastLogonComputer gibts bei uns in einer 2012 R2 Domain nicht, stattdessen existiert ein Logon-Workstation.
User sieht bis auf das zusätzliche LastLogonComputer genauso aus, das war wohl vermutlich die einzige Änderung.

Schätze mal das jemand ein GPO Script oder ähnliches geschrieben hat, das bei der Anmeldung eines Users die Workstation da reinschreibt.
Mitglied: Winary
Winary 23.08.2016 um 15:16:02 Uhr
Goto Top
LastLogonComputer habe ich auch noch nie gesehen. Nur LastLogonDate als Property von Get-ADComputer unter Powershell.

Zitat von @rzlbrnft:
Schätze mal das jemand ein GPO Script oder ähnliches geschrieben hat, das bei der Anmeldung eines Users die Workstation da reinschreibt.

Klingt plausibel, aber ein wenig übertrieben für sowas am Schema herumzubasteln. Ich meine dafür gibt es genügend Tools.
Mitglied: QandAt
QandAt 24.08.2016 um 08:09:14 Uhr
Goto Top
@ rzlbrnft
vielen Dank fürs nachschauen. Ja das kommt hin, wurde aber dann nie verwendet.
Die Frage ist, gibt das Probleme bei einem Schemeupdate, vor allem das zweite, was erweitert wurde?

@ Winary, auch dir danke fürs schauen.
Mitglied: Dani
Dani 24.08.2016 um 11:27:07 Uhr
Goto Top
Moin,
solange kein anderes Produkt bei einer Schemaerweiterung den gleichen Namen nutzen möchte, passiert erstmal nichts.
Zukünftig aber solche Felder deutlich nennen z.B. custBlublba. Microsoft stellt gerne ms an den Namensanfang.


Gruß,
Dani