Windows: Active Directory-Migration von Windows Server 2012 Essentials zu Windows Server 2019 Standard

Bei einem Neukunden haben wir einen Windows Server 2012 Essentials in nicht gerade all zu gutem Zustand vorgefunden. Bevor nun zum einen die Hardware komplett die Grätsche macht, den Geist aufgibt oder wie man es sonst noch nennen mag und uns weitere Macken der Essentials-Umgebung das Administrator-Leben schwer machen, sollte der Server ausgetauscht werden.

Der Ablauf ist eigentlich wie bei jeder Active Directory-/Domänencontroller-Migration:

  • Den neuen Server, inkl. aller aktueller Updates, installieren.
  • Über den Server-Manager oder die Powershell die „Active Directory-Domänendienste“ hinzufügen.
  • Den neuen Server in die Domäne aufnehmen.
  • Zum Domänencontroller hochstufen.
  • Die FSMO-Rollen verschieben. Dazu in der Powershell folgenden Befehl ausführen:
    Move-ADDirectoryServerOperationMasterRole -Identity <NeuerDC> -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

    Die Sicherheitsabfrage entsprechend bestätigen.

  • Nach erfolgtem Verschieben der FSMO-Rollen den Status prüfen. In einer Eingabeaufforderung folgenden Befehl ausführen:
    netdom query fsmo

    Ferner in den Ereignisprotokollen nachsehen, ob Warnungen oder Fehler aufgetreten sind!

  • Bevor man den alten Server herunterstufen und aus der Domäne entfernen kann müssen zunächst die „Active Directory-Zertifikatsdienste“ samt aller Komponenten entfernt werden. Von der Reihenfolge her muss erst die „Zertifikatsstellen-Webregistrierung“ und dann die gesamte Rolle entfernt werden. Ein Neustart ist an dieser Stelle zwingend notwendig.
  • Den alten Server über den Server-Manager oder die Powershell herunterstufen.
    Tipp: Das Herunterstufen kann man in der Powershell testen:

    Test-ADDSDomainControllerUninstallation
  • Den alten Server aus der Domäne entfernen.
  • Optional: Die Domänenfunktionsebenen heraufsetzen.

Vor- und/oder Nacharbeiten

Geht man von einer Essentials-Umgebung weg, sollte man auf den Arbeitsplätzen den „Windows Server Essentials Connector“ deinstallieren.

In den Benutzerobjekten sollte die Pfade zu Basis- und Profil-Ordnern überprüft und ggf. geändert werden.

Ferner sollte man die Gruppenrichtlinien-Objekte mal durchschauen, ob Server-spezifische Einstellungen vorhanden sind. Beispiele dafür sind Netzlaufwerke, Netzwerkdrucker, WSUS, usw.

Gleiches gilt für DHCP und DNS.

Troubleshooting

Während der Migration mussten wir feststellen, das auf dem neuen Domänencontroller zunächst die Freigaben „NETLOGON“ und „SYSVOL“ fehlten. Dies kann passieren, wenn man die Replikation noch nicht abgewartet hat oder, sofern das gesamte Netzwerk schon etwas älter ist, beispielweise ursprünglich mal von Windows 2000 Server oder Windows Server 2003 migriert wurde und anschl. beim Wechsel auf Windows Server 2012 nicht von DFS auf DFRS umgestellt wurde.

Letzteres war hier nicht der Fall, ersteres schon eher. Jedenfalls half es auf dem alten Server den Anweisungen aus dem Ereignis 2213 zu folgenden und etwas zu warten.

Nachdem der alte Server weg war tauchten immer noch Meldungen im Ereignisprotoll der DFRS-Replikation auf. Ein Blick unter

Active Directory-Standorte und -Dienste - Sites - Default-First-Site-Name - Server

offenbarte, das doch noch ein Rest vorhanden war. Dort den alten Server entfernt und etwas Geduld mitgebracht tauchten (bislang) keine neuen Fehlermeldungen mehr auf.

Randbemerkung

Mit diesem Wechsel hat sich dann auch die etwas unschöne Sache mit dem „Nicht-Ändern-können“ der Kennwortrichtlinie erledigt. Beim Essentials geht das entweder über das Dashboard oder die GPO. Leider klappe beides nicht. Das Dashboard meldete zwar immer Erfolg. In der GPO kam das allerdings nicht an.

Ein direktes Ändern mittels GPO, ganz gleich ob mit einer neuen Richtlinien oder beim Editieren einer Bestehenden, endete immer mit folgender Fehlermeldung:
Das Objekt, also die Datei genau genommen, ist im übrigen vorhanden und andere Einstellungen kann man auch erfolgreich vornehmen.

Quellen:

Microsoft TechNet Foren – Trying to migrate a domain from Server 2012 R2 Essentials to a new Server 2019 Standard server

Microsoft Tech Community – How to Migrate Active Directory from Windows Server 2012 R2 to 2019 

Andreas‘ Blog – SYSVOL-Migration von FRS auf DFSR

Dimitris Tonias – Demote a Windows Server 2016 Domain Controller

Microsoft Docs – Schritt 6: Tieferstufen und Entfernen des Quellservers aus dem neuen Windows Server Essentials-Netzwerk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.