Migración de Active Directory de Windows 2003 a Windows 2016

tag-icon tag-icon active-directory windows-server-2003 migration windows-server-2016
Migración de Active Directory de Windows 2003 a Windows 2016

Heredé una antigua instalación de Active Directory basada en Windows 2003 y tengo la tarea de actualizarla a los estándares modernos. He realizado varias pruebas (exitosas) en mi laboratorio utilizando el plan a continuación, pero realmente quiero una verificación de la realidad/sugerencias de mejores prácticas de otros expertos en el campo.

Estado actual:un dominio de Active Directory de modo mixto Windows-2000 de etiqueta única que se ejecuta en una instalación de Windows 2003. El componente DNS se ejecuta con actualizaciones dinámicas no seguras.

Estado objetivo:migrar a un dominio de nivel Windows 2012R2 en una instalación de Windows 2016 (nota: el nivel objetivo de Windows 2012R2, en lugar de 2016, se debe a que mi cliente tiene otros servidores Windows 2012R2). La migración debe realizarse de la manera menos perturbadora; De todos modos, como voy a trabajar en ello durante un fin de semana, se aceptan interrupciones breves del servicio.

Advertencias:Si bien el dominio de etiqueta única está en desuso, realmente necesito mantenerlo funcionando tal como está. Evalué tanto un cambio de nombre de dominio como una migración de dominio a un nuevo nombre, pero simplemente parecen demasiado pedir para mi cliente.

Mi plan:

  • instale un nuevo servidor Windows 2016 y agréguelo, como miembro simple, al dominio actual
  • elevar el nivel funcional actual de bosque/dominio a Windows 2003
  • promover el nuevo servidor Windows 2016 al rol de controlador de dominio (con catálogo global)
  • degradar el servidor antiguo (a través de dcpromo)
  • en el nuevo servidor Windows 2016, use "Sitios y servicios de Active Directory" para eliminar cualquier resto eventual de la operación de degradación
  • en el nuevo Windows 2016, use "Administrador de DNS" para cambiar el tipo de actualización dinámica de DNS a "Solo seguro"
  • elevar el nivel funcional del bosque/dominio a Windows 2012R2
  • cambiar la dirección IP original del servidor anterior (por ejemplo: de 192.168.1.1 a 192.168.1.2)
  • cambie la dirección IP del nuevo servidor para que coincida con el antiguo controlador de dominio (por ejemplo: de 192.168.1.10 a 192.168.1.1).Nota:Estoy planeando hacerlo debido a la configuración actual de DHCP y las reglas de firewall/VPN de la puerta de enlace.
  • migrar de FSR a DFSR (veraquíyaquí)
  • Instale otro servidor Windows 2016 en una sucursal y agréguelo como un nuevo controlador de dominio (con catálogo global).

Preguntas:

  • ¿Me estoy perdiendo algo importante?
  • ¿Mi idea de intercambiar la dirección IP del servidor antiguo/nuevo para minimizar los cambios de firewall/VPN/DHCP es buena, o debería evitarlo?
  • ¿Algo que debo tener en cuenta?

ACTUALIZAR:Después de mucha discusión y pruebas, convencí a mi cliente para que optara por uncambiar el nombre del dominio. Lo hice a través de la rendomutilidad, según las recomendaciones de Microsoft, y todo salió bien (afortunadamente, no tenía ningún servidor Exchange local).

Respuesta1

Si bien el dominio de etiqueta única está en desuso, realmente necesito mantenerlo funcionando tal como está. Evalué tanto un cambio de nombre de dominio como una migración de dominio a un nuevo nombre, pero simplemente parecen demasiado pedir para mi cliente.

Hacer lo correcto a veces es lo más difícil. En mi opinión, no le está haciendo ningún favor a su cliente al continuar usando y brindando soporte al SLD. Haga lo "correcto" y cambie el nombre del dominio o migre a un nuevo dominio.

Respuesta2

en el nuevo servidor Windows 2016, use "Sitios y servicios de Active Directory" para eliminar cualquier resto eventual de la operación de degradación

Una nota al margen, un sobrante que siempre tengo que limpiar cuando migro un 2003/2008 está dentro de la consola de DNS, el antiguo DC siempre aparece en el campo de NS.

Como hay para ser exactos;

ingrese la descripción de la imagen aquí

Una segunda nota: me aseguraría de que no utilicen WINS también. Verifique nuevamente allí para asegurarse de si necesita activarlo o no, era popular en esos años.

Para el cambio de nombre de dominio no lo recomiendo, es una tarea grande que puede dejar muchos errores si se hace un mal paso.

Respuesta3

No revise manualmente los Sitios y Servicios intentando limpiar los metadatos del controlador de dominio. Se pueden cometer errores y ese no es el único lugar donde existen esos datos. Utilice el comando NTDSUTIL nativo; tiene una operación confiable de limpieza de metadatos.

Transfiera las funciones de FSMO al nuevo DC antes de degradar al antiguo DC. Creo que recibirás una advertencia si no lo has hecho, pero nunca he tenido la tentación de intentarlo.

Las actualizaciones de DNS seguras requieren alguna configuración adicional si tiene clientes que no son de Windows. Esto incluye dispositivos diversos como impresoras que admiten DHCP. Hay opciones dependiendo de tus necesidades:

  • Puede configurar el servidor DHCP para registrar registros DNS en nombre de dichos clientes (y completar el grupo DnsUpdateProxy si tiene varios servidores DHCP), o
  • Puede configurar los sistemas para que realicen actualizaciones seguras ellos mismos (por ejemplo, Linux necesitará un archivo de tabla de claves ya que las actualizaciones seguras requieren autenticación Kerberos), o
  • Puede crear registros DNS estáticos y configurar reservas DHCP para esos dispositivos

Detendría el servicio NETLOGON antes de cambiar la IP del nuevo DC y lo reiniciaría inmediatamente después. Esto debería garantizar una actualización inmediata de los registros DNS relevantes.

Estoy de acuerdo con el cartel anterior acerca de alejarse de un dominio de etiqueta única, pero entiendo que las mejores prácticas no siempre están al alcance. Puede haber un trabajo considerable asociado con tal cambio en algunos entornos.

información relacionada