Domain upgrade 2008 DC, adprep live

dinsdag 28 december 2010 08:36

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Wij hebben 2 dc's draaien hier op w2k3, ons domein draait dus 2003 native.
Momenteel hebben we een 2008 server draaien die alleen nog dhcp draait.
Het plan is om deze 2008 deze week dcpromo te doen zodat hij vast meedraait als 3e DC.
Volgende maand willen we 1 van de 2 andere dc's demoten en uitschakelen.

Nu zou ik eigenlijk de adprep domainprep en forestprep en dcpromo nu al willen uitvoeren.
Is dit mogelijk tijdens een live productieomgeving? of is er kans dat er iets mis gaat tijdens het adprep process en het dcpromo proces zodat iedereen hinder ondervindt ?

Tevens nog 1 andere vraag,
de 2008 dc gaat waarschijnlijk fysiek draaien (draait hij nu ook al)
Mijn eigen idee is om hem virtueel te maken zodat je een hogere HA hebt..
Hebben jullie nog meer punten waarom een 2e DC beter virtueel kan draaien zodat ik me baas kan overtuigen?

Bedankt.

dinsdag 28 december 2010 08:52

Acties:

0 Henk 'm!

Entity

9000rpm

Hoewel ik dit soort operaties vaak plan op onderhoudsmomenten, heb ik nog nooit problemen ondervonden bij het uitvoeren van het prepareren en dcpromo'en. Maar goed, 'in het verleden behaalde resultaten bieden geen garantie voor de toekomst'. Zorg iig dat je een actuele backup hebt van je AD, voor een worst-case scenario dat er ergens een verkeerd bitje omvalt

Qua virtuele DC's: hou minimaal 1 DC fysiek (mocht je virtuele omgeving in z'n geheel uitvallen heb je altijd die ene nog), de rest kan prima virtueel. Scheelt hardware en levert wat meer HA inderdaad. Let wel op dat je tijdsynchronisatie tussen host en VM voor deze machine uitzet, AD heeft een eigen tijdsync en dat kan problemen geven als beide synchronisaties actief zijn.

dinsdag 28 december 2010 09:09

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Entity schreef op dinsdag 28 december 2010 @ 08:52:
Qua virtuele DC's: hou minimaal 1 DC fysiek (mocht je virtuele omgeving in z'n geheel uitvallen heb je altijd die ene nog), de rest kan prima virtueel.

Waarom? Hoe weet je dat die overgebleven DC van enig nut is? Wat heb je aan een DC als je complete virtualisatie-omgeving down is? Hoe groot is de kans dat je complete virtualisatie-omgeving uit gaat vallen? En is die voor het opkomen afhankelijk van een fysieke DC? Waarom is die afhankelijkheid niet weggenomen in je design?

Let wel op dat je tijdsynchronisatie tussen host en VM voor deze machine uitzet, AD heeft een eigen tijdsync en dat kan problemen geven als beide synchronisaties actief zijn.

Je hebt de klok horen luiden maar weet niet waar de klepel hangt.

Zie hier voor een aantal documenten over tijdsynchronisatie en Active Directory: http://communities.vmware.com/docs/DOC-11734 De bron is VMware maar het principe geldt ook voor andere hypervisors.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 28 december 2010 09:33

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

Jazzy schreef op dinsdag 28 december 2010 @ 09:09:
[...]
Waarom? Hoe weet je dat die overgebleven DC van enig nut is? Wat heb je aan een DC als je complete virtualisatie-omgeving down is? Hoe groot is de kans dat je complete virtualisatie-omgeving uit gaat vallen? En is die voor het opkomen afhankelijk van een fysieke DC? Waarom is die afhankelijkheid niet weggenomen in je design?

Geloof het of niet maar er zijn genoeg organisaties die maar 1 fysieke server gebruiken om virtuele servers te hosten, valt de hardware uit dan is dus in feite je volledige virtuele omgeving plat. Draaien je dc's op die virtuele omgeving dan weet je wel dat je een probleem hebt.

Ik ken verder geen enkel bedrijf dat werkelijk al zijn servers gevirtualiseerd heeft, alleen al uit availability oogpunt zou ik van bepaalde servers er altijd minimaal 1 fysiek houden en een DC valt daar zeker onder.

Een hele rij microsoft certificeringen.

dinsdag 28 december 2010 10:13

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

@r!k schreef op dinsdag 28 december 2010 @ 09:33:
[...]

Geloof het of niet maar er zijn genoeg organisaties die maar 1 fysieke server gebruiken om virtuele servers te hosten, valt de hardware uit dan is dus in feite je volledige virtuele omgeving plat. Draaien je dc's op die virtuele omgeving dan weet je wel dat je een probleem hebt.

Maar wat kan de gebruiker dan met die overgebleven DC? Helemaal niets toch?

Ik ken verder geen enkel bedrijf dat werkelijk al zijn servers gevirtualiseerd heeft, alleen al uit availability oogpunt zou ik van bepaalde servers er altijd minimaal 1 fysiek houden en een DC valt daar zeker onder.

Ik ken tientallen bedrijven die al hun servers gevirtualiseerd hebben, ofwel bezig zijn om geen fysieke servers meer te plaatsen. Ik denk dat 90% van mijn klanten een "virtualiseren tenzij..." beleid voert, en dan hebben we het dus over overheid, semi-overheid, zorg en commerciële bedrijven tot circa 10.000 werkplekken groot.

Ik vind het prima als je mensen wilt aanbevelen om een fysieke DC te plaatsen, maar leg dan tenminste een paar scenario's uit waarin het voordeel blijkt van zo'n opstelling.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 28 december 2010 10:32

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

Jazzy schreef op dinsdag 28 december 2010 @ 10:13:
[...]
Maar wat kan de gebruiker dan met die overgebleven DC? Helemaal niets toch?

Werkstations die kunnen blijven authenticeren en niet meteen allerlei fouten gaan geven.

Maar goed we dwalen af inmiddels, hier heeft de TS verder niet zoveel aan.

Tuurlijk kun je een adprep overdag doen maar gewoon voor de veiligheid zou ik het in een onderhoudsmoment doen ook al heb ik het nooit fout zien gaan.

Een hele rij microsoft certificeringen.

dinsdag 28 december 2010 11:11

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

@r!k schreef op dinsdag 28 december 2010 @ 10:32:
[...]

Werkstations die kunnen blijven authenticeren en niet meteen allerlei fouten gaan geven.

Dat kan toch ook met chached credentials? En wat moet die werkplek verder zonder mailbox, fileshares, roaming profiles, databases, folder redirection, etc. etc.

Maar goed we dwalen af inmiddels, hier heeft de TS verder niet zoveel aan.

Volgens mij wel, want de TS vraagt:

de 2008 dc gaat waarschijnlijk fysiek draaien (draait hij nu ook al)
Mijn eigen idee is om hem virtueel te maken zodat je een hogere HA hebt..
Hebben jullie nog meer punten waarom een 2e DC beter virtueel kan draaien zodat ik me baas kan overtuigen?

Ik zou hem gewoon virtueel gaan draaien want er is geen enkele reden om dat niet te doen. Maar zoals Entity al zei, let even op tijdsynchronisatie. Er is een risico op het uit de tijd gaan lopen van de verschillende AD servers.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 28 december 2010 13:12

Acties:

0 Henk 'm!

@r!k

It is I, Leclerq

Jazzy schreef op dinsdag 28 december 2010 @ 11:11:
[...]
Dat kan toch ook met chached credentials? En wat moet die werkplek verder zonder mailbox, fileshares, roaming profiles, databases, folder redirection, etc. etc.

Als je werkelijk alles hebt gevirtualiseerd dan heb je er geen zak meer aan inderdaad, moet je alleen zorgen dat je opstartvolgorde goed is zodat je dc's als eerste weer opstarten zodra de Host weer op is.

Echter zoals ik al aangaf, ik ken geen bedrijven die alles virtualiseren, ze zullen vast bestaan maar als je het niet doet en je dc's vallen uit kun je ook niet meer bij die shares e.d. die nog wel beschikbaar zijn.

We hebben dus zoals ik het zie allebei een punt echter ga jij er van uit dat werkelijk alles gevirtualiseerd is en ik niet waardoor je verschillende scenarios krijgt en dus ook met verschillende dingen rekening moet houden.

p.s. interessante blog, heb hem maar even in mijn bookmarks gegooid

[ Voor 3% gewijzigd door @r!k op 28-12-2010 13:14 ]

Een hele rij microsoft certificeringen.

dinsdag 28 december 2010 13:16

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

@r!k schreef op dinsdag 28 december 2010 @ 13:12:
We hebben dus zoals ik het zie allebei een punt echter ga jij er van uit dat werkelijk alles gevirtualiseerd is en ik niet waardoor je verschillende scenarios krijgt en dus ook met verschillende dingen rekening moet houden.

Misschien is dat ook wel de kern van mijn 'probleem'. Je kunt niet zo maar aanraden om een bepaalde server fysiek te houden zonder dat daar een reden voor is. Als ik dan zie dat iemand het toch aanraadt zonder een reden te geven ga ik vragen stellen.

p.s. interessante blog, heb hem maar even in mijn bookmarks gegooid

Thanks.

Exchange en Office 365 specialist. Mijn blog.

dinsdag 28 december 2010 18:12

Acties:

0 Henk 'm!

Razwer

spuit 11 response: i'm with Jazzy...

Newton's 3rd law of motion. Amateur moraalridder.

woensdag 29 december 2010 12:07

Acties:

0 Henk 'm!

Entity

9000rpm

Mijn reactie was misschien wat té kort door de bocht zonder de situatie te kennen, maar de meeste professionals die ik spreek, adviseren toch altijd 1 DC fysiek te houden. Als je echt álles hebt gevirtualiseerd, dan zou dat idd niet per se hoeven.

Vwb tijdsync heb je gelijk, ik had erover gehoord maar het zelf nog niet aan de hand gehad. Bedankt voor de link!

Zie ook dit artikel overigens voor wat meer info over beide onderwerpen.

donderdag 30 december 2010 19:49

Acties:

0 Henk 'm!

Crazius

Waar ik werk hebben we alle DC's gewoon virtueel draaien. Zolang je bij vm de optie sync time with host aan hebt staan werkt alles als een trein.

donderdag 30 december 2010 19:59

Acties:

0 Henk 'm!

Zwelgje

Crazius schreef op donderdag 30 december 2010 @ 19:49:
Waar ik werk hebben we alle DC's gewoon virtueel draaien. Zolang je bij vm de optie sync time with host aan hebt staan werkt alles als een trein.

laat dat nu net de optie zijn die je niet moet aanzetten, je wilt altijd een externe timeserver en juist niet syncen met je ESX host

A wise man's life is based around fuck you

donderdag 30 december 2010 20:05

Acties:

0 Henk 'm!

Jazzy

Moderator SSC/PB

Moooooh!

Powershell schreef op donderdag 30 december 2010 @ 19:59:
[...]

laat dat nu net de optie zijn die je niet moet aanzetten, je wilt altijd een externe timeserver en juist niet syncen met je ESX host

En als je de ESX hosts nou laat synchroniseren met de zelfde NTP host? Vind ik sowieso wel een goed idee, heb wel eens gezien dat er een mainboard van een server (haastig) vervangen was waarna de systeemtijd niet meer goed stond. Daar gebruikten ze dus wel synchronisatie tussen VM en host maar daardoor stonden een paar VM's opeens op een heel rare tijd.

Exchange en Office 365 specialist. Mijn blog.

donderdag 30 december 2010 21:16

Acties:

0 Henk 'm!

Zwelgje

Jazzy schreef op donderdag 30 december 2010 @ 20:05:
[...]
En als je de ESX hosts nou laat synchroniseren met de zelfde NTP host? Vind ik sowieso wel een goed idee, heb wel eens gezien dat er een mainboard van een server (haastig) vervangen was waarna de systeemtijd niet meer goed stond. Daar gebruikten ze dus wel synchronisatie tussen VM en host maar daardoor stonden een paar VM's opeens op een heel rare tijd.

als je NTP op de host goed heb ingesteld dan is dat ok

probleem is dat dit best vaak niet gedaan is en dan krijg je van die effecten die jij beschrijft en als dit gebeurd op een host waar ook een Domaincontroller draait dan kun je hele rare dingen krijgen met AD replicatie... fucked up USN nummertjes

letwel: VMware ESX/ESXi 4.0 and earlier, VMware Tools clock synchronization has a serious
limitation: it cannot correct the guest clock if it gets ahead of real time

mgoed dan moet je geen 4.0 gebruiken maar 4.1

A wise man's life is based around fuck you

Onderwerpen