Windows: Active Directory von Windows Server 2012 R2 zu Windows Server 2022 migrieren

So langsam aber sicher müssen die letzten Windows Server 2012 mit und ohne R2 migriert werden, da in absehbarer Zeit der Extended Support endet.

Am 10. Oktober 2023 ist Schluss mit Sicherheitsupdates und Support. Bereits seit geraumer Zeit unterstützen verschiedene Software-Anbieter diese mittlerweile veraltete Windows Server-Ausgabe zudem nicht mehr. Für zusätzlichen Unmut sorgte Microsoft im Oktober 2021 selbst mit der Änderung der Treiber-Richtlinien, was dazu führte das beispielsweise die Virenscanner-Engine von Securepoint Antivirus Pro nicht mehr aktualisiert werden kann.

Dieser Beitrag beruht auf der Migration eines Windows Server 2012 R2 Foundation zu einem Windows Server 2022 Standard und er handelt lediglich von der Migration der Active Directory-Domänendienste.

Voraussetzungen

  • Den neuen Server, inkl. aller aktueller Updates, installieren.
  • Über den Server-Manager oder die PowerShell die “Active Directory-Domänendienste” hinzufügen.
  • Den neuen Server in die Domäne aufnehmen und
  • zum Domänencontroller hochstufen.

FSMO-Rollen verschieben

Die FSMO-Rollen werden in der PowerShell mit folgendem Befehl verschoben:

Move-ADDirectoryServerOperationMasterRole -Identity <Computername - NICHT FQDN - des neuen DCs> -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

Die Sicherheitsabfrage entsprechend bestätigen.

Einen Moment später kann man in der Eingabeaufforderung mit

netdom query fsmo

prüfen, welcher Domänencontroller die FSMO-Rolle(n) inne hat. In der PowerShell wären das die Befehle

Get-ADForest

und

Get-ADDomain

Den alten Server herunterstufen

Bevor man den alten Server real herunterstuft, kann der Vorgang in der PowerShell mit

Test-ADDSDomainControllerUninstallation

simuliert bzw. geprüft werden. Kommt es hierbei zu dem Fehler

"Test-ADDSDomainControllerUninstallation : Es wurde kein Positionsparameter gefunden, der das Argument "LocalAdministratorPassword bestätigen" akzeptiert.
In Zeile:1 Zeichen:1"

dann muss der Befehl so aussehen:

"Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "Kennwort" -AsSecureString)".

Troubleshooting

Keine Migration ohne Überraschungen möchte man fast sagen, denn in diesem Fallbeispiel blieben Reste zurück. So fanden sich Verweise auf den alten Domänencontroller im DNS und unter

Active Directory-Standorte und -Dienste - Sites - Default-First-Site-Name - Server

Diese kann man manuell entfernen.

Quelle

Microsoft – Lifecycle – Products – Windows Server 2012

Active Directory Pro – How to Quickly check FSMO roles

TECHfaq – FSMO Rollen anzeigen

WindowsPro – Domänen-Controller herabstufen unter Server 2016 / 2019 via GUI und PowerShell

Datacenter Insider – Herabstufen eines Domänencontrollers

10 Kommentare

  1. Steffen

    Du schreibst, dass du von Windows Server 2012 R2 Foundation zu einem Windows Server 2022 Standard migriert hast. Ist das denn überhabt möglich? Laut meinen Infos ist nur 1 DC bei Foundation möglich.
    Hast du das denn IRL durchgeführt?

  2. Andy

    Ja, das funktioniert, sonst gäbe es diesen Beitrag nicht 😉 Sogar IRL, in Farbe und bunt. Die Foundation-Einschränkungen spielen für die Migration keine Rolle. Ich musste im Laufe der Jahre bereits mehrfach von Foundation, SBS und Essentials zu Standard migrieren. I.d.R. ist das keine große Sache.

  3. Lollo

    In-Place Upgrade Server 2012 R2 Foundation auf Server 20xx Standard bei gewünschter
    weiterer Nutzung der vorhandener Hardware und möglicherweise installierten Programme und Daten auf dem
    altem System.

    IN-Place-Upgrade Server 2012 R2 Foundation auf Server 20xx Standard? Das geht nicht, ist auch von Microsoft nicht vorgesehen. Und tatsächlich bricht das Setup des frisch gekauften Server 20xx Standard beim Upgrade-Versuch ab. Und nun? Haben alle Experten doch recht gehabt? Hier ein möglicher Ansatz….

    Problem:

    Wenn man die Domänenrollen umzieht, hat man zwar das “Anmelde-System” von Windows umgezogen doch
    meistens ist das doch bei einem ALL-IN-ONE-System nur die halbe Wahrheit? Da gibt es dann
    noch die ganzen Daten der User und vielleicht noch die eine oder andere tolle Anwendungssoftware die dort
    schlummert und gerne auch weiter mitspielen will oder unbedingt muss?? Hier setzt diese Lösung an.

    Lösung:

    Das Windows Server Setup checkt beim Inplace-Upgrade zwei Registry Keys

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionProductName

    und

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionEditionID

    Bei einem Windows Server 2012 R2 Standard steht hier:

    ProductName=Windows Server 2012 R2 Standard

    EditionID=ServerStandard

    Durch simplen Austausch dieser beiden Werte beim Foundation-Server kann man das Inplace-Upgrade direkt und sogar ohne Neustart erfolgreich durchführen.

    Da es sich bei dem Foundation-Server um einen zwanghaften Domänencontroller handelt muss man vor dem Setup noch die Domäne präparieren. Dazu am besten die Windows Server 20xx-Dateien auf die Festplatte kopieren und aus einer administrativen CMD oder PowerShell ins Unterverzeichnis Supportadprep navigieren.

    Danach die beiden Befehle

    adprep /forestprep

    und

    adprep /domainprep

    absetzen. Wenn das erfolgreich über die Bühne gegangen ist kann man das IN-Place-Upgrade starten und nach einiger Zeit hat man aus dem Server 2012 R2 Foundation einen Server 20xx Standard gemacht.

    Könnte das wirklich wahr sein? Wer weiß es schon genau aber es ist ja auch nur ein Ansatz…..

  4. Andy

    Inplace-Upgrades mache ich so gut wie nie. Der in deinem Kommentar beschriebene Ansatz wird nicht unterstützt und scheint mir zudem Recht experimentell und zudem gefährlich. Wer weiß was dabei raus kommt und zudem was evtl. An (späteren) Nachwirkungen auftaucht. Ist das AD irgendwie dann doch angeknackst hat man ein Problem. Bye the way: Foundation muss kein Domänencontroller sein. Und was genau spricht gegen eine ordentliche und saubere Migration?

  5. Martin

    Hallo Andy, kann man auch von Server 2012 Std auf 2022 Essentials (neue Hardware) migrieren, wenn man die dortigen Limits (50 User, 25 Geräte) einhält?

  6. Andy

    Vermutlich ja, aber mit Essentialsserver mache ich nichts.

  7. Hanna

    Hi Andy,
    vielen herzlichen Dank erstmal, dass Du deine Lösungen veröffentlichst. Ich plane demnächst einen 2022 Server Standard neu in ein vorhandenes Netzwerk mit zurzeit nur einen DC 2012R2 zu integrieren. Der 2022 Server soll später den alten Dc ersetzen.
    Ein Diestleister (Software Anbieter) soll die Software von dem 2012R2 Dc auf 2022 Dc migrieren. Erst danach würde ich den alten DC aus der Domain sauber runterstufen + rausholen. Meine Frage : In wie weit kann das Produktivsystem 2012R2 durch die Übertragung der Fsmo oder das Hochstufen von den 2022 Server (aktuell gepacht) zu Dc gestört werden. Ist eine Aktion /Befehl auf den 2012er notwendig? Braucht man noch eine 2012R2 ISO noch für die Aktion? Hatte mal von jemanden anderem eine Anleitung gelesen, dass man noch dafür den 2012er Dc Serverv erstmal vorbeiten muss? Der 2022 Server wird ja ein anderes AD Schema haben als 2012R2. Wie sieht es aus, wenn der erste Dc sich die Zeit aus Bios holt. Sollte der zweite Dc erstmal die Zeit aus dem Bios holen. Wenn der alte Dc weg ist, dann könnte man die Zeit von einer anderen Quelle holen.
    Vielen Dank

  8. Andy

    Hallo Hanna,

    vielen Dank für dein Kommentar.

    > In wie weit kann das Produktivsystem 2012R2 durch die Übertragung der Fsmo oder das Hochstufen von den 2022 Server (aktuell gepacht) zu Dc gestört werden.

    Im einfachsten Fall überhaupt nicht. Das kommt natürlich darauf an, welche Anwendungen am AD hängen.
    Nutzt ihr das lediglich für die Anmeldung von Windows dann kann man einfach den 2022 zum DC machen und zu FSMOs verschieben.

    > Ist eine Aktion /Befehl auf den 2012er notwendig?

    Sofern noch nicht bereits geschehen DFS zu DFRS migrieren, siehe z.B.

    https://www.tech-faq.net/dfs-migration-active-directory/

    Erst dann kann der neue DC hinzugefügt werden.

    > Braucht man noch eine 2012R2 ISO noch für die Aktion?

    Nein.

    > Hatte mal von jemanden anderem eine Anleitung gelesen, dass man noch dafür den 2012er Dc Serverv erstmal vorbeiten muss?

    Quelle?

    Außer wie bereits erwähnt DFS zu DFRS fällt mir da spontan nichts ein.

    > Der 2022 Server wird ja ein anderes AD Schema haben als 2012R2.

    Wird beim Hochstufen gemacht, aber die Funktionsebenen ändern sich nicht von selbst.
    Falls irgendwas nicht passt, teil einem das der Assi mit und dann kann man erstmal alle Voraussetzungen schaffen.

    > Wie sieht es aus, wenn der erste Dc sich die Zeit aus Bios holt.

    Ist das wirklich sicher, das die RTC genutzt wird und nicht doch NTP z.B. über time.windows.com o.ä,?

    > Sollte der zweite Dc erstmal die Zeit aus dem Bios holen.

    Die RTCs sind nicht unbedingt zuverlässig oder stabil und im Laufe der Zeit weicht dann gerne mal die Uhrzeit ab. Ist die Differenz zu groß gibt es Anmeldeprobleme, daher sollte immer per NTP von einer vertrauenswürdigen und zuverlässigen Quelle der DC synchronisiert werden. Die Clients bekommen dann vom DC mit der PDC Emulator-Rolle ihre Zeit.

    > Wenn der alte Dc weg ist, dann könnte man die Zeit von einer anderen Quelle holen.

    S.o.

    Persönlich gehe ich i.d.R. so vor:

    – Den neuen Server zur Domäne hinzufügen und zum DC hochstufen.
    – Die FSMO-Rollen verschieben.
    – Sofern vorhanden weitere Rollen und Apps verschieben/migrieren.
    – Den alten DC/Server herunterstufen und aus der Domäne entfernen.
    – Das Netz/AD aufräumen und ggf. die Funktionsebenen hochsetzen.

    Den alten DC herunterzustufen bevor alles migriert ist, empfehle ich nicht, da es mitunter vorkommen kann, das die “Kiste” irgendwie aus dem Netz fliegt und man sich gar nicht mehr anmelden kann.
    Das ist dann gelinde ausgedrückt schlecht, wenn da noch irgendeine App oder Dienst drauf läuft.

    Bei Unsicherheiten das Ganze mal in einer Test-Umgebung durchspielen (das mache ich sehr häufig so, getreu dem Motto “Gut geplant ist halb gebaut”) und ggf. einen erfahrenen Dienstleister bzw. Kollegen mit ins Boot holen.

    Beste Grüße,

    Andy

  9. Hanna

    Lieber Andy,
    ich hätte eine Frage noch zum Smb2 Protokoll .
    Bei einem Domäne-Controller Windows 2012 R2 Server (geschlossenes Netzwerk) ist aufgrund einer speziellen Software bisher smb2 deaktiviert.
    Damit ein Windows 2022 Server der Domäne beitreten kann, musste ich auf dem 2012 DC Smb2 mit folgendem Befehl aktivieren:
    Set-SmbServerConfiguration -EnableSMB2Protocol $true
    Die aktuelle Gesamtstrukturinformationsebene auf 2022 ist immer noch auf 2012R2 und noch nicht auf 2012R2 geändert (falls es wichtig sein sollte für SMB1/SMb2).
    Dieses Vorgehen habe ich auf einer virtuellen Kopie getestet.

    Wenn alle Rollen und Active-Directory Dienste zu den neuen 2022 Server migriert sind, gibt es zwei Möglichkeiten, was mit den alten Server passiert, bis alles migriert ist.

    1–> Er bleibt eine Weile als weiterer Ersatz -DC in der Domäne
    2–> Er wird heruntergestuft und wird danach eine Weile als einfacher Member-Server in der Domäne

    Meine Frage:
    Kann man danach bei dem Fall 1 oder 2 SMB2 einfach wieder auf den alten Server deaktivieren, da solange die alte Software nicht komplett migriert ist, darf SMB2 nicht aktiv sein,
    Bei einem DC (Fall 1) könnte ich mir vorstellen, dass es nicht geht (da beide DC sind und auf zentrale Active-Directory Dienste mit SMB2 zugreifen).
    Und bei einem Member-Server Fall 2 (auf dem Server sind Ordner freigegeben)?
    Manuell konnte ich SMB2 das auf dem Member-Server (mit Powershell als Administrator gestartet) wieder deaktivieren.
    Hast Du vielleicht Erfahrung mit dem Thema?

    Vielen Dank Andy

  10. Andy

    Ich kann zwar dein grundsätzliches “Problem” mit der Legacy-Anwendung nachvollziehen, aber einen Mischbetrieb in dieser Kombi haben wir schon lange nicht mehr gehabt. Ich meine das letzte mal bei Windows Server 2019.
    Funktioniert denn die Anwendung wenn SMB2 aktiviert ist?

    Fraglich ist, ob der alte Server das Herunterstufen zum Member übersteht. Leider hatten ich da schon Fälle das nach dem Herunterstufen z.B. meine Anmeldung mehr möglich ist oder das System sogar komplett streikte. Daher bin ich damit immer sehr vorsichtig.

    In wie weit kann denn die alte Software migriert werden? Neue Version die dann SMB2 bzw. SMB3 versteht oder wird diese ersetzt?

    Wir haben bei einem Kunden die Situation gehabt, das die Legacy-Anwendung nicht migriert werden konnte da zum einen zu alt, zum anderen es keine Updates oder Service mehr gibt, da es den Hersteller auch gar nicht mehr gibt. Daher wurde dort die bestehende Umgebung (Windows Server 2003) und ein Client virtualisiert und soweit möglich abgeschottet. In diesem Fall muss man nur noch auf die Anwendung aus steuerrechtlichen Gründen zugreifen. Wenn die Aufbewahrungsfristen abgelaufen sind, wird dieses Altsystem außer Betrieb gesetzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

© 2024 Andy's Blog

Theme von Anders NorénHoch ↑