В настоящее время у нас есть система Active Directory, основанная на двух серверах Windows Server 2000. Мы хотели бы заменить его на AD / файловый сервер на базе Server 2012 R2 Essentials.
Поскольку мы не можем просто добавить систему 2012 года в качестве сервера AD к старой системе, мы планируем сделать это следующим образом. Это лучший способ, и есть ли что-то, на что мы должны обратить внимание.
S1 = основной контроллер домена Server 2000.
S2 = вторичный контроллер домена Server 2000.
T1 = временная система Server 2008.
F1 = система Final Server 2012.
Это кажется разумным, или есть лучший способ. Кроме того, есть ли какие-то вещи, на которые мы должны обратить внимание или которые мы можем использовать для проверки в процессе.
Наконец, я считаю, что существует ограничение в 21 день на то, как долго сервер 2008 может находиться в системе AD с более чем одной машиной. Это ограничение начинается, когда мы устанавливаем ОС / добавляем ее в домен, или когда мы впервые делаем ее сервером AD.
Обычно это элементы ОС и домена. У меня нет опыта работы с SBS aka Essentials.
Делайте резервные копии перед началом работы и в процессе, чтобы, если что-то сломается, вы можете вернуться к заведомо исправному состоянию.
FRS больше не присутствует в 2012 году. Добавьте шаг 6B для переноса репликации Sysvol из NTFRS в DFSR https://technet.microsoft.com/en-us/library/dd640019(v=ws.11).aspx
Если корнтроллер вашего домена также является вашим DNS-сервером, вам необходимо обновить адрес DNS-преобразователя на клиентах. Проще, если все будет по DHCP, сложнее, если у многих клиентов есть статические адреса. В любом случае, вы можете захотеть назначить все потенциальные адреса DC в качестве преобразователей перед началом, а затем удалить устаревшие адреса, когда закончите.
Кстати говоря, вы, кажется, начинаете с 2 DC и заканчиваете только 1. Никогда не было хорошей идеей. Всегда имейте 2 DC для резервирования.
Есть ли у вас какие-либо другие старые системы, которые ожидают, что DC будет обеспечивать шифрование DES? Ваши DC 2008 и 2012 больше не будут использовать DES по умолчанию. Вы можете снова включить его, но не должны, потому что DES оказалась уязвимой.
В течение какого промежутка времени вы планируете выполнять работу (часы / дни / недели)?
Причина, по которой я спрашиваю, касается некоторых из менее часто обсуждаемых деталей Kerberos ...
Учетная запись KRBTGT - это специальная учетная запись, используемая для подписи всех билетов Kerberos в домене. Каждое изменение функционального уровня домена также изменяет пароль учетной записи KRBTGT. Срок службы билета Kerberos по умолчанию составляет 10 часов. AD сохраняет текущее и предыдущее значение этого пароля, чтобы предотвратить прерывание обслуживания во время изменений. Но если этот пароль меняется чаще, чем один раз в 10 часов, у вас будут проблемы с недействительными билетами Kerberos. Параметры:
Если вы не ждете или не измените время жизни, будьте готовы к тем проблемам, которые потребуют перезагрузки и / или выхода из системы для компьютеров и пользователей, чтобы получить новые билеты.
Обратите внимание, что после этого вы не сможете легко вернуться на функциональный уровень, только после восстановления из резервной копии. Когда я это сделал, я отключил один из DC до тех пор, пока не был на 100% уверен, что все в порядке на текущем функциональном уровне. Переход с 2003 на 2008 год кажется наиболее рискованным, поскольку некоторые старые программы могут иметь проблемы. (У нас их не было, но, судя по тому, что я читал, он вносит наибольшие изменения)