Alter DC - Upgrade zu 2022 inkl. O365 Cloud

[qlubtempo]

Moin in die Runde,

ich habe bei einem Kunden einen alten SBS 2011 als DC mit deaktivierten Exchange laufen.
Die Emails wurde vor ein paar Jahren schon ins Office 365 migriert. Es besteht also ein AD-Sync.

Nun wollen wir (Kunde hat endlich Buget freigegeben) die ganzen Server erneuern auf Win Server 2022.
Jetzt stellt sich mir die Frage wie ich am besten bzgl. der O365 Anbindung (Sync) vorgehe.

Möglichkeit 1:
Upgrade des SBS2011 bis auf 2022 hoch (vermutlich zwischenschritt auf 2012, dann 2016 und dann erst 2022)
wenn das überhaupot geht wegen SBS/Exchange?

Möglichkeit 2:
einen zweiten DC hochziehen als Mitgliedsserver und den dann zum Haupt DC machen?

Möglichkeit 3:
Komplett neuen DC und alle User neu anlegen und Profile übernehmen (keine Altlasten mitnehmen), dafür ist die Frage aber, ob dann die Office365 Sync Konten defekt gehen oder was es sonst für Probleme geben könnte.
Ist evtl nur der gleiche Name im AD wichtig und es wird wieder korrekt gesynct? Fragen über Fragen...

Über nütze Tipps wäre ich sehr dankbar.

 

[nutrix]

M2, wobei fraglich ist, ob das mit verschiedenen OS-Versionen so geht. Ansonsten M3, weil bei bei dem Weg M1 zuviel schief gehen kann und es zuviele Upgrades sind.

 

[Malex2018]

Bei M2 müsste es auch Probleme geben, war das nicht so das ein SBS merkt, wenn es noch einen DC gibt und sich dann ausschaltet?
Wenn die alte Domäne eine .local ist, würde ich den neuen DC mit einer .de Domäne aufsetzten, dann sollte es keine Probleme geben, aber bisschen mehr Arbeit.

O365 und die AD user müssen gleich sein, sonst braucht man keinen Azure Sync.

Gerade gelesen das sich ein SBS nach 7 Tagen selbst herunterfährt, wenn er einen zweiten DC sieht.

 

[qlubtempo]

@Malex2018 Also ist es hier nur wichtig das ich die Benutzernamen genau gleich anlege wie sie vorher waren bzw. wie sind im Office365 gesynct sind? Wenn ja, dann würde ich M3 favorisieren.

 

[Malex2018]

@qlubtempo Die Domäne muss auch passen, nicht nur user name.

 

[qlubtempo]

@Malex2018 Wenn ist dann nun einen *.de Domäne nehme statt der *.local würde es doch Probleme geben, oder füge ich einfach später das weitere Präfix *.local hinzu und aktiviere dann erst den Sync?

 

[Malex2018]

Ist die Domäne im O365 auch .local? Denke ich nicht, oder?

 

[qlubtempo]

nicht, ist sie nicht, aber ich dachte das es evtl wichtig wäre.

 

[Malex2018]

Bei so einem Vorhaben würde ich allerdings jemanden vor Ort empfehlen, der sich damit besser auskennt.
Sowas kann ziemlich in die Hose gehen.

 

[xexex]

Komplett neuen DC und alle User neu anlegen und Profile übernehmen (keine Altlasten mitnehmen),

Dies! Die Wahrscheinlichkeit, dass der SBS2011 jemals richtig aus der Domäne entfernt wurde ist sehr gering und "Reste" vom Exchange und anderen SBS Diensten wirst du nie richtig los.

Saubere Server 2022 Installation mit einem sauberen AD einrichten, später Daten migrieren und Azure AD Sync einrichten.

 

[qlubtempo]

danke für eure Tipps - dann wirds eine neue Domöne werden.
@Malex2018 - das sind nur 8 Mitabeiter, da brauchen wir keine externe Hilfe. Wäre es ein größeres Unternehmen, dann wären wir vermutlich gar nicht an diesem Punkt, dass das System so veraltet ist. Der Kunde war aber lang Beratungsresistent...

 

[Schwabe66]

Auf jeden Fall eine Neuinstallation, ein SBS schreibt Attribute ins AD die es in einer sauberen Bereitstellung gar nicht gibt. Das willst du nicht mitnehmen, mach das einmal sauber neu. Trotzdem frage ich mich warum ihr das selbst macht, da scheint ja einiges an Wissen zu fehlen. Die UPNs müssen für einen sauberen Entra-ID sync. mit der E-Mail Adresse übereinstimmen.

.local sollte man nicht verwenden, normalerweise benutzt du dafür eine registrierte Domain, das Top-Level ist dabei egal.

https://imatrix.at/schlechter-domain-name/

Edit: Default ist beim SBS btw. das Server-gespeicherte Profil, wichtig bei der Profilübernahme.

 

[Matthias80]

1. Nope
Bei einem dc eh ned!

2. Ok. Aber dafür müsste der exchange sauber deinstallieren werden. Sonst sind halt noch Leichen drin, die dann nie mehr zu entfernen sind.

3. Beste Lösung bei der kleinen Anzahl. Allerdings zwigen deine Fragen Unwissenheit auf.
Wenn es eine ad Kopplung gibt. Muss das halt alles wieder gerade gezogen werden. Welche Probleme dabei auftreten können... Siehst man oft erst dabei.

Viel Glück! 🍀

 

[prayhe]

Das hier wird vermutlich interessant wenn es dann darum geht dass die neuen AD-Objekte mit den vorhandenen Objekten in der Cloud verknüpft werden sollen:
https://techcommunity.microsoft.com...d-identity-getting-users-aligned/ba-p/2274690 -> How Azure AD aligns user objects

 

[qlubtempo]

Kurzes Feedbach an diejenigen die besser auf externe Hilfe verweisen:
Wir sind ein kleines Systemhaus, hier wird gerne erstmal selbst versucht bevor externe Hilfe in Anspruch genommen wird. In der Regel klappt das auch alles (in den 17 Jahren die ich hier arbeite gab es keine Probleme bei ähnlichen Umstellungen) - Ich lerne auch gerne dazu, auch wenn ich dieses Szenario vermutlich nie wieder so vorfinden werde.

Ich bin jetzt auch nicht ganz unfähig solche Aufgaben durchzuführen und habe hier um die beste Lösung gefragt, da ich mir recht sicher war das hier einige Experten auf dem Gebiet unterwegs sind.

Danke euch auf jeden Fall für die guten Tipps :-)

 

[Innensechskant]

Exchange deinstallieren und dann separaten DC aufsetzen umd dem die primäre Rolle/PDC übertragen und 24h replizieren lassen.

Dann auf dem neuen DC repadmin /showrepl als admin ausführen und etwaige Fehler beheben.

Dann den SBS demoten und entfernen. Danach das Feature Level vom AD auf 2016 anheben.


Das AD löschen würde ich absolut vermeiden, die Zuordnung der Benutzer und Postfächer wird verloren gehen und ggf. passt dein ganzes AAD nicht mehr zur lokalen Umgebung.

 

[Schwabe66]

@Innensechskant Das wäre mit Abstand die unsauberste Lösung, den ganzen scheiß vom SBS mitnehmen. Absolutes NoGo, welche Zuordnung soll da nicht klappen? Mit Profwiz in die neue Domain migrieren und fertig. Laut TE gibt es ja nicht mal einen EntraID Sync.

 

[Innensechskant]

Die Emails wurde vor ein paar Jahren schon ins Office 365 migriert. Es besteht also ein AD-Sync.

@Schwabe66 ja, doch?
Sonst wäre ich bei dir gewesen.

Ansonsten die Postfächer vorher sichern und dann einmal alles neu. Bei acht Personen ist der Aufwand überschaubar, ich hatte irgendwie 80 gelesen^^

 

[h00bi]

Exchange deinstallieren und dann separaten DC aufsetzen umd dem die primäre Rolle/PDC übertragen und 24h replizieren lassen.

Dann auf dem neuen DC repadmin /showrepl als admin ausführen und etwaige Fehler beheben.

Dann den SBS demoten und entfernen. Danach das Feature Level vom AD auf 2016 anheben.


Das AD löschen würde ich absolut vermeiden, die Zuordnung der Benutzer und Postfächer wird verloren gehen und ggf. passt dein ganzes AAD nicht mehr zur lokalen Umgebung.

Das klingt ziemlich genau nach unserem Vorgehen damals, allerdings haben wir 2 DCs aufgesetzt und parallel einen AD-Connect Hybrid Exchange auf einem 3. Host. Zwischenzeitlich gibts den aber nicht mehr.

 

[Schwabe66]

@Schwabe66 ja, doch?
Sonst wäre ich bei dir gewesen.

Ansonsten die Postfächer vorher sichern und dann einmal alles neu. Bei acht Personen ist der Aufwand überschaubar, ich hatte irgendwie 80 gelesen^^

Er wird keinen activen Sync haben:

• Microsoft Entra Connect can't be installed on Small Business Server or Windows Server Essentials before 2019 (Windows Server Essentials 2019 is supported). The server must be using Windows Server standard or better.

Außer er verheimlicht uns was, SBS ist nicht mit Azure AD sync kompatibel. War es meines Wissens nach auch nie, eben weil es die Attribute dort gar nicht gibt.