solip.de
Intel Channel Partner
Lancom Reseller
  • SiteLinks

  • Translator

  • TechBlog

  • Spiced Pork Ham

Windows Server 2012 R2 als DC mit SQL Server, WID und WSUS

Erstellt von solip am 2. Mai 2016

Die Aufgaben Active Directory (DC), SQL Server oder Internal Database und die Update Services (WSUS) auf einem Windows Server 2012 R2, das klingt zunächst nicht viel oder problematisch. Die Kombination dieser Rollen bringt aber einige Stolpersteine mit sich. Dabei dürfte dies eine sehr beliebte und übliche Kombination darstellen. Die mit Windows Server 2008 R2 auch ganz problemlos in jeder Reihenfolge aufzusetzen ist.

Falls dies der erste 2012er Server ist: Damit das Active Directory vom Windows Server 2012 R2 bearbeitet werden kann, ist es zunächst wichtig das Verzeichnis auf die neue Version vorzubereiten (domainprep).

Ist die Domain schon älter, wurde schon von Windows Server 2003 bedient, aber auch wenn sie mit Windows Server 2008 gegründet wurde: Es ist wichtig das die Zuweisung von Benutzerrechten korrekt aufgesetzt ist in der Default Domain Controllers Policy. Über die Jahre gab es Änderungen, die vielerorts zu Lücken geführt haben. Auch ganz prominente Fehler wie Dienste, die sich nicht als lokaler Dienst anmelden dürfen, sind Microsoft hier untergekommen. Manche Fehler merkt man sofort, andere ziehen weitere Probleme nach sich. Ich empfehle die aktuellen Standards für die Domäne durchzugehen. Hier findet man alle Informationen: TechNet. Am Ende müssen (auch) die Dienste IIS_WPG, Netzwerk, Netzwerkdienst und Dienst das Recht besitzen, sich als Dienst anzumelden.

Der SQL Server, Management Studio oder auch die WID (Interne Datenbank) mit Windows Server 2012 R2 bereiten die ersten Probleme. Es ist herstellerseitig nicht angeraten SQL Server auf einem 2012er Domain Controller zu betreiben. Es kommt zu Unverträglichkeiten in Sachen Rechte und Dienste. Als SQL Server sollte man den DC vielleicht wirklich nicht heranziehen, wenn dies schon nicht so angedacht ist, aber die WID braucht man zumindest für WSUS. In folgender Reihenfolge kann man sich nun behelfen:

– Server in Domain aufnehmen, wenn noch nicht geschehen
– Anmelden als lokaler Admin (kein Domain-Account)
– Interne Datenbank über den Server Manager installieren
– Management Studio (x64 2014) installieren
– Die Interne Datenbank mit Management Studio öffnen: \\.\pipe\Microsoft##WID\tsql\query
– Fehlende Anmeldungen hinzufügen für Domain-Accounts wie Administratoren, Domain Admin etc.

Weiterführend: Das geht so auch mit dem kompletten SQL Server. Besonderes Augenmerk muss hier aber auf die Accounts gelegt werden, unter denen die Dienste installiert werden / laufen. Und es wird wahrscheinlich zu einem Fehler mit Bezug zu NetFX3 bei der Installation kommen, zur Lösung muss man das .NET Framework vorab komplett installieren. Die Windows Server 2012 R2 DVD liegt hier in c:\quelle und dies geschieht dann wie folgt: dism.exe /online /enable-feature /featurename:NetFX3 /Source:c:\quelle\sources\sxs

Danach kann der Server die Rolle Active Directory erhalten und zum DC hochgestuft werden.

Einer der Administratoren, der jetzt in der WID steht, sollte nun auch die Rolle WSUS installieren. Sicherlich müssen danach noch zwei ACLs bearbeitet werden damit die Konsole auch funktioniert, dies ist hier dokumentiert: TechNet.

Die Rolle WSUS darf übrigens erst hinzugefügt werden, wenn der Server zum Domain Controller hochgestuft wurde, nicht davor. Auch hier lauern Probleme mit Accounts.

Abgelegt unter Windows Server 2012, WSUS | Keine Kommentare »

Domänen Controller (DC) Migration von Windows 2003 nach Windows 2008 R2

Erstellt von solip am 12. April 2011

Massnahmen zur Einbringung eines Windows 2008 R2 Domänen Controllers in eine Windows 2003 Domäne und in der Folge Umstellung des Active Directory auf Windows 2008 R2 mit dem Windows 2008 R2 Domänen Controller als neuem Betriebsmaster.

Für Arbeiten wie diese gilt: Vollständige und aktuelle Sicherungen sind vorhanden, z.B. Images der DC Systempartitionen. Das Ziel der Migration – die FSMO Rollen im Active Directory – sind dem Admin klar und er kann diese abgrenzen. In einem Netzwerk mit mehreren Domänen Controllern ist ein Netzwerkplan von Vorteil.

– Der neue Windows 2008 R2 Server verwendet in seiner Workgroup zunächst und auch später als Domain Controller erst mal den alten DC als primären und einzigen DNS Server. Dies ist nötig für den ersten Eintritt in die Domäne als DC. Die Netzwerk-Konfiguration muss fehlerfrei sein. Teaming-Adapter, Load Balancing, alle MAC-Masquerading Dienste und VLANs sind einzurichten bevor Rollen wie Active Directory, Hyper-V, DNS, DHCP etc. – alles was auf einer festen IP basiert – auf einem Windows 2008 R2 Server hinzugefügt werden.

– Vorhandene Domäne in Domänen- und Funktionsebene prüfen, Windows 2000 Ebene verlassen und komplett auf Windows 2003 umstellen, sofern nötig.

– adprep / adprep32 von der Windows 2008 R2 DVD /support auf dem alten DC ausführen und den Forest sowie die Domäne auf die neue Struktur vorbereiten (forestprep und domainprep).

– Arbeiten am alten DC sind damit abgeschlossen.

– Neuen Domänen Controller Windows 2008 R2 in Domäne einbringen (Hinzufügen in Systemsteuerung -> System).

– Entweder: Rolle DNS Dienst hinzufügen und erstmal vorkonfigurieren mit vorhandener Forward- und -Reverse Zone. Dann anschliessend die Active Directory Rolle installieren und den neuen Server als Domain Controller aufnehmen.

– Oder: diese Schritte gemeinsam durch dcpromo durchführen lassen. Hierbei sollte der vorhandene DNS auf den neuen Server mit migriert werden, was jedoch in der Praxis auch schon als nicht funktionierend gesehen wurde. Vorkonfiguration empfohlen sofern überschaubarer DNS vorhanden. Es ist nicht möglich die Rolle AD und DNS gemeinsam im Server-Manager hinzuzufügen, dies geht nur via dcpromo.

– Replizierung abwarten und ggf. Einträge im DNS prüfen. Es müssen die vorhandenen Domain Controller anwesend sein.

– Bei fehlerfreier Funktion des neuen DC die Funktionen mittels ntdsutil übertragen. Vom alten DC den neuen DC verbinden und Funktionen übertragen oder vom neuen DC den alten verbinden und Funktionen übernehmen (Szenario für beschädigte Server). Übertragung der FSMO Rollen per Commandline, per ? bitte alle auflisten lassen und prüfen, an den neuen DC: Knowledgebase

– Überprüfung der FSMO-Rollenverteilung per Commandline auf dem neuen DC: netdom query fsmo

– Änderung der DNS Einstellungen für IPv4 bei den statischen DC Netzwerkkarten und im DHCP: neuer primärer DNS Server wird der neue DC Windows Server 2008 R2.

– Connectivity, DNS und Active Directory Tests.

– Installation weiterer Rollen wie WSUS, Änderung von Richtlinien zur Einbeziehung von Diensten des neuen DC.

Abgelegt unter Windows Server 2003, Windows Server 2008 | Keine Kommentare »