Que precauções devo tomar antes de rebaixar os controladores de domínio?

Navegue suas respostas
1

Eu sei como rebaixar um controlador de domínio (feito isso antes), mas eu preciso fazer isso para dois CDs físicos antigos em um domínio muito mais 'importante' e estritamente controlado do que aquele para o qual eu fiz anteriormente. Minha pergunta é quais verificações adicionais devo executar para ter certeza de que nada irá quebrar depois que eu rebaixar os controladores de domínio.

O domínio em questão é praticamente virtualizado (incluindo os dois novos DCs). Um dos novos DCs já tem as funções FSMO há algum tempo, sem nenhum problema, e é o servidor de horário autoritativo do domínio. Quando eu executo o dcdiag, ele falha apenas um teste (NCSecDesc). A falha desse teste específico é aceitável porque nunca teremos RODCs nesse domínio. Todos os servidores membros têm suas configurações de DNS apontando para os novos DCs.

Como um experimento pré-rebaixamento - posso desativar esses DCs por um tempo para ver que o domínio continua a funcionar sem eles? Isso não causaria problemas de replicação ou outros problemas?

    
por MrVimes 20.02.2014 / 10:54

3 respostas

4

Parece que você já pensou em tudo.

Simplesmente desativá-los fará com que o AD fique irritado com você, no máximo, e poderá desacelerar algumas operações em casos extremos. Nada deve quebrar.

O único perigo (e não está claro nas informações disponíveis se é um perigo real) eu vejo aqui que sua plataforma de virtualização pode ter dependências em seu AD (→ DCs virtualizados). Isso vai te machucar hard depois que sua plataforma de virtualização for desativada por qualquer motivo; desde que há uma dependência circular.

Nesse caso, você deve separar os dois, deixar um ou mais DC físicos ou planejar muito bem para fazer manutenção ou como se recuperar de um desastre.

    
por 20.02.2014 / 11:06
4

Como a maioria das coisas, a melhor (e primeira) precaução que você deve tomar é garantir que você tenha backups adequados e que eles sejam testados para restauração .

Caso contrário, não consigo pensar em nenhuma precaução que você precise tomar antes de rebaixar seus controladores de domínio. Você executou (e passou) dcdiag, não está rebaixando um detentor de função FSMO, eles não são os últimos DCs no domínio, seus outros DCs funcionam e seus clientes estão apontando para os DCs que você não estará rebaixando.

Supondo que você esteja rebaixando os DCs de 2003, a única outra coisa que eu faria seria manter o instruções para rebaixar com força um controlador de domínio à mão , já que eles às vezes não são rebaixados normalmente razão aparente . E, apenas por precaução extra, talvez as instruções para excluir um DC com falha do AD no caso de as coisas correrem mal.

Tendo dito tudo isso sobre ser cuidadoso, pelo menos 99 vezes em 100, rebaixar um controlador de domínio é fácil, por isso não deve ser considerado especialmente perigoso ou arriscado.

    
por 20.02.2014 / 11:49
0

Bit de um tópico antigo, mas eu gostaria de postar minha experiência, já que estou fazendo rebaixamentos no momento.

  • Faça um backup do AD (estado do sistema) de pelo menos dois CDs ativos

  • Execute DCDiag e DCDiag /test:DNS e repadmin /replsummary em todos os seus CDs ativos para garantir que tudo esteja íntegro.

  • Tire-os da rede por alguns dias para ver se alguma coisa quebra (tivemos um sistema de autenticação usando LDAP em um DC que esquecemos). Você verá a replicação do AD e os erros não disponíveis do RPC durante a relação com eles, mas isso está ok.

  • Por fim, faça um de cada vez com algumas horas entre para garantir que a replicação seja bem-sucedida.

  • Não se preocupe com outros serviços que poderiam estar em uso no DC (DNS, DHCP, WINS, LDAP etc.)

por 13.12.2016 / 17:05

Tags

scp usando uma senha na linha de comando Por que o nrpe 'check_procs' não está encontrando meu processo do Passenger?