Cách thực hành tốt nhất để ngừng hoạt động Bộ kiểm soát miền cũng là máy chủ DNS?

9

Có hai trường phái cho quá trình ngừng hoạt động của Bộ điều khiển miền Active Directory được sử dụng nhiều làm máy chủ DNS.

  1. Thêm địa chỉ IP của DC đi vào một DC mới và đảm bảo rằng DNS đang lắng nghe trên địa chỉ đó.

  2. Hạ cấp DC cũ, để lại vai trò DNS trên đó và định cấu hình bộ chuyển tiếp DNS toàn cầu cho máy chủ mới của bạn.

Rõ ràng, cả hai đều là điểm dừng cho đến khi tất cả các máy chủ và thiết bị được cấu hình để sử dụng địa chỉ IP chính của máy chủ mới, nhưng đôi khi thời gian chuyển đổi có thể tương đối dài tùy thuộc vào kích thước của môi trường.

Có một cắt giảm rõ ràng thực hành tốt nhất ở đây?

windows  domain-name-system  active-directory 
MDMarra
nguồn
2
Hoặc một phần ba, thay đổi bất kỳ / tất cả các tham chiếu đến máy chủ DNS cũ trên mạng?
gravyface
1
Tất nhiên đó là mục tiêu cuối cùng, đó là lý do tại sao tôi gọi nó là điểm dừng chân. Nhưng trong một số môi trường rất lớn, đó không phải là một lựa chọn nếu bạn muốn nó được thực hiện kịp thời. Tôi đã nói: Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.phải không?
MDMarra
ngữ nghĩa ... bạn đúng, nhưng tôi chỉ muốn thay đổi một cách có hệ thống cấu hình DNS của thiết bị, theo dõi hoạt động, bắt đầu với phạm vi DHCP, sau đó làm việc thông qua các máy chủ theo thứ tự quan trọng nhất (máy chủ thành viên sang các DC khác ) hơn là mạo danh máy chủ cũ và / hoặc để nó tồn tại lâu hơn mức cần thiết.
gravyface
Tất nhiên đó là lựa chọn tốt nhất, nhưng khi tôi nói môi trường "rất lớn", tôi đang nói về cơ sở hạ tầng phân tán toàn cầu với hơn 300 DC và nhiều nhóm CNTT khác nhau quản lý các thành phần khác nhau của cơ sở hạ tầng. Đôi khi, thực sự không thể đảm bảo rằng bạn có mọi thiết bị trong cú swing đầu tiên trong quá trình nâng cấp.
MDMarra
1
@gravyface Bạn không sai, nhưng trong môi trường rộng lớn và phân tán về mặt địa lý với sự quản lý phi tập trung của các thành phần khác nhau, không phải lúc nào cũng có thể đồng ý về kế hoạch trò chơi, đưa mọi người thẳng hàng và hướng tới một mục tiêu chung. Đôi khi bạn chỉ cần đưa ra quyết định để tiến về phía trước và tìm giải pháp hoặc cách giải quyết để đảm bảo nó có ít tác động đến người khác nhất có thể
Mathias R. Jessen

Câu trả lời:

5

Tôi ngần ngại trả lời vì tôi nghĩ rằng đây là một câu hỏi "thảo luận" hơn là một câu hỏi và trả lời nghiêm túc ... nhưng đó là một buổi sáng thứ bảy lười biếng nên dù sao tôi cũng sẽ làm.

Có một cắt giảm rõ ràng thực hành tốt nhất ở đây?

Không. (Chết tiệt, có lẽ đây là một câu trả lời dễ dàng ...)

Microsoft cung cấp hướng dẫn Bingable rất dễ hiểu , dễ hiểu về cách hạ cấp bộ điều khiển miền và thực hiện di chuyển AD và DNS, nhưng tôi sẽ không bận tâm đến việc liên kết với họ cũng như tôi sẽ không giả vờ rằng họ giải quyết câu hỏi cụ thể của bạn, vì rõ ràng Microsoft không thể ghi lại từng trường hợp cụ thể cho mọi môi trường của tổ chức khác nhau.

Vì vậy, các quản trị viên / kỹ sư như chúng tôi còn lại để lấp đầy khoảng trống với chuyên môn và kinh nghiệm của chính chúng tôi, nơi Microsoft đã không viết một kịch bản đặc biệt chỉ dành cho chúng tôi và đó là điều khiến chúng tôi có giá trị.

Tôi có thể cho bạn một ví dụ về điều gì đó mà chúng tôi đã thực hiện để giải quyết vấn đề tương tự, vì tôi cũng làm việc trong môi trường toàn cầu với hàng tá bộ điều khiển miền trở lên, các rừng AD khác nhau sống chung trên cùng một mạng, các thiết bị không phải Windows cũng tiêu thụ Các dịch vụ DNS từ cùng một DC, v.v. Chuyển sang các trung tâm dữ liệu mới và chuyển ra khỏi các trung tâm dữ liệu cũ, cần chuyển sang phần cứng mới hoặc các phiên bản HĐH mới, và chính trị kinh doanh cũ đơn giản là những lý do có thể chúng ta cần ngừng hoạt động của bộ điều khiển miền có khả năng vẫn đang được sử dụng. Và khi bạn có nhiều tổ chức không đồng nhất hiện đang sử dụng các máy chủ DC / DNS đó, thì đó thường là một quá trình mệt mỏi, rút ​​ra để cấu hình lại mọi máy khách (nhiều trong số đó có thể không nằm trong tầm kiểm soát của bạn) trước khi ngừng hoạt động bộ điều khiển miền, liên quan đến người quản lý dự án,

Vì vậy, đó là lý do tôi nói rằng tôi không nghĩ rằng bất cứ ai có thể cung cấp cho bạn những câu trả lời cho câu hỏi này. Có một ngàn cách bạn có thể đi về nó và một số cách sẽ tốt hơn những cách khác tùy thuộc vào cấu trúc và nhu cầu của tổ chức của bạn.

Một cái gì đó chúng tôi đã làm để giải quyết vấn đề này là tạo VIP cho mỗi trung tâm dữ liệu và gộp tất cả các bộ điều khiển miền trong trung tâm dữ liệu đó đằng sau VIP đó. (VIP này là dành cho dịch vụ DNS chỉ vì những lý do rõ ràng, tôi không nói về cân bằng Kerberos và LDAP tải.) Bằng cách đó, khách hàng có thể được cấu hình để sử dụng VIP mà cho resolver DNS của họ, và chúng tôi có thể tự do thêm và lấy đi kiểm soát tên miền đằng sau VIP đó bất cứ khi nào và tuy nhiên chúng tôi xin vui lòng.

Nhưng bạn không đứng trước vấn đề ... vì vậy hãy đưa ra các tùy chọn bạn cung cấp:

  1. Thêm địa chỉ IP của DC đi vào một DC mới và đảm bảo rằng DNS đang lắng nghe trên địa chỉ đó.

  2. Hạ cấp DC cũ, để lại vai trò DNS trên đó và định cấu hình bộ chuyển tiếp DNS toàn cầu cho máy chủ mới của bạn.

Tôi sẽ chọn tùy chọn # 1, vì mục tiêu của bạn là ngừng hoạt động máy chủ cũ càng nhanh càng tốt và tùy chọn # 2 không giúp bạn thoát khỏi máy chủ cũ. Với tùy chọn # 2, sự tồn tại của máy chủ vẫn là cần thiết. Tôi cũng sẽ không đi với đề xuất về các khu vực sơ khai của Mathias R. Jessen, bởi vì một lần nữa, bạn vẫn phải rời khỏi máy chủ cũ tại chỗ và trong dịch vụ, điều này không có lợi cho mục tiêu cuối cùng của bạn.

Với tùy chọn số 1, xấu như có thể, bạn có thể nghỉ hưu máy chủ cũ, yêu cầu tiết kiệm chi phí cho công ty của bạn, tránh phải trả tiền thuê nhà một tháng cho trung tâm dữ liệu đó và được trao giải thưởng vì là một nhân viên tốt như vậy.

Chỉnh sửa: Suy nghĩ về cuộc trò chuyện của chúng tôi nhiều hơn một chút, tôi nghĩ rằng tôi có thể đã đưa ra các yêu cầu của riêng mình cho bạn, bởi vì tôi có các yêu cầu kéo-ASAP trên một số thứ ngay bây giờ, vì vậy điều đó rất mới mẻ trong tâm trí tôi. Có vẻ như bạn không có nhiều yêu cầu ngay lập tức để tắt máy chủ ASAP.

Điều đó nói rằng, tôi không thay đổi đề xuất của mình, vì tôi vẫn sẽ thích nó. Việc xử lý IP bổ sung vào bộ điều khiển miền hiện tại đã hoạt động tốt với tôi trong các tình huống rất giống nhau và tôi muốn thay vào đó là một phụ lục kỳ lạ của một máy chủ ngồi đó trong một khoảng thời gian không xác định.

Ryan Ries
nguồn
1
Tôi nghĩ rằng điều này nằm good subjectivetrong bài viết Chủ quan tốt, Chủ quan xấu đã xác định quy tắc "câu hỏi thảo luận". Ít nhất tôi hy vọng như vậy.
MDMarra
@MDMarra Tôi đồng ý. +1 cho một câu hỏi kích thích tư duy và thú vị. :)
Ryan Ries
Ngoài ra, chỉ để ghi lại, tôi thường làm ngược lại với đề xuất của bạn: D
MDMarra
5

Đường đến địa ngục Active Directory được lát bằng băng tạm thời. Việc chỉ định địa chỉ IP của máy chủ DNS đã phân tách hoặc sắp phân tách cho máy chủ DC và DNS mới của bạn là một băng tạm thời.

Như @gravyface đã lưu ý trong các nhận xét, trong kịch bản lý tưởng, bạn sẽ thay đổi tất cả các phạm vi DHCP và cấu hình tĩnh để cập nhật tùy chọn DNS của máy khách thành IP mới thay vì IP cũ, trước khi bạn giải mã hoàn toàn DC cũ.

Tôi hiểu rằng việc bảo đảm rằng tất cả các máy khách đã được cấu hình lại không nhất thiết có thể đúng giờ, nhưng tôi chắc chắn coi tùy chọn số 2 (chuyển tiếp toàn bộ không gian tên) là tùy chọn ít phản đối nhất ở đây.

Ngoài việc để máy chủ cũ chuyển tiếp yêu cầu ngay cả sau khi hạ cấp nó, tôi khuyên bạn nên bật Ghi nhật ký gỡ lỗi cho các yêu cầu đến trên Máy chủ DNS - điều này giúp đánh giá không chỉ một chút nếu khách hàng vẫn trỏ đến máy chủ DNS cũ mà còn xác định khách hàng nói.

Điều đó đang được nói, tôi nghĩ rằng bạn đã bỏ lỡ tùy chọn thứ ba rõ ràng: Stub Zones !

  • Hạ cấp DC, giữ vai trò DNS và thêm tất cả các vùng mà trước đây nó được giữ làm vùng còn sơ khai - chuyển tiếp mọi thứ khác. Bằng cách này, việc bạn ép buộc khách hàng thực sự liên hệ với Bộ kiểm soát miền mà họ nên sử dụng, thay vì thực hiện công việc cho họ
Mathias R. Jessen
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.