upgraden van Domain controllers, maar hoe?

theduke1989 schreef op donderdag 14 december 2023 @ 08:38:
Beste tweakers van het goede leven.

Ik heb een vraag die betreft AD-DS.

Opstelling:
Managed Service bedrijf beheert alle onze servers virtueel.
We hebben toegang tot de vSphere account (beperkt) Kunnen daar bijvoorbeeld snapshots beheren etc.
Maar het beheren van de VMs zelf niet.

Zo we hebben twee domain controllers die wat ouder zijn qua forest level domain.
Dit alles willen we upgraden en alles.

Ook willen we nog 1 file server, nu hebben we 3 file servers voor elke branch 1 server. Maar dat kost geld, dus willen we alles op 1 server wat hier in Luxembourg gehost wordt door de Managed Services bedrijf.


Netwerk wordt ook helaas beheerd door GroupIT uit Ireland. Hier kunnen we ook helaas niks aan doen. En is het zoals het is.


Zo we willen het volgende doen.
1. Een extra netwerk aanvragen bij onze Managed Services.
2. Twee nieuwe domain controllers aanmaken met Server 2022
3. Benaming alles het zelfde geven zoals we die nu ook hebben.
4. Exporteren van Users en computers
5. Importeren van deze in de nieuwe omgeving.
6. En dan de twee oudere servers sluiten.
Werkt dit ? waar kunnen we tegenaan lopen/\

Users migreren, is appeltje eitje,
De (desktop)computers wordt een uitdaging + je vergeet de helft

Zou beginnen met een beter plan, meer onderzoek dit soort dingen ziijn geen dagje werk

Overgens welk probleem ga je oplossen, een verouderd forest/domain level boeit niet echt en kan ook inplace.

je neemt managed services af. Delegeer 't dan ook.

Meer technisch, maar waarom nieuwe omgeving? c.q. 3, 4 en 5?
Doe een DCpromo op de nieuwe DC controllers en voeg die toe aan het bestaande domein.
Als alles goed werkt, oude DC's uitzetten. Hoef je niks te migreren, opnieuw op de bouwen.
Daarna eventueel forestlevel bijwerken. (is dit functional requirement of zoals @vso ook al zegt?)

Eerst joinen op het huidige level. Als alles werkt op de nieuwe dc's en de oude zijn weg, dan is het moment om je level bij te werken.

Als je combineert en je krijgt problemen zoek je je rot of het de nieuwe dc's t probleem zijn of het Domainlevel

De docs site van Microsoft is tegenwoordig echt wel in orde om informatie te vinden. Doe even een Google search op site:docs.microsoft.com met de juiste termen die je hier ook al toepas en kom dan met vragen als de informatie nog vragen oproept. Ze hebben ook hele “planning” gedeelte. 😉

[ Voor 9% gewijzigd door mgizmo op 14-12-2023 09:13 ]

theduke1989 schreef op donderdag 14 december 2023 @ 09:08:
[...]
Ze beheren alleen de VMs, wij doen de rest. We nemen ongeveer 100 virtuele servers af.
Dit zijn gemixte servers Linux en Windows.

linux is niet echt een issue, maar kan het wel zijn

Als ik twee nieuwe DCs opzet en deze verbindt met de oude. Bij de nieuwe ADs vraagt het me naar de forest level domain level, moet ik dan die van de oudere opnieuw invoeren, of kan ik dan de nieuwe direct invoeren.

Dat hangt van teveel factoren af.

Ga je ook wat doen met LAPS, gMSA en andere security meuk, ligt er ook aan wat je bedrijf doet of je hier ook onderzoek naar moet doen. (NIS 2 bv)

Als je azure/o365 oid hebt of andere online diensten moet je ook kijken hoe je daar kan migeren van A -->B

je weet dat je elke (windows) desktop/server moet rejoinen aan het domain (liefst format C)

nu is het moment om het (nog) beter te plannen, standaarden in het leven te roepen hoe je dingen uniform maakt ..

Ik zou dit inderdaad eerst in een plan gaan zetten. Wat ben je van plan en waar wil je naartoe? Hoe wil je daar komen?

Want om een nieuwe (AD) structuur op te gaan zetten en al je services daarnaartoe te gaan migreren is iets heel anders dan je bestaande domain controllers te upgraden of vervangen waarbij gewoon in stand blijft wat je nu hebt, maar de DC's en mogelijk andere Windows servers wil je naar een nieuwere OS versie.

Het klinkt alsof je nu de expertise hier niet voor hebt, zoek dan naar iemand die de expertise wel heeft.
Je managed services partner die beheer op de VM's doet, klinkt niet als een managed services partner maar eerder gewoon als een hoster.

Een Managed Services partner zou wel in staat moeten zijn om je hierbij te helpen.
Concreter: wie beheert nu je AD ? En hoe hebben eerdere DC upgrades plaatsgevonden?
Welk OS draait er nu dan op je DC's en fileservers? Maak je al gebruik van Azure/M365?

Er zijn tegenwoordig legio partners die veel expertise hebben en bedrijven kunnen helpen, maak er gebruik van. Je hoeft niet meer alles zelf te kunnen en doen.
En wil je het leren? Kijk dan goed mee hoe zo'n partner het doet...

Ervaring is juist 2 nieuwe domaincontrollers (met juiste OS) toevoegen en dan alle services migreren naar de twee nieuwe domain controllers. Als alles werkt, dan een voor een de oude uitzetten om te kijken of er gevolgen zijn.

Als alles dan goed werkt, dan kan je de forest level verhogen en de oude domaincontrollers verwijderen...

[ Voor 4% gewijzigd door Lelletje op 14-12-2023 09:39 ]

Lelletje schreef op donderdag 14 december 2023 @ 09:38:
Ervaring is juist 2 nieuwe domaincontrollers (met juiste OS) toevoegen en dan alle services migreren naar de twee nieuwe domain controllers. Als alles werkt, dan een voor een de oude uitzetten om te kijken of er gevolgen zijn.

Als alles dan goed werkt, dan kan je de forest level verhogen en de oude domaincontrollers verwijderen...

er zijn maar 2 route(s) maar niet die van jou helaas.

reden is vrij simpel, there is no way back dus de huidige upgraden is net zo valide

Question Mark schreef op donderdag 14 december 2023 @ 10:59:
[...]

Says who? Waarom is het introduceren van nieuwe DC's, migreren van services en daarna de oude DC's demoten en afvoeren geen route? Sterker nog, dat is zelfs het aanbevolen scenario:

aanbevolen is niet gelijk aan "best practice" of praktijk ervaring

Als je geluk hebt kan je recoveren/repareren van zoiets, per situatie uniek

vso schreef op donderdag 14 december 2023 @ 11:26:
[...]

aanbevolen is niet gelijk aan "best practice" of praktijk ervaring

Als je geluk hebt kan je recoveren/repareren van zoiets, per situatie uniek

Dat zal, maar ik reageer op het feit dat je aangeeft dat het niet kan, terwijl het juist best practice vanuit MS is. . Je stelling is simpelweg te strikt.

Ik weet ook wel dat er meerdere manieren zijn om upgrades door te voeren, en afhankelijk van de situatie en (on)mogelijkheden een keuze gemaakt dient te worden.

Lelletje schreef op donderdag 14 december 2023 @ 09:38:
Ervaring is juist 2 nieuwe domaincontrollers (met juiste OS) toevoegen en dan alle services migreren naar de twee nieuwe domain controllers. Als alles werkt, dan een voor een de oude uitzetten om te kijken of er gevolgen zijn.

Als alles dan goed werkt, dan kan je de forest level verhogen en de oude domaincontrollers verwijderen...

Je bedoelt toch wel 2 nieuwe DCs toevoegen aan het huidige domein....
En je gaat nooit de oude uitzetten "om te kijken of er gevolgen zijn", je gaat demoten.

Met alle respect: ik heb het gevoel dat je eigenlijk niet zo diep in deze materie zit als dat je zou moeten zitten om zo'n project uit te voeren.
Zoek iemand die dat wel is, om je hierbij te helpen. De gevolgen van een onbedoeld foutje zijn niet te overzien qua recovery, downtime en dus ook de daarmee gepaard gaande kosten voor je bedrijf.

theduke1989 schreef op donderdag 14 december 2023 @ 11:41:
En is het mogelijk om de juiste benaming te gebruiken? We hebben 2 job schedular servers, die elke dag om de zoveel uur jobs versturen. Die zijn allemaal verbonden met de DCs etc.

Wat bedoel je met de juiste benaming? Nieuwe systemen krijgen nieuwe namen, renamen van een Domain Controller kent veel uitdagingen.

Waar zit je zorg? Zijn er nu systemen die rechtstreeks op hostname verbinden met één van beide DC's?

Dan heb je een aantal scenario's:

• In-place upgrade uitvoeren. DC's houden de "oude" naam.

óf:

• Nieuwe DC's plaatsen, verwijzingen aanpassen. Doe dat meteen via cnames in DNS, dat geeft in de toekomst meer flexibiliteit en maakt migratie van diensten in de veel eenvoudiger.

Eerste scenario lijkt mij op het eerste oog wat risicovoller, zeker omdat je niet de (volledige) controle over de VM's hebt.

theduke1989 schreef op donderdag 14 december 2023 @ 11:41:
ik wou ze eigenlijk ook nog eens op een apart netwerk toevoegen alles migreren, twee uitzetten, en dan de twee terug op de oude IP range.

Dit zou voor mij een big NO zijn. Je houdt dan lang last van verwijzingen naar Domain Controllers in je DNS, naar niet juiste ip-adressen... Ténzij je van plan bent om dat weer handmatig te corrigeren.

Maar... Waarom wil je dit? Waar zit ook hier weer je zorg?

[ Voor 20% gewijzigd door Question Mark op 14-12-2023 11:51 ]

Question Mark schreef op donderdag 14 december 2023 @ 11:33:
[...]

Dat zal, maar ik reageer op het feit dat je aangeeft dat het niet kan, terwijl het juist best practice vanuit MS is. . Je stelling is simpelweg te strikt.

linksom/rechtsom je hebt nog een grote kans dat je een near inmutable verwijzing hebt naar de oude DC in 1 of ander kritiek onderdeel, tenzij je die vooraf kan tackelen is dat de oorzaak van relatief stikte stelling name. Omdat je daar niet tijdens de migratie achter wil komen en geen weg meer terug hebt.

edit:
Veel software/cloud leveranciers kunnen slecht overweg met dit soort wijzigingen (en/of antwoord geven) helaas te vaak trail en error (en 99% gaat vast goed maar die 1% is killing)

MS geeft een aanbeveling, welke niet onlogisch klinkt daar zijn we het wel over eens, alleen praktisch is het in mijn optiek niet om bovenstaande reden.

Ik weet ook wel dat er meerdere manieren zijn om upgrades door te voeren, en afhankelijk van de situatie en (on)mogelijkheden een keuze gemaakt dient te worden.

zou gewoon nieuw domain (ernaast) neer mikken, mooie kans om goeie dingen mee te nemen en afscheid van vervelende lasten. tevens omdat security (NIS 2 onder andere) best wel een ondergeschoven kindje is in menig bedrijf en dat meenemen ook niet slecht is.

[ Voor 7% gewijzigd door vso op 14-12-2023 12:11 ]

vso schreef op donderdag 14 december 2023 @ 12:09:
[...]

linksom/rechtsom je hebt nog een grote kans dat je een near inmutable verwijzing hebt naar de oude DC in 1 of ander kritiek onderdeel, tenzij je die vooraf kan tackelen is dat de oorzaak van relatief stikte stelling name. Omdat je daar niet tijdens de migratie achter wil komen en geen weg meer terug hebt.

Alles kan, maar ik moet eerlijk bekennen dat ik dit nog nooit meegemaakt hebt. En ik heb in het verleden, toen ik nog in de operationele techniek zat, echt wel een hoop migraties en upgrades uitgevoerd.

theduke1989 schreef op donderdag 14 december 2023 @ 13:02:
[...]


Andere severs zoals printer server, matrix42-empirum server, exchange server. Hebben we voorheen gewoon zo direct ge-upgrade. ISO laden en dan upgraden naar server 2022. (Voorheen wel een snapshots maken) alles op het nieuwste.

Alleen exchange is alleen risico. Maar voerden we naar werktijd in.

Jammer dat dit niet zo is bij de AD-DS

Lees het artikel nu eerst even. Daar staat duidelijk in dat een in-place upgrade prima kan. Microsoft adviseert alleen een ander traject maar geeft aan de in-place ook kan.

Welk scenario je kiest, is afhankelijk van je omgeving en omstandigheden.

voordat ik reageer de "key takeway" is meer --> "boven water krijgen" de oplossing is vaak relatief simpel


@Question Mark het merken is niet altijd direct, en je kan er vaak nog omheen werken. . je start met het verkeer loggen via een firewall, waarbij je simultaan zoveel mogelijk verkeer van clients al verwijst naar alternatieve server(s). Stap erna is dat je alleen verkeer met de nieuwe servers toestaat.. en dan dagelijks de log van geblokkeerd verkeer bekijkt die als het goed is al minimaal is. na een paar weken moet je echt wel een goed overzicht overhouden

@theduke1989 nadeel van de "iso" upgrade methode is dat je totaal geen idee hebt van welke diensten nu echt "nodig" zijn, zelfde als je forest/domain level upgraden ..

de reden dat ik op security aandring (alles boven water krijgen) is meer dat ik je echt nog wel werk gun, en dat is voor sommige bedrijven lastig als ze een securitiy breach hebben alhoewel sommige boven verwachting het wel overleven ..

ps er is geen goed/fout eeder "het kan beter" als je er goed over na denkt zoals

Question Mark schreef op donderdag 14 december 2023 @ 13:36:
Lees het artikel nu eerst even. Daar staat duidelijk in dat een in-place upgrade prima kan. Microsoft adviseert alleen een ander traject maar geeft aan de in-place ook kan.

Welk scenario je kiest, is afhankelijk van je omgeving en omstandigheden.

redelijk advies lijkt me (denk alleen dat TS het al gedaan heeft) het doorlezen dan ...

[ Voor 21% gewijzigd door vso op 14-12-2023 13:42 ]