Migração do Active Directory do Windows 2003 para o Windows 2016

Navegue suas respostas
5

Eu herdei uma instalação antiga do Active Directory baseada no Windows 2003 e tenho a tarefa de atualizá-la para os padrões modernos. Eu fiz vários testes (bem-sucedidos) em meu laboratório usando o plano abaixo, mas realmente quero uma verificação de realidade / sugestões de melhores práticas de outros especialistas na área.

Status atual: um domínio Active Directory de modo misto, com rótulo único do Windows 2000, em execução em uma instalação do Windows 2003. O componente DNS está sendo executado com atualizações dinâmicas inseguras.

Status de destino: migre para um domínio do nível Windows 2012R2 em uma instalação do Windows 2016 (observação: o nível de destino do Windows 2012R2, em vez de 2016, deve-se ao fato de meu cliente ter outros servidores Windows 2012R2) . A migração deve ser feita da maneira menos perturbadora; de qualquer forma, como vou trabalhar nisso durante um fim de semana, interrupções de serviço curtas são aceitas.

Advertências: enquanto o domínio de rótulo único está obsoleto, preciso mantê-lo em execução no estado em que se encontra. Avaliei uma renomeação de domínio e / ou uma migração de domínio para um novo nome, mas eles simplesmente parecem pedir demais para meu cliente.

Meu plano:

  • instale um novo servidor do Windows 2016 e adicione-o, como um membro simples, ao domínio atual
  • aumentar o nível funcional atual de floresta / domínio para o Windows 2003
  • promova o novo servidor do Windows 2016 para a função Controlador de domínio (com catálogo global)
  • rebaixar o servidor antigo (via dcpromo )
  • no novo servidor do Windows 2016, use "Sites e serviços do Active Directory" para remover qualquer possível sobra da operação de rebaixamento
  • no novo Windows 2016, use "DNS Manager" para alterar o tipo de atualização dinâmica do DNS para "Somente seguro"
  • aumentar o nível funcional de floresta / domínio para o Windows 2012R2
  • altere o endereço IP original do servidor antigo (por exemplo: de 192.168.1.1 para 192.168.1.2)
  • altere o endereço IP do novo servidor para corresponder ao antigo controlador de domínio (por exemplo: de 192.168.1.10 a 192.168.1.1). Observação: Estou planejando fazer isso devido às configurações atuais do DHCP e às regras de firewall / VPN do gateway
  • migrar do FSR para o DFSR (consulte aqui e aqui )
  • instale outro servidor do Windows 2016 em uma filial, adicionando-o como um novo controlador de domínio (com o catálogo global).

Perguntas:

  • Estou sentindo falta de algo importante?
  • A minha ideia de trocar o endereço IP do servidor antigo / novo para minimizar o firewall / VPN / DHCP muda muito ou devo evitar isso?
  • Alguma coisa deveria estar ciente?

ATUALIZAÇÃO: depois de muita discussão e testes, convenci meu cliente a optar por um domínio renomear . Eu fiz isso através do utilitário rendom , conforme as recomendações da Microsoft, e tudo correu bem (ele não tinha nenhum servidor Exchange no local, felizmente).

    
por shodanshok 16.03.2018 / 18:32

3 respostas

4

while single-label domain are deprecated, I really need to keep it running as-is. I evaluated both a domain rename and/or a domain migration to a new name, but they simply seem too much to ask for my customer.

A coisa certa às vezes é a mais difícil. IMO, você está fazendo um desserviço ao seu cliente, continuando a usar e apoiar o SLD. Faça a coisa "certa" e faça um domínio renomear ou migrar para um novo domínio.

    
por 16.03.2018 / 18:46
2

on the new Windows 2016 server, use "Active Directory Sites and Services" to remove any eventual leftover from the demote operation

Uma nota lateral, uma sobra, eu sempre tenho que limpar quando eu migrar um 2003/2008 está dentro do console do DNS, o antigo DC é sempre listado no campo do NS.

Como lá para ser exato;

Uma segunda nota eu me certificaria de que eles não usem o WINS também. Por favor, verifique novamente lá para ter certeza se você precisa ativar ou não, era popular naqueles anos.

Para renomear o domínio eu não recomendo, é uma grande tarefa fazer isso pode deixar muitos erros para trás se um passo ruim for feito.

    
por 16.03.2018 / 20:13
1

Não percorra sites e serviços manualmente tentando limpar os metadados do controlador de domínio. Você pode cometer erros, e esse não é o único lugar onde tais dados existem. Use o comando nativo NTDSUTIL; tem uma operação confiável de limpeza de metadados.

Transfira as funções FSMO para o novo controlador de domínio antes de rebaixar o DC antigo. Eu acho que você receberá um aviso se você não tiver, mas eu nunca fui tentado a tentar isso.

As atualizações de DNS seguro exigem alguma configuração adicional se você tiver clientes que não sejam Windows. Isso inclui dispositivos diversos, como impressoras que suportam DHCP. Existem opções dependendo das suas necessidades:

  • Você pode configurar o servidor DHCP para registrar registros DNS em nome de tais clientes (e preencher o grupo DnsUpdateProxy se você tiver vários servidores DHCP) ou
  • Você pode configurar os sistemas para realizar atualizações seguras (por exemplo, o Linux precisará de um arquivo keytab, pois as atualizações seguras exigem autenticação Kerberos) ou
  • Você pode criar registros DNS estáticos e configurar reservas DHCP para esses dispositivos

Eu paro o serviço NETLOGON antes de alterar o IP do novo DC e reinicio imediatamente depois. Isso deve garantir uma atualização imediata dos registros DNS relevantes.

Concordo com o autor do anúncio anterior sobre como sair de um domínio de rótulo único, mas entendo que as práticas recomendadas nem sempre estão ao seu alcance. Pode haver um trabalho considerável associado a essa mudança em alguns ambientes.

    
por 16.03.2018 / 20:05

Tags

Problema ao criar dois registros MX com prioridade diferente usando o Google Domains pvcreate: device / dev / sdXX não encontrado (ou ignorado por filtragem)