Mengganti W2K3 Domain Controller - apa yang perlu saya ketahui?

Saya memiliki jaringan sekitar 70 mesin, saat ini dengan dua DC menjalankan Windows Server 2003 (DC0 & DC1). DC0 adalah Poweredge 1850 berusia lima tahun dan baru-baru ini menjadi semakin serpihan, dan dalam dua minggu terakhir telah jatuh dua kali.

Saya ingin mengganti mesin ini, tetapi saya berhati-hati karena ada ruang besar untuk hal-hal seperti ini salah. Cara saya membayangkan melakukan ini adalah membangun mesin baru kemudian melakukan DCPROMO dan menjalankan tiga pengontrol domain selama sebulan atau lebih sampai saya senang bahwa semuanya berfungsi sebagaimana mestinya sebelum pensiun mesin lama.

Bidang-bidang tertentu yang menjadi perhatian adalah replikasi peran dari pengontrol saat ini (pengaturan GP misalnya) dan konsekuensi mematikan mesin yang, sampai sekarang, menjadi 'utama'.

Jika ada alasan kuat untuk menggunakan Server 2008 saya bersedia melakukannya, namun saya tidak tahu apakah ini akan menyebabkan masalah dengan mesin 2003 saya yang ada.

Setiap saran tentang praktik terbaik atau pengalaman sebelumnya akan sangat disambut.

Microsoft memiliki banyak artikel mengenai pemindahan peran dan layanan dari satu server ke server lainnya. Dengan DC, Anda harus sangat berhati-hati agar hal-hal terjadi dengan anggun dan Anda dipandu dengan baik untuk mengirim pertanyaan di sini, karena ini bukan mematikan atau menghapus server dari Pengguna AD dan Pengguna serta komputer.

Jika Anda akan membangun server baru - pada titik ini saya perlu alasan kuat untuk tidak mendasarkannya pada 2K8 R2. Pastikan aplikasi pendukung Anda juga mendukung 2K8 R2 - AntiVirus, Backup, dll. Jika biaya OS dan Cals tidak menjadi masalah, saya kira saya tidak akan melihat alasan untuk membuat sistem jangka panjang berdasarkan pada 7 OS tahun? Saya pikir reqs untuk 2K8 R2 ada di domain 2K3 apakah harus dalam mode asli 2K3 dan DC 2K3 mungkin perlu SP2 atau yang lebih baru.

Pertama membangun server baru Anda, tambahkan ke domain dan dcpromo - tidak ada alasan untuk menunggu ini. Pastikan server baru atau server lama yang tersisa ditetapkan menjadi Server Katalog Global: http://support.microsoft.com/kb/313994

Bidang perhatian utama Anda harus tentang memastikan peran FSMO diserahkan dengan baik ke DC lain. Artikel ini akan memberi tahu Anda dengan tepat apa dan bagaimana setiap langkah yang perlu Anda lakukan: http://support.microsoft.com/kb/324801 .

Replikasi GPO ditangani secara otomatis oleh FRS di pohon Sysvol - jadi Anda tidak perlu khawatir.

Anda mungkin juga perlu menangani layanan DHCP dan DNS. Berikut adalah artikel bagus tentang pemindahan basis data DHCP Anda jika perlu: http://support.microsoft.com/kb/962355 . Pastikan untuk menonaktifkan layanan DHCP setelah Anda memindahkan database dhcp ke server baru dan jalankan di sana. Sangat penting untuk memindahkan basis data dhcp daripada hanya menghentikan layanan pada server lama dan memulainya pada yang lain - Anda akan memiliki sistem klien di semua tempat dengan duplikat alamat IP.

Saya selalu lebih suka untuk mematikan peran FSMO dan DHCP dan menunggu beberapa hari sebelum menghapus sistem sebagai DC.

Ketika Anda memiliki peran FSMO Anda dan DHCP dipindahkan (dan perangkat lunak lain) jalankan dcpromo dari baris perintah untuk menghapusnya sebagai DC. Kemudian gunakan Tambah / Hapus Program -> Komponen Windows untuk menghapus instalasi layanan DNS. Terakhir - hapus sistem dari domain dan matikan.

Semoga berhasil!

Replikasi sepenuhnya otomatis antara pengontrol domain di domain yang sama, jadi Anda tidak perlu khawatir sama sekali tentang hal itu, kecuali ada yang tidak beres; semua konten AD (pengguna, komputer, OU, GPO, dll.) akan direplikasi ke DC baru apa pun yang Anda tambahkan ke domain, dan setiap DC akan selalu menyimpan salinan lengkap dari database domain.

Ada dua hal yang harus Anda perhatikan (terlepas dari aplikasi lain yang mungkin berjalan di server, tentu saja): Peran FSMO dan DNS.

Jika Anda DC adalah server DNS, Anda harus berhati-hati untuk mengaktifkan layanan itu di DC lain dan mengarahkan semua komputer anggota domain Anda (klien dan server) alih-alih yang Anda pensiun; dalam pengaturan AD standar, menginstal layanan DNS pada DC sudah cukup: Anda tidak perlu mendefinisikan dan mengisi zona DNS, karena zona domain utama akan terintegrasi dengan AD dan dengan demikian direplikasi ke semua server DNS yang juga merupakan DC.

Peran FSMO adalah peran khusus yang dapat dipegang hanya oleh satu DC pada satu waktu, dan mereka biasanya dimiliki oleh DC pertama yang dibuat dalam domain; mereka akan secara otomatis dipindahkan ke yang lain jika Anda menurunkan DC yang memiliki mereka, tetapi Anda tidak akan memiliki kendali atas penempatan mereka, jadi selalu lebih baik untuk memindahkannya secara manual; Anda dapat melakukannya menggunakan berbagai alat AD (Pengguna & Komputer, Situs & Layanan, Domain & Perwalian, Skema), atau dengan menggunakan NTDSUTIL.

Juga, berhati-hatilah untuk benar-benar menurunkan DC lama (menggunakan dcpromo) sebelum menghentikannya; ini akan memastikan semua informasi mengenai peran sebelumnya sebagai DC dihapus dengan benar dari Active Directory.

Jika Anda tidak berencana untuk bermigrasi ke 2008, saya tidak akan repot meningkatkannya. Ada banyak peringatan yang tergantung pada aplikasi apa yang Anda miliki. Jika Anda berencana untuk meningkatkan ke 2008 maka hal pertama yang perlu Anda lakukan adalah pembaruan skema. Anda juga perlu memastikan bahwa aplikasi Anda kompatibel dengan pengontrol domain 2008 (khususnya Anda perlu memastikan bahwa jika Anda memiliki RODC di lingkungan atau berencana untuk bahwa aplikasi tahu bagaimana mendapatkan GC atau DC yang dapat ditulisi jika diperlukan) . Sebagai contoh, hanya sejak bulan Februari terakhir pertukaran 2008 r2 didukung dengan pertukaran.

Periksa tautan ini untuk persiapan domain dan tautan ini untuk persiapan hutan

Saya akan setuju dengan apa yang dikatakan Jeff. Untuk menambah, catatan DNS mereplikasi antara server DNS dengan hanya database DHCP yang dapat Anda backup dan pulihkan di antara server DHCP yang berbeda. Dengan hanya menentukan durasi sewa, Anda dapat membuat perubahan ini lancar. Jangan ikat semua sekrup sampai Anda yakin semuanya sudah diatur. Cara saya melakukannya, dibutuhkan maks 2-3 hari untuk mencakup semua peran (FSMO) dan (DNS / DHCP) catatan.

Seperti yang telah dikatakan, pastikan semua peran lama dihapus dari server lama dan dimigrasikan ke yang lain / atau yang baru. Anda tidak akan dapat menjalankan DCPROMO hingga tidak lagi menjadi server katalog global. Bash bash - apa hal terburuk yang bisa terjadi? anak kucing tidak akan terluka jika semuanya salah.