====== Migration eines Windows Domain Controllers: Server 2016 -> Server 2022 ======

Ziel: Einen bestehenden Domain Controller (Windows Server 2016) durch einen neuen Domain Controller (Windows Server 2022) ersetzen.\\ 

Ausgangslage: 2 Domain Controller im Forest/der Domain, davon ist einer bereits Windows Server 2022.

Hinweis: Dies ist die empfohlene "Swing Migration" (neuen 2022-DC hinzufügen, dann 2016-DC demoten) statt In-Place-Upgrade.

===== Vorbereitung =====

=== Voraussetzungen ===
  * Der vorhandene Server 2022 DC repliziert sauber und ist voll funktionsfähig.
  * Der Server 2016 DC soll ersetzt (demoted) werden.
  * Admin-Zugriff (Domain Admin / Enterprise Admin je nach Schritt) ist vorhanden.

=== Vorbereitung (Checkliste) ===
  - Wartungsfenster festlegen
  - Backups erstellen:
    - System State (mindestens) von allen DCs
    - Alternativ/zusätzlich: Bare-Metal/VM-Backup (Snapshots nur mit Vorsicht bei DCs)
  - Dokumentation erfassen:
    - Hostnames, IPs, Sites/Subnetze, DNS-Forwarder, Rollen/Dienste (DHCP/NPS/CA/DFS/etc.)
  - Namens-/IP-Plan:
    - Soll der neue 2022-DC später Hostname/IP des alten 2016-DC übernehmen? (optional)

===== 1. Bestandsaufnahme & Health-Check (vor Änderungen) =====

=== 1.1 Replikation & DC-Gesundheit prüfen ===
Auf einem DC oder Admin-System mit RSAT:

  * DCDIAG:
    * ''dcdiag /v''
  * Replikationsübersicht:
    * ''repadmin /replsummary''
  * Detail (optional):
    * ''repadmin /showrepl * /csv > showrepl.csv''

Erwartung: Keine wiederkehrenden Fehler (DNS, Replication, KCC, SYSVOL).

=== 1.2 Rollen/Dienste ermitteln ===

  * FSMO-Rollen prüfen:
    * ''netdom query fsmo''
  * DNS-Design prüfen:
    * Läuft DNS auf beiden DCs?
    * Forwarder / Conditional Forwarder korrekt?
  * Global Catalog prüfen:
    * "Active Directory Sites and Services" -> Server -> NTDS Settings -> Global Catalog
  * Zeitquelle prüfen:
    * ''w32tm /query /status''
    * ''w32tm /query /source''

===== 2. Migrationsmuster festlegen =====

=== Option A (empfohlen): Neuer 2022-DC -> 2016-DC entfernen ===
  * Sauberer, geringeres Risiko, Standardvorgehen in der Praxis.

=== Option B: In-Place-Upgrade 2016 -> 2022 ===
  * Möglich, aber bei DCs meist nur wählen, wenn es Gründe dafür gibt.

Diese Anleitung beschreibt Option A.


===== 3. Neuen Windows Server 2022 vorbereiten =====

  - Windows Server 2022 installieren
  - Patchen (Windows Update), Reboot
  - Statische IP konfigurieren
  - DNS-Server auf bestehenden Domain DNS zeigen lassen (typisch: 2022-DC als Primary, 2016-DC als Secondary oder umgekehrt gemäß Policy)
  - Server in die Domain aufnehmen, Reboot

Optional:
  - Temporären Namen/IP verwenden, wenn später Name/IP des alten 2016-DC übernommen werden soll.

===== 4. AD DS Rolle installieren & zum Domain Controller promoten =====

Auf dem neuen 2022-Server:

  - Server Manager -> Add roles and features
  - Rolle: "Active Directory Domain Services"
  - Optional/typisch: "DNS Server" (wenn DNS auf DCs betrieben wird)
  - Danach: "Promote this server to a domain controller"

Wizard-Auswahl:
  - "Add a domain controller to an existing domain"
  - Credentials: Domain Admin
  - Optionen:
    - DNS: aktivieren (wenn geplant)
    - Global Catalog: aktivieren (typisch)
    - RODC: deaktiviert
  - DSRM-Passwort setzen
  - Installieren und Reboot

===== 5. Nach dem Promote: Validierung =====

=== 5.1 Replikation prüfen ===
  * ''repadmin /replsummary''
  * ''dcdiag /q''

=== 5.2 DNS prüfen ===
  * Auf Clients/Servern:
    * ''nslookup domain.tld''
    * ''nslookup _ldap._tcp.dc._msdcs.domain.tld''
  * DNS-Manager:
    * AD-integrierte Zonen vorhanden (inkl. _msdcs)
    * SRV Records vorhanden
    * Forwarders/Conditional Forwarders korrekt

=== 5.3 SYSVOL/NETLOGON prüfen ===
  * ''\\NEUERDC\SYSVOL'' erreichbar?
  * ''\\NEUERDC\NETLOGON'' erreichbar?

===== 6. FSMO-Rollen auf Server 2022 verschieben (falls noch auf 2016) =====

=== 6.1 Prüfen, wo FSMO liegt ===
  * ''netdom query fsmo''

=== 6.2 Rollen verschieben (PowerShell) ===
Auf einem System mit AD-Modul (z.B. DC/Management-Server):

<code powershell>
Move-ADDirectoryServerOperationMasterRole -Identity "DC2022-Haupt" -OperationMasterRole 0,1,2,3,4
</code>

Rollen-IDs:
  * 0 = PDC Emulator
  * 1 = RID Master
  * 2 = Infrastructure Master
  * 3 = Schema Master
  * 4 = Domain Naming Master

Danach erneut prüfen:
  * ''netdom query fsmo''

===== 7. Zeitdienst (W32Time) sauber konfigurieren =====

Wenn der PDC Emulator gewechselt hat, muss der PDC eine saubere Zeitquelle haben.

Auf dem PDC Emulator (Beispiel mit pool.ntp.org):

<code>
w32tm /config /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
w32tm /resync /force
w32tm /query /status
</code>


===== 8. Dienste/Abhängigkeiten vom 2016-DC migrieren (falls vorhanden) =====

Vor der Demotion klären/migrieren (Beispiele):
  - DNS (falls 2016 DNS-Server ist):
    - Sicherstellen, dass 2022 DNS die Zonen/SRV sauber hat (AD-integriert i.d.R. automatisch)
    - Forwarder/Conditional Forwarder prüfen
  - DHCP (falls auf 2016-DC):
    - Export/Import oder DHCP-Failover neu konfigurieren
    - DHCP Option 006 (DNS) auf beide 2022-DCs setzen
  - NPS/RADIUS, AD CS (CA), DFS (Namespace/Replication), File/Print, ADFS, WSUS etc.:
    - Je Dienst eigener Migrationspfad

Wichtig:
  - Statische DNS-Einträge auf Clients/Servern auf den alten 2016-DC identifizieren und umstellen.

===== 9. Server 2016 DC demoten (Herabstufen) =====

Voraussetzungen:
  * Replikation ist fehlerfrei
  * FSMO-Rollen liegen nicht mehr auf dem 2016-DC
  * DNS/Dienste/Abhängigkeiten sind migriert

Vorgehen:
  - Server Manager -> AD DS -> More... -> "Demote this domain controller"
  - Optional: "Remove DNS delegation" (falls relevant)
  - Lokales Admin-Passwort setzen (Server wird Mitgliedsserver)
  - Demotion abschließen, Reboot

===== 10. Aufräumen nach Demotion =====

=== 10.1 AD-Objekte prüfen ===
  - "Active Directory Users and Computers":
    - Computerobjekt unter "Domain Controllers" sollte entfernt sein
  - "Active Directory Sites and Services":
    - Serverobjekt und "NTDS Settings" sollten entfernt sein

=== 10.2 DNS Cleanup ===
  - Alte A/AAAA Records, SRV Records prüfen/entfernen
  - _msdcs Einträge müssen auf aktive DCs zeigen

=== 10.3 Metadaten-Cleanup (nur wenn Demotion nicht sauber war) ===
  - ''ntdsutil'' (Metadata cleanup)
  - Sites/DNS manuell bereinigen (nur bei Bedarf)

===== 11. Optional: Hostname/IP des alten DC übernehmen =====

Nur falls erforderlich (Legacy-Abhängigkeiten):

  - Alten 2016-Server nach Demotion aus der Domain entfernen oder endgültig abschalten
  - Sicherstellen, dass Name in AD/DNS nicht mehr existiert
  - Neuen 2022-Server umbenennen und/oder IP auf die alte IP setzen
  - Reboot
  - Prüfen: DNS, SPNs, Replikation, Eventlogs

Hinweis: Wenn möglich, ist "kein Name/IP-Recycling" oft die robustere Variante.

===== 12. Abschlusskontrollen =====

  * Replikation:
    * ''repadmin /replsummary''
  * DC Health:
    * ''dcdiag /q''
  * Client-Checks:
    * Anmeldung testen, GPO-Verarbeitung:
      * ''gpupdate /force''
      * ''gpresult /r''
  * Eventlogs prüfen:
    * Directory Service, DNS Server, System (keine wiederkehrenden Errors)

Ergebnis:
  - Beide DCs sind Windows Server 2022
  - Der alte Windows Server 2016 DC ist sauber entfernt
  - DNS/Time/FSMO/Replication sind stabil