Wymiana kontrolera domeny W2K3 - co muszę wiedzieć?

Mam sieć około 70 maszyn, obecnie z dwoma DC, z których oba działają pod Windows Server 2003 (DC0 i DC1). DC0 to pięcioletni Poweredge 1850, który ostatnio staje się coraz bardziej puszysty, aw przeszłości dwa tygodnie spadł ponad dwukrotnie.

Chcę wymienić tę maszynę, ale jestem ostrożny, ponieważ istnieje wiele możliwości, aby coś takiego poszło nie tak. Wyobrażam sobie, jak to robię, budując nową maszynę, a następnie wykonując DCPROMO i uruchamiając trzy kontrolery domeny przez około miesiąc, dopóki nie będę zadowolony, że wszystko działa tak, jak powinno, przed wycofaniem starej maszyny.

Szczególne obawy budzi powielanie ról z obecnych sterowników (na przykład ustawienia GP) i konsekwencje wyłączenia maszyny, która do tej pory była „podstawowa”.

Jeśli istnieją ważne powody, aby korzystać z Server 2008, chętnie to zrobię, jednak nie wiem, czy spowodowałoby to problemy z opuszczeniem maszyn z 2003 roku.

Wszelkie porady dotyczące najlepszych praktyk lub wcześniejszych doświadczeń byłyby bardzo mile widziane.

Microsoft ma wiele artykułów dotyczących przenoszenia ról i usług z jednego serwera na drugi. W przypadku kontrolerów domeny musisz zachować szczególną ostrożność, aby sprawy przebiegały z wdziękiem i jesteś dobrze prowadzony, aby opublikować pytanie tutaj, ponieważ nie jest to zwykłe wyłączenie lub usunięcie serwera z użytkowników AD oraz użytkowników i komputerów.

Jeśli masz zamiar zbudować nowy serwer - w tym momencie potrzebuję ważnego powodu, aby nie opierać go na 2K8 R2. Upewnij się, że Twoje aplikacje obsługujące obsługują również 2K8 R2 - antywirus, kopie zapasowe itp. Jeśli koszt systemu operacyjnego i programu Cals nie stanowi problemu, wydaje mi się, że nie widziałbym uzasadnienia, aby wytrzymać długoterminowym systemem opartym na 7 letni system operacyjny? Myślę, że wymagania dla 2K8 R2 muszą istnieć w domenie 2K3, ponieważ musi to być tryb macierzysty 2K3, a DC 2K3 może wymagać wersji SP2 lub nowszej.

Najpierw zbuduj nowy serwer, dodaj go do domeny i dcpromo - nie ma powodu, aby na to czekać. Upewnij się, że nowy serwer lub pozostały stary serwer są skonfigurowane jako serwery wykazu globalnego: http://support.microsoft.com/kb/313994

Twoim głównym przedmiotem zainteresowania musi być zapewnienie, aby role FSMO zostały poprawnie przekazane innemu DC. W tym artykule dowiesz się dokładnie, co i jak należy wykonać każdy krok: http://support.microsoft.com/kb/324801 .

Replikacja obiektów GPO jest obsługiwana automatycznie przez FRS na drzewie Sysvol - więc nie powinieneś się tutaj martwić.

Prawdopodobnie będziesz również musiał obsługiwać usługi DHCP i DNS. Oto dobry artykuł na temat przenoszenia bazy danych DHCP w razie potrzeby: http://support.microsoft.com/kb/962355 . Pamiętaj, aby wyłączyć usługę DHCP po przeniesieniu bazy danych dhcp na nowy serwer i tam odpalić. Ważne jest, aby przenieść bazę danych DHCP, a nie tylko zatrzymać usługę na starym serwerze i uruchomić ją na innym - będziesz mieć systemy klienckie w każdym miejscu ze zduplikowanymi adresami IP.

Zawsze wolę przenieść role FSMO i DHCP i odczekać kilka dni przed usunięciem systemu jako kontrolera domeny.

Po przeniesieniu ról FSMO i przeniesieniu DHCP (i dowolnego innego oprogramowania) uruchom dcpromo z wiersza poleceń, aby usunąć go jako kontrolera domeny. Następnie użyj polecenia Dodaj / Usuń programy -> Składniki systemu Windows, aby odinstalować usługę DNS. Na koniec - usuń system z domeny i wyłącz go.

Powodzenia!

Replikacja jest całkowicie automatyczna między kontrolerami domeny w tej samej domenie, więc nie powinieneś się o to martwić, chyba że coś pójdzie nie tak; cała zawartość AD (użytkownicy, komputery, jednostki organizacyjne, obiekty GPO itp.) zostaną zreplikowane na każdym nowym kontrolerze domeny dodanym do domeny, a każdy kontroler domeny zawsze będzie przechowywać pełną kopię bazy danych domeny.

Są dwie rzeczy, na które powinieneś zwrócić uwagę (oprócz każdej innej aplikacji, która może być uruchomiona na serwerze, oczywiście): role FSMO i DNS.

Jeśli DC jest serwerem DNS, należy zadbać o włączenie tej usługi na innych kontrolerach domeny, tak aby wszystkie komputery należące do domeny (klient i serwery) wskazywały na nie zamiast tego, który wycofuje; w standardowej konfiguracji AD wystarczy zainstalować usługę DNS na kontrolerze domeny: nie trzeba definiować i wypełniać stref DNS, ponieważ główna strefa domeny będzie zintegrowana z usługą AD, a tym samym replikowana na wszystkie serwery DNS, które są również kontrolerami domeny.

Role FSMO to specjalne role, które mogą być sprawowane tylko przez jednego kontrolera domeny naraz, i zwykle są własnością pierwszego kontrolera domeny utworzonego w domenie; oni będą automatycznie przeniesione do innego jeśli zdegradować DC, która je posiada, ale nie będziesz mieć kontrolę nad ich rozmieszczenia, dlatego zawsze lepiej, aby przenieść je ręcznie; możesz to zrobić za pomocą różnych narzędzi AD (Użytkownicy i komputery, Witryny i usługi, Domena i trusty, Schemat) lub za pomocą NTDSUTIL.

Uważaj też, aby zdegradować stary kontroler domeny (za pomocą dcpromo) przed wycofaniem go; zapewni to prawidłowe usunięcie wszystkich informacji dotyczących jego poprzedniej roli jako kontrolera domeny z usługi Active Directory.

Jeśli nie planujesz migracji do 2008 roku, nie zawracam sobie głowy aktualizacją. Istnieją pewne zastrzeżenia, które zależą od innych posiadanych aplikacji. Jeśli planujesz aktualizację do 2008 roku, pierwszą rzeczą, którą musisz zrobić, to aktualizacja schematu. Musisz także upewnić się, że Twoje aplikacje są kompatybilne z kontrolerami domeny 2008 (w szczególności musisz upewnić się, że jeśli masz kontrolery RODC w środowisku lub planujesz, aby aplikacje wiedziały, jak uzyskać dostęp do zapisywalnego GC lub DC, jeśli jest to wymagane) . Jako przykład, dopiero od ostatniego lutego, wymiana 2008 r2 była wspierana przez wymianę.

Sprawdź ten link do przygotowania domeny i ten link do przygotowania lasu

Zgodziłbym się na to, co powiedział Jeff. Aby dodać, rekordy DNS replikują się między serwerami DNS, to tylko baza danych DHCP, którą można wykonać kopię zapasową i przywrócić między różnymi serwerami DHCP. Wystarczy zarządzać czasem trwania dzierżawy, aby wprowadzić płynną zmianę. Po prostu nie łącz wszystkich śrub, dopóki nie będziesz pewien, że wszystko jest ustawione. Sposób, w jaki to zrobiłem, zajmuje 2-3 dni, aby pokryć wszystkie role (FSMO) i rekordy (DNS / DHCP).

Jak już powiedziano, upewnij się, że wszystkie stare role zostały usunięte ze starego serwera i przeniesione na inny / lub nowy. nie będziesz mógł uruchomić DCPROMO, dopóki nie będzie już serwerem wykazu globalnego. Wstrząśnij - co najgorszego może się zdarzyć? kocięta nie zostaną zranione, jeśli wszystko pójdzie nie tak.