Ersetzen eines W2K3-Domänencontrollers - Was muss ich wissen?

Ich habe ein Netzwerk von ungefähr 70 Computern, derzeit mit zwei Domänencontrollern, auf denen Windows Server 2003 (DC0 und DC1) ausgeführt wird. DC0 ist ein fünf Jahre alter Poweredge 1850 und wurde in letzter Zeit immer flockiger und ist in den letzten vierzehn Tagen zweimal umgefallen.

Ich möchte diese Maschine ersetzen, bin aber vorsichtig, da es einen großen Spielraum gibt, dass so etwas schief geht. Ich stelle mir vor, wie ich einen neuen Computer baue, dann ein DCPROMO mache und ungefähr einen Monat lang drei Domänencontroller ausführe, bis ich froh bin, dass alles so funktioniert, wie es sein sollte, bevor ich den alten Computer aus dem Verkehr ziehe.

Besondere Problembereiche sind die Replikation von Rollen von den aktuellen Controllern (z. B. GP-Einstellungen) und die Auswirkungen des Abschaltens der Maschine, die bisher die "primäre" war.

Wenn es zwingende Gründe für die Verwendung von Server 2008 gibt, bin ich dazu bereit, weiß jedoch nicht, ob dies Probleme mit meinen vorhandenen 2003-Computern verursachen würde.

Jeder Rat zu Best Practice oder früheren Erfahrungen wäre sehr willkommen.

Microsoft hat eine Fülle von Artikeln zum Verschieben von Rollen und Diensten von einem Server auf einen anderen. Bei DCs müssen Sie besonders vorsichtig sein, damit die Dinge ordnungsgemäß ablaufen, und Sie werden gut geführt, um die Frage hier zu stellen, da dies kein einfaches Ausschalten oder Löschen des Servers von AD-Benutzern und Benutzern und Computern ist.

Wenn Sie einen neuen Server bauen möchten, brauche ich an dieser Stelle einen zwingenden Grund, ihn nicht auf 2K8 R2 zu basieren. Stellen Sie sicher, dass Ihre unterstützenden Anwendungen auch 2K8 R2 unterstützen - AntiVirus, Backup usw. Wenn die Kosten für Betriebssystem und Cals keine Rolle spielen, würde ich wahrscheinlich nicht die Gründe sehen, ein langfristiges System auf der Basis einer 7 aufzubauen Jahre altes Betriebssystem? Ich denke, die Voraussetzungen dafür, dass 2K8 R2 in einer 2K3-Domäne vorhanden ist, müssen sich im nativen 2K3-Modus befinden und die 2K3-DCs müssen möglicherweise SP2 oder höher sein.

Bauen Sie zuerst Ihren neuen Server auf, fügen Sie ihn der Domain hinzu und promoten Sie ihn - kein Grund, darauf zu warten. Stellen Sie sicher, dass entweder der neue Server oder der verbleibende alte Server als globale Katalogserver festgelegt sind: http://support.microsoft.com/kb/313994

Ihr Hauptanliegen muss es sein, sicherzustellen, dass die FSMO-Rollen ordnungsgemäß an einen anderen DC übergeben werden. In diesem Artikel erfahren Sie genau, was und wie Sie jeden Schritt ausführen müssen: http://support.microsoft.com/kb/324801 .

Die Replikation von Gruppenrichtlinienobjekten wird automatisch vom FRS im Sysvol-Baum ausgeführt. Sie sollten sich dort also keine Sorgen machen.

Sie müssen wahrscheinlich auch DHCP- und DNS-Dienste verwalten. Hier ist ein guter Artikel zum Verschieben Ihrer DHCP-Datenbank, falls erforderlich: http://support.microsoft.com/kb/962355 . Stellen Sie sicher, dass Sie den DHCP-Dienst deaktivieren, nachdem Sie die DHCP-Datenbank auf einen neuen Server verschoben und dort gestartet haben. Es ist wichtig, die DHCP-Datenbank zu verschieben, anstatt nur den Dienst auf dem alten Server zu stoppen und auf einem anderen zu starten. Sie haben überall Client-Systeme mit doppelten IP-Adressen.

Ich ziehe es immer vor, die FSMO- und DHCP-Rollen zu verschieben und einige Tage zu warten, bevor ich das System als DC entferne.

Wenn Sie Ihre FSMO-Rollen und DHCP verschoben haben (und jede andere Software), führen Sie dcpromo über die Befehlszeile aus, um es als DC zu entfernen. Verwenden Sie dann Programme hinzufügen / entfernen -> Windows-Komponenten, um den DNS-Dienst zu deinstallieren. Zuletzt - entfernen Sie das System aus der Domäne und schalten Sie es aus.

Viel Glück!

Die Replikation zwischen Domänencontrollern in derselben Domäne erfolgt vollautomatisch. Sie sollten sich also keine Gedanken darüber machen müssen, es sei denn, etwas geht schief. Alle AD-Inhalte (Benutzer, Computer, Organisationseinheiten, Gruppenrichtlinienobjekte usw.) werden auf jeden neuen Domänencontroller repliziert, den Sie der Domäne hinzufügen, und jeder Domänencontroller speichert immer eine vollständige Kopie der Domänendatenbank.

Es gibt zwei Dinge, die Sie beachten sollten (abgesehen von jeder anderen Anwendung, die möglicherweise auf dem Server ausgeführt wird): FSMO-Rollen und DNS.

Wenn Ihr Domänencontroller ein DNS-Server ist, sollten Sie darauf achten, diesen Dienst auf anderen Domänencontrollern zu aktivieren und alle Computer Ihrer Domänenmitglieder (Client und Server) auf diese zu verweisen, anstatt auf den Computer, den Sie in den Ruhestand versetzen . In einem Standard-AD-Setup reicht die Installation des DNS-Dienstes auf einem Domänencontroller aus: Sie müssen keine DNS-Zonen definieren und füllen, da die Hauptdomänenzone AD-integriert und somit auf alle DNS-Server repliziert wird, die auch Domänencontroller sind.

FSMO-Rollen sind spezielle Rollen, die jeweils nur von einem einzelnen Domänencontroller gehalten werden können. Sie gehören normalerweise dem ersten in der Domäne erstellten Domänencontroller. sie werden automatisch auf einen anderen verschoben werden , wenn Sie die DC degradieren , die sie besitzt, aber Sie werden keine Kontrolle über ihre Platzierung haben, so ist es immer besser , sie von Hand zu bewegen; Sie können dies mit den verschiedenen AD-Tools (Benutzer und Computer, Sites und Dienste, Domäne und Vertrauensstellungen, Schema) oder mit NTDSUTIL tun.

Achten Sie auch darauf, den alten DC (mit dcpromo) tatsächlich herabzustufen, bevor Sie ihn in den Ruhestand versetzen. Dadurch wird sichergestellt, dass alle Informationen zu seiner vorherigen Rolle als Domänencontroller ordnungsgemäß aus Active Directory entfernt werden.

Wenn Sie keine Migration auf 2008 planen, würde ich kein Upgrade durchführen. Es gibt einige Einschränkungen, die davon abhängen, welche anderen Apps Sie haben. Wenn Sie ein Upgrade auf 2008 planen, müssen Sie zunächst ein Schema-Update durchführen. Sie müssen auch sicherstellen, dass Ihre Anwendungen mit Domänencontrollern von 2008 kompatibel sind (insbesondere müssen Sie sicherstellen, dass die Anwendungen wissen, wie sie zu einem beschreibbaren GC oder DC gelangen, wenn dies erforderlich ist, wenn Sie RODCs in der Umgebung haben oder planen, dass dies erforderlich ist). . Beispielsweise wurde der Austausch 2008 r2 erst seit dem letzten Februar durch den Austausch unterstützt.

Überprüfen Sie diesen Link für Domainvorbereitungen und diesen Link für Waldvorbereitungen

Ich würde dem zustimmen, was Jeff gesagt hat. Außerdem werden DNS-Einträge zwischen DNS-Servern repliziert. Dies ist nur die DHCP-Datenbank, die Sie zwischen verschiedenen DHCP-Servern sichern und wiederherstellen können. Wenn Sie nur die Mietdauer verwalten, können Sie diese Änderung reibungslos durchführen. Binden Sie einfach nicht alle Schrauben, bis Sie sicher sind, dass alles eingestellt ist. So wie ich es gemacht habe, dauert es maximal 2-3 Tage, um alle (FSMO) Rollen und (DNS / DHCP) Einträge abzudecken.

Stellen Sie wie bereits erwähnt sicher, dass alle alten Rollen vom alten Server entfernt und auf den anderen / oder neuen Server migriert wurden. Sie können DCPROMO erst ausführen, wenn es kein globaler Katalogserver mehr ist. Probieren Sie es aus - was ist das Schlimmste, was passieren kann? Kätzchen werden nicht verletzt, wenn alles schief geht.