Umzug einer Active Directory-Domäne von einem Small Business Server 2003 zu einem Windows Server 2012

WinSrv2012-ADIch stehe aktuell vor der Aufgabe, einen Small Business Server 2003 Standard abzulösen und die Domäne auf eine neue Hardware mit Windows Server 2012 zu überführen. Um den Vorgang einmal durchzuspielen habe ich mir zwei VMs installiert, die eine enthält einen SBS 2003, die andere einen Server 2012. Ziel ist es, den SBS2003 komplett abzulösen und aus der Umgebung zu lösen, so das dieser nach Beendigung der Migration ausgeschaltet werden kann. Dieser Artikel beschreibt, wie ich vorgegangen bin und was sich gegenüber einer Migration zu Server 2008 R2 geändert hat.

Diese Anleitung ist ähnlich wie der Umzug auf Server 2008 R2 inkl. Exchange-Umzug, dies habe ich Anfang 2010 in folgendem Artikel dokumentiert: Howto: Ablösung eines Windows Small Business Server 2003 inkl. Exchange-Migration

In diesem lassen sich ebenfalls einige Einstellungen abschauen und überprüfen, in den Kommentaren sind auch noch ein paar hilfreiche Hinweise.

Aufnahme in Domäne

Die Migration beginnt mit der Installation von Windows Server 2012. Nachdem das System installiert und mit den neuesten Windows Updates versehen wurde, muss das System Mitglied der bestehenden Domäne werden.

image

Falls in der Umgebung nichts angepasst wurden, erscheint nach der Anmeldung als Domänen-Administrator direkt eine Warnung bzgl. Kompatibilitätsproblemen

image

Grund hierfür ist das SBS_LOGIN_SCRIPT, welches die setup.exe aufrufen möchte

image

Installation der Rolle

Zurück auf dem Server 2012 installieren wir die benötigte Rolle zur Nutzung des Systems als Domänencontroller, dies geht am einfachsten über den Server-Manager oder per PowerShell. Per Server-Manager gehen Sie wie folgt vor:

image

Unter “Verwalten” wählen Sie “Rollen und Features hinzufügen”, die Vorbemerkungen können Sie überspringen. Unter Installationstyp wählen Sie “Rollenbasierte oder featurebasierte Installation”.

image

Danach wählen Sie “Einen Server aus dem Serverpool auswählen” und wählen unter “Serverpool” den lokalen Server

image

Unter Serverrollen aktivieren Sie die Rolle “Active Directory-Domänendienste” und bestätigen in dem erscheinenden Fenster die Installation der Zusatztools

image

Danach klicken Sie den Assistenten durch und starten die Installation der Rolle. In meinem Fall war die Installation bereits per PowerShell durchgeführt. Hierzu genügt dieser eine Befehl

Install-WindowsFeature AD-Domain-Services –IncludeManagementTools

image

Einrichtung der Domäne

Wenn Sie den Server-Manager aktualisieren, sehen Sie im oberen Bereich eine Warnung. Dieses Warnung zeigt uns, dass die Einrichtung noch nicht komplett abgeschlossen wurde.

image

Ein Klick auf “Server zu einem Domänencontroller heraufstufen” startet den Einrichtungsassistenten

Der Assistent startet in unserem Fall direkt mit den korrekten Einstellungen

image

Ein Klick auf “Weiter” zeigt uns direkt einen Fehler

image

Die Anpassung der Gesamtstrukturfunktionsebene

Die Gesamtstrukturfunktionsebene müssen wir auf dem SBS 2003 anpassen. Hierzu öffnen wir unter “Verwaltung” die “Active Directory-Domänen und –Vertrauensstellungen”. Dort klicken wir mit rechts auf “Active Directory-Domänen und –Vertrauensstellungen” und wählen die Option “Gesamtstrukturfunktionsebene heraufstufen…”. Ich habe in meinem Fall leider nur eine englische Version des SBS finden können, daher sind die Screenshots in Englisch.

image

Die folgende Einstellung lässt uns einen Wechsel auf die “Gesamtstrukturfunktionsebene” “Windows Server 2003” durchführen

image

Ein kleines Fenster warnt uns, dass dieser Schritt nicht rückgängig gemacht werden kann.

image

Ein beherzter Klick auf “OK” zeigt Ihnen hoffentlich das folgende Fenster

image

Die Anpassung der Domänenfunktionsebene

Überprüfen Sie die Domänenfunktionsebene. Diese befindet sich im gleichen Fenster direkt unter der vorher genutzten Option

image

In meinem Fall musste hier keine weitere Anpassung vorgenommen werden

image

Einrichtung der Domäne Teil 2

Nachdem nun die benötigten Änderungen am SBS-Server und der bestehenden Domäne durchgeführt wurden, können wir erneut mit dem Hinzufügen zur Domäne beginnen. Falls Sie den Assistenten noch geöffnet haben klicken Sie einfach auf “Weiter”, dieses Mal setzt der Assistent die Einrichtung fort. Nach einer kurzen Überprüfung der Einstellungen erscheint die folgende Meldung

image

Dies ist für uns in Ordnung, da wir keinen RODC installieren möchten. Nach der Eingabe des Verzeichnisdienst-Wiederherstellungsmodus-Kennwort können wir auf “Weiter” klicken

image

Bei den DNS-Optionen ignorieren wir die Warnung zur Delegierung

image

Bei den zusätzlichen Optionen werden die IFM-Optionen sowie die Replizierungsoptionen abgefragt

image

Unter Pfade können wir die Ablageorte der verschiedenen Ordner und Dateien konfigurieren

image

Nun meldet der Assistent, das eine Gesamtstruktur- und Schemavorbereitung sowie eine Domänenvorbereitung durchgeführt wird

image

Wir bekommen eine Übersicht der Optionen angezeigt, zusätzlich können wir uns die Konfiguration per PowerShell anzeigen lassen. Dies sieht in meinem Fall wie folgt aus

image

Nach einem Klick auf “Weiter” klicken, werden die Voraussetzungen zur Installation geprüft. Es erscheinen mehrere Warnungen, die in meinem Fall allerdings nicht die Einrichtung behindern

image

Ein Klick auf “Installieren” startet die Installation. Die Anpassung der Gesamtstruktur wird durchgeführt, dies lässt sich im Task-Manager des SBS2003 mitverfolgen

image

Die Aktualisierung hat in meinem Fall ca. 8 Minuten gedauert, danach startet das System automatisch neu

image

Nach dem Neustart und einer erneuten Anmeldung kann man z.B. per Gruppenrichtlinienverwaltung sehen, dass die Einstellungen erfolgreich übertragen wurden

image

Die Übertragung der FSMO-Rollen

Nachdem ein sauberer Betrieb des Server 2012 sichergestellt werden kann, können Sie mit dem Umzug der FSMO-Rollen beginnen. Die fünf Rollen sind die folgenden:

  • Der Schemamaster
  • Der Domänenmaster
  • Der RID-Master
  • Der PDC-Emulator
  • Der Infrastrukturmaster

Den Umzug können Sie am einfachsten per NTDSUTIL durchführen. Öffnen Sie auf dem Server 2012 eine administrative Eingabeaufforderung und geben Sie die folgenden Befehle ein

NTDSUTIL

Roles

Connections

Connect To Server <Name_des_Server_2012>

Quit

image

Nun können Sie die Übertragung der Rollen starten. Die jeweiligen Bestätigungsfenster müssen Sie mit “Ja” bestätigen.

Transfer Schema Master

Transfer Naming master

Transfer RID Master

Transfer PDC

Transfer Infrastructure Master

image

image

Nach der Übertragung der fünf Rollen beenden Sie den Assistenten durch die zweifache Eingabe von

Quit

Nun sind alle Rollen übertragen, Sie können dies über die grafische Oberfläche oder per netdom-Befehl verifizieren.

image

image

netdom query fsmo

image

Dem SBS2003 fällt der Umzug der Rollen natürlich auch auf

image

Wenn Sie einem SBS-Server die Rollen wegnehmen, empfindet dieser das als “Verstoß gegen seine Betriebsregeln” und startet nach einer gewissen Zeit in regelmäßigen Abständen neu. Standardmäßig liegt dieser Zeitraum bei 7 Tagen, der Patch KB943494 verlängert diesen Zeitraum auf 21 Tage.

Abbau des SBS2003

Wenn nun der SBS 2003 deinstalliert werden soll, kann ein Ausschluss aus der Domäne per “dcpromo” erfolgen. Es öffnet sich ein Assistent, der die Einstellungen abfragt, ob dies der letzte DC in dieser Umgebung ist. Dies ist in unserem Fall nicht so, daher wird der Haken nicht gesetzt. Die Fehlermeldung zum Abschluss der Deinstallation kam in der vorher beschriebenen Migration ebenfalls, hier hilft die erneute Ausführung der Herunterstufung.

image

image

image

image

image

image

image

Somit ist der SBS2003 aus der Gruppe der Domänencontroller entfernt und kann nun auch noch aus der Domäne entfernt werden, bevor er final abgeschaltet wird.

image

Teilen:

Jan Kappen

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

29 Kommentare:

  1. Pingback: Auszug – Microsoft TechNet NewsFlash 06/2013 - TechCenter - Blog - TechCenter – Dell Community

  2. Sehr klar und übersichtlich. Wertvoll vor allem durch die Angabe der auftretenden Fehlermeldungen. Vielen Dank!

  3. Hallo,

    bin gerade bei diesem Schritt:

    „Ein Klick auf “Installieren” startet die Installation. Die Anpassung der Gesamtstruktur wird durchgeführt, dies lässt sich im Task-Manager des SBS2003 mitverfolgen“

    Sie schreiben dort das es bei Ihnen ca. 8 min gedauert hat.

    Bei mir läuft die Aktualisierung nun schon seit fast 2 Stunden.
    Ist das noch normal oder muss da was schiefgeloffen sein?

    Fortschritt zeigt an:

    „Das NTDS-Einstellungsobjekt für diesen Domänencontroller wird auf dem Remotedomänencontroller „sever….“ erstellt.“

    Er hat sich nicht aufgehangen, der Ladebalken ist ständig unterwegs.

    Soll ich noch ein wenig Geduld haben oder abbrechen?

    Für eine Antwort bedanke ich mich.

  4. Hallo,
    ein superspitzenmäßiger Walkthrough mit wichtigen Details wie Fehlermeldungen und Neustarts.
    Ich bin begeistert!

    Vielen Dank!

    glg
    D.

  5. @Julian Arnold

    Wie ist die Migration ausgegangen?
    Hat es nur länger gedauert?
    War die Migration auf phys. Systemen oder auch auf virtuellen wie in der Anleitung?

    lg
    D.

  6. Guten Morgen,

    Danke für den prima Beitrag. ich hatte das „Vergnügen“ am Wochenende. Dank Ihrer Anleitung hat fast alles geklappt. Nur der letzte Schritt: DCPROMO des win 2003 SBS bricht mit der Fehlermeldung ab, (sinngemäß):

    Das Kontrollkästchen, das angibt, ob dieser DC der letzte in der Domäne ist, ist nicht aktiviert. Es konnte jedoch kein anderer ADC für diese Domän gefunden werden…

    Wie gesagt, der WIN2012 läuft ohne Fehler als ADC in der Domän, das zeigen alle entsprechenden Tools an.

    Was verhindert die Herabstufung?

    Für eine zeitnahe Antwort wäre ich sehr dankbar.

    Herzliche Grüße

    U. Büttner

  7. Hallöchen, eine sehr gute und funktionale Anleitung zu diesem Thema.

    Zum Thema Herabstufung des alten Servers, respektive der Entfernung der AD per DC Promo. Wenn der alte Server nicht mehr im Netzwerk bereitsteht, muss er zwingend entfernt werden, da ansonsten auf dem 2012er immer wieder Replikationsfehler auftauchen. Es ist wohl einfacherm schnell den alten Server raus zu nehmen, anstatt sich in der AD Verwaltung nach der Beendigung der Replitkation mit dem Altserver umzusehen. Außerdem kommt es zum Problem, dass die Betriebsmaster Rolle nicht verifiziert ist.

    Zum Bild 40 (drittes von unten gesehen), bzw. zu dieser Fehlermeldung wollte ich noch anmerken, zumindest bei mir, kam nach dem TimeOut Error nicht sofort die erfolgreiche Entfernung der AD sondern es gab eine Fail Meldung. Wenn man dann auf „Zurück/Back“ klickt und noch mal die Entfernung einleitete, lief es (zumindest bei mir) erst durch.

    Ich hatte sozusagen nur die Fehlermeldung als normal gewertet und die Fail Meldung nicht gelesen (zu schnell geklickt) und wunderte mich anschließend, dass die AD noch da war und ich nicht den lokalen Admin auszuwählen vermochte.

  8. Bei der Übertragung der FSMO-Rollen ist ein Tippfehler „Conntect“ statt „Connect“. Leicht zu finden, irritiert aber wenn man den Befehl kopiert.

  9. Danke Larsen,
    ist korrigert :)
    Gruß, Jan

  10. Hallo,
    bei mir dauert es mehr als 2 SDtd. und das balken läuft immer noch.
    Es handelt sich um 2 Phys. Mschinen

  11. Vielen Dank für den tollen Artikel.
    Wie gehe ich vor, wenn ich den Windows Server 2003 weiterbetreiben möchte? Wie kann ich verhindern, dass er aufgrund des “Verstoßes seiner Betriebsregeln” nach 7 Tagen neustartet?

    Vielen Dank!

  12. Hallo Mathias,
    überhaupt nicht weil geht nicht und darf man nicht.
    Gruß, Jan

  13. Hoi Jan, Danke Dir für diesen super Beitrag, kann diesen aktuell gerade gebrauchen;-)

    Zwei Frage; Nach dem netdom-Befehl und der Übertragung der Rollen kann ich den SBS auch gleich schmeissen, sprich muss diesen nicht aus der Domäne nehmen, oder?

    Was ist eigentlich wenn der SBS vor der Rollen Übertragung auf den 2012 stirbt? Kann die Rollen Übernahme dennoch erfolgen?

    Danke & Gruss Thomas

  14. Hoi Jan,

    Kann aktuell gerade diesen Beitrag gebrauchen;-) Einfach TOP wie Du schön Schritt für Schritt das ganze erklärst!

    Zwei Frage habe ich; Muss ich nach der erfolgreichen Rollen Übernahme auf den 2012 den SBS zwingen aus der Domäne nehmen, oder kann ich das Teil einfach ausmachen und entsorgen? Im Fall das der SBS vor der Rollenübernahme auf den 2012 verstirbt; Ist die Rollen Übertragung dann überhaupt noch möglich, oder wie wäre dann der Vorgang?

    Danke & Grüsse Thomas

  15. Hallo Thomas,
    das saubere Entfernen ist wichtig, da sonst der SBS2003 noch bekannt ist und fehlt. Im Falle eines Ausfalls muss eine harte Übernahme der Rollen gemacht werden:
    http://technikblog.rachfahl.de/losungen/harte-bernahme-der-fsmo-rollen-ausfall-des-vorherigen-rollenbesitzers/
    Danach muss das AD noch manuell aufgeräumt werden.
    LG, Jan

  16. Hoi Jan, Danke Dir für Deine Antwort! Na dann lege ich mal los;-) LG Thomas

  17. Danke für die super Anleitung! Das hat mir viele mühsame Stunden Suchen und probieren erspart ;).

  18. Super Anleitung hat alles funktioniert aber ich habe die 21 Tage verpennt bzw. es nicht vorher geschafft. Jetzt ist der W2012 nicht mehr erreichbar weil alle Benutzerkonten deaktiviert sind.

    Gibt es hierzu auch eine lösung ???

    VG Michael

  19. Hallo Michael,
    ich kenne keine Lösung.
    Gruß, Jan

  20. Hallo und der Beitrag ist sehr gut und Verständlich.

    Eine Frage hätte ich dazu:

    funktioniert das ganze auch von einem physischen Server mit sbs2003 auf eine Server2012VM umzuziehen??

    Da deine Anleitung das von 2 VM’s aus realisiert.

    Da in unserem Hause auch ein Umzug auf ein 2012 ansteht und ich nach einer Lösung suche die mir hier nicht das Genick bricht.
    So wie du es beschreibst so hatte ich es mir auch ausgemalt das zu realisieren.

    Vielen Dank für deine Antwort, wenn hier noch wer drauf schaut ;-)

  21. Hallo Jan,

    tolle Anleitung, aber trotzdem noch eine Frage:

    Benötigt man als Zielserver „Windows 2012 Standard“ oder funktioniert das auch mit „Windows 2012 Foundation“ als Betriebssystem? Ich muss demnächst nämlich 2 Windows 2003 SBS ablösen.

    Viele Grüße
    Uwe

  22. Hallo Chris,
    ob das Zielsystem eine VM oder ein physischer Server ist ist egal, der Weg ist der gleiche. Das gilt ebenfalls für das Quell-System, für die Demo habe ich einfach zwei VMs genommen, dass geht schneller als die Arbeit mit Hardware-Systemen :)
    Gruß, Jan

  23. Hallo Uwe,
    ich kann es dir nicht sagen, aber hier gibt es einige Informationen zu der Foundation-Version: https://technet.microsoft.com/de-de/library/jj679892.aspx
    Es sieht erstmal so aus, als wenn dein Vorhaben funktionieren würde, aber ich kann es dir halt nicht bestätigen. Zur Not mal in einer VM testen.
    Gruß, Jan

  24. Hallo Jan,

    vielen Dank für die Antwort. Ich gehe auf die sichere Seite und nehme Windows Standard.

    Viele Grüße
    Uwe

  25. Hallo Jan,
    vielen Dank für den tollen Beitrag. Bin jetzt bis zu dem Punkt gekommen, das alle FSMO-Rollen auf den neuen Windows Server 2012 (in meinem Fall 2012 R2) erfolgreich übertragen wurden. Der Windows Server 2003 Small Business ist zur Zeit noch als Domänencontroller vorhanden.
    Wollte jetzt vor dem Abbau des 2003 Server schon einmal das Login Script in der Domäne auf dem neuen Windows Server 2012 R2 einrichten.
    Wenn ich das Group Policy Management öffne und darin die Domäne auswähle erscheint aber immer folgende Fehlermeldung:
    Verarbeitungsfehler beim Sammeln von Daten mit diesem Basisdomänencontroller. Ändern Sie den Basisdomänencontroller, und wiederholen Sie den Vorgang.
    Auch finde ich dann darin den Baum Scripts noch nicht.
    Liegt das evtl. alles daran, das der alte 2003 Server noch ein Domänencontroller ist? Wollte das erst einrichten und testen, bevor ich den alten Server aus der Domäne hole und dann später lösche.

    Gruß und Danke,
    Christoph

  26. Hey Christoph,

    muss der SBS nicht alle FSMO Rollen haben? Dachte das es da sonst stress gibt…

    LG Tom

  27. Hallo Tom,
    der SBS muss Besitzer aller FSMO Rollen sein, da er sonst nach einer gewissen Zeit immer wieder von selbst durchstartet.
    Gruß, Jan

  28. Hallo,
    finde die Anleitung wirklich sehr gut. Nun habe ich noch eine Frage, weil es ja um migration von SBS 2011 handelt. Geht die Migration der anderen enthaltenden Teile vom SBS auch ao leicht? Also Exchange und SharePoint usw.. Also reicht es das man die betreffenden Server zusätzlich installiert und dann die Daten vom SBS (Exchange) exportiert und dann am Exchange importiert der in der neuen Umgebung dann zuständig sein soll.

    würde mich drüber freuen wenn mir da jemand ein paar Tips zu geben kann.

    Gruß, Hajo

  29. Hallo,

    ich möchte gerne einen SBS 2003 durch einen 2012 R2 Essentials ersetzen. Geht dies ebenfalls auf oben beschriebenem Weg? Muss man bei herausnehmen des SBS 2003 nicht zuerst den Exchange deinstallieren?

    Gruß
    Alexander

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *