สภาพแวดล้อม = โดเมนเนทิฟของ Windows 2003 ที่มี 8 DCs

ฉันมีตัวควบคุมโดเมนเก่าที่ทำงานในปี 2003, บทบาท CA Enterprise, DHCP, DNS, สคริปต์ GPO บางตัวที่ชี้ไปที่การแชร์ และฟังก์ชันรองอื่นๆ เซิร์ฟเวอร์ทั้งหมดของเราชี้ไปที่มันเป็น DNS หลัก และมีการอ้างอิงถึง IP หรือชื่อทั่วทั้งโดเมนมากมาย ณ จุดนี้ (8+ ปีต่อมา) ฉันไม่รู้สึกว่าต้องการเปลี่ยนแปลงทั้งหมดนี้ด้วยตนเอง มันจะเป็นงานที่ค่อนข้างใหญ่

ฉันต้องการทำตามคำแนะนำนี้: http://msmvps.com/blogs/acefekay/archive/2010/10/09/remove-an-old-dc-and-introduce-a-new-dc-with-the-same -name-and-ip-address.aspxหวังว่าจะจบลงด้วย "การอัปเกรดแบบแทนที่" โดยพื้นฐานแล้ว

ฉันคิดว่าจะทำ P2V ของกล่อง แต่เราไม่ต้องการให้มันทำงานในปี 2003 จริงๆ ฉันยังพิจารณาใช้ CNAME และเพิ่ม IP ตัวที่ 2 (อันเก่า) แต่อีกครั้ง ดูเหมือนว่ามันจะสะอาดกว่าเมื่อใช้ลิงก์ที่แนบมา

คำถามจริงของฉัน:

gotchas หรือสัญญาณเตือนครั้งใหญ่เมื่อทำสิ่งที่ลิงก์แนะนำ? ใครเคยไปถนนเส้นนี้แล้วขอคำแนะนำด้วยว่าต้องทำอย่างไร?

answer

นี่เป็นการดำเนินการที่ค่อนข้างธรรมดา Ace เป็นแหล่งข้อมูล AD ที่ดี ดังนั้นมันจึงค่อนข้างง่ายที่จะเชื่อคำพูดของเขาสำหรับชิ้นส่วน DC ที่บริสุทธิ์

เขาไม่ได้ใช้เวลามากมายกับบริการอื่นๆ ซึ่งในกรณีของคุณมีความสำคัญ:

  • CA อาจเจ็บปวดเล็กน้อยเพราะต้องทำอย่างถูกต้อง คุณจะต้องอัปเกรด DC ที่มีอยู่ในปัจจุบัน เว้นแต่คุณจะเต็มใจที่จะสูญเสียข้อมูลทั้งหมดในใบรับรองที่ออกให้ (cf. http://support.microsoft.com /kb/298138 ) ขึ้นอยู่กับสิ่งที่คุณใช้ CA สำหรับสิ่งนี้อาจจะใช่หรือไม่ก็ได้ ฉันเห็นสิ่งนี้เสร็จสิ้นโดยสูญเสียการกำหนดค่า CA และแทนที่โดยไม่กระทบต่อสิ่งแวดล้อม ตรวจสอบให้แน่ใจว่าคุณไม่ได้สร้าง CA ใหม่ จนกว่าคุณจะเปลี่ยนชื่อและเลื่อนระดับเครื่องใหม่แล้ว เนื่องจากคุณไม่สามารถดำเนินการเหล่านั้นบน CA ได้

  • การย้ายข้อมูล DNS จะเกิดขึ้นอย่างน่าอัศจรรย์หากรวม AD ไว้ มิเช่นนั้นคุณจะต้องตั้งค่าเป็นข้อมูลสำรอง จากนั้นเปลี่ยนเป็นข้อมูลหลักและกำหนดค่าใหม่หลังจากกำหนด IP เก่าให้กับเซิร์ฟเวอร์ใหม่

  • การย้ายข้อมูล DHCP เป็นไปได้และไม่เลวหากคุณทำตามคำแนะนำ (cf. http://support.microsoft.com/kb/962355 ) Ace ครอบคลุมสิ่งนี้ในหน้าเชื่อมโยง

  • การโยกย้ายการแชร์จะเกี่ยวข้องกับข้อมูลและการอนุญาต โดยปกติคุณจะใช้บางอย่างเช่น FSMT ( http://www.microsoft.com/en-us/download/details.aspx?displaylang=en&id=10268 ) แต่คุณไม่ได้ทำการเปลี่ยนชื่อเซิร์ฟเวอร์ถาวร ดังนั้นเพียงแค่ใช้ robocopy เพื่อคัดลอกไฟล์ไปยังเซิร์ฟเวอร์ใหม่รวมถึงการอนุญาต (/copyall) และนำคำจำกัดความการแบ่งปันมาใช้ (ด้วยมือหรือบางอย่างเช่นhttp://support.microsoft.com/kb/125996 )

มีกระทู้ที่ ArsTechnica ( http://arstechnica.com/civis/viewtopic.php?f=17&t=1117166 ) เกี่ยวกับเรื่องนี้ ซึ่งแนะนำให้ใช้ "เซิร์ฟเวอร์สวิง" ฉันได้ทำไปแล้วในกรณีการย้ายถิ่นของ SBS แต่ฉันเชื่อว่ากรณีของคุณเกินความสามารถเนื่องจากคุณมี DC อยู่มากมาย

คุณไม่ได้บอกว่า DNS และ DHCP มีอยู่บนเซิร์ฟเวอร์อื่นด้วยหรือบนเซิร์ฟเวอร์นี้ ถ้าในข้อนี้ อย่างแรกเลย แย่เพราะจุดบกพร่องจุดเดียว ฯลฯ แต่ก็หมายความว่าคุณกำลังดูเวลาหยุดทำงานที่มองเห็นได้มากสำหรับผู้ใช้ปลายทางในขณะที่คุณกำลังทำเช่นนี้ ซึ่งในกรณีนี้ เซิร์ฟเวอร์สวิงอาจ สมเหตุสมผล (สองอันที่เล็กกว่าสองอันแทนที่จะเป็นอันที่ใหญ่กว่า)

สิ่งที่ดี ทุกอย่างดูดีและ @MikeBaz นั้นดีที่จะชี้ให้เห็น CA ซึ่ง ACE ไม่ได้กล่าวถึง แต่เป็นเรื่องปกติที่จะอยู่ใน DC การเปลี่ยนแปลงที่ "ทั้งหมดหรือไม่มีเลย" ที่น้อยกว่านั้นคือการทำให้ช้าลงและย้ายแต่ละบริการไปยังตำแหน่งใหม่เนื่องจากเป็นโปรเจ็กต์ขนาดเล็กของตัวเอง DNS น่าจะเป็นสิ่งเดียวที่คุณต้องกังวลเกี่ยวกับ IP (สมมติว่าคุณไม่มีเซิร์ฟเวอร์ WINS)

เครือข่ายของคุณควรได้รับการออกแบบเพื่อให้ AD DC ทนต่อข้อผิดพลาดได้ โดยจะไม่มีความล้มเหลวของ DC เดียวที่จะส่งผลกระทบต่อบริการเครือข่าย เช่น DC, DNS, DHCP, CA, netlogon เป็นต้น ฉันขอแนะนำให้เปลี่ยนเซิร์ฟเวอร์นี้เป็นโอกาสในการปรับปรุงการออกแบบของคุณ แต่ละรายการมีความพร้อมใช้งานสูง ข่าวดีก็คือแต่ละอุปกรณ์ใช้ความพยายามเพียงเล็กน้อย ทำให้การเปลี่ยน NEXT DC ง่ายขึ้นมาก

สำหรับสคริปต์ หากพวกมันชี้/เรียกใช้จาก netlogon ซึ่งอยู่ใน DC ทั้งหมด (และจำลองแบบระหว่างกัน) ชื่อเซิร์ฟเวอร์ใดๆ ในสคริปต์ไม่ควรชี้ไปที่ \\old-dc\netlogon แต่เป็น \\domainname.com\netlogon ซึ่งเป็นวิธีที่ต้องการเพื่อให้ลูกค้าคว้าสคริปต์และสนับสนุนไฟล์จาก DC ที่ใกล้ที่สุด หากคุณกำลังจัดเก็บไฟล์ในการแชร์อื่นๆ ในสคริปต์/GPO ให้พิจารณาใช้ DFS + DFSR ซึ่งใช้งานง่ายและป้องกันไม่ให้การแชร์ไฟล์ล้มเหลวจากการเข้าถึงไฟล์

สำหรับ DNS ด้วย DC จำนวนมากในเครือข่ายของคุณ คุณควรจะตั้งค่าไคลเอนต์และเซิร์ฟเวอร์ทั้งหมดเป็นเซิร์ฟเวอร์ DNS อย่างน้อยสองเครื่อง หากเป็นกรณีนี้ การยกเลิก DC หนึ่งเครื่องก็ไม่มีปัญหาในระหว่างการย้ายข้อมูล สำหรับไคลเอ็นต์ DHCP เพียงเปลี่ยนขอบเขต DHCP เป็นโฮสต์ DC/DNS อื่น ซึ่งคุณทำได้ในตอนนี้ สำหรับเซิร์ฟเวอร์ที่มี IP แบบคงที่ คุณสามารถใช้สคริปต์หรือกำหนด jr ดูแลงานเพื่อให้แน่ใจว่าพวกเขาทั้งหมดมีรายการ DNS ที่เหมาะสมด้วยตนเอง DNS เป็นสัดส่วนหลักของ AD และเมื่อเป็นไปได้จริง ๆ แล้วฉันใส่ 3+ DNS ทั้งหมดบนเซิร์ฟเวอร์ NIC (ไม่เคยน้อยกว่า 2) เนื่องจากกรณีเช่นนี้ที่เซิร์ฟเวอร์ DNS จำเป็นต้องเปลี่ยนหรือให้ IP ใหม่