Замена контроллера домена W2K3 - что мне нужно знать?

У меня есть сеть из примерно 70 машин, в настоящее время с двумя контроллерами домена, на которых работает Windows Server 2003 (DC0 и DC1). DC0 - пятилетний Poweredge 1850, и в последнее время он становится все более и более ненадежным, и за последние две недели он упал более чем в два раза.

Я хочу заменить эту машину, но я осторожен, потому что есть много возможностей для такого рода вещи, чтобы пойти не так. То, как я это представляю, - это создание новой машины, затем выполнение DCPROMO и запуск трех контроллеров домена в течение месяца или около того, пока я не буду рад, что все работает, как должно быть, перед тем, как удалить старый компьютер.

Особое беспокойство вызывают репликация ролей с текущих контроллеров (например, настройки GP) и последствия отключения машины, которая до сих пор была «основной».

Если есть веские причины для использования Server 2008, я готов это сделать, однако я не знаю, вызовет ли это проблемы с моими существующими машинами 2003 года.

Любые советы по передовому опыту или предыдущему опыту приветствуются.

У Microsoft есть множество статей о перемещении ролей и услуг с одного сервера на другой. С DC вы должны быть особенно осторожны, чтобы все происходило изящно, и вы должны указать этот вопрос здесь, потому что это не простое отключение питания или удаление сервера от пользователей AD, пользователей и компьютеров.

Если вы собираетесь построить новый сервер - на этом этапе мне понадобится веская причина не основывать его на 2K8 R2. Убедитесь, что ваши поддерживающие приложения также поддерживают 2K8 R2 - Антивирус, Резервное копирование и т. Д. Если стоимость ОС и Cals не является проблемой, я думаю, я не увижу причин, чтобы поддерживать долгосрочную систему, основанную на летняя ОС? Я думаю, что требования для 2K8 R2 существуют в домене 2K3, если он должен быть в основном режиме 2K3, а для DC 2K3 может потребоваться SP2 или более поздняя версия.

Сначала создайте новый сервер, добавьте его в домен и dcpromo - нет причин ждать этого. Убедитесь, что новый сервер или оставшийся старый сервер настроены как серверы глобального каталога: http://support.microsoft.com/kb/313994

Ваша основная проблема должна заключаться в том, чтобы роли FSMO были должным образом переданы другому DC. Эта статья расскажет вам, что и как нужно делать на каждом этапе: http://support.microsoft.com/kb/324801 .

FRS на дереве Sysvol автоматически обрабатывает репликацию объектов групповой политики, поэтому вам не о чем беспокоиться.

Скорее всего, вам также понадобятся службы DHCP и DNS. Вот хорошая статья о перемещении базы данных DHCP , если это будет необходимо: http://support.microsoft.com/kb/962355 . Обязательно отключите службу DHCP после перемещения базы данных dhcp на новый сервер и запуска ее там. Важно перемещать базу данных dhcp, а не просто останавливать службу на старом сервере и запускать ее на другом - у вас везде будут клиентские системы с дублирующимися IP-адресами.

Я всегда предпочитаю отключить роли FSMO и DHCP и подождать несколько дней, прежде чем удалять систему как DC.

Когда ваши роли FSMO и DHCP перенесены (и любое другое программное обеспечение), запустите dcpromo из командной строки, чтобы удалить его как DC. Затем используйте Установка и удаление программ -> Компоненты Windows, чтобы удалить службу DNS. Наконец - удалите систему из домена и выключите ее.

Удачи!

Репликация полностью автоматическая между контроллерами домена в одном домене, поэтому вам не нужно беспокоиться об этом, если что-то идет не так; весь контент AD (пользователи, компьютеры, подразделения, объекты групповой политики и т. д.) будет реплицироваться на любой новый контроллер домена, который вы добавляете в домен, и каждый контроллер домена всегда будет хранить полную копию базы данных домена.

Вы должны заботиться о двух вещах (кроме любого другого приложения, которое может работать на сервере, конечно): роли FSMO и DNS.

Если ваш DC является DNS-сервером, вы должны позаботиться о том, чтобы включить эту службу на других DC, и чтобы все ваши члены домена (клиенты и серверы) указывали на них, а не на тот, на котором вы уходите; при стандартной настройке AD установки службы DNS на контроллере домена достаточно: вам не нужно определять и заполнять зоны DNS, поскольку основная доменная зона будет интегрирована в AD и, следовательно, реплицируется на все DNS-серверы, которые также являются контроллерами домена.

Роли FSMO - это особые роли, которые могут выполняться только одним DC одновременно, и обычно они принадлежат первому DC, созданному в домене; они будут автоматически перемещены к другому, если вы понижаете DC, которым они принадлежат, но вы не будете контролировать их размещение, поэтому всегда лучше перемещать их вручную; Вы можете сделать это с помощью различных инструментов AD («Пользователи и компьютеры», «Сайты и сервисы», «Домен и трасты», «Схема») или с помощью NTDSUTIL.

Кроме того, будьте осторожны, чтобы фактически понизить старый DC (использование dcpromo) прежде, чем удалить его; это гарантирует, что вся информация, касающаяся его предыдущей роли DC, будет должным образом удалена из Active Directory.

Если вы не планируете переход на 2008 год, я бы не стал обновляться. Существуют некоторые ограничения в зависимости от того, какие другие приложения у вас есть. Если вы планируете обновление до 2008 года, то в первую очередь вам нужно обновить схему. Вам также необходимо убедиться, что ваши приложения совместимы с контроллерами домена 2008 года (в частности, вам необходимо убедиться, что если у вас есть RODC в среде или вы планируете, чтобы приложения знали, как получить доступ к записываемому GC или DC, если это потребуется) , В качестве примера, только с прошлого февраля биржа 2008 r2 была поддержана биржей.

Проверьте эту ссылку для подготовки домена и эту ссылку для подготовки леса

Я бы согласился с тем, что сказал Джефф. Чтобы добавить, записи DNS реплицируются между DNS-серверами, это просто база данных DHCP, которую вы можете резервировать и восстанавливать между различными DHCP-серверами. Просто управляя продолжительностью аренды, вы можете сделать это изменение плавным. Просто не связывайте все винты, пока не убедитесь, что все установлено. Как я это сделал, максимум 2-3 дня требуется, чтобы покрыть все роли (FSMO) и записи (DNS / DHCP).

Как уже было сказано, убедитесь, что все старые роли удалены со старого сервера и перенесены на другой / или новый. вы не сможете запускать DCPROMO, пока он не перестанет быть сервером глобального каталога. Дайте ему шанс - что самое худшее, что может случиться? котята не пострадают, если все пойдет не так.