Миграция Active Directory с Windows 2003 на Windows 2016
Я ' Я унаследовал старую установку Active Directory на базе Windows 2003, и мне поручено обновить ее до современных стандартов. Я провел различные (успешные) тесты в своей лаборатории, используя план ниже, но мне действительно нужны рекомендации по проверке реальности / передовой практике от других экспертов в этой области.
Текущий статус: однокомпонентный, Домен Active Directory в смешанном режиме Windows-2000, работающий под управлением Windows 2003. Компонент DNS работает с незащищенными динамическими обновлениями.
Целевой статус: миграция в домен уровня Windows 2012R2 при установке Windows 2016 (примечание: целевой уровень Windows 2012R2, а не 2016, зависит от моего клиента с другими серверами Windows 2012R2). Миграция должна производиться с наименьшими нарушениями; в любом случае, так как я собираюсь поработать над этим на выходных, допустимы короткие перерывы в обслуживании.
Предостережения: хотя домен с одной меткой устарел, мне действительно нужно, чтобы он работал как есть. Я оценивал как переименование домена, так и / или миграцию домена на новое имя, но они просто кажутся слишком большими для моего клиента.
Мой план:
- установить новый сервер Windows 2016 и добавить его в качестве простой член, для текущего домена
- повысить текущий функциональный уровень леса / домена до Windows 2003
- повысить новый сервер Windows 2016 до роли контроллера домена (с глобальным каталогом)
- , понизить уровень старого сервера (с помощью
dcpromo) - на новом сервере Windows 2016 используйте «Сайты и службы Active Directory», чтобы удалить все возможные остатки операции понижения
- в новой Windows 2016, используйте «Диспетчер DNS», чтобы изменить тип динамического обновления DNS на " или мне следует избегать этого?
- Что я должен знать?
ОБНОВЛЕНИЕ: после долгих обсуждений и тестирования я убедил моего клиента пойти на переименование домена . Я сделал это с помощью утилиты rendom , в соответствии с рекомендациями Microsoft, и все прошло гладко (к счастью, у него не было локального сервера Exchange).
хотя одноименные домены устарели, мне действительно нужно оставить их работает как есть. Я оценил как переименование домена, так и / или домен переход на новое имя, но они просто кажутся слишком большими, чтобы требовать от меня заказчик.
Иногда труднее всего сделать правильный выбор. ИМО, вы оказываете своему клиенту медвежью услугу, продолжая использовать и поддерживать SLD. Сделайте «правильный» шаг и выполните переименование домена или миграцию на новый домен.
на новом сервере Windows 2016 используйте «Сайты Active Directory и Службы »для удаления любых возможных остатков операции понижения
Примечание, остаток, который мне всегда приходится очищать при переносе 2003/2008, находится в консоли DNS, старый DC всегда все еще отображается в поле NS .
Если быть точным;
Во-вторых, я бы хотел убедиться, что они тоже не используют WINS. Пожалуйста, дважды проверьте там, чтобы убедиться, нужно ли вам активировать это или нет, в те годы это было популярно .
Я не рекомендую переименование домена, это большая задача, которая может оставить много ошибок, если будет сделан неправильный шаг.
Не просматривайте сайты и службы вручную, пытаясь очистить метаданные контроллера домена. Вы можете ошибаться, и это не единственное место, где существуют такие данные. Используйте собственную команду NTDSUTIL; у него есть надежная операция очистки метаданных.
Передайте роли FSMO новому DC перед понижением уровня старого DC. Я думаю, вы получите предупреждение, если нет, но у меня никогда не возникало соблазна попробовать это.
Для обновлений безопасного DNS требуется дополнительная настройка, если у вас есть клиенты, отличные от Windows. Сюда входят различные устройства, такие как принтеры, поддерживающие DHCP. Существуют варианты, зависящие от ваших потребностей:
- Вы можете настроить DHCP-сервер для регистрации DNS-записей от имени таких клиентов (и заполнить группу DnsUpdateProxy, если у вас несколько DHCP-серверов), или
- Вы можете настроить системы на самостоятельно выполнять безопасные обновления (например, Linux потребуется файл keytab, поскольку для безопасных обновлений требуется проверка подлинности Kerberos) или
- Вы можете создать статические записи DNS и настроить резервирование DHCP для этих устройств.
Я бы остановил службу NETLOGON перед изменением IP нового DC и сразу после этого перезапустите его. Это должно гарантировать немедленное обновление соответствующих записей DNS.
Я согласен с предыдущим постером о том, чтобы отказаться от однозначного домена, но я понимаю, что передовые методы не всегда доступны. В некоторых средах с таким изменением может потребоваться значительная работа.