
Я унаследовал старую установку Active Directory на базе Windows 2003 и мне поручено обновить ее до современных стандартов. Я провел несколько (успешных) тестов в своей лаборатории, используя план ниже, но мне действительно нужна проверка в реальных условиях / рекомендации по лучшим практикам от других экспертов в этой области.
Текущее состояние:однокомпонентный домен Active Directory смешанного режима Windows-2000, работающий на установке Windows 2003. Компонент DNS работает с незащищенными динамическими обновлениями.
Статус цели:перейти на домен уровня Windows 2012R2 на установке Windows 2016 (примечание: целевой уровень Windows 2012R2, а не 2016, обусловлен тем, что у моего клиента есть другие серверы Windows 2012R2). Миграция должна быть выполнена наименее разрушительным образом; в любом случае, поскольку я собираюсь работать над этим в выходные, кратковременные перерывы в обслуживании приемлемы.
Предостережения:в то время как однокомпонентные домены устарели, мне действительно нужно сохранить его работающим как есть. Я рассматривал как переименование домена, так и/или миграцию домена на новое имя, но они просто кажутся слишком большими, чтобы просить об этом моего клиента.
Мой план:
- установите новый сервер Windows 2016 и добавьте его в качестве простого члена в текущий домен
- повысить текущий функциональный уровень леса/домена до Windows 2003
- повысить роль нового сервера Windows 2016 до контроллера домена (с глобальным каталогом)
- понизить рейтинг старого сервера (через
dcpromo
) - на новом сервере Windows 2016 используйте «Active Directory Sites and Services» для удаления любых возможных остатков от операции понижения роли
- В новой версии Windows 2016 используйте «Диспетчер DNS», чтобы изменить тип динамического обновления DNS на «Только безопасное».
- повысить функциональный уровень леса/домена до Windows 2012R2
- изменить исходный IP-адрес старого сервера (например: с 192.168.1.1 на 192.168.1.2)
- измените IP-адрес нового сервера так, чтобы он соответствовал старому контроллеру домена (например, с 192.168.1.10 на 192.168.1.1).Примечание:Я планирую сделать это из-за текущих настроек DHCP и правил межсетевого экрана/VPN.
- мигрировать из FSR в DFSR (см.здесьиздесь)
- установите еще один сервер Windows 2016 в филиале, добавив его в качестве нового контроллера домена (с глобальным каталогом).
Вопросы:
- Я упускаю что-то важное?
- Хорошая ли идея поменять IP-адрес старого/нового сервера, чтобы минимизировать изменения в брандмауэре/VPN/DHCP, или мне следует этого избежать?
- О чем мне следует знать?
ОБНОВЛЯТЬ:После долгих обсуждений и испытаний я убедил своего клиента выбратьпереименование домена. Я сделал это через rendom
утилиту, следуя рекомендациям Microsoft, и все прошло гладко (к счастью, у нее не было локального сервера Exchange).
решение1
в то время как однокомпонентные домены устарели, мне действительно нужно сохранить его работающим как есть. Я рассматривал как переименование домена, так и/или миграцию домена на новое имя, но они просто кажутся слишком большими, чтобы просить об этом моего клиента.
Правильные вещи иногда самые трудные. По моему мнению, вы оказываете своим клиентам медвежью услугу, продолжая использовать и поддерживать SLD. Сделайте «правильные» вещи и выполните переименование домена или мигрируйте на новый домен.
решение2
на новом сервере Windows 2016 используйте «Active Directory Sites and Services» для удаления любых возможных остатков от операции понижения роли
Замечание: остаток, который мне всегда приходится очищать при миграции 2003/2008, находится в консоли DNS, старый DC всегда по-прежнему указан в поле NS.
Если быть точным, то:
Второе замечание: я бы убедился, что они тоже не используют WINS. Пожалуйста, дважды проверьте, нужно ли вам активировать это или нет, это было популярно в те годы.
Я не рекомендую переименовывать домен, это сложная задача, которая может привести к множеству ошибок, если будет сделан неверный шаг.
решение3
Не проходите через Sites and Services вручную, пытаясь очистить метаданные контроллера домена. Вы можете ошибиться, и это не единственное место, где находятся такие данные. Используйте собственную команду NTDSUTIL; она имеет надежную операцию очистки метаданных.
Передайте роли FSMO новому DC перед понижением старого DC. Я думаю, вы получите предупреждение, если не сделаете этого, но у меня никогда не возникало соблазна попробовать это.
Безопасные обновления DNS требуют некоторой дополнительной настройки, если у вас есть клиенты, отличные от Windows. Это включает в себя различные устройства, такие как принтеры, которые поддерживают DHCP. Существуют варианты в зависимости от ваших потребностей:
- Вы можете настроить DHCP-сервер для регистрации записей DNS от имени таких клиентов (и заполнить группу DnsUpdateProxy, если у вас несколько DHCP-серверов), или
- Вы можете настроить системы на самостоятельное выполнение безопасных обновлений (например, Linux потребуется файл keytab, поскольку безопасные обновления требуют аутентификации Kerberos) или
- Вы можете создать статические записи DNS и настроить резервирование DHCP для этих устройств.
Я бы остановил службу NETLOGON перед сменой IP нового DC и перезапустил ее сразу после этого. Это должно гарантировать немедленное обновление соответствующих записей DNS.
Я согласен с предыдущим постером о том, что нужно отходить от домена с одной меткой, но я понимаю, что лучшие практики не всегда доступны. В некоторых средах с такими изменениями может быть связана значительная работа.