[DC uitfaseren] Aanpak correct? - Serversoftware en clouddiensten

maandag 27 juni 2011 14:34

Acties:

Verwijderd

Topicstarter

Beste,

Binnen ons bedrijf willen we een 2003 dc uitfaseren,
hiervoor is een extra 2008 dc teruggekomen en die draait nu vrolijk zonder problemen mee.
Ook hebben we nog een andere 2003 dc die mee blijft draaien.
We draaien 2003 forest functional level nog.

Op de 'oude' dc die weg moet, heb ik een inventarisatie gemaakt welke rollen erop draaien.

- DC (incl global catalog)
- DNS (heb ik al verwijderd)
- DHCP (is al weg)

Gebruikers worden dus momenteel verspreid over 3 domain controllers.
Om de impact te bepalen wat er eventueel mis gaat als ik een demote uitvoer,
wil ik eerst de dc uitzetten keihard voor 24 uur.

Is dit slim om zo te doen?
Wat gebeurt er bijvoorbeeld met een gebruiker die zijn pc locked terwijl zijn logon server deze dc betreft,
vervolgens in de ochtend weer zijn sessie wil hervatten..
Volgens mij komt er dan een foutmelding en moet hij keihard zijn computer herstarten..

Of is er een manier om te zorgen dat mensen er niet ingelogd kunnen worden meer,
zodat ik als er niemand meer op ingelogd zit ik hem kan demoten ?

Netlogon kan ik wel stoppen maar volgens mij bereik ik dan wat anders.

[ Voor 3% gewijzigd door Verwijderd op 27-06-2011 14:34 ]

maandag 27 juni 2011 14:36

Acties:

wasted247

Kijk anders eerst even waar je FSMO roles op draaien...

maandag 27 juni 2011 14:37

Acties:

Caeruleus

Idd wat Wasted247 zegt.... Zie ook: http://technet.microsoft....rary/cc755937(WS.10).aspx

no animals were harmed during the production of this message

maandag 27 juni 2011 14:46

Acties:

Verwijderd

Topicstarter

Sorry vergeten te melden... FSMO staan allen op een andere dc!! dus niet op die uit gaat.

maandag 27 juni 2011 15:20

Acties:

wasted247

Dan moet het volgens mij geen probleem opleveren. Ik zou de global catalog vast verhuizen, mits je dit niet al gedaan had, en vervolgens op een rustig tijdsstip de DC demoten.

maandag 27 juni 2011 15:28

Acties:

Verwijderd

Topicstarter

Er draait ook een gc op de andere 2 domain controllers..
Dus dit lijkt me geen probleem..

Als ik vast de netlogon service 'live' stop dalijk zodat gebruikers er niet op in kunnen loggen meer,
en hem van de week uitschakel zodat we kijken of er problemen ontstaan.

Heb je misschien ook nog een antwoord op:

"Wat gebeurt er bijvoorbeeld met een gebruiker die zijn pc locked terwijl zijn logon server deze dc betreft,
vervolgens in de ochtend weer zijn sessie wil hervatten..
Volgens mij komt er dan een foutmelding en moet hij keihard zijn computer herstarten..

Of is er een manier om te zorgen dat mensen er niet ingelogd kunnen worden meer,
zodat ik als er niemand meer op ingelogd zit ik hem kan demoten ?
"

maandag 27 juni 2011 15:45

Acties:

Caeruleus

Verwijderd schreef op maandag 27 juni 2011 @ 15:28:
Er draait ook een gc op de andere 2 domain controllers..
Dus dit lijkt me geen probleem..

Als ik vast de netlogon service 'live' stop dalijk zodat gebruikers er niet op in kunnen loggen meer,
en hem van de week uitschakel zodat we kijken of er problemen ontstaan.

Heb je misschien ook nog een antwoord op:

"Wat gebeurt er bijvoorbeeld met een gebruiker die zijn pc locked terwijl zijn logon server deze dc betreft,
vervolgens in de ochtend weer zijn sessie wil hervatten..
Volgens mij komt er dan een foutmelding en moet hij keihard zijn computer herstarten..

Of is er een manier om te zorgen dat mensen er niet ingelogd kunnen worden meer,
zodat ik als er niemand meer op ingelogd zit ik hem kan demoten ?
"

Anders klik je even op de link die ik hierboven postte. Met name de stap waarin "dcpromo" ter sprake komt. Da's wat handiger dan gewoon de DC uitzetten.

no animals were harmed during the production of this message

maandag 27 juni 2011 15:56

Acties:

Brahiewahiewa

boelkloedig

De beide opmerkingen met "keihard" erin kloppen niet.

Verwijderd schreef op maandag 27 juni 2011 @ 15:28:
...Volgens mij komt er dan een foutmelding en moet hij keihard zijn computer herstarten...

Windows gaat keurig een nieuwe DC/GC zoeken als-ie na resumen weer opstart.
En alstie die niet vindt, gaatie in cached mode; niks reboot.

Verwijderd schreef op maandag 27 juni 2011 @ 14:34:
..Om de impact te bepalen wat er eventueel mis gaat als ik een demote uitvoer, wil ik eerst de dc uitzetten keihard voor 24 uur.

Is dit slim om zo te doen?

Nee, is niet slim. Je moet gewoon de stappen volgen zoals beschreven in het KB artikel; iets met "How to remove the first DC in a site". Zorg er voor dat alle vijf(!) FSMO rollen door een andere DC zijn overgenomen, en dat er minstens één andere GC is. Dan DCPromo uitvoeren

QnJhaGlld2FoaWV3YQ==

maandag 27 juni 2011 16:02

Acties:

Verwijderd

Topicstarter

Ik kan het mis hebben hoor.. maar even een domain controller uitschakelen, om te kijken waar we tegen aan lopen is toch slimmer als meteen een demote uit te voeren? .. mocht er dan iets misgaan,
dan is teruggaan onmogelijk.

En nogmaals deze dc draait alleen global catalog, maar dat vinkje kan ik zo uitzetten natuurlijk.

Windows gaat keurig een nieuwe DC/GC zoeken als-ie na resumen weer opstart.
En alstie die niet vindt, gaatie in cached mode; niks reboot.

Ook niet helemaal waar, ik heb dit net getest in een testomgeving.
Als de logon server uit is, en de cliënt heeft zijn pc gelocked hierop en wilt inloggen dan komt er een melding over security account cannot find the domain controller blabla

[ Voor 38% gewijzigd door Verwijderd op 27-06-2011 16:04 ]

maandag 27 juni 2011 19:09

Acties:

alt-92

ye olde farte

Verwijderd schreef op maandag 27 juni 2011 @ 16:02:
Ik kan het mis hebben hoor.. maar even een domain controller uitschakelen, om te kijken waar we tegen aan lopen is toch slimmer

Nop.

Als je gewoon een nette demote doet (en ik herhaal hier maar weer wat de rest je al tig keer probeert te vertellen - lees dat Technet artikel nou gewoon en volg de stappen) gebeurt er helemaal niks bijzonders..

Die ene usert mag ook z'n netwerkstekkertje er even uithalen en weer erin stoppen.
Juist doordat je het ding pontificaal uitzet blijft er een entry staan voor een geldige DC - maar die heb je net uitgezet.

Bij een nette demote doet je client gewoon een GetDCName en wordt verwezen naar één van je andere resterende DC's.

[ Voor 26% gewijzigd door alt-92 op 27-06-2011 19:13 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 27 juni 2011 19:20

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Brahiewahiewa schreef op maandag 27 juni 2011 @ 15:56:
Zorg er voor dat alle vijf(!) FSMO rollen door een andere DC zijn overgenomen, en dat er minstens één andere GC is. Dan DCPromo uitvoeren

Zelfs dat is geen harde requirement. Windows transferred zelf de evt. FSMO-rollen wel. (al is het waarschijnlijk beter om eea handmatig uit te voeren).

When a domain controller is demoted, the operational attribute "GiveAwayAllFsmoRoles" is written, which triggers the domain controller to locate other domain controllers to offload any roles it currently owns. Windows 2000 determines which roles the domain controller being demoted currently owns and locates a suitable domain controller by following these rules:
Locate a server in the same site.
Locate a server to which there is RPC connectivity.
Use a server over an asynchronous transport (such as SMTP).
In all transfers, if the role is a domain-specific role, the role can be moved only to another domain controller in the same domain. Otherwise, any domain controller in the enterprise is a candidate.

Flexible Single Master Operation Transfer and Seizure Process

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 30 juni 2011 09:32

Acties:

Verwijderd

Topicstarter

Dank voor de hulp, ik zal hem volgende week dan maar meteen een demote geven.

Nog 1 probleem waar ik nu tegen aan loop..
DNS heb ik vorige week verwijderd van deze server, AD replicaties gingen gewoon prima nog.
Nu heb ik op de 2 andere domain controllers bij name servers, de DC1 weggehaald die nu geen DNS meer draait.

Vervolgens heb ik nu replicatie errors met de melding RPC unavailable (error 1722) DSbindwithspnex
Wat is hier de verklaring van?
Ook als ik de NS terug toevoeg blijft deze error komen,
nu repliceert hij helemaal niet meer...

donderdag 30 juni 2011 09:41

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Draai DCDIAG en post de output eens?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

donderdag 30 juni 2011 09:44

Acties:

Verwijderd

Topicstarter

w2k3domain01 is de server waar ik dns op verwijderd heb vorige week,
en vanmorgen op de w2k8dc01 manueel bij name servers de entry heb verwijderd van de domain01

==========================================================

-
Directory Server Diagnosis

Performing initial setup:

Trying to find home server...

Home Server = W2K8DC01

* Identified AD Forest.
Done gathering initial info.

Doing initial required tests

Testing server: Default-First-Site-Name\W2K8DC01

Starting test: Connectivity

......................... W2K8DC01 passed test Connectivity

Doing primary tests

Testing server: Default-First-Site-Name\W2K8DC01

Starting test: Advertising

Warning: W2K8DC01 is not advertising as a time server.

......................... W2K8DC01 failed test Advertising

Starting test: FrsEvent

......................... W2K8DC01 passed test FrsEvent

Starting test: DFSREvent

......................... W2K8DC01 passed test DFSREvent

Starting test: SysVolCheck

......................... W2K8DC01 passed test SysVolCheck

Starting test: KccEvent

......................... W2K8DC01 passed test KccEvent

Starting test: KnowsOfRoleHolders

......................... W2K8DC01 passed test KnowsOfRoleHolders

Starting test: MachineAccount

......................... W2K8DC01 passed test MachineAccount

Starting test: NetLogons

......................... W2K8DC01 passed test NetLogons

Starting test: ObjectsReplicated

......................... W2K8DC01 passed test ObjectsReplicated

Starting test: Replications

[W2K3DOMAIN01] DsBindWithSpnEx() failed with error 1722,

The RPC server is unavailable..
......................... W2K8DC01 failed test Replications

Starting test: RidManager

......................... W2K8DC01 passed test RidManager

Starting test: Services

......................... W2K8DC01 passed test Services

Starting test: SystemLog

A warning event occurred. EventID: 0x000003F6

Time Generated: 06/30/2011 08:57:32

Event String:

Name resolution for the name 1.0.0.127.in-addr.arpa timed out after none of the configured DNS servers responded.

......................... W2K8DC01 passed test SystemLog

Starting test: VerifyReferences

......................... W2K8DC01 passed test VerifyReferences

Running partition tests on : ForestDnsZones

Starting test: CheckSDRefDom

......................... ForestDnsZones passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... ForestDnsZones passed test

CrossRefValidation

Running partition tests on : DomainDnsZones

Starting test: CheckSDRefDom

......................... DomainDnsZones passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... DomainDnsZones passed test

CrossRefValidation

Running partition tests on : Schema

Starting test: CheckSDRefDom

......................... Schema passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... Schema passed test CrossRefValidation

Running partition tests on : Configuration

Starting test: CheckSDRefDom

......................... Configuration passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... Configuration passed test CrossRefValidation

Running partition tests on : bedrijfsnaam

Starting test: CheckSDRefDom

......................... bedrijfsnaam passed test CheckSDRefDom

Starting test: CrossRefValidation

......................... bedrijfsnaam passed test CrossRefValidation

Running enterprise tests on : bedrijfsnaam.nl

Starting test: LocatorCheck

......................... bedrijfsnaam.nl passed test LocatorCheck

Starting test: Intersite

......................... bedrijfsnaam.nl passed test Intersite

[ Voor 200% gewijzigd door Verwijderd op 30-06-2011 09:45 ]