Windows: Active Directory von Windows Server 2012 R2 zu Windows Server 2022 migrieren
So langsam aber sicher müssen die letzten Windows Server 2012 mit und ohne R2 migriert werden, da in absehbarer Zeit der Extended Support endet.
Am 10. Oktober 2023 ist Schluss mit Sicherheitsupdates und Support. Bereits seit geraumer Zeit unterstützen verschiedene Software-Anbieter diese mittlerweile veraltete Windows Server-Ausgabe zudem nicht mehr. Für zusätzlichen Unmut sorgte Microsoft im Oktober 2021 selbst mit der Änderung der Treiber-Richtlinien, was dazu führte das beispielsweise die Virenscanner-Engine von Securepoint Antivirus Pro nicht mehr aktualisiert werden kann.
Dieser Beitrag beruht auf der Migration eines Windows Server 2012 R2 Foundation zu einem Windows Server 2022 Standard und er handelt lediglich von der Migration der Active Directory-Domänendienste.
Voraussetzungen
- Den neuen Server, inkl. aller aktueller Updates, installieren.
- Über den Server-Manager oder die PowerShell die “Active Directory-Domänendienste” hinzufügen.
- Den neuen Server in die Domäne aufnehmen und
- zum Domänencontroller hochstufen.
FSMO-Rollen verschieben
Die FSMO-Rollen werden in der PowerShell mit folgendem Befehl verschoben:
Move-ADDirectoryServerOperationMasterRole -Identity <Computername - NICHT FQDN - des neuen DCs> -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster
Die Sicherheitsabfrage entsprechend bestätigen.
Einen Moment später kann man in der Eingabeaufforderung mit
netdom query fsmo
prüfen, welcher Domänencontroller die FSMO-Rolle(n) inne hat. In der PowerShell wären das die Befehle
Get-ADForest
und
Get-ADDomain
Den alten Server herunterstufen
Bevor man den alten Server real herunterstuft, kann der Vorgang in der PowerShell mit
Test-ADDSDomainControllerUninstallation
simuliert bzw. geprüft werden. Kommt es hierbei zu dem Fehler
"Test-ADDSDomainControllerUninstallation : Es wurde kein Positionsparameter gefunden, der das Argument "LocalAdministratorPassword bestätigen" akzeptiert. In Zeile:1 Zeichen:1"
dann muss der Befehl so aussehen:
"Test-ADDSDomainControllerUninstallation -LocalAdministratorPassword (Read-Host -Prompt "Kennwort" -AsSecureString)".
Troubleshooting
Keine Migration ohne Überraschungen möchte man fast sagen, denn in diesem Fallbeispiel blieben Reste zurück. So fanden sich Verweise auf den alten Domänencontroller im DNS und unter
Active Directory-Standorte und -Dienste - Sites - Default-First-Site-Name - Server
Diese kann man manuell entfernen.
Quelle
Microsoft – Lifecycle – Products – Windows Server 2012
Active Directory Pro – How to Quickly check FSMO roles
TECHfaq – FSMO Rollen anzeigen
WindowsPro – Domänen-Controller herabstufen unter Server 2016 / 2019 via GUI und PowerShell
Datacenter Insider – Herabstufen eines Domänencontrollers
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Du schreibst, dass du von Windows Server 2012 R2 Foundation zu einem Windows Server 2022 Standard migriert hast. Ist das denn überhabt möglich? Laut meinen Infos ist nur 1 DC bei Foundation möglich.
Hast du das denn IRL durchgeführt?
Ja, das funktioniert, sonst gäbe es diesen Beitrag nicht 😉 Sogar IRL, in Farbe und bunt. Die Foundation-Einschränkungen spielen für die Migration keine Rolle. Ich musste im Laufe der Jahre bereits mehrfach von Foundation, SBS und Essentials zu Standard migrieren. I.d.R. ist das keine große Sache.
In-Place Upgrade Server 2012 R2 Foundation auf Server 20xx Standard bei gewünschter
weiterer Nutzung der vorhandener Hardware und möglicherweise installierten Programme und Daten auf dem
altem System.
IN-Place-Upgrade Server 2012 R2 Foundation auf Server 20xx Standard? Das geht nicht, ist auch von Microsoft nicht vorgesehen. Und tatsächlich bricht das Setup des frisch gekauften Server 20xx Standard beim Upgrade-Versuch ab. Und nun? Haben alle Experten doch recht gehabt? Hier ein möglicher Ansatz….
Problem:
Wenn man die Domänenrollen umzieht, hat man zwar das “Anmelde-System” von Windows umgezogen doch
meistens ist das doch bei einem ALL-IN-ONE-System nur die halbe Wahrheit? Da gibt es dann
noch die ganzen Daten der User und vielleicht noch die eine oder andere tolle Anwendungssoftware die dort
schlummert und gerne auch weiter mitspielen will oder unbedingt muss?? Hier setzt diese Lösung an.
Lösung:
Das Windows Server Setup checkt beim Inplace-Upgrade zwei Registry Keys
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\ProductName
und
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\EditionID
Bei einem Windows Server 2012 R2 Standard steht hier:
ProductName=Windows Server 2012 R2 Standard
EditionID=ServerStandard
Durch simplen Austausch dieser beiden Werte beim Foundation-Server kann man das Inplace-Upgrade direkt und sogar ohne Neustart erfolgreich durchführen.
Da es sich bei dem Foundation-Server um einen zwanghaften Domänencontroller handelt muss man vor dem Setup noch die Domäne präparieren. Dazu am besten die Windows Server 20xx-Dateien auf die Festplatte kopieren und aus einer administrativen CMD oder PowerShell ins Unterverzeichnis \Support\adprep navigieren.
Danach die beiden Befehle
adprep /forestprep
und
adprep /domainprep
absetzen. Wenn das erfolgreich über die Bühne gegangen ist kann man das IN-Place-Upgrade starten und nach einiger Zeit hat man aus dem Server 2012 R2 Foundation einen Server 20xx Standard gemacht.
Könnte das wirklich wahr sein? Wer weiß es schon genau aber es ist ja auch nur ein Ansatz…..
Inplace-Upgrades mache ich so gut wie nie. Der in deinem Kommentar beschriebene Ansatz wird nicht unterstützt und scheint mir zudem Recht experimentell und zudem gefährlich. Wer weiß was dabei raus kommt und zudem was evtl. An (späteren) Nachwirkungen auftaucht. Ist das AD irgendwie dann doch angeknackst hat man ein Problem. Bye the way: Foundation muss kein Domänencontroller sein. Und was genau spricht gegen eine ordentliche und saubere Migration?