Eine der besten Möglichkeiten zum Schutz eurer Systeme besteht darin, sicherzustellen, dass auf den Active Directory (AD)-Domänencontrollern (DCs) eine aktuelle Version von Windows Server ausgeführt wird. DCs sind kritische Infrastrukturen, da sie die Sicherheit und den Zugriff auf alle eure IT-Ressourcen verwalten und steuern können. Wenn ein DC kompromittiert ist, sollten ihr euer gesamtes Netzwerk als kompromittiert betrachten. DCs sind wertvolle Ziele für Hacker und ihr solltet alle angemessenen Schritte unternehmen, um sie zu schützen.
Viele Organisationen führen noch DCs unter Windows Server 2012 R2 aus. Und während das Betriebssystem im Rahmen des erweiterten Supports von >Microsoft bis 10.10.2023 unterstützt wird, sind spätere Versionen von Windows Server deutlich sicherer und bieten Funktionen wie integrierte Anti-Malware in Form von Windows Defender, Credential Guard zum Schutz lokaler und Remote-Domänen-Anmeldeinformationen auf kompromittierten Servern und viele Sicherheitsverbesserungen unter der Haube, die neuere Versionen von Windows robuster machen.
Es ist oft der Fall, dass Unternehmen eine Lizenz für ein Upgrade auf die neueste Version von Windows Server haben,
dies jedoch nicht tun, weil sie ihre funktionierende Infrastruktur nicht anfassen möchten. Aufgrund der Natur von AD ist es jedoch relativ einfach, einen alten Domänencontroller gegen einen neuen auszutauschen. Und das ohne kritische IT-Dienste zu unterbrechen.
In diesem Artikel werde ich euch durch die allgemeinen Schritte zum Migrieren eines Windows Server 2012 R2-DC zu Windows Server 2016 oder Windows Server 2019 führen. Die Vorgehensweise ist dieselbe, unabhängig davon, ob ihr Server 2016 oder 2019 auswählt. Ich empfehle jedoch, direkt auf Windows Server 2019 zu migrieren. Es gibt einfach keinen Grund, dies nicht zu tun.
1. Richtet zuerst einen neuen Server mit Windows Server 2019 ein
Der erste Schritt besteht darin, Windows Server 2019 auf einem neuen physischen Gerät oder einer neuen virtuellen Maschine zu installieren. Wenn ihr mit Windows Server technisch versiert seid, könnt ihr Server Core installieren und dann die erforderlichen Schritte mit PowerShell ausführen oder eine Remoteverbindung mit dem neuen Server über Server-Manager oder Windows Admin Center herstellen. Installiert andernfalls Windows Server mit aktivierter Desktopdarstellungsrolle.
Verbindet den neuen Server mit euer bestehenden Active Directory-Domäne
Sobald der neue Server betriebsbereit ist, fügt ihn eurer bestehenden AD-Domäne hinzu. Ihr könnt den Prozess über die Registerkarte Lokaler Server im Server-Manager starten, indem ihr unter den Eigenschaften auf Arbeitsgruppe klickt. Das Verfahren ist dann das gleiche wie das Hinzufügen von Windows 10 zu einer AD-Domäne. Ihr müsst den Server neu starten, um den Vorgang abzuschließen.
Installiert die Rolle Active Directory-Domänendienste
Wartet, bis der Server neu gestartet ist, und meldet euch dann mit einem Domänenadministratorkonto an. Anschließend könnt ihr die Serverrolle Active Directory-Domänendienste (AD DS) mithilfe des Server-Managers und des Assistenten zum Hinzufügen von Rollen und Features im Menü Verwalten installieren. Ihr könnt auch den folgenden PowerShell-Befehl verwenden:
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools
Heraufstufen des neuen Servers zu einem Domänencontroller
Wenn die AD DS-Serverrolle installiert wurde, erhaltet ihr im Server-Manager eine Benachrichtigung, in der ihr aufgefordert werdet, den Server zu einem Domänencontroller hochzustufen. Wenn ihr auf das gelbe Ausrufezeichen klickt, wird der AD DS-Konfigurationsassistent gestartet. Ihr solltet einen Domänencontroller zu einer vorhandenen Domäne hinzufügen auswählen und die Anweisungen auf dem Bildschirm befolgen. Und vorausgesetzt, ihr seid mit einem Domänenadministratorkonto angemeldet, bereitet adprep automatisch eure vorhandene Domäne vor.
Verschieben von Flexible Single Master Operation (FSMO)-Rollen auf einen neuen Server
Der nächste Schritt besteht darin, sich beim alten Domänencontroller anzumelden und die FSMO-Rollen für Domäne und Gesamtstruktur (insgesamt fünf) auf den neuen DC zu verschieben. Der einfachste Weg, dies zu tun, ist die Verwendung von PowerShell. Im folgenden Befehl sollten ihr DCALT durch den Namen eures neuen DC ersetzen.
In diesem Artikel wird davon ausgegangen, dass ihr bereits über eine Domäne mit nur einem DC verfügt. In der Praxis ist es wahrscheinlich, dass ihr mehr als einen DC habt. Stellt daher sicher, dass ihr wisst, wie FSMO-Rollen funktionieren und auf welchen DCs ihr euch in eurer Domäne und Gesamtstruktur befindet.
Move-ADDirectoryServerOperationsMasterRole -Identity DCALT -OperationMasterRole 0,1,2,3,4
Wichtig DCALT- ist hier der ausgedachte Name – an der Stelle müsst ihr dementsprechend duch euren Namen ersetzen.
Bestätigt auf dem neuen Domänencontroller, dass die FSMO-Rollen verschoben wurden. Überprüft zunächst die Domänen-FSMO-Rollen. Überprüft mit Get-ADDomain den Namen des Servers neben den folgenden Einträgen: InfrastructureMaster, PDCEmulator und RIDMaster. Der Servername sollte mit dem eures
neuen Domänencontrollers übereinstimmen. Überprüft auf ähnliche Weise mit Get-ADForest den Namen des Servers neben den folgenden Einträgen: SchemaMaster und DomainNamingMaster. Auch hier sollte der Servername mit dem eures neuen Domänencontrollers übereinstimmen.
Herabstufen des alten Domänencontrollers
Nachdem ihr die FSMO-Rollen auf den neuen DC verschoben habt, könnt ihr den alten Windows Server 2012 R2-Domänencontroller sicher herabstufen. Ihr könnt einen DC mit dem Server-Manager herabstufen. Eine Möglichkeit zum Herabstufen eines Domänencontrollers besteht darin, den Befehl Rollen und Features entfernen im Menü Verwalten zu verwenden, um die AD DS-Serverrolle zu entfernen. Durch das Entfernen der Rolle wird der Konfigurationsassistent für Active Directory-Domänendienste geöffnet, der ihr durch die Schritte zum Herabstufen des DC führt, bevor die AD DS-Rolle entfernt werden kann.
Alternativ könnt ihr die Cmdlets Uninstall-ADDSDomainController und Uninstall-WindowsFeature PowerShell verwenden, um den DC herabzustufen bzw. die AD DS-Serverrolle zu deinstallieren.
Erhöht die Domänen- und Gesamtstrukturfunktionsebenen
Schließlich könnt ihr die Domänen- und Gesamtstrukturfunktionsebenen auf Windows Server 2016 erhöhen. Auch wenn ihr Windows Server 2019 ausführt, sind die höchsten Funktionsebenen Windows Server 2016. Ihr könnt die Domänen- und Gesamtstrukturebenen mit Get-ADDomain und Get-ADForest bestätigen Cmdlets.
Set-ADDomainMode -Identity CONTOSO -DomainMode Windows2016Domain
Set-ADForestMode -Identity CONTOSO Windows2016Forest
Und das ist alles! Wie ihr seht, ist es relativ einfach, einen Domänencontroller auf eine aktuellere Version von Windows Server zu migrieren, obwohl mehrere Schritte erforderlich sind. Daher empfehle ich euch, die Migration aller DCs zu prüfen, auf denen etwas unter Windows Server 2016 ausgeführt wird.
Ich bin seit mehreren Jahren als leidenschaftlicher ITler unterwegs. Schreibe gerne über Windows und WordPress-Themen & Co. auf der Seite. Darüber hinaus bin ich seit 2008 als selbständiger SEO-Berater tätig. Also falls ihr Beratung in Sachen PC oder SEO braucht, gerne kontaktieren🙂
Wir hoffen, unsere Artikel konnten euch bei eurer Problemlösung helfen? Wenn ihr unsere Arbeit unterstützen möchtet, würden wir uns über eine kleine PayPal-Kaffeespende freuen. Vielen Dank!
Hallo,
vielen Dank für die großartige Anleitung! Ich habe schon mehrere erfolglose Versuche unternommen, meinen Server von 2012R2 auf 2016 und dann auf 2019 zu aktualisieren. Insbesondere der Exchange-Server hat dabei für Probleme gesorgt. Doch dank deiner Schritt-für-Schritt-Anleitung war der Upgrade-Prozess einwandfrei und ich konnte ohne Schwierigkeiten auf die neueste Version umsteigen.
Vielen Dank noch einmal für die klare und hilfreiche Anleitung!
Beste Grüße