저는 이전 Windows 2003 기반 Active Directory 설치를 물려받았으며 이를 최신 표준으로 업그레이드해야 합니다. 나는 아래 계획을 사용하여 내 연구실에서 다양한 (성공적인) 테스트를 수행했지만 해당 분야의 다른 전문가로부터 현실 확인/모범 사례 제안을 꼭 받고 싶습니다.
현재 상태:Windows 2003 설치에서 실행되는 단일 레이블, Windows-2000 혼합 모드 Active Directory 도메인. DNS 구성 요소가 안전하지 않은 동적 업데이트로 실행 중입니다.
목표 상태:Windows 2016 설치에서 Windows 2012R2 수준 도메인으로 마이그레이션합니다(참고: 2016이 아닌 Windows 2012R2의 대상 수준은 고객이 다른 Windows 2012R2 서버를 보유하고 있기 때문입니다). 마이그레이션은 최소한의 방해를 주는 방식으로 수행되어야 합니다. 어쨌든 주말에 작업할 예정이므로 짧은 서비스 중단은 허용됩니다.
주의사항:단일 레이블 도메인은 더 이상 사용되지 않지만 그대로 실행해야 합니다. 도메인 이름 변경 및/또는 새 이름으로의 도메인 마이그레이션을 모두 평가했지만 고객에게 요구하기에는 너무 많은 것 같습니다.
내 계획:
- 새 Windows 2016 서버를 설치하고 현재 도메인에 단순 구성원으로 추가합니다.
- 현재 포리스트/도메인 기능 수준을 Windows 2003으로 높입니다.
- 새 Windows 2016 서버를 도메인 컨트롤러(글로벌 카탈로그 포함) 역할로 승격
- 이전 서버 수준 내리기(를 통해
dcpromo) - 새 Windows 2016 서버에서는 "Active Directory 사이트 및 서비스"를 사용하여 수준 내리기 작업에서 남은 부분을 모두 제거합니다.
- 새 Windows 2016에서는 "DNS 관리자"를 사용하여 DNS 동적 업데이트 유형을 "보안 전용"으로 변경합니다.
- 포리스트/도메인 기능 수준을 Windows 2012R2로 올리기
- 이전 서버의 원래 IP 주소를 변경합니다(예: 192.168.1.1에서 192.168.1.2로).
- 새 서버의 IP 주소를 이전 도메인 컨트롤러와 일치하도록 변경합니다(예: 192.168.1.10에서 192.168.1.1로).메모:현재 DHCP 설정 및 게이트웨이 방화벽/VPN 규칙으로 인해 그렇게 할 계획입니다.
- FSR에서 DFSR로 마이그레이션(참조:여기그리고여기)
- 지점에 다른 Windows 2016 서버를 설치하고 이를 새 도메인 컨트롤러(글로벌 카탈로그 포함)로 추가합니다.
질문:
- 제가 뭔가 중요한 것을 놓치고 있는 걸까요?
- 방화벽/VPN/DHCP 변경을 최소화하기 위해 기존/새 서버의 IP 주소를 바꾸는 것이 좋은 생각인가요, 아니면 이를 피해야 합니까?
- 제가 알아야 할 사항이 있나요?
업데이트:많은 논의와 테스트 끝에 저는 고객에게도메인 이름 변경. Microsoft 권장 사항에 따라 유틸리티를 통해 이 작업을 수행했으며 rendom모든 것이 원활하게 진행되었습니다(다행히 사내 Exchange 서버가 없었습니다).
답변1
단일 레이블 도메인은 더 이상 사용되지 않지만 그대로 실행해야 합니다. 도메인 이름 변경 및/또는 새 이름으로의 도메인 마이그레이션을 모두 평가했지만 고객에게 요구하기에는 너무 많은 것 같습니다.
옳은 일이 때로는 가장 어려울 때도 있습니다. IMO, 당신은 SLD를 계속 사용하고 지원함으로써 고객에게 해를 끼치고 있습니다. "올바른" 일을 수행하고 도메인 이름을 바꾸거나 새 도메인으로 마이그레이션하십시오.
답변2
새 Windows 2016 서버에서는 "Active Directory 사이트 및 서비스"를 사용하여 수준 내리기 작업에서 남은 부분을 모두 제거합니다.
참고로, 2003/2008을 마이그레이션할 때 항상 정리해야 할 점은 DNS 콘솔 내에 있으며 이전 DC는 항상 NS 필드에 나열되어 있습니다.
정확한 것은 다음과 같습니다.
두 번째 메모는 그들이 WINS도 사용하지 않도록 하려는 것입니다. 해당 기능을 활성화해야 하는지 여부를 다시 확인하세요. 해당 기능은 그 해에 인기가 있었습니다.
도메인 이름 변경의 경우 권장하지 않습니다. 잘못된 단계를 수행하면 많은 오류가 남을 수 있으므로 큰 작업입니다.
답변3
도메인 컨트롤러 메타데이터를 정리하기 위해 사이트 및 서비스를 수동으로 진행하지 마세요. 실수할 수 있으며, 그러한 데이터가 존재하는 유일한 곳은 아닙니다. 기본 NTDSUTIL 명령을 사용하십시오. 안정적인 메타데이터 정리 작업이 있습니다.
이전 DC의 수준을 내리기 전에 FSMO 역할을 새 DC로 이전하세요. 경고를 받지 않으면 경고를 받을 것이라고 생각하지만 시도해보고 싶은 유혹을 느낀 적은 없습니다.
Windows 이외의 클라이언트가 있는 경우 보안 DNS 업데이트에는 몇 가지 추가 구성이 필요합니다. 여기에는 DHCP를 지원하는 프린터와 같은 기타 장치가 포함됩니다. 필요에 따라 다음과 같은 옵션이 있습니다.
- 해당 클라이언트를 대신하여 DNS 레코드를 등록하도록 DHCP 서버를 구성할 수 있습니다(DHCP 서버가 여러 개인 경우 DnsUpdateProxy 그룹을 채웁니다). 또는
- 보안 업데이트를 자체적으로 수행하도록 시스템을 구성할 수 있습니다(예: 보안 업데이트에는 Kerberos 인증이 필요하므로 Linux에는 keytab 파일이 필요함).
- 정적 DNS 레코드를 생성하고 해당 장치에 대한 DHCP 예약을 설정할 수 있습니다.
새 DC의 IP를 변경하기 전에 NETLOGON 서비스를 중지하고 즉시 다시 시작합니다. 이는 관련 DNS 레코드의 즉각적인 업데이트를 보장합니다.
나는 단일 레이블 도메인에서 벗어나는 것에 대한 이전 포스터에 동의하지만 모범 사례가 항상 달성 가능한 것은 아니라는 점을 이해합니다. 일부 환경에서는 이러한 변경과 관련된 상당한 작업이 있을 수 있습니다.