Thay thế Bộ điều khiển miền W2K3 - tôi cần biết gì?

Tôi có một mạng lưới khoảng 70 máy, hiện có hai DC chạy Windows Server 2003 (DC0 & DC1). DC0 là một Poweredge 1850 năm tuổi và gần đây đã trở nên hoàn hảo hơn, và trong hai tuần qua đã giảm hơn hai lần.

Tôi muốn thay thế máy này, nhưng tôi thận trọng vì có phạm vi rất lớn cho loại điều này bị sai. Cách tôi tưởng tượng làm việc này là xây dựng một máy mới sau đó thực hiện DCPROMO và chạy ba bộ điều khiển miền trong một tháng hoặc lâu hơn cho đến khi tôi hài lòng rằng mọi thứ đều hoạt động như bình thường trước khi rút máy cũ.

Các lĩnh vực quan tâm đặc biệt là sao chép vai trò từ các bộ điều khiển hiện tại (ví dụ cài đặt GP) và các phân nhánh tắt máy mà cho đến nay, là 'chính'.

Nếu có những lý do thuyết phục để sử dụng Server 2008, tôi sẵn sàng làm như vậy, tuy nhiên tôi không biết liệu điều này có gây ra sự cố với các máy 2003 hiện tại của mình không.

Bất kỳ lời khuyên về thực hành tốt nhất hoặc kinh nghiệm trước đó sẽ được hoan nghênh nhất.

Microsoft có rất nhiều bài viết liên quan đến vai trò và dịch vụ chuyển từ máy chủ này sang máy chủ khác. Với DC, bạn cần đặc biệt cẩn thận để mọi thứ diễn ra một cách duyên dáng và bạn được hướng dẫn tốt để đăng câu hỏi tại đây, vì đó không phải là tắt hoặc xóa máy chủ khỏi AD Users and Users và máy tính.

Nếu bạn định xây dựng một máy chủ mới - tại thời điểm này tôi cần một lý do thuyết phục để không dựa trên 2K8 R2. Hãy chắc chắn rằng các ứng dụng hỗ trợ của bạn cũng hỗ trợ 2K8 R2 - AntiVirus, Sao lưu, v.v ... Nếu chi phí của HĐH và Cals không phải là vấn đề, tôi đoán tôi sẽ không thấy lý do để đứng lên một hệ thống dài hạn dựa trên 7 HĐH cũ? Tôi nghĩ rằng các reqs để 2K8 R2 tồn tại trong miền 2K3 là nó phải ở chế độ 2K3 Native và 2K3 DC có thể cần phải là SP2 trở lên.

Trước tiên hãy xây dựng máy chủ mới của bạn, thêm nó vào miền và dcpromo nó - không có lý do gì để chờ đợi điều này. Đảm bảo rằng máy chủ mới hoặc máy chủ cũ còn lại được đặt thành Máy chủ danh mục toàn cầu: http://support.microsoft.com/kb/313994

Lĩnh vực quan tâm chính của bạn cần là về việc đảm bảo các vai trò FSMO được bàn giao đúng cho một DC khác. Bài viết này sẽ cho bạn biết chính xác những gì và cách thức của mỗi bước bạn sẽ cần phải thực hiện: http://support.microsoft.com/kb/324801 .

Việc sao chép GPO được xử lý tự động bởi FRS trên cây Sysvol - vì vậy bạn không nên có bất kỳ lo lắng nào ở đó.

Bạn cũng có thể cần phải xử lý các dịch vụ DHCP và DNS. Đây là một bài viết hay về việc di chuyển cơ sở dữ liệu DHCP của bạn nếu cần là: http://support.microsoft.com/kb/962355 . Hãy chắc chắn vô hiệu hóa dịch vụ DHCP sau khi bạn di chuyển cơ sở dữ liệu dhcp sang một máy chủ mới và kích hoạt nó lên đó. Điều quan trọng là di chuyển cơ sở dữ liệu dhcp thay vì chỉ dừng dịch vụ trên máy chủ cũ và khởi động nó trên một máy chủ khác - bạn sẽ có các hệ thống máy khách ở khắp mọi nơi với các địa chỉ IP trùng lặp.

Tôi luôn thích tắt các vai trò FSMO và DHCP và đợi vài ngày trước khi gỡ bỏ hệ thống dưới dạng DC.

Khi bạn đã di chuyển các vai trò FSMO và DHCP (và bất kỳ phần mềm nào khác), hãy chạy dcpromo từ dòng lệnh để xóa nó dưới dạng DC. Sau đó sử dụng Thêm / Xóa Chương trình -> Thành phần Windows để gỡ cài đặt dịch vụ DNS. Cuối cùng - xóa hệ thống khỏi miền và tắt nguồn.

Chúc may mắn!

Sao chép hoàn toàn tự động giữa các bộ điều khiển miền trong cùng một miền, vì vậy bạn không cần phải lo lắng về điều đó, trừ khi có sự cố xảy ra; tất cả nội dung quảng cáo (người dùng, máy tính, OU, GPO, v.v.) sẽ được sao chép sang bất kỳ DC mới nào bạn thêm vào miền và mỗi DC sẽ luôn lưu trữ một bản sao đầy đủ của cơ sở dữ liệu miền.

Tất nhiên, có hai điều bạn nên quan tâm (ngoài bất kỳ ứng dụng nào khác có thể đang chạy trên máy chủ): vai trò của FSMO và DNS.

Nếu DC của bạn là máy chủ DNS, bạn nên cẩn thận kích hoạt dịch vụ đó trên các DC khác và để tất cả các máy tính thành viên miền (máy khách và máy chủ) của bạn trỏ đến chúng thay vì máy tính bạn đang nghỉ hưu; trong thiết lập AD tiêu chuẩn, cài đặt dịch vụ DNS trên DC là đủ: bạn không cần xác định và điền vào các vùng DNS, vì vùng miền chính sẽ được tích hợp AD và do đó được sao chép sang tất cả các máy chủ DNS cũng là DC.

Các vai trò FSMO là các vai trò đặc biệt chỉ có thể được giữ bởi một DC duy nhất tại một thời điểm và chúng thường được sở hữu bởi DC đầu tiên được tạo trong miền; chúng sẽ tự động được chuyển sang vị trí khác nếu bạn hạ cấp DC sở hữu chúng, nhưng bạn sẽ không kiểm soát vị trí của chúng, vì vậy tốt hơn hết là di chuyển chúng theo cách thủ công; bạn có thể làm điều đó bằng cách sử dụng các công cụ quảng cáo khác nhau (Người dùng & Máy tính, Trang web & Dịch vụ, Miền & Tin cậy, Lược đồ) hoặc bằng cách sử dụng NTDSUTIL.

Ngoài ra, hãy cẩn thận để thực sự hạ cấp DC cũ (sử dụng dcpromo) trước khi rút nó; điều này sẽ đảm bảo tất cả các thông tin liên quan đến vai trò trước đó của nó khi một DC được xóa đúng cách khỏi Active Directory.

Nếu bạn không có kế hoạch chuyển sang năm 2008, tôi sẽ không nâng cấp. Có những cảnh báo phụ thuộc vào những ứng dụng khác mà bạn có. Nếu bạn có kế hoạch nâng cấp lên 2008 thì điều đầu tiên bạn cần làm là cập nhật lược đồ. Bạn cũng cần đảm bảo rằng các ứng dụng của bạn tương thích với các bộ điều khiển miền 2008 (đặc biệt bạn cần đảm bảo rằng nếu bạn có RODC trong môi trường hoặc có kế hoạch để các ứng dụng biết cách truy cập vào một GC hoặc DC có thể ghi được thì cần phải có) . Như một ví dụ, chỉ từ feburary cuối cùng, trao đổi 2008 r2 mới được hỗ trợ trao đổi.

Kiểm tra liên kết này để chuẩn bị miền và liên kết này để chuẩn bị rừng

Tôi đồng ý với những gì Jeff nói. Để thêm, bản ghi DNS sao chép giữa các máy chủ DNS, chỉ là cơ sở dữ liệu DHCP mà bạn có thể sao lưu và khôi phục giữa các máy chủ DHCP khác nhau. Chỉ cần điều chỉnh thời gian thuê, bạn có thể thực hiện thay đổi này một cách suôn sẻ. Chỉ cần không buộc tất cả các ốc vít cho đến khi bạn chắc chắn rằng mọi thứ đã được thiết lập. Cách tôi đã thực hiện, phải mất tối đa 2-3 ngày để bao gồm tất cả các vai trò (FSMO) và bản ghi (DNS / DHCP).

Như đã nói, đảm bảo tất cả các vai trò cũ được xóa khỏi máy chủ cũ và được di chuyển sang vị trí khác / hoặc mới. bạn sẽ không thể chạy DCPROMO cho đến khi nó không còn là máy chủ cửa hàng toàn cầu. Cung cấp cho nó một bash - điều tồi tệ nhất có thể xảy ra? mèo con sẽ không bị tổn thương nếu tất cả đi sai.