Заміна контролера домену W2K3 - що мені потрібно знати?

У мене є мережа з близько 70 машин, на даний момент з двома постійними комп'ютерами, на яких працює Windows Server 2003 (DC0 та DC1). DC0 - це п'ятирічний Poweredge 1850 року і останнім часом стає все більш відшаровується, а за останні два тижні впав удвічі.

Я хочу замінити цю машину, але я обережний, оскільки існує величезна можливість для подібних речей піти не так. Як я собі це роблю, це створити нову машину, потім зробити DCPROMO і запустити три контролери домену протягом місяця або близько того, поки я щасливий, що все працює так, як і слід, перш ніж вийти зі старого апарату.

Особливою проблемою є реплікація ролей з поточних контролерів (наприклад, налаштування GP) та наслідки відключення машини, яка до цих пір була «основною».

Якщо є вагомі причини для використання Server 2008, я готовий це зробити, однак не знаю, чи це може спричинити проблеми з моїми існуючими машинами 2003 року.

Будь-яка порада щодо найкращої практики чи попереднього досвіду буде дуже вітається.

Microsoft має велику кількість статей щодо переміщення ролей та обслуговування з одного сервера на інший. Що стосується постійного струму, вам потрібно бути особливо обережними, щоб все відбувалося витончено, і ви добре керуєтесь, щоб поставити питання тут, оскільки це не просте вимкнення живлення або видалення сервера з користувачів AD та користувачів та комп'ютерів.

Якщо ви збираєтеся створити новий сервер - в цей момент мені знадобиться вагома причина не базувати його на 2K8 R2. Будьте впевнені, що ваші підтримуючі додатки також підтримують 2K8 R2 - AntiVirus, резервне копіювання тощо. Якщо вартість ОС та Cals не є проблемою, я думаю, я б не бачив міркувань висунути довгострокову систему на основі 7 річна ОС? Я думаю, що запити для існування 2K8 R2 в домені 2K3, вони повинні бути в рідному режимі 2K3, і для DC 2K3 може знадобитися SP2 або пізнішої версії.

Спочатку побудуйте новий сервер, додайте його до домену та dcpromo - не варто чекати на це. Переконайтесь, що або новий сервер, або залишився сервер встановлені як глобальні сервери каталогів: http://support.microsoft.com/kb/313994

Ваша основна проблема, яка викликає занепокоєння, полягає у забезпеченні належної передачі ролей FSMO в інший округ. Ця стаття розповість вам про те, що і як потрібно виконувати кожен крок: http://support.microsoft.com/kb/324801 .

Реплікація GPO обробляє FRS автоматично на дереві Sysvol - тому у вас не повинно бути ніяких турбот.

Можливо, вам також знадобиться обробляти послуги DHCP та DNS. Ось хороша стаття про переміщення вашої бази даних DHCP за потреби: http://support.microsoft.com/kb/962355 . Не забудьте відключити послугу DHCP після переміщення бази даних dhcp на новий сервер і запустіть її там. Важливо перемістити базу даних dhcp, а не просто зупинити послугу на старому сервері та запустити її на іншому - у вас будуть клієнтські системи всюди з подвійними IP-адресами.

Я завжди вважаю за краще вимкнути ролі FSMO та DHCP і чекати кілька днів, перш ніж видалити систему як постійний струм.

Коли у вас є ролі FSMO і DHCP переміщено (і будь-яке інше програмне забезпечення), запустіть dcpromo з командного рядка, щоб видалити його як постійний струм. Потім використовуйте Додати та видалити програми -> Компоненти Windows для видалення служби DNS. Нарешті - видаліть систему з домену та вимкніть її.

Щасти!

Реплікація є абсолютно автоматичною між контролерами домену в одному домені, тому вам не потрібно взагалі турбуватися про це, якщо щось не піде не так; весь вміст AD (користувачі, комп'ютери, OU, GPO та ін.) буде реплікуватися на будь-який новий постійний струм, який ви додасте до домену, і кожен DC завжди зберігатиме повну копію бази даних домену.

Вам слід подбати про дві речі (крім будь-якої іншої програми, яка, можливо, працює на сервері): ролі FSMO та DNS.

Якщо ви DC - це сервер DNS, вам слід подбати про включення цієї послуги на інших постійних серверах та мати, щоб усі комп'ютери-учасниці вашого домену (клієнт та сервери) вказували на них замість того, на який ви виходите; у стандартних налаштуваннях AD достатньо встановити службу DNS на постійному струмі: вам не потрібно визначати та заповнювати DNS-зони, оскільки основна доменна зона буде інтегрована AD і таким чином реплікується на всі DNS-сервери, які також є постійними.

Ролі FSMO - це спеціальні ролі, які одночасно можуть виконувати лише один постійний струм, і зазвичай їм належить перший DC, створений у домені; вони будуть автоматично перенесені на інший, якщо ви знімете постійний струм, який їм належить, але ви не матимете контролю над їх розміщенням, тому завжди краще перемістити їх вручну; це можна зробити за допомогою різних інструментів AD (Користувачі та комп’ютери, Сайти та послуги, Домени та трасти, Схема) або за допомогою NTDSUTIL.

Крім того, будьте обережні, щоб фактично знищити старий DC (за допомогою dcpromo), перш ніж виходити з нього; це забезпечить належну видалення інформації, що стосується її попередньої ролі DC, з Active Directory.

Якщо ви не плануєте перехід на 2008 рік, я б не переймався оновленням. Існують певні застереження залежно від того, які у вас є додатки. Якщо ви плануєте оновити до 2008 року, перше, що вам потрібно зробити, - це оновлення схеми. Вам також потрібно переконатися, що ваші програми сумісні з контролерами домену 2008 року (зокрема, ви повинні переконатися, що якщо у вас є RODC в оточенні або плануєте, щоб додатки знали, як дістатися до записуваного GC або DC, якщо це потрібно) . Як приклад, тільки з минулого лютого, обмін 2008 r2 підтримувався обміном.

Перевірте це посилання на препарати домену та це посилання на препарати лісу

Я погодився б із тим, що сказав Джефф. Додамо, DNS записує копію між DNS-серверами, лише їх DHCP-базою даних, яку можна створити для резервного копіювання та відновлення на різних серверах DHCP. Щойно керуючи тривалістю оренди, ви можете зробити цю зміну гладкою. Просто не зав'язуйте всі гвинти, поки не будете впевнені, що все налаштовано. Як я це зробив, потрібно максимум 2-3 дні, щоб охопити всі (FSMO) ролі та (DNS / DHCP) записи.

Як було сказано, переконайтесь, що всі старі ролі вилучені зі старого сервера та перенесені на інший / або новий. ви не зможете запустити DCPROMO до тих пір, поки не стане глобальним сервером каталогів. Надайте це бажання - що найгіршого, що може статися? кошенята не постраждають, якщо все піде не так.