sollte ich beim Hinzufügen eines neuen Domänencontrollers zu einer vorhandenen Windows-Domäne "Nur-Lese-Domänencontroller" sein?

432
vrms

Etwas weiter, wo die Lösung dieses Themas mich veranlasst hat.

2016 Essentials für Domaincontroller bewerben - kann DC nicht kontaktieren

Ich bin dabei, eine vorhandene SBS 2008 durch ein neues Windows Server 2016 Essentials innerhalb derselben Domäne zu ersetzen. Und ich habe vor allem unter Windows nicht viel Grund. Der Schritt, an dem ich mich im Migrationsprozess befinde, besteht darin, den neuen Server zur vorhandenen Domäne hinzuzufügen (bearbeitet) und den Essentials-Server anschließend auf einen Domänencontroller hochzuladen. Ich wähle die Option "Einen Domänencontroller zu einer vorhandenen Domäne hinzufügen" und werde mit den 'Domänencontrolleroptionen' konfrontiert, die folgendermaßen aussehen:

[+] DNS-Server (Domain Name System)
[+] Globaler Katalog
[] Nur-Lese-Domänencontroller (RODC)

Ich frage mich ein wenig, ob RODC nicht überprüft werden sollte, da ich nicht damit gerechnet hatte, der "Chef im Ring" mit dem neuen Server zu sein.

0

1 Antwort auf die Frage

0
grawity

Wenn diese Option aktiviert ist, wird die Funktionalität reduziert :

  • Standardmäßig erstellt dcpromo einen Standard-DC, der beschreibbar ist und eine vollständige Kopie der AD-Datenbank enthält.
  • Wenn die Option "RODC" aktiviert ist, erstellt dcpromo einen eingeschränkten Domänencontroller, der schreibgeschützt ist, und in seiner Datenbank werden einige Domänengeheimnisse (z. B. Kennwort-Hashes von Admins) ausgelassen.

Sie müssen mindestens einen normalen Domänencontroller haben. Verwenden Sie die RODC-Option daher nur, wenn Sie wirklich wissen, dass Sie sie benötigen.

Beachten Sie, dass es sich bei Active Directory um Peer-to-Peer handelt, sodass ein neu beförderter Domänencontroller nichts von anderen Domänencontrollern übernimmt und diese in keiner Weise automatisch herabsetzt. Die regelmäßige Replikation erfolgt in alle Richtungen, außer für FSMO-Rollen. Diese müssen manuell übertragen werden, wenn Sie den vorherigen Domänencontroller herunterfahren möchten.

Edit: Ich habe völlig vergessen, dass das Herabstufen von DCs eine Sache ist. Also ja, den alten DC herunterstufen, bevor er heruntergefahren wird (mit dem neuen DC online), und das sollte sich um alles kümmern.

Vielen Dank. Das ist im Grunde das, was ich in der Zwischenzeit gefunden habe. Und "Ja" Ich plane, die Domäne mit diesem neuen Server zu übernehmen. Soweit ich weiß, habe ich heute 21 Tage Zeit, um dies zu tun (ohne klare Vorstellung davon, was passieren würde, wenn ich es nicht geschafft hätte, in dieser Zeit alles zu erledigen). vrms vor 5 Jahren 0
Eine Frage, die ich jetzt habe, ist, ob ich diesen neuen Computer herunterfahren kann (nachdem er jetzt der Domäne hinzugefügt und zu DC befördert wurde), ohne irgend etwas zu beeinträchtigen (ich meine, die Benutzer können sich immer noch bei der Domäne anmelden und müssen nur die Quelle [und wird ersetzt] ] SBS-Server, der noch alle Freigaben enthält)? Oder muss ich sicherstellen, dass der neue Server (der keine Daten enthält oder noch in der Kontrolle von DHCP ist) ausgeführt wird, wenn ein Benutzer arbeiten möchte? Ich muss noch eine weitere Festplatte hinzufügen, sie von meinem Büro in den Serverraum verschieben,…. solche Sachen vrms vor 5 Jahren 0
Wenn sich Clients anmelden (irgendwo in der Domäne), versuchen sie beide DCs, bis mindestens eine Antwort erfolgt. Wenn ein DC ausgeschaltet ist, kann dies zu gelegentlichen Login-Verzögerungen führen (vielleicht 10 bis 30 Sekunden), aber ich glaube nicht, dass es irgendetwas bricht. (Natürlich müssen Sie den neuen DC einschalten und ihn mit dem alten DC synchronisieren lassen, bevor Sie den alten DC töten ...) grawity vor 5 Jahren 0
Ist der erwähnte Resync-Vorgang etwas, das ich dem neuen DC aktiv mitteilen muss, oder würde dies automatisch im Hintergrund geschehen? vrms vor 5 Jahren 0
Es ist automatisch im Zeitplan, aber auch "ntds force replication" von Google bietet Möglichkeiten, um es sofort auszulösen. grawity vor 5 Jahren 0
Oh, richtig, ich denke, Sie sollten auch den alten DC _demote_, bevor Sie ihn herunterfahren. Das würde alles Notwendige tun, um die Domain funktionsfähig zu halten, sicherzustellen, dass alles repliziert wird usw. grawity vor 5 Jahren 0
Ja, "Demoting" ist auf meiner [Aktionsliste] (https://docs.microsoft.com/de-de/windows-server-essentials/migrate/migrate-from-previous-versions-to-windows-server-essentials) -oder-Windows-Server-Essentials-Erfahrung). Ich bin noch nicht ganz an diesem Punkt vrms vor 5 Jahren 0

Verwandte Probleme