Среда = собственный домен Windows 2003 с 8 контроллерами домена
У меня есть старый контроллер домена, на котором запущен 2003, роль CA Enterprise, DHCP, DNS, несколько сценариев GPO, указывающих на общие ресурсы, и некоторые другие второстепенные функции. Все наши серверы указывают на него как на свой основной DNS, и на данный момент (8+ лет спустя) во всем домене есть много ссылок на его IP или имя. Мне действительно не хочется менять все это вручную, это было бы довольно масштабным мероприятием.
Я хочу следовать этому руководству: http://msmvps.com/blogs/acefekay/archive/2010/10/09/remove-an-old-dc-and-introduce-a-new-dc-with-the-same-name-and-ip- address.aspx Надеюсь, в итоге получится, так сказать, "обновление на месте".
Я думал просто сделать P2V коробки, но мы действительно не хотим, чтобы он работал в 2003 году, если честно. Я также рассматривал возможность использования CNAME и добавления второго IP-адреса (старого), но, опять же, казалось, что это будет чище, используя прикрепленную ссылку.
Мой актуальный вопрос:
Есть ли ошибки или большие предостережения при выполнении того, что предлагает ссылка? Кто-нибудь пошел по этому пути и получил совет, как действовать дальше?
Отличный материал. Все выглядит хорошо, и @MikeBaz хорошо указывает на CA, о котором ACE не упоминает, но обычно находится на DC. Менее "все или ничего" заменой будет просто сделать это медленно и переместить каждую службу в новое место в качестве собственного мини-проекта. DNS, вероятно, единственный, для которого вам нужно позаботиться об IP (при условии, что у вас нет WINS-сервера).
Ваша сеть должна быть спроектирована так, чтобы DC AD были устойчивыми к сбоям, так как ни один отказ DC не повлиял бы на сетевые службы, такие как DC, DNS, DHCP, CA, netlogon и т. Д. Я рекомендую использовать эту замену сервера как шанс улучшить ваш дизайн каждый из них должен быть высокодоступным. Хорошая новость заключается в том, что каждый из них можно сделать с минимальными усилиями, что значительно упрощает замену NEXT DC.
Для сценариев, если они указывают / запускаются из netlogon, который находится на всех контроллерах домена (и реплицируется между ними), то любые имена серверов в сценариях не должны указывать на \\ old-dc \ netlogon, а скорее на \\ domainname.com \ netlogon, это предпочтительный способ, чтобы клиенты получали сценарии и вспомогательные файлы со своего ближайшего DC. Если вы храните файлы в других общих папках в сценариях / объектах групповой политики, рассмотрите возможность использования DFS + DFSR, который прост в использовании и предотвращает отключение любого общего файлового ресурса от предотвращения доступа к файлам.
Для DNS с таким количеством контроллеров домена в вашей сети у вас должны быть все клиенты и серверы, настроенные как минимум на два DNS-сервера. В этом случае отключение одного DC не является проблемой во время миграции. Для клиентов DHCP просто измените область действия DHCP на другой хост DC / DNS, что вы можете сделать сейчас. Для серверов со статическими IP-адресами вы можете использовать сценарий или назначить младшего. администрировать задачу, чтобы вручную убедиться, что все они имеют правильные записи DNS. DNS - это жизненная сила AD, и, когда это возможно, я фактически добавляю 3+ DNS-входа на серверные сетевые адаптеры (НИКОГДА не меньше 2), из-за таких случаев, когда DNS-серверы необходимо изменить или дать новые IP-адреса.
Это относительно обычная операция. Ace - хороший ресурс AD, так что довольно легко поверить ему на слово в отношении чисто DC-части.
Он не тратит много времени на другие услуги, которые в вашем случае важны:
ЦС может быть немного болезненным, потому что, чтобы сделать это правильно, вам нужно будет обновить текущий контроллер домена, если вы не хотите потерять всю информацию о выпущенных сертификатах (см. http://support.microsoft.com/kb/298138). В зависимости от того, для чего вы используете ЦС, это может быть нормально, а может и нет. Я определенно видел, как это делалось с потерей конфигурации CA и ее заменой без серьезного ущерба для среды. Просто убедитесь, что вы не создаете новый ЦС, пока не переименуете и не повысите уровень нового компьютера, потому что вы не можете выполнять эти операции с ЦС.
Перенос данных DNS произойдет волшебным образом при условии, что AD интегрирован, в противном случае вам нужно будет настроить его как дополнительный, затем изменить его на основной и перенастроить после назначения старого IP-адреса новому серверу.
Перенос данных DHCP возможен и неплохо, если вы будете следовать указаниям (см. http://support.microsoft.com/kb/962355). Ace освещает это на связанной странице.
Перенос общих ресурсов потребует данных и разрешений. Обычно вы использовали бы что-то вроде FSMT (http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=10268), но вы не делаете постоянного изменения имени сервера. Поэтому просто используйте robocopy, чтобы скопировать файлы на новый сервер, включая разрешения (/ copyall), и перенести определения общих ресурсов (вручную или что-то вроде http://support.microsoft.com/kb/125996).
На ArsTechnica есть ветка (http://arstechnica.com/civis/viewtopic.php?f=17&t=1117166) по этому поводу, который рекомендует использовать "качающийся сервер". Я делал это в случаях миграции SBS, но считаю, что в вашем случае это излишне, поскольку у вас так много существующих контроллеров домена.
Вы не сказали, существуют ли DNS и DHCP на других серверах или только на этом; если только на этом, в первую очередь, плохо из-за единой точки отказа и т. имеет смысл (две точки поменьше вместо одной крупной).