Windows: Active Directory von Windows Server 2012 R2 zu Windows Server 2022 migrieren

So langsam aber sicher müssen die letzten Windows Server 2012 mit und ohne R2 migriert werden, da in absehbarer Zeit der Extended Support endet.

Am 10. Oktober 2023 ist Schluss mit Sicherheitsupdates und Support. Bereits seit geraumer Zeit unterstützen verschiedene Software-Anbieter diese mittlerweile veraltete Windows Server-Ausgabe zudem nicht mehr. Für zusätzlichen Unmut sorgte Microsoft im Oktober 2021 selbst mit der Änderung der Treiber-Richtlinien, was dazu führte das beispielsweise die Virenscanner-Engine von Securepoint Antivirus Pro nicht mehr aktualisiert werden kann.

Dieser Beitrag beruht auf der Migration eines Windows Server 2012 R2 Foundation zu einem Windows Server 2022 Standard und er handelt lediglich von der Migration der Active Directory-Domänendienste.

Voraussetzungen

  • Den neuen Server, inkl. aller aktueller Updates, installieren.
  • Über den Server-Manager oder die PowerShell die “Active Directory-Domänendienste” hinzufügen.
  • Den neuen Server in die Domäne aufnehmen und
  • zum Domänencontroller hochstufen.

FSMO-Rollen verschieben

Die FSMO-Rollen werden in der PowerShell mit folgendem Befehl verschoben:

Move-ADDirectoryServerOperationMasterRole -Identity <Computername - NICHT FQDN - des neuen DCs> -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster

Die Sicherheitsabfrage entsprechend bestätigen.

Einen Moment später kann man in der Eingabeaufforderung mit

netdom query fsmo

prüfen, welcher Domänencontroller die FSMO-Rolle(n) inne hat. In der PowerShell wären das die Befehle

Get-ADForest

und

Get-ADDomain

Den alten Server herunterstufen

Bevor man den alten Server real herunterstuft, kann der Vorgang in der PowerShell mit

Test-ADDSDomainControllerUninstallation

simuliert bzw. geprüft werden. Kommt es hierbei zu dem Fehler

"Test-ADDSDomainControllerUninstallation : Es wurde kein Positionsparameter gefunden, der das Argument "LocalAdministratorPassword bestätigen" akzeptiert.
In Zeile:1 Zeichen:1"

dann muss der Befehl so aussehen:

"Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "Kennwort" -AsSecureString)".

Troubleshooting

Keine Migration ohne Überraschungen möchte man fast sagen, denn in diesem Fallbeispiel blieben Reste zurück. So fanden sich Verweise auf den alten Domänencontroller im DNS und unter

Active Directory-Standorte und -Dienste - Sites - Default-First-Site-Name - Server

Diese kann man manuell entfernen.

Quelle

Microsoft – Lifecycle – Products – Windows Server 2012

Active Directory Pro – How to Quickly check FSMO roles

TECHfaq – FSMO Rollen anzeigen

WindowsPro – Domänen-Controller herabstufen unter Server 2016 / 2019 via GUI und PowerShell

Datacenter Insider – Herabstufen eines Domänencontrollers

4 Kommentare

  • Du schreibst, dass du von Windows Server 2012 R2 Foundation zu einem Windows Server 2022 Standard migriert hast. Ist das denn überhabt möglich? Laut meinen Infos ist nur 1 DC bei Foundation möglich.
    Hast du das denn IRL durchgeführt?

  • Ja, das funktioniert, sonst gäbe es diesen Beitrag nicht 😉 Sogar IRL, in Farbe und bunt. Die Foundation-Einschränkungen spielen für die Migration keine Rolle. Ich musste im Laufe der Jahre bereits mehrfach von Foundation, SBS und Essentials zu Standard migrieren. I.d.R. ist das keine große Sache.

  • In-Place Upgrade Server 2012 R2 Foundation auf Server 20xx Standard bei gewünschter
    weiterer Nutzung der vorhandener Hardware und möglicherweise installierten Programme und Daten auf dem
    altem System.

    IN-Place-Upgrade Server 2012 R2 Foundation auf Server 20xx Standard? Das geht nicht, ist auch von Microsoft nicht vorgesehen. Und tatsächlich bricht das Setup des frisch gekauften Server 20xx Standard beim Upgrade-Versuch ab. Und nun? Haben alle Experten doch recht gehabt? Hier ein möglicher Ansatz….

    Problem:

    Wenn man die Domänenrollen umzieht, hat man zwar das “Anmelde-System” von Windows umgezogen doch
    meistens ist das doch bei einem ALL-IN-ONE-System nur die halbe Wahrheit? Da gibt es dann
    noch die ganzen Daten der User und vielleicht noch die eine oder andere tolle Anwendungssoftware die dort
    schlummert und gerne auch weiter mitspielen will oder unbedingt muss?? Hier setzt diese Lösung an.

    Lösung:

    Das Windows Server Setup checkt beim Inplace-Upgrade zwei Registry Keys

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionProductName

    und

    HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrent VersionEditionID

    Bei einem Windows Server 2012 R2 Standard steht hier:

    ProductName=Windows Server 2012 R2 Standard

    EditionID=ServerStandard

    Durch simplen Austausch dieser beiden Werte beim Foundation-Server kann man das Inplace-Upgrade direkt und sogar ohne Neustart erfolgreich durchführen.

    Da es sich bei dem Foundation-Server um einen zwanghaften Domänencontroller handelt muss man vor dem Setup noch die Domäne präparieren. Dazu am besten die Windows Server 20xx-Dateien auf die Festplatte kopieren und aus einer administrativen CMD oder PowerShell ins Unterverzeichnis Supportadprep navigieren.

    Danach die beiden Befehle

    adprep /forestprep

    und

    adprep /domainprep

    absetzen. Wenn das erfolgreich über die Bühne gegangen ist kann man das IN-Place-Upgrade starten und nach einiger Zeit hat man aus dem Server 2012 R2 Foundation einen Server 20xx Standard gemacht.

    Könnte das wirklich wahr sein? Wer weiß es schon genau aber es ist ja auch nur ein Ansatz…..

  • Inplace-Upgrades mache ich so gut wie nie. Der in deinem Kommentar beschriebene Ansatz wird nicht unterstützt und scheint mir zudem Recht experimentell und zudem gefährlich. Wer weiß was dabei raus kommt und zudem was evtl. An (späteren) Nachwirkungen auftaucht. Ist das AD irgendwie dann doch angeknackst hat man ein Problem. Bye the way: Foundation muss kein Domänencontroller sein. Und was genau spricht gegen eine ordentliche und saubere Migration?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert