Найкраща практика для зняття з експлуатації контролера домену, який також є сервером DNS?

Існують дві школи думки щодо виведення з експлуатації контролерів домену Active Directory, які широко використовуються як DNS-сервери.

1. Додайте IP-адресу вихідного постійного струму до нового постійного струму та переконайтесь, що DNS прослуховує цю адресу.

2. Продемонструйте старий DC, залиште на ньому роль DNS і налаштуйте глобального переадресатора DNS на новий сервер.

Очевидно, що обидва - це зупинки до тих пір, поки всі сервери та пристрої не будуть налаштовані на використання первинної IP-адреси нового сервера, але іноді цей перехідний період може бути відносно довгим, залежно від розміру середовища.

Чи є тут чітка найкраща практика?

Я не вагаюся відповідати, тому що я думаю, що це скоріше "дискусійне" питання, ніж суворо питання Q&A ... але це ледачий суботній ранок, тому я все одно буду.

Чи є тут чітка найкраща практика?

Ні (Чорт, можливо, це була легка відповідь на всі ...)

Microsoft надає дуже загальні вказівки Bingable , що легко піддаються користувачеві, як знімати контролери домену та виконувати міграцію AD та DNS, але я не буду перешкоджати посиланням на них, не буду робити вигляд, що вони вирішують ваш конкретний питання, оскільки Microsoft очевидно не може документувати кожен конкретний випадок для середовища різних організацій.

Тож адміністратори / інженери систем, як ми, залишаємо заповнити прогалини власним досвідом та досвідом, коли Microsoft не написала спеціального сценарію тільки для нас, і саме це робить нас цінними.

Я можу навести вам приклад того, що ми зробили для вирішення цієї самої проблеми, оскільки я також працюю в середовищі, що охоплює земну кулю, з десятками і більше контролерів домену, розрізнюються ліси AD, що співіснують в одних і тих же мережах, а також пристрої, що не мають Windows. Служби DNS від тих самих постійних серверів тощо. Переміщення у нові центри обробки даних та перехід із старих, необхідність переходу на нове обладнання або нові версії ОС та звичайна стара бізнес-політика - це всі можливі причини, які нам знадобляться для зняття з експлуатації контролерів домену, які потенційно все ще використовуються. І якщо у вас є кілька різнорідних організацій, які зараз використовують ці сервери DC / DNS, зазвичай це виснажливий, розроблений процес перенастроювання кожного клієнта (багато з яких може не бути під вашим контролем) перед виведенням з експлуатації контролера домену, залучаючи менеджерів проектів,

Так ось чому я кажу , я не думаю , що хто - небудь може дати вам в відповідь на це питання. Є тисяча способів, як ви могли б це зробити, і деякі будуть кращими за інші, залежно від структури та потреб вашої організації.

Щось ми зробили для вирішення цього питання, це зробити VIP для кожного центру обробки даних та об'єднати всі контролери домену в цьому центрі обробки даних за цим VIP. (Цей VIP призначений для служби DNS лише з очевидних причин. Я не говорю про збалансування завантаження Kerberos та LDAP.) Таким чином, клієнти можуть бути налаштовані використовувати цей VIP для свого DNS-рішення, і ми можемо додавати та відбирати контролери домену, що стоять за цим VIP, коли і як завгодно.

Але ви не стоїте перед проблемою ... тож з огляду на запропоновані вами варіанти:

1. Додайте IP-адресу вихідного постійного струму до нового постійного струму та переконайтесь, що DNS прослуховує цю адресу.

2. Продемонструйте старий DC, залиште на ньому роль DNS і налаштуйте глобального переадресатора DNS на новий сервер.

Я вибрав би варіант №1, тому що ваша мета - зняти старий сервер якомога швидше, а варіант №2 не допоможе вам позбутися від старого сервера. З опцією №2 існування сервера все ще необхідно. Я також не пішов би з пропозицією Матіаса Р. Джессена щодо заглушок зон, тому що вам знову залишається старий сервер на місці та на роботі, що не сприяє вашій кінцевій цілі.

З варіантом №1, як неприємно, ви можете звільнити старий сервер, вимагати економії витрат на свою компанію, уникати плати за оренду ще один місяць за цей центр обробки даних та отримати нагороду за те, що такий хороший працівник.

Редагувати: Думаючи про наш чат трохи більше, я думаю, що, можливо, я спроектував свої власні вимоги до вас, тому що у мене зараз є вимоги до підключення якомога швидше до деяких речей, так що це було свіжим для мене. Це здається, що у вас немає стільки негайних вимог відключити сервер якнайшвидше.

Це сказало, що я не змінюю свою пропозицію, як все-таки вважаю за краще. Застосування додаткового IP-адреси на існуючому контролері домену працювало для мене в минулому в дуже схожих сценаріях, і я вважаю за краще, ніж мати дивний вестигіальний додаток сервера, який сидить там невизначений час.

Дорога до пекла Active Directory прокладена тимчасовими пов’язками. Присвоєння IP-адреси декомсіонованого DNS-сервера, який підлягає декомнізації, для вашого нового сервера постійного струму та DNS є тимчасовою пов’язкою.

Як зазначає @gravyface в коментарях, в ідеальному сценарії ви змінили б усі області DHCP та статичну конфігурацію, щоб оновити перевагу клієнтської DNS на новий IP, а не на старий, перш ніж повністю розкласти старий DC.

Я розумію, що переконатися, що всі клієнти були переконфігуровані, не обов'язково можливо вчасно, але я, безумовно, вважаю варіант № 2 (пересилання всього простору імен) як найменш заперечний варіант.

На додаток до надання старого сервера для переадресації запитів навіть після демонтажу його, я б рекомендував увімкнути Журнал налагодження для вхідних запитів на DNS-сервері - це полегшує оцінку не лише того, чи клієнти все ще вказують на старий DNS-сервер, але і ідентифікація зазначених клієнтів.

Попри це, я думаю, ви пропустили очевидний третій варіант: Stub Zones !

• Демонструйте DC, збережіть роль DNS та додайте всі зони, які він раніше мав як зони заглушки - переадресуйте все інше. Таким чином, ви змушуєте клієнтів фактично зв’язуватися з контролерами домену, якими вони повинні користуватися, замість того, щоб виконувати роботу над ними