Ada dua aliran pemikiran untuk proses penonaktifan Pengontrol Domain Direktori Aktif yang banyak digunakan sebagai server DNS.
Tambahkan alamat IP DC keluar ke DC baru dan pastikan bahwa DNS mendengarkan alamat itu.
Jatuhkan DC lama, tinggalkan peran DNS di atasnya, dan konfigurasikan forwarder DNS global ke server baru Anda.
Jelas, keduanya adalah celah sementara sampai semua server dan perangkat telah dikonfigurasi untuk menggunakan alamat IP primer dari server baru, tetapi kadang-kadang periode transisi itu bisa relatif lama tergantung pada ukuran lingkungan.
Apakah ada praktik terbaik yang jelas di sini?
Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.
benar?Jawaban:
Saya ragu-ragu untuk menjawab karena saya pikir ini lebih merupakan pertanyaan "diskusi" daripada pertanyaan Q&A ... tapi ini Sabtu pagi yang malas jadi saya tetap akan melakukannya.
Tidak. (Sial, mungkin ini jawaban yang mudah semua ...)
Microsoft menyediakan panduan Bingable yang sangat umum dan mudah
Googleabletentang cara mendemosiasikan pengontrol domain, dan melakukan migrasi AD dan DNS, tetapi saya tidak akan repot-repot menautkannya atau saya juga akan berpura-pura menjawab pertanyaan spesifik Anda, karena Microsoft jelas tidak bisa mendokumentasikan setiap kasus spesifik untuk lingkungan setiap organisasi yang berbeda.Jadi admin sistem / insinyur seperti kita dibiarkan mengisi kekosongan dengan keahlian dan pengalaman kita sendiri di mana Microsoft belum menulis skrip khusus hanya untuk kita, dan itulah yang membuat kita berharga.
Saya dapat memberi Anda contoh dari sesuatu yang telah kami lakukan untuk mengatasi masalah yang sama ini, karena saya juga bekerja di lingkungan yang mencakup seluruh dunia dengan lusinan atau lebih pengontrol domain, hutan AD yang terpisah, hidup bersama di jaringan yang sama, perangkat non-Windows juga mengkonsumsi Layanan DNS dari DC yang sama, dll. Pindah ke pusat data baru dan keluar dari yang lama, perlu bermigrasi ke perangkat keras baru atau versi OS baru, dan politik bisnis lama yang sederhana adalah semua kemungkinan alasan kita perlu menonaktifkan pengontrol domain yang berpotensi masih digunakan. Dan ketika Anda memiliki beberapa organisasi heterogen yang saat ini menggunakan server DC / DNS, biasanya proses yang sangat melelahkan untuk mengkonfigurasi ulang setiap klien (banyak yang mungkin tidak berada di bawah kendali Anda) sebelum menonaktifkan pengendali domain, yang melibatkan manajer proyek,
Sehingga ini mengapa saya mengatakan saya tidak berpikir ada yang bisa memberi Anda yang jawaban untuk pertanyaan ini. Ada seribu cara Anda bisa melakukannya dan beberapa akan lebih baik daripada yang lain tergantung pada struktur dan kebutuhan organisasi Anda.
Sesuatu yang telah kami lakukan untuk mengatasi masalah ini adalah membuat VIP untuk setiap pusat data, dan menyatukan semua pengontrol domain di pusat data di belakang VIP itu. (VIP ini hanya untuk layanan DNS untuk alasan yang jelas, saya tidak berbicara tentang load balancing Kerberos dan LDAP.) Dengan begitu, klien dapat dikonfigurasikan untuk menggunakan VIP itu untuk resolver DNS mereka, dan kami bebas untuk menambah dan menghapus pengontrol domain di belakang VIP itu kapan saja dan bagaimanapun kami mohon.
Tapi Anda tidak berada di depan masalah ... jadi berikan opsi yang Anda berikan:
Saya akan memilih opsi # 1, karena tujuan Anda adalah menonaktifkan server lama secepat mungkin, dan opsi # 2 tidak membantu Anda menyingkirkan server lama. Dengan opsi # 2 keberadaan server masih diperlukan. Saya juga tidak akan pergi dengan saran Mathias R. Jessen tentang zona rintisan, karena sekali lagi, Anda masih harus meninggalkan server lama di tempat dan dalam pelayanan, yang tidak kondusif untuk tujuan akhir Anda.
Dengan opsi # 1, betapapun jeleknya, Anda dapat pensiun dari server lama, mengklaim penghematan biaya untuk perusahaan Anda, menghindari keharusan membayar sewa bulan lain pada pusat data itu, dan diberi penghargaan karena menjadi karyawan yang begitu baik.
Sunting: Memikirkan obrolan kami sedikit lagi, saya pikir saya mungkin telah memproyeksikan persyaratan saya sendiri kepada Anda, karena saya memang memiliki persyaratan pull-the-plug-ASAP pada beberapa hal sekarang, sehingga itu segar di pikiran saya. Sepertinya Anda tidak memiliki banyak persyaratan segera untuk mematikan server ASAP.
Yang mengatakan, saya tidak mengubah saran saya, karena saya masih lebih suka. Mengolah IP ekstra ke pengontrol domain yang ada telah bekerja dengan baik bagi saya di masa lalu dalam skenario yang sangat mirip, dan saya lebih suka bahwa daripada memiliki embel-embel vestigial aneh dari server yang duduk di sana untuk jumlah waktu yang tidak ditentukan.
sumber
good subjective
dalam pos Subjektif Baik, Subjektif Buruk yang mendefinisikan aturan "pertanyaan diskusi". Setidaknya saya harap begitu.Jalan menuju neraka Direktori Aktif diaspal dengan perban sementara. Menetapkan alamat IP dari server DNS yang didekomisiasi atau yang akan didekomisi ke DC baru Anda dan server DNS adalah perban sementara.
Seperti @gravyface catat dalam komentar, dalam skenario ideal Anda akan mengubah semua cakupan DHCP dan konfigurasi statis untuk memperbarui preferensi DNS klien ke IP baru, bukan yang lama, sebelum Anda mendekomisikan DC lama sepenuhnya.
Saya memahami bahwa memastikan bahwa semua klien telah dikonfigurasi ulang belum tentu memungkinkan tepat waktu, tetapi saya tentu menganggap opsi nomor 2 (meneruskan seluruh ruang nama) sebagai opsi yang paling tidak menyenangkan di sini.
Selain membiarkan server meneruskan permintaan lama bahkan setelah demoting, saya akan merekomendasikan mengaktifkan Debug Logging untuk permintaan masuk pada DNS Server - ini membuatnya sedikit lebih mudah untuk menilai tidak hanya jika klien masih menunjuk ke server DNS lama tetapi juga mengidentifikasi kata klien.
Yang sedang berkata, saya pikir Anda telah melewatkan opsi ketiga yang jelas: Stub Zone !
sumber