Heraufstufen der Funktionsebenen von Active Directory-Domänen und -Gesamtstruktur

Hallo zusammen,

Das Heraufstufen der Funktionsebenen von Active Directory-Domänen und -Gesamtstruktur kann in manchen Active Directory Umgebungen zu einer sehr komplexen Angelegenheit werden.

Wir standen selbst vor dieser Herausforderung, und ich möchte meine Erfahrungen mit euch teilen. Wir aktualisierten von der Domänen und -Gesamtstruktur Version 2003 auf 2008R2. Als nächstes planen wir das Update auf 2012R2.

Die spannendste Frage ist doch: „was ist die Auswirkung?“  Und da fängt das eigentliche Problem an: es gibt keine pauschale Aussage darüber, und es variiert von Umgebung zu Umgebung. Einer der wesentlichen Erfolgsfaktoren war, den Überblick zu bekommen, wer bzw. welche Systeme das Active Directory in unserer heterogenen Umgebung nutzen. Da wir einen großen Anteil an Linux Systemen haben, war es wichtig, auch dahingehend die Auswirkung zu prüfen. Eine schöne Übersicht dazu gibt es von den Information and Technology Services der University of Michigan.

Dennoch konnten wir nicht direkt sehen, wer das Active Directory nutzt und wie er betroffen sein würde. Hierbei war es wichtig die Applikationen/Systeme zu identifizieren.

Bei Applikationen haben wir pauschal alle Hersteller kontaktiert und hinterfragt, ob die jeweilige Anwendung zur angestrebten Funktionsebene der Active Directory-Domänen und -Gesamtstruktur kompatibel ist. Tatsächlich konnten wir Applikationen finden, die mit einer neueren Version nicht kompatibel waren, was mich persönlich verwundert, denn Windows Server 2008R2 ist aus dem Jahr 2009. Selbst bei Microsoft-Systemen ist das nicht immer gegeben. Exchange 2010 hat das Active Directory 2012R2 erst Monate nach dem Release von Windows Server 2012R2 unterstützt.

Um Systeme zu finden, die nur einen LDAP Search o.Ä. nutzen, haben wir an allen Domain Controllern den LDAP-Traffic aufgezeichnet, dann die IP Adressen ausgewertet und den Betreibern der Systeme zugeordnet. Daraufhin haben wir die jeweiligen Kollegen über den bevorstehen Change informiert .

Achja: ein gutes Changemanagement sollte bei einem solchen Projekt nicht fehlen 😉

Hierzu haben wir zwei Varianten geprüft:

  1. Mitschneiden des LDAP-Traffic mit Microsoft Network Monitor 3
  2. Analyse des Traffic auf dem Domaincontroller mittels Perfmon

Letztlich hat es mit der Variante 1.) für uns am besten funktioniert.

Wie ihr feststellen könnt, ist die Vorbereitung das A&O! Nur wer seine Umgebung kennt, kann das Risiko gering halten. Um das Restrisiko tragen zu können, haben wir weitere Maßnahmen eingeleitet:

  1. Mehrere Active Directory Desaster Recovery Tests. Wie sich das realisieren lässt, habe ich bereits in einem anderen Blog Post kundgetan
  2. Aufräumen, prüfen, checken! Siehe mein Blog Post „Frühjahresputz Active Directory

Zu 1.) und 2.) kann man auch bei den Microsoft Premier Services ein Assessment buchen, z.B. einen „AD RAP“, siehe auch: „Das RAP ist Vergangenheit – Gegenwart ist „RAP as a Service““

Das Heraufstufen selbst ist relativ einfach zu machen. Wenn alle Domain Controller bereits mit der neuesten Betriebssystemversion (hier: Windows Server 2008 R2) laufen:

  1. Backup prüfen
  2. Replikation prüfen. Wenn es hier auch nur einen Fehler gibt, würde ich nicht mit der Migration starten. Ich empfehle euch den Replikation Report.
  3. Domain Level anheben
  4. Replikation prüfen
  5. Forest Level anheben
  6. Replikation prüfen

Geht auch per Powershell

Bei unserem Update hatten wir danach ein paar merkwürdige Probleme, dich sich auf den KDC Dienst bezogen. Nachdem wir den KDC Dienst auf allen Domain Controller neu gestartet hatten, waren die Probleme weg. Siehe Sure Raise the FFL & DFL…No Problem & SOLVED: AN AUTHENICATION ERROR HAS OCCURED. THE ENCRYPTION TYPE REQUESTED IS NOT SUPPORTED BY THE KDC.

Ein Problem mit .Net Anwendungen hatten wir Glücklicherweise auch nicht (siehe http://support.microsoft.com/default.aspx?scid=kb;en-US;2260240).

Wir haben ebenfalls gleichmal das FRS für das Sysvol auf DFS-R umgestellt (war ganz leicht), wie das geht findest du unter Migration of FRS to DFRS Sysvol.
Danach ist es notwendig, das Monitoring anzupassen. Wir nutzen eine angepasste Version von testing-sysvol-replication-latencyconvergence-through-powershell.
Wer denkt, das sei alles „mal nebenbei“ passiert, irrt sich. Wir benötigten sechs Monate Vorbereitungszeit, und der Aufwand der Vorbereitung war enorm hoch. Wer also wenig Zeit hat, sollte sich an den Dienstleister seines Vertrauen wenden. Tipp:  Referenzen anfordern. Oder dürfte euer Zahnarzt auch eure Herz-OP durchführen? 😉

Denkt daran, wenn das Active Directory nicht mehr funktional ist, kann sich niemand mehr an Windows-Clients oder Server-Ressourcen anmelden! Die Auswirkung für euch und euren Arbeitgeber könnt ihr euch selbst ausmalen.

Weitere neue Info: Wer von Active Directory 2003 auf Active Directory 2012 direkt aktualisieren möchte, sollte folgenden Blog Post beachten!
It turns out that weird things can happen when you mix Windows Server 2003 and Windows Server 2012 R2 domain controllers

VG,

Jean.

 

 

P.S.:

Ich habe mal über die Zeit eine Liste angefertigt mit Blogposts zu dem Thema:

http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels%28d=printer,v=ws.10%29.aspx
http://www.experts-exchange.com/OS/Microsoft_Operating_Systems/Server/2003_Server/Q_27872962.html
http://blogs.technet.com/b/askds/archive/2011/06/14/what-is-the-impact-of-upgrading-the-domain-or-forest-functional-level.aspx
http://www.windowsnetworking.com/articles-tutorials/windows-2003/Determining-Functional-Level-Windows-Server-2003.html
http://kpytko.pl/2012/05/14/raising-domain-functional-level/
http://msmvps.com/blogs/mweber/archive/2010/03/25/migrating-active-directory-to-a-new-forest.aspx
http://blogs.technet.com/b/askpfeplat/archive/2013/04/29/upgrading-or-migrating-active-directory-to-windows-server-2012-build-your-roadmap-now.aspx
http://blogs.technet.com/b/blainbar/archive/2013/05/10/windows-server-2012-active-directory-resource-page.aspx
http://blogs.technet.com/b/canitpro/archive/2013/05/21/windows-server-2012-active-directory-what-s-new.aspx
http://blogs.technet.com/b/omers/archive/2010/06/30/step-by-step-guide-for-upgrading-active-directory-from-microsoft-windows-2003-to-microsoft-windows-server-2008.aspx
http://blogs.technet.com/b/askpfeplat/archive/2013/06/03/upgrade-active-directory-to-windows-server-2012-phase-1-assessment.aspx
http://blogs.technet.com/b/blainbar/archive/2013/06/11/upgrading-windows-server-2008-active-directory-to-2012-read-on.aspx
http://blogs.technet.com/b/canitpro/archive/2013/06/18/step-by-step-active-directory-migration-from-windows-server-2008-r2-to-windows-server-2012.aspx

http://4sysops.com/archives/upgrading-active-directory-using-virtualization/

http://blogs.technet.com/b/exchange/archive/2015/02/13/considering-updating-your-domain-functional-level-from-windows-2003-read-this.aspx
http://blogs.technet.com/b/omers/archive/2015/02/08/step-by-step-guide-for-upgrading-active-directory-from-microsoft-windows-2008-r2-to-microsoft-windows-server-2012-r2.aspx

http://www.itcs.umich.edu/windows-forest/upgrade2012r2.php

http://blogs.technet.com/b/justin_gao/archive/2015/05/05/how-to-migrating-ad-to-windows-server-2012-r2.aspx

 

Share Button

Ersten Kommentar schreiben

Antworten

Ihre E-Mail-Adresse wird nicht veröffentlicht.


*