Я ' Я унаследовал старую установку Active Directory на базе Windows 2003, и мне поручено обновить ее до современных стандартов. Я провел различные (успешные) тесты в своей лаборатории, используя план ниже, но мне действительно нужны рекомендации по проверке реальности / передовой практике от других экспертов в этой области.
Текущий статус: однокомпонентный, Домен Active Directory в смешанном режиме Windows-2000, работающий под управлением Windows 2003. Компонент DNS работает с незащищенными динамическими обновлениями.
Целевой статус: миграция в домен уровня Windows 2012R2 при установке Windows 2016 (примечание: целевой уровень Windows 2012R2, а не 2016, зависит от моего клиента с другими серверами Windows 2012R2). Миграция должна производиться с наименьшими нарушениями; в любом случае, так как я собираюсь поработать над этим на выходных, допустимы короткие перерывы в обслуживании.
Предостережения: хотя домен с одной меткой устарел, мне действительно нужно, чтобы он работал как есть. Я оценивал как переименование домена, так и / или миграцию домена на новое имя, но они просто кажутся слишком большими для моего клиента.
Мой план:
dcpromo
) ОБНОВЛЕНИЕ: после долгих обсуждений и тестирования я убедил моего клиента пойти на переименование домена . Я сделал это с помощью утилиты rendom
, в соответствии с рекомендациями Microsoft, и все прошло гладко (к счастью, у него не было локального сервера Exchange).
хотя одноименные домены устарели, мне действительно нужно оставить их работает как есть. Я оценил как переименование домена, так и / или домен переход на новое имя, но они просто кажутся слишком большими, чтобы требовать от меня заказчик.
Иногда труднее всего сделать правильный выбор. ИМО, вы оказываете своему клиенту медвежью услугу, продолжая использовать и поддерживать SLD. Сделайте «правильный» шаг и выполните переименование домена или миграцию на новый домен.
на новом сервере Windows 2016 используйте «Сайты Active Directory и Службы »для удаления любых возможных остатков операции понижения
Примечание, остаток, который мне всегда приходится очищать при переносе 2003/2008, находится в консоли DNS, старый DC всегда все еще отображается в поле NS .
Если быть точным;
Во-вторых, я бы хотел убедиться, что они тоже не используют WINS. Пожалуйста, дважды проверьте там, чтобы убедиться, нужно ли вам активировать это или нет, в те годы это было популярно .
Я не рекомендую переименование домена, это большая задача, которая может оставить много ошибок, если будет сделан неправильный шаг.
Не просматривайте сайты и службы вручную, пытаясь очистить метаданные контроллера домена. Вы можете ошибаться, и это не единственное место, где существуют такие данные. Используйте собственную команду NTDSUTIL; у него есть надежная операция очистки метаданных.
Передайте роли FSMO новому DC перед понижением уровня старого DC. Я думаю, вы получите предупреждение, если нет, но у меня никогда не возникало соблазна попробовать это.
Для обновлений безопасного DNS требуется дополнительная настройка, если у вас есть клиенты, отличные от Windows. Сюда входят различные устройства, такие как принтеры, поддерживающие DHCP. Существуют варианты, зависящие от ваших потребностей:
Я бы остановил службу NETLOGON перед изменением IP нового DC и сразу после этого перезапустите его. Это должно гарантировать немедленное обновление соответствующих записей DNS.
Я согласен с предыдущим постером о том, чтобы отказаться от однозначного домена, но я понимаю, что передовые методы не всегда доступны. В некоторых средах с таким изменением может потребоваться значительная работа.