Przeniesienie podstawowego kontrolera domeny na nowy serwer

15

Właśnie kupiłem nowy serwer, który będzie nowym podstawowym kontrolerem domeny. Zastanawiałem się, czy ktoś znał jakieś artykuły lub samouczki na temat tego, jak to zmienić? Wyobrażam sobie, że wystarczy skonfigurować rolę i zaimportować kopię zapasową Active Directory ze starego kontrolera domeny. Chcę się tylko upewnić, że nie pominę żadnych istotnych zadań pomiędzy nimi.

active-directory domain-controller poconnor
źródło
1
Jestem pewien, że jest to już uwzględnione w istniejących pytaniach, ale nie znalazłem dobrego, aby oznaczyć je jako duplikat.
Zoredache,
3
Nie ma już czegoś takiego jak „podstawowy kontroler domeny”. To poszło z NT4.
MDMarra,
2
@SpacemanSpiff Zgadzam się. To nie zmienia faktu, że ludzie nadal mówią PDC i BDC, jakby to były prawdziwe rzeczy. DC pełniący rolę emulatora PDC jest zupełnie inny niż NTC PDC.
MDMarra,
2
@MarkM: To nie zmienia faktu, że nie można obniżyć kontrolera domeny za pomocą roli emulatora PDC. A jeśli spadnie, w końcu będziesz musiał przejąć rolę.
surfasb
1
@surfasb nowsze wersje dcpromo automatycznie przenoszą role FSMO z serwera, który degradujesz. Starsze wersje po prostu błędnie narzekałyby na ten fakt.
Chris S,

Odpowiedzi:

21
  • Dodaj nowy komputer do domeny
  • Promuj system na kontrolerze domeny ( dcpromo )
  • Przenieś role FSMO
  • Sprawdź / Zmień nowy system w katalog globalny .
  • Poczekaj trochę czasu na replikację. Uruchom dcdiag / repadmin i tak dalej, aby upewnić się, że wszystko zostało przesłane
  • Obniż stary system (dcpromo)
  • Sprawdź dokładnie strefy DNS i reklamy, aby upewnić się, że stary system został usunięty.

W razie potrzeby migruj inne dane lub usługi.

Oczywiście możesz zostawić stary system wyłączony, aby mieć kolejne wolne DC.

Zoredache
źródło
Co powiesz na posiadanie wielu katalogów globalnych?
Tim Brigham,
@timbrigham, przepraszam, nie jestem pewien czy rozumiem o co pytasz.
Zoredache,
1
@TheCompWiz: Uważam, że dzieje się tak tylko w lesie z wieloma domenami, ale nie ma zastosowania w lesie z jedną domeną. Uważam, że najlepszą praktyką MS dla lasu z jedną domeną jest, aby wszystkie DC były również GC.
joeqwerty
7
@TheCompWiz, technet.microsoft.com/en-us/library/cc732877(WS.10).aspx - In a single-domain forest, configure all domain controllers as global catalog servers. Because every domain controller stores the only domain directory partition in the forest, configuring each domain controller as a global catalog server does not require any additional disk space usage, CPU usage, or replication traffic.
Zoredache,
1
@wszystko. Stoję w 100% poprawiony ... poważnie ... i wielokrotnie. Szczerze pamiętam, jak czytałem artykuł technet jakiś czas temu (może ponad 5 lat temu?), Który przestrzegał przed posiadaniem wielu GC w tej samej podsieci / domenie ... ale dzięki za poprawkę.
TheCompWiz,
6

Oprócz tego, co stwierdził Zoredache w swojej odpowiedzi, należy zaktualizować wszystkich klientów domeny, aby korzystali z nowego kontrolera domeny dla DNS.

Na marginesie, jeśli oryginalny kontroler domeny, który zastępujesz, jest jedynym kontrolerem domeny w domenie, to uruchomienie DCPROMO na oryginalnym kontrolerze przeniesie role FSMO do nowego kontrolera domeny bez potrzeby ręcznego przesyłania. Jeśli nie jest to jedyny kontroler domeny w domenie, wówczas DCPROMO przeniesie role FSMO do innego kontrolera domeny, po prostu nie jestem pewien, w jaki sposób wybierze kontrolera domeny do przejęcia ról.

joeqwerty
źródło
1
dla pewności ... Nadal sugeruję ręczne przeniesienie ról FSMO + GC i sprawdzenie, czy zostały one ukończone, zamiast polegania na dcpromo w celu przeniesienia ról. dcpromo po cichu zawodzi dość często i bardzo słabo dokumentuje te awarie.
TheCompWiz,
2
@TheCompWiz Czy mógłbyś rozwinąć czas, w którym dcpromo po cichu zawiódł? Nigdy nie miałem go pozostawić AD w jakimś niejasnym stanie. Miałem wiele razy, gdzie odmawia faktycznie nic zrobić, bo coś mi karmione było śmieci ...
Chris S
@ChrisS Chciałbym ... ale to nie jest czas ani miejsce na takie działania.
TheCompWiz,
1

Coś, o czym nikt inny nie wspomniał, to usługi czasu. Twój PDC jest przypuszczalnie głównym urządzeniem przechowującym czas dla domeny ... ta rola / konfiguracja powinna zostać ponownie wykonana na nowym PDC.

grep65535
źródło