У меня есть сеть из примерно 70 машин, в настоящее время с двумя контроллерами домена, работающими под управлением Windows Server 2003 (DC0 и DC1). DC0 - это Poweredge 1850 пятилетней давности, который в последнее время становится все более нестабильным, а за последние две недели падал более чем дважды.
Я хочу заменить эту машину, но я осторожен, так как есть огромные возможности для такого рода ошибок. Я представляю себе, как это сделать: построить новую машину, затем выполнить DCPROMO и запустить три контроллера домена в течение месяца или около того, пока я не буду доволен, что все работает так, как должно, до вывода старой машины из эксплуатации.
Особую озабоченность вызывают репликация ролей текущих контроллеров (например, настройки GP) и последствия выключения машины, которая до сих пор была «основной».
Если есть веские причины использовать Server 2008, я готов это сделать, однако я не знаю, вызовет ли это проблемы с моими существующими компьютерами 2003 года.
Приветствуются любые советы по передовой практике или предыдущему опыту.
Репликация между контроллерами домена в одном домене полностью автоматическая, поэтому вам не нужно вообще беспокоиться об этом, если что-то не пойдет не так; весь контент AD (пользователи, компьютеры, OU, GPO и т. д.) будет реплицирован на любой новый DC, который вы добавляете в домен, и каждый DC всегда будет хранить полную копию базы данных домена.
Есть две вещи, о которых вам следует позаботиться (кроме, конечно, любого другого приложения, которое может работать на сервере): роли FSMO и DNS.
Если ваш контроллер домена является DNS-сервером, вам следует позаботиться о том, чтобы включить эту службу на других контроллерах домена и иметь все компьютеры, входящие в ваш домен (клиент и серверы) указывают на них, а не на тот, который вы удаляете; при стандартной настройке AD достаточно установить службу DNS на контроллере домена: вам не нужно определять и заполнять зоны DNS, поскольку основная зона домена будет интегрирована в AD и, таким образом, реплицирована на все DNS-серверы, которые также являются контроллерами домена.
Роли FSMO - это особые роли, которые могут выполняться только одним DC одновременно, и обычно они принадлежат первому DC, созданному в домене; Oни воля будут автоматически перемещены на другой, если вы понизите статус DC, которому они принадлежат, но вы не сможете контролировать их размещение, поэтому всегда лучше перемещать их вручную; вы можете сделать это с помощью различных инструментов AD («Пользователи и компьютеры», «Сайты и службы», «Домен и доверие», «Схема») или с помощью NTDSUTIL.
Кроме того, будьте осторожны, чтобы понизить уровень старого DC (используя dcpromo) перед его удалением; это гарантирует, что вся информация, касающаяся его предыдущей роли DC, будет правильно удалена из Active Directory.
У Microsoft есть множество статей о перемещении ролей и служб с одного сервера на другой. С DC вам действительно нужно быть особенно осторожным, чтобы все происходило изящно, и вы можете задать вопрос здесь, потому что это не просто выключение или удаление сервера из пользователей и пользователей AD и компьютеров.
Если вы собираетесь создать новый сервер - на этом этапе мне понадобится веская причина не основывать его на 2K8 R2. Убедитесь, что ваши вспомогательные приложения также поддерживают 2K8 R2 - антивирус, резервное копирование и т. Д. Если стоимость ОС и клиентских лицензий не является проблемой, я думаю, я не вижу причин для поддержки долгосрочной системы, основанной на 7 летняя ОС? Я думаю, что требования к 2K8 R2 для существования в домене 2K3 заключаются в том, что он должен быть в основном режиме 2K3, а для DC 2K3 может потребоваться SP2 или более поздняя версия.
Сначала создайте новый сервер, добавьте его в домен и dcpromo - нет причин ждать этого. Убедитесь, что новый или оставшийся старый сервер настроены как серверы глобального каталога: http://support.microsoft.com/kb/313994
Ваша основная проблема должна быть связана с тем, чтобы роли FSMO были должным образом переданы другому DC. Эта статья расскажет вам, что именно и как вам нужно будет выполнить на каждом этапе: http://support.microsoft.com/kb/324801 .
Репликация объектов групповой политики выполняется автоматически FRS в дереве Sysvol, поэтому вам не о чем беспокоиться.
Скорее всего, вам также понадобится обрабатывать службы DHCP и DNS. Вот хорошая статья о перемещении вашей базы данных DHCP, если это необходимо: http://support.microsoft.com/kb/962355 . Обязательно отключите службу DHCP после того, как переместите базу данных DHCP на новый сервер и запустите ее там. Важно переместить базу данных dhcp, а не просто останавливать службу на старом сервере и запускать ее на другом - у вас повсюду будут клиентские системы с дублирующимися IP-адресами.
Я всегда предпочитаю убрать роли FSMO и DHCP и подождать несколько дней, прежде чем удалять систему в качестве контроллера домена.
Когда у вас есть роли FSMO и DHCP (и любое другое программное обеспечение), запустите dcpromo из командной строки, чтобы удалить его как DC. Затем используйте «Установка и удаление программ» -> «Компоненты Windows», чтобы удалить службу DNS. На последок - удалите систему из домена и выключите ее.
Удачи!
Если вы не планируете переход на 2008 год, я бы не стал утруждать себя обновлением. Есть некоторые предостережения в зависимости от того, какие еще у вас есть приложения. Если вы планируете обновиться до 2008 года, первое, что вам нужно сделать, это обновить схему. Вам также необходимо убедиться, что ваши приложения совместимы с контроллерами домена 2008 (в частности, вам необходимо убедиться, что, если у вас есть контроллеры домена только для чтения в среде или если вы планируете это сделать, приложения знают, как добраться до записываемого GC или DC, если это потребуется) . Например, Exchange 2008 R2 поддерживался с Exchange только с прошлого февраля.
Проверьте эта ссылка для домена препараты и эта ссылка для леса препараты
Я согласен с тем, что сказал Джефф. Чтобы добавить, DNS-записи реплицируются между DNS-серверами, это просто база данных DHCP, которую вы можете создавать резервные копии и восстанавливать между различными DHCP-серверами. Просто управляя продолжительностью аренды, вы можете сделать это изменение плавным. Просто не заворачивайте все винты, пока не убедитесь, что все установлено. Как я это сделал, на охват всех ролей (FSMO) и записей (DNS / DHCP) требуется максимум 2-3 дня.
Как было сказано, убедитесь, что все старые роли удалены со старого сервера и перенесены на другой / или новый. вы не сможете запустить DCPROMO, пока он не перестанет быть сервером глобального каталога. Дайте ему удар - что худшего может случиться? котята не пострадают, если все пойдет не так.