Sostituzione di un controller di dominio W2K3: cosa devo sapere?

Ho una rete di circa 70 macchine, attualmente con due controller di dominio che eseguono entrambi Windows Server 2003 (DC0 e DC1). DC0 è un Poweredge 1850 di cinque anni ed è diventato recentemente sempre più instabile, e nelle ultime due settimane è caduto due volte.

Voglio sostituire questa macchina, ma sono cauto in quanto vi è un enorme margine di manovra per questo genere di cose. Il modo in cui immagino di farlo è costruire una nuova macchina, quindi fare un DCPROMO ed eseguire tre controller di dominio per circa un mese fino a quando non sono contento che tutto funzioni come dovrebbe prima di ritirare la vecchia macchina.

Particolari aree di preoccupazione sono la replica dei ruoli dagli attuali controller (ad esempio le impostazioni GP) e le conseguenze dello spegnimento della macchina che, fino ad ora, è stata la "primaria".

Se ci sono ragioni convincenti per utilizzare Server 2008, sono disposto a farlo, tuttavia non so se ciò causerebbe problemi con le mie macchine esistenti 2003.

Qualsiasi consiglio sulle migliori pratiche o esperienze precedenti sarebbe il benvenuto.

Microsoft ha molti articoli riguardanti lo spostamento di ruoli e servizi da un server all'altro. Con i controller di dominio devi prestare particolare attenzione affinché le cose accadano con grazia e sei ben guidato a pubblicare la domanda qui, perché non è un semplice spegnimento o eliminazione del server da utenti, utenti e computer AD.

Se hai intenzione di costruire un nuovo server, a questo punto avrei bisogno di un motivo convincente per non basarlo su 2K8 R2. Assicurati che le tue applicazioni di supporto supportino anche 2K8 R2 - AntiVirus, Backup, ecc. Se il costo del sistema operativo e di Cals non è un problema, immagino che non vedrei il ragionamento per sostenere un sistema a lungo termine basato su un 7 OS vecchio di anni? Penso che le richieste per 2K8 R2 esistano in un dominio 2K3 sono che deve essere in modalità nativa 2K3 e potrebbe essere necessario che il controller di dominio 2K3 sia SP2 o successivo.

Innanzitutto crea il tuo nuovo server, aggiungilo al dominio e dcpromo - nessun motivo per aspettare. Assicurarsi che il nuovo server o il vecchio server rimanente siano impostati come server di catalogo globale: http://support.microsoft.com/kb/313994

La tua principale area di preoccupazione deve essere quella di garantire che i ruoli di FSMO siano correttamente consegnati a un'altra DC. Questo articolo ti dirà esattamente cosa e come di ogni passaggio che dovrai eseguire: http://support.microsoft.com/kb/324801 .

La replica degli oggetti Criteri di gruppo viene gestita automaticamente dall'FRS sull'albero di Sysvol, quindi non dovresti preoccuparti.

Probabilmente dovrai anche gestire i servizi DHCP e DNS. Ecco un buon articolo sullo spostamento del database DHCP, se necessario: http://support.microsoft.com/kb/962355 . Assicurati di disabilitare il servizio DHCP dopo aver spostato il database dhcp su un nuovo server e averlo acceso lì. È importante spostare il database dhcp piuttosto che interrompere il servizio sul vecchio server e avviarlo su un altro: avrai sistemi client ovunque con indirizzi IP duplicati.

Preferisco sempre spostare i ruoli FSMO e DHCP e attendere diversi giorni prima di rimuovere il sistema come controller di dominio.

Quando hai i tuoi ruoli FSMO e DHCP spostato (e qualsiasi altro software) esegui dcpromo dalla riga di comando per rimuoverlo come controller di dominio. Quindi utilizzare Installazione applicazioni -> Componenti di Windows per disinstallare il servizio DNS. Infine, rimuovi il sistema dal dominio e spegnilo.

In bocca al lupo!

La replica è completamente automatica tra controller di dominio nello stesso dominio, quindi non dovresti preoccuparti affatto, a meno che qualcosa non vada storto; tutto il contenuto AD (utenti, computer, unità organizzative, oggetti Criteri di gruppo, ecc.) verrà replicato in qualsiasi nuovo controller di dominio aggiunto al dominio e ciascun controller di dominio memorizzerà sempre una copia completa del database del dominio.

Ci sono due cose di cui dovresti preoccuparti (a parte qualsiasi altra applicazione che potrebbe essere in esecuzione sul server, ovviamente): ruoli FSMO e DNS.

Se il controller di dominio è un server DNS, è necessario abilitare tale servizio su altri controller di dominio e fare in modo che tutti i computer dei membri del dominio (client e server) puntino su di essi anziché su quello che si sta ritirando; in una configurazione AD standard, l'installazione del servizio DNS su un controller di dominio è sufficiente: non è necessario definire e popolare le zone DNS, poiché la zona di dominio principale sarà integrata con AD e quindi replicata su tutti i server DNS che sono anche controller di dominio.

I ruoli di FSMO sono ruoli speciali che possono essere ricoperti solo da un singolo controller di dominio alla volta e di solito sono di proprietà del primo controller di dominio creato nel dominio; essi verranno automaticamente spostati un altro se si abbassa di livello DC che li possiede, ma non avrete alcun controllo sul loro posizionamento, quindi è sempre meglio per spostarli manualmente; puoi farlo utilizzando i vari strumenti di AD (Utenti e computer, Siti e servizi, Dominio e trust, Schema) o usando NTDSUTIL.

Inoltre, fai attenzione a degradare effettivamente il vecchio controller di dominio (utilizzando dcpromo) prima di ritirarlo; questo assicurerà che tutte le informazioni relative al suo ruolo precedente di controller di dominio vengano rimosse correttamente da Active Directory.

Se non stai pianificando la migrazione al 2008, non mi preoccuperei di aggiornare. Ci sono avvertimenti sulla dipendenza da quali altre app hai. Se prevedi di eseguire l'aggiornamento a 2008, la prima cosa che devi fare è un aggiornamento dello schema. È inoltre necessario assicurarsi che le applicazioni siano compatibili con i controller di dominio 2008 (in particolare è necessario assicurarsi che se si disponga di controller di dominio di sola lettura nell'ambiente o si prevede che le applicazioni sappiano come accedere a un GC o DC scrivibile qualora fosse necessario) . Ad esempio, è stato solo dall'ultimo febbraio che Exchange 2008 R2 è stato supportato con Exchange.

Controllare questo collegamento per la preparazione del dominio e questo collegamento per la preparazione della foresta

Concordo con quello che ha detto Jeff. Per aggiungere, i record DNS replicano tra i server DNS solo il database DHCP che è possibile eseguire il backup e il ripristino tra diversi server DHCP. Con solo la durata del contratto di locazione è possibile rendere questo cambiamento regolare. Non legare tutte le viti finché non si è sicuri che tutto sia impostato. Per come l'ho fatto, ci vogliono 2-3 giorni al massimo per coprire tutti i ruoli (FSMO) e i record (DNS / DHCP).

Come è stato detto, assicurarsi che tutti i vecchi ruoli vengano rimossi dal vecchio server e migrati all'altro / o nuovo. non sarai in grado di eseguire DCPROMO fino a quando non sarà più un server di catalogo globale. Dagli un colpo: qual è il peggio che può succedere? i gattini non si faranno male se tutto va storto.