ฉันได้รับการติดตั้ง Active Directory แบบเก่าที่ใช้ Windows 2003 และได้รับมอบหมายให้อัปเกรดเป็นมาตรฐานที่ทันสมัย ฉันได้ทำการทดสอบต่างๆ (ที่ประสบความสำเร็จ) ในแล็บของฉันโดยใช้แผนด้านล่าง แต่ฉันต้องการคำแนะนำในการตรวจสอบความเป็นจริง/แนวทางปฏิบัติที่ดีที่สุดจากผู้เชี่ยวชาญคนอื่นๆ ในสาขานี้

สถานะปัจจุบัน:ป้ายชื่อเดียว โดเมน Active Directory แบบผสม Windows-2000 ที่ทำงานบนการติดตั้ง Windows 2003 คอมโพเนนต์ DNS กำลังทำงานโดยมีการอัปเดตแบบไดนามิกที่ไม่ปลอดภัย

สถานะเป้าหมาย:ย้ายไปยังโดเมนระดับ Windows 2012R2 ในการติดตั้ง Windows 2016 (หมายเหตุ: ระดับเป้าหมายของ Windows 2012R2 แทนที่จะเป็น 2016 เป็นเพราะลูกค้าของฉันมีเซิร์ฟเวอร์ Windows 2012R2) อื่น การย้ายถิ่นควรทำในลักษณะก่อกวนน้อยที่สุด อย่างไรก็ตาม เนื่องจากฉันจะทำงานในช่วงสุดสัปดาห์ จึงยอมรับการหยุดชะงักของบริการระยะสั้น

คำเตือน:แม้ว่าโดเมนที่มีป้ายกำกับเดียวจะเลิกใช้งานแล้ว ผมต้องทำให้มันทำงานตามที่เป็นอยู่จริงๆ ฉันประเมินทั้งการเปลี่ยนชื่อโดเมนและ/หรือการย้ายโดเมนเป็นชื่อใหม่ แต่ดูเหมือนพวกเขาจะขอลูกค้าของฉันมากเกินไป

แผนของฉัน:

  • ติดตั้งเซิร์ฟเวอร์ Windows 2016 ใหม่และเพิ่มเป็นสมาชิกอย่างง่ายในโดเมนปัจจุบัน
  • เพิ่มระดับการทำงานของฟอเรสต์/โดเมนปัจจุบันเป็น Windows 2003
  • เลื่อนระดับเซิร์ฟเวอร์ Windows 2016 ใหม่เป็นบทบาท Domain Controller (พร้อม Global Catalog)
  • ลดระดับเซิร์ฟเวอร์เก่า (ผ่านdcpromo)
  • บนเซิร์ฟเวอร์ Windows 2016 ใหม่ ใช้ "ไซต์ไดเรกทอรีที่ใช้งานอยู่และบริการ" เพื่อลบสิ่งที่เหลืออยู่ในท้ายที่สุดออกจากการดำเนินการลดระดับ
  • ใน Windows 2016 ใหม่ ให้ใช้ "ตัวจัดการ DNS" เพื่อเปลี่ยนประเภทการอัปเดตแบบไดนามิกของ DNS เป็น "ปลอดภัยเท่านั้น"
  • ยกระดับการทำงานของฟอเรสต์/โดเมนเป็น Windows 2012R2
  • เปลี่ยนที่อยู่ IP เดิมของเซิร์ฟเวอร์เก่า (เช่น: จาก 192.168.1.1 เป็น 192.168.1.2)
  • เปลี่ยนที่อยู่ IP ของเซิร์ฟเวอร์ใหม่ให้ตรงกับตัวควบคุมโดเมนเก่า (เช่น: จาก 192.168.1.10 เป็น 192.168.1.1) หมายเหตุ:ฉันวางแผนที่จะทำเช่นนั้นเนื่องจากการตั้งค่า DHCP ปัจจุบันและกฎไฟร์วอลล์เกตเวย์/กฎ VPN
  • ย้ายจาก FSR ไปยัง DFSR (ดูที่นี่และที่นี่ )
  • ติดตั้งเซิร์ฟเวอร์ Windows 2016 อื่นบนสำนักงานสาขา เพิ่มเป็น Domain Controller ใหม่ (พร้อม Global Catalog)

คำถาม:

  • ฉันพลาดสิ่งที่สำคัญ?
  • ความคิดของฉันในการเปลี่ยนที่อยู่ IP ของเซิร์ฟเวอร์เก่า/ใหม่เพื่อลดไฟร์วอลล์/VPN/DHCP เปลี่ยนแปลงไปในทางที่ดี หรือฉันควรหลีกเลี่ยงสิ่งนั้น
  • ฉันควรระวังอะไร?

UPDATE:หลังจากการอภิปรายมากและการทดสอบผมเชื่อว่าลูกค้าของฉันจะไปเปลี่ยนชื่อโดเมน ฉันได้ทำผ่านrendomยูทิลิตี้ตามคำแนะนำของ Microsoft และทุกอย่างก็ราบรื่น (โชคดีไม่มีเซิร์ฟเวอร์ Exchange ในสถานที่)

answer

while single-label domain are deprecated, I really need to keep it running as-is. I evaluated both a domain rename and/or a domain migration to a new name, but they simply seem too much to ask for my customer.

สิ่งที่ถูกต้องบางครั้งก็ยากที่สุด IMO คุณกำลังทำให้ลูกค้าของคุณเสียหายโดยยังคงใช้และสนับสนุน SLD ต่อไป ทำสิ่งที่ "ถูกต้อง" และทำการเปลี่ยนชื่อโดเมนหรือย้ายไปยังโดเมนใหม่

on the new Windows 2016 server, use "Active Directory Sites and Services" to remove any eventual leftover from the demote operation

หมายเหตุด้านข้าง ที่เหลือฉันต้องทำความสะอาดเสมอเมื่อโยกย้าย 2003/2008 อยู่ในคอนโซลของ DNS DC เก่าจะยังคงแสดงอยู่ในฟิลด์ของ NS เสมอ

ตามที่แน่นอน;

ใส่คำอธิบายภาพที่นี่

หมายเหตุที่สอง ฉันจะตรวจสอบให้แน่ใจว่าพวกเขาไม่ได้ใช้ WINS ด้วย โปรดตรวจสอบอีกครั้งเพื่อให้แน่ใจว่าคุณจำเป็นต้องเปิดใช้งานหรือไม่ ซึ่งเป็นที่นิยมในปีนั้น

สำหรับการเปลี่ยนชื่อโดเมน ฉันไม่แนะนำ มันเป็นงานใหญ่ที่ต้องทำซึ่งอาจทิ้งข้อผิดพลาดไว้เบื้องหลังหากขั้นตอนที่ไม่ดีเสร็จสิ้น

อย่าผ่านไซต์และบริการที่พยายามล้างข้อมูลเมตาของตัวควบคุมโดเมนด้วยตนเอง คุณสามารถทำผิดพลาดได้ และนั่นไม่ใช่ที่เดียวที่มีข้อมูลดังกล่าว ใช้คำสั่ง NTDSUTIL ดั้งเดิม มีการดำเนินการล้างข้อมูลเมตาที่เชื่อถือได้

โอนบทบาท FSMO ไปยัง DC ใหม่ก่อนที่จะลดระดับ DC เก่า ฉันคิดว่าคุณจะได้รับคำเตือนถ้าไม่มี แต่ฉันไม่เคยถูกล่อลวงให้ลองเลย

การอัปเดต DNS ที่ปลอดภัยจำเป็นต้องมีการกำหนดค่าเพิ่มเติมหากคุณมีไคลเอ็นต์ที่ไม่ใช่ Windows ซึ่งรวมถึงอุปกรณ์เบ็ดเตล็ด เช่น เครื่องพิมพ์ที่รองรับ DHCP มีตัวเลือกขึ้นอยู่กับความต้องการของคุณ:

  • คุณสามารถกำหนดค่าเซิร์ฟเวอร์ DHCP เพื่อลงทะเบียนระเบียน DNS ในนามของไคลเอนต์ดังกล่าว (และเติมกลุ่ม DnsUpdateProxy หากคุณมีเซิร์ฟเวอร์ DHCP หลายเครื่อง) หรือ
  • คุณสามารถกำหนดค่าระบบเพื่อทำการอัปเดตที่ปลอดภัยได้ด้วยตนเอง (เช่น Linux จะต้องมีไฟล์ keytab เนื่องจากการอัปเดตที่ปลอดภัยต้องมีการพิสูจน์ตัวตน Kerberos) หรือ
  • คุณสามารถสร้างบันทึก DNS แบบคงที่และตั้งค่าการจอง DHCP สำหรับอุปกรณ์เหล่านั้นได้

ฉันจะหยุดบริการ NETLOGON ก่อนเปลี่ยน IP ของ DC ใหม่และเริ่มต้นใหม่ทันทีหลังจากนั้น สิ่งนี้ควรรับประกันการอัปเดตระเบียน DNS ที่เกี่ยวข้องทันที

ฉันเห็นด้วยกับผู้โพสต์ก่อนหน้าเกี่ยวกับการหลีกหนีจากโดเมนที่มีป้ายกำกับเดียว แต่ฉันเข้าใจว่าแนวทางปฏิบัติที่ดีที่สุดนั้นไม่สามารถทำได้เสมอไป อาจมีงานจำนวนมากที่เกี่ยวข้องกับการเปลี่ยนแปลงดังกล่าวในบางสภาพแวดล้อม