Ich habe eine alte Active Directory-Installation auf Basis von Windows 2003 geerbt und habe die Aufgabe, sie auf moderne Standards zu aktualisieren. Ich habe in meinem Labor verschiedene (erfolgreiche) Tests mit dem unten stehenden Plan durchgeführt, aber ich hätte wirklich gern einen Realitätscheck bzw. Best-Practice-Vorschläge von anderen Experten auf diesem Gebiet.
Aktueller Status:eine Single-Label-Active Directory-Domäne im gemischten Modus von Windows 2000, die auf einer Windows 2003-Installation ausgeführt wird. Die DNS-Komponente wird mit unsicheren dynamischen Updates ausgeführt.
Zielstatus:Migration auf eine Domäne auf Windows 2012R2-Ebene auf einer Windows 2016-Installation (Hinweis: Die Zielebene Windows 2012R2 statt 2016 liegt daran, dass mein Kunde andere Windows 2012R2-Server hat). Die Migration sollte so wenig Störungen wie möglich verursachen. Da ich aber an einem Wochenende daran arbeiten werde, sind kurze Dienstunterbrechungen in Ordnung.
Vorbehalte:Single-Label-Domains sind zwar veraltet, aber ich muss sie unbedingt so weiterlaufen lassen, wie sie sind. Ich habe sowohl eine Domain-Umbenennung als auch eine Domain-Migration auf einen neuen Namen in Erwägung gezogen, aber das scheint für meinen Kunden einfach zu viel verlangt.
Mein Plan:
- Installieren Sie einen neuen Windows 2016-Server und fügen Sie ihn als einfaches Mitglied zur aktuellen Domäne hinzu
- Erhöhen Sie die aktuelle Funktionsebene der Gesamtstruktur/Domäne auf Windows 2003.
- den neuen Windows 2016-Server zur Domänencontroller-Rolle (mit globalem Katalog) hochstufen
- den alten Server herabstufen (über
dcpromo) - Verwenden Sie auf dem neuen Windows 2016-Server „Active Directory-Sites und -Dienste“, um alle eventuellen Reste des Herabstufungsvorgangs zu entfernen.
- Unter dem neuen Windows 2016 ändern Sie den DNS-Updatetyp mit dem „DNS Manager“ auf „Nur sicher“.
- Erhöhen Sie die Funktionsebene der Gesamtstruktur/Domäne auf Windows 2012R2
- Ändern Sie die ursprüngliche IP-Adresse des alten Servers (z. B. von 192.168.1.1 in 192.168.1.2).
- Ändern Sie die IP-Adresse des neuen Servers so, dass sie mit der des alten Domänencontrollers übereinstimmt (z. B. von 192.168.1.10 in 192.168.1.1).Notiz:Ich habe vor, dies aufgrund der aktuellen DHCP-Einstellungen und Gateway-Firewall/VPN-Regeln zu tun
- Migration von FSR zu DFSR (sieheHierUndHier)
- Installieren Sie einen weiteren Windows 2016-Server in einer Zweigstelle und fügen Sie ihn als neuen Domänencontroller (mit globalem Katalog) hinzu.
Fragen:
- Übersehe ich etwas Wichtiges?
- Ist meine Idee, die IP-Adresse des alten/neuen Servers zu vertauschen, um Firewall-/VPN-/DHCP-Änderungen zu minimieren, eine gute Idee oder sollte ich das vermeiden?
- Muss ich etwas beachten?
AKTUALISIEREN:Nach vielen Diskussionen und Tests überzeugte ich meinen Kunden, sich für eineDomänenumbenennung. Ich habe es rendomgemäß den Empfehlungen von Microsoft über das Dienstprogramm gemacht und alles lief reibungslos (glücklicherweise hatte ich keinen Exchange-Server vor Ort).
Antwort1
Single-Label-Domains sind zwar veraltet, aber ich muss sie unbedingt so weiterlaufen lassen, wie sie sind. Ich habe sowohl eine Domain-Umbenennung als auch eine Domain-Migration auf einen neuen Namen geprüft, aber das scheint für meinen Kunden einfach zu viel verlangt zu sein.
Manchmal ist es am schwierigsten, das Richtige zu tun. Meiner Meinung nach tun Sie Ihrem Kunden keinen Gefallen, wenn Sie das SLD weiterhin verwenden und unterstützen. Tun Sie das „Richtige“ und benennen Sie die Domäne um oder migrieren Sie zu einer neuen Domäne.
Antwort2
Verwenden Sie auf dem neuen Windows 2016-Server „Active Directory-Sites und -Dienste“, um alle eventuellen Reste des Herabstufungsvorgangs zu entfernen.
Eine Randbemerkung: Ein Rest, den ich immer bereinigen muss, wenn ich eine Version von 2003/2008 migriere, befindet sich in der DNS-Konsole. Der alte DC wird immer noch im NS-Feld aufgeführt.
Um genau zu sein;
Ein zweiter Hinweis: Ich würde sicherstellen, dass sie nicht auch WINS verwenden. Bitte überprüfen Sie dort noch einmal, ob Sie das aktivieren müssen oder nicht, es war in diesen Jahren beliebt.
Für die Umbenennung der Domäne empfehle ich es nicht, da es ein großer Aufwand ist und bei einem falschen Schritt viele Fehler entstehen können.
Antwort3
Versuchen Sie nicht, Sites und Dienste manuell zu durchsuchen, um die Metadaten des Domänencontrollers zu bereinigen. Dabei können Fehler passieren, und das ist nicht der einzige Ort, an dem solche Daten vorhanden sind. Verwenden Sie den nativen NTDSUTIL-Befehl. Er bietet eine zuverlässige Metadatenbereinigungsfunktion.
Übertragen Sie die FSMO-Rollen auf den neuen DC, bevor Sie den alten DC herabstufen. Ich denke, Sie erhalten eine Warnung, wenn Sie dies nicht tun, aber ich war nie versucht, es zu versuchen.
Sichere DNS-Updates erfordern eine zusätzliche Konfiguration, wenn Sie Nicht-Windows-Clients haben. Dazu gehören verschiedene Geräte wie Drucker, die DHCP unterstützen. Je nach Bedarf gibt es Optionen:
- Sie können den DHCP-Server so konfigurieren, dass er DNS-Einträge im Namen solcher Clients registriert (und die Gruppe DnsUpdateProxy füllt, wenn Sie mehrere DHCP-Server haben), oder
- Sie können die Systeme so konfigurieren, dass sie sichere Updates selbst durchführen (Linux benötigt beispielsweise eine Keytab-Datei, da sichere Updates eine Kerberos-Authentifizierung erfordern), oder
- Sie können statische DNS-Einträge erstellen und DHCP-Reservierungen für diese Geräte einrichten
Ich würde den NETLOGON-Dienst vor der Änderung der IP des neuen DCs stoppen und ihn unmittelbar danach neu starten. Dies sollte eine sofortige Aktualisierung der relevanten DNS-Einträge gewährleisten.
Ich stimme dem vorherigen Poster zu, dass man von einer Single-Label-Domäne wegkommen sollte, verstehe aber, dass Best Practices nicht immer erreichbar sind. In manchen Umgebungen kann eine solche Änderung mit erheblichem Arbeitsaufwand verbunden sein.