Praktik terbaik untuk menonaktifkan Pengontrol Domain yang juga merupakan server DNS?

9

Ada dua aliran pemikiran untuk proses penonaktifan Pengontrol Domain Direktori Aktif yang banyak digunakan sebagai server DNS.

  1. Tambahkan alamat IP DC keluar ke DC baru dan pastikan bahwa DNS mendengarkan alamat itu.

  2. Jatuhkan DC lama, tinggalkan peran DNS di atasnya, dan konfigurasikan forwarder DNS global ke server baru Anda.

Jelas, keduanya adalah celah sementara sampai semua server dan perangkat telah dikonfigurasi untuk menggunakan alamat IP primer dari server baru, tetapi kadang-kadang periode transisi itu bisa relatif lama tergantung pada ukuran lingkungan.

Apakah ada praktik terbaik yang jelas di sini?

MDMarra
sumber
2
Atau yang ketiga, ubah semua / semua referensi ke server DNS lama di seluruh jaringan?
gravyface
1
Tentu saja itu tujuan akhir, itulah sebabnya saya menyebutnya sebagai pengganti sementara. Tetapi di beberapa lingkungan yang sangat besar itu bukan pilihan jika Anda ingin melakukannya tepat waktu. Saya memang mengatakan: Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.benar?
MDMarra
semantik ... Anda benar, tetapi saya lebih suka hanya secara sistematis mengubah konfigurasi DNS perangkat, memantau aktivitas, mulai dengan cakupan DHCP, kemudian bekerja melalui server dengan urutan yang paling tidak penting hingga penting (server anggota ke DC lain ) daripada meniru server lama dan / atau membiarkannya bertahan lebih lama dari yang diperlukan.
gravyface
Tentu saja itu pilihan terbaik, tetapi ketika saya mengatakan lingkungan "sangat besar", saya berbicara tentang infrastruktur yang didistribusikan secara global dengan 300+ DC dan banyak tim TI berbeda yang mengelola berbagai komponen infrastruktur. Terkadang, itu benar-benar tidak mungkin untuk memastikan bahwa Anda mendapatkan setiap perangkat di ayunan pertama selama upgrade.
MDMarra
1
@gravyface Anda tidak salah, tetapi di lingkungan yang besar dan tersebar secara geografis di mana manajemen komponen-komponen yang berbeda terdesentralisasi, tidak selalu layak untuk menyetujui rencana permainan, membuat setiap orang sejalan dan bekerja menuju tujuan bersama. Kadang-kadang Anda hanya perlu mengambil keputusan untuk bergerak maju dan menemukan solusi atau solusi untuk memastikan itu memiliki implikasi sesedikit mungkin bagi orang lain
Mathias R. Jessen

Jawaban:

5

Saya ragu-ragu untuk menjawab karena saya pikir ini lebih merupakan pertanyaan "diskusi" daripada pertanyaan Q&A ... tapi ini Sabtu pagi yang malas jadi saya tetap akan melakukannya.

Apakah ada praktik terbaik yang jelas di sini?

Tidak. (Sial, mungkin ini jawaban yang mudah semua ...)

Microsoft menyediakan panduan Bingable yang sangat umum dan mudah Googleable tentang cara mendemosiasikan pengontrol domain, dan melakukan migrasi AD dan DNS, tetapi saya tidak akan repot-repot menautkannya atau saya juga akan berpura-pura menjawab pertanyaan spesifik Anda, karena Microsoft jelas tidak bisa mendokumentasikan setiap kasus spesifik untuk lingkungan setiap organisasi yang berbeda.

Jadi admin sistem / insinyur seperti kita dibiarkan mengisi kekosongan dengan keahlian dan pengalaman kita sendiri di mana Microsoft belum menulis skrip khusus hanya untuk kita, dan itulah yang membuat kita berharga.

Saya dapat memberi Anda contoh dari sesuatu yang telah kami lakukan untuk mengatasi masalah yang sama ini, karena saya juga bekerja di lingkungan yang mencakup seluruh dunia dengan lusinan atau lebih pengontrol domain, hutan AD yang terpisah, hidup bersama di jaringan yang sama, perangkat non-Windows juga mengkonsumsi Layanan DNS dari DC yang sama, dll. Pindah ke pusat data baru dan keluar dari yang lama, perlu bermigrasi ke perangkat keras baru atau versi OS baru, dan politik bisnis lama yang sederhana adalah semua kemungkinan alasan kita perlu menonaktifkan pengontrol domain yang berpotensi masih digunakan. Dan ketika Anda memiliki beberapa organisasi heterogen yang saat ini menggunakan server DC / DNS, biasanya proses yang sangat melelahkan untuk mengkonfigurasi ulang setiap klien (banyak yang mungkin tidak berada di bawah kendali Anda) sebelum menonaktifkan pengendali domain, yang melibatkan manajer proyek,

Sehingga ini mengapa saya mengatakan saya tidak berpikir ada yang bisa memberi Anda yang jawaban untuk pertanyaan ini. Ada seribu cara Anda bisa melakukannya dan beberapa akan lebih baik daripada yang lain tergantung pada struktur dan kebutuhan organisasi Anda.

Sesuatu yang telah kami lakukan untuk mengatasi masalah ini adalah membuat VIP untuk setiap pusat data, dan menyatukan semua pengontrol domain di pusat data di belakang VIP itu. (VIP ini hanya untuk layanan DNS untuk alasan yang jelas, saya tidak berbicara tentang load balancing Kerberos dan LDAP.) Dengan begitu, klien dapat dikonfigurasikan untuk menggunakan VIP itu untuk resolver DNS mereka, dan kami bebas untuk menambah dan menghapus pengontrol domain di belakang VIP itu kapan saja dan bagaimanapun kami mohon.

Tapi Anda tidak berada di depan masalah ... jadi berikan opsi yang Anda berikan:

  1. Tambahkan alamat IP DC keluar ke DC baru dan pastikan bahwa DNS mendengarkan alamat itu.

  2. Jatuhkan DC lama, tinggalkan peran DNS di atasnya, dan konfigurasikan forwarder DNS global ke server baru Anda.

Saya akan memilih opsi # 1, karena tujuan Anda adalah menonaktifkan server lama secepat mungkin, dan opsi # 2 tidak membantu Anda menyingkirkan server lama. Dengan opsi # 2 keberadaan server masih diperlukan. Saya juga tidak akan pergi dengan saran Mathias R. Jessen tentang zona rintisan, karena sekali lagi, Anda masih harus meninggalkan server lama di tempat dan dalam pelayanan, yang tidak kondusif untuk tujuan akhir Anda.

Dengan opsi # 1, betapapun jeleknya, Anda dapat pensiun dari server lama, mengklaim penghematan biaya untuk perusahaan Anda, menghindari keharusan membayar sewa bulan lain pada pusat data itu, dan diberi penghargaan karena menjadi karyawan yang begitu baik.

Sunting: Memikirkan obrolan kami sedikit lagi, saya pikir saya mungkin telah memproyeksikan persyaratan saya sendiri kepada Anda, karena saya memang memiliki persyaratan pull-the-plug-ASAP pada beberapa hal sekarang, sehingga itu segar di pikiran saya. Sepertinya Anda tidak memiliki banyak persyaratan segera untuk mematikan server ASAP.

Yang mengatakan, saya tidak mengubah saran saya, karena saya masih lebih suka. Mengolah IP ekstra ke pengontrol domain yang ada telah bekerja dengan baik bagi saya di masa lalu dalam skenario yang sangat mirip, dan saya lebih suka bahwa daripada memiliki embel-embel vestigial aneh dari server yang duduk di sana untuk jumlah waktu yang tidak ditentukan.

Ryan Ries
sumber
1
Saya pikir ini termasuk good subjectivedalam pos Subjektif Baik, Subjektif Buruk yang mendefinisikan aturan "pertanyaan diskusi". Setidaknya saya harap begitu.
MDMarra
@MDMarra saya setuju. +1 untuk pertanyaan yang menggugah pikiran dan menarik. :)
Ryan Ries
Juga, hanya sebagai catatan, saya biasanya melakukan kebalikan dari saran Anda: D
MDMarra
5

Jalan menuju neraka Direktori Aktif diaspal dengan perban sementara. Menetapkan alamat IP dari server DNS yang didekomisiasi atau yang akan didekomisi ke DC baru Anda dan server DNS adalah perban sementara.

Seperti @gravyface catat dalam komentar, dalam skenario ideal Anda akan mengubah semua cakupan DHCP dan konfigurasi statis untuk memperbarui preferensi DNS klien ke IP baru, bukan yang lama, sebelum Anda mendekomisikan DC lama sepenuhnya.

Saya memahami bahwa memastikan bahwa semua klien telah dikonfigurasi ulang belum tentu memungkinkan tepat waktu, tetapi saya tentu menganggap opsi nomor 2 (meneruskan seluruh ruang nama) sebagai opsi yang paling tidak menyenangkan di sini.

Selain membiarkan server meneruskan permintaan lama bahkan setelah demoting, saya akan merekomendasikan mengaktifkan Debug Logging untuk permintaan masuk pada DNS Server - ini membuatnya sedikit lebih mudah untuk menilai tidak hanya jika klien masih menunjuk ke server DNS lama tetapi juga mengidentifikasi kata klien.

Yang sedang berkata, saya pikir Anda telah melewatkan opsi ketiga yang jelas: Stub Zone !

  • Demote DC, pertahankan peran DNS dan tambahkan semua zona yang sebelumnya dimiliki sebagai zona rintisan - teruskan yang lainnya. Dengan cara ini, Anda memaksa klien untuk benar-benar menghubungi Pengontrol Domain yang seharusnya mereka gunakan, alih-alih melakukan pekerjaan untuk mereka
Mathias R. Jessen
sumber