การแทนที่ตัวควบคุมโดเมน W2K3 - ฉันต้องรู้อะไรบ้าง

ฉันมีเครือข่ายประมาณ 70 เครื่องปัจจุบันมี DC สองเครื่องที่ใช้ Windows Server 2003 (DC0 และ DC1) DC0 เป็น Powerge 1850 อายุห้าขวบและเมื่อไม่นานมานี้ได้กลายเป็นสิ่งสกปรกมากขึ้นเรื่อย ๆ

ฉันต้องการแทนที่เครื่องนี้ แต่ฉันระมัดระวังเนื่องจากมีขอบเขตขนาดใหญ่สำหรับสิ่งที่ผิดพลาด วิธีที่ฉันคิดว่าทำสิ่งนี้คือการสร้างเครื่องใหม่จากนั้นทำ DCPROMO และใช้งานตัวควบคุมโดเมนสามเดือนหรือมากกว่านั้นจนกว่าฉันจะมีความสุขที่ทุกอย่างทำงานได้อย่างที่ควรจะเป็นก่อนที่จะเกษียณเครื่องเก่า

สิ่งที่ต้องกังวลเป็นพิเศษคือการจำลองบทบาทจากคอนโทรลเลอร์ปัจจุบัน (เช่นการตั้งค่า GP) และการแยกการปิดเครื่องที่มีจนถึงปัจจุบันเป็น 'หลัก'

หากมีเหตุผลที่น่าสนใจในการใช้ Server 2008 ฉันยินดีที่จะทำเช่นนั้น แต่ฉันไม่รู้ว่าจะทำให้เกิดปัญหากับเครื่อง 2003 ที่มีอยู่ของฉันหรือไม่

คำแนะนำใด ๆ เกี่ยวกับการปฏิบัติที่ดีที่สุดหรือประสบการณ์ก่อนหน้านี้จะยินดีมากที่สุด

Microsoft มีบทความมากมายเกี่ยวกับการย้ายบทบาทและบริการจากเซิร์ฟเวอร์หนึ่งไปยังอีกเซิร์ฟเวอร์หนึ่ง ด้วย DC คุณจะต้องระมัดระวังเป็นพิเศษเพื่อให้สิ่งต่าง ๆ เกิดขึ้นอย่างสง่างามและคุณได้รับคำแนะนำอย่างดีในการโพสต์คำถามที่นี่เพราะมันไม่ได้เป็นการปิดเครื่องง่ายๆหรือลบเซิร์ฟเวอร์ออกจากผู้ใช้ AD และผู้ใช้และคอมพิวเตอร์

หากคุณกำลังจะสร้างเซิร์ฟเวอร์ใหม่ - ณ จุดนี้ฉันต้องการเหตุผลที่น่าสนใจที่จะไม่ยึดติดกับ 2K8 R2 ตรวจสอบให้แน่ใจว่าแอพพลิเคชั่นที่รองรับของคุณรองรับ 2K8 R2 เช่นกัน - AntiVirus, Backup เป็นต้นหากค่าใช้จ่ายของระบบปฏิบัติการและ Cals ไม่เป็นปัญหาฉันเดาว่าฉันจะไม่เห็นเหตุผลที่จะสร้างระบบระยะยาวจาก 7 ระบบปฏิบัติการเก่าปี ฉันคิดว่า reqs สำหรับ 2K8 R2 จะมีอยู่ในโดเมน 2K3 นั้นจะต้องอยู่ในโหมด Native 2K3 และ 2K3 DC อาจต้องเป็น SP2 หรือใหม่กว่า

ขั้นแรกสร้างเซิร์ฟเวอร์ใหม่ของคุณเพิ่มไปยังโดเมนและ dcpromo มัน - ไม่มีเหตุผลที่จะรอ ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ใหม่หรือเซิร์ฟเวอร์เก่าที่เหลืออยู่ถูกตั้งค่าเป็น Global Catalog Servers: http://support.microsoft.com/kb/313994

ข้อกังวลหลักของคุณต้องเกี่ยวกับการทำให้แน่ใจว่าบทบาท FSMO จะถูกส่งมอบไปยัง DC อื่นอย่างถูกต้อง บทความนี้จะบอกคุณที่แน่นอนสิ่งที่และวิธีการทุกขั้นตอนที่คุณจะต้องดำเนินการ: http://support.microsoft.com/kb/324801

การจำลองแบบของวัตถุนโยบายกลุ่มได้รับการจัดการโดยอัตโนมัติโดย FRS บนต้นไม้ Sysvol - ดังนั้นคุณไม่ควรกังวลเลย

คุณอาจต้องจัดการ DHCP และบริการ DNS ด้วยเช่นกัน ต่อไปนี้เป็นบทความที่ดีเกี่ยวกับการย้ายฐานข้อมูล DHCP ของคุณถ้าจำเป็นต้องเป็น: http://support.microsoft.com/kb/962355 ตรวจสอบให้แน่ใจว่าได้ปิดใช้งานบริการ DHCP หลังจากที่คุณย้ายฐานข้อมูล dhcp ไปยังเซิร์ฟเวอร์ใหม่และเริ่มการทำงานแล้ว สิ่งสำคัญคือการย้ายฐานข้อมูล dhcp แทนที่จะหยุดบริการบนเซิร์ฟเวอร์เก่าและเริ่มต้นบนอีก - คุณจะมีระบบไคลเอนต์ทั่วสถานที่ด้วยที่อยู่ IP ที่ซ้ำกัน

ฉันชอบที่จะย้ายบทบาท FSMO และ DHCP ออกและรอหลายวันก่อนที่จะลบระบบเป็น DC

เมื่อคุณมีบทบาท FSMO และย้าย DHCP (และซอฟต์แวร์อื่น ๆ ) เรียกใช้ dcpromo จากบรรทัดคำสั่งเพื่อลบออกเป็น DC จากนั้นใช้ Add / Remove Programs -> Windows Components เพื่อถอนการติดตั้งบริการ DNS สุดท้าย - ลบระบบออกจากโดเมนและปิดการทำงาน

โชคดี!

การเรพลิเคทเป็นไปโดยอัตโนมัติระหว่างตัวควบคุมโดเมนในโดเมนเดียวกันดังนั้นคุณไม่จำเป็นต้องกังวลเกี่ยวกับเรื่องนี้เว้นแต่จะมีบางอย่างผิดปกติ เนื้อหาโฆษณาทั้งหมด (ผู้ใช้คอมพิวเตอร์ OUs, GPO เป็นต้น) จะถูกจำลองแบบไปยัง DC ใหม่ใด ๆ ที่คุณเพิ่มไปยังโดเมนและ DC แต่ละรายการจะเก็บสำเนาฐานข้อมูลโดเมนแบบเต็มเสมอ

มีสองสิ่งที่คุณควรใส่ใจ (นอกเหนือจากแอปพลิเคชันอื่น ๆ ที่อาจทำงานบนเซิร์ฟเวอร์): บทบาท FSMO และ DNS

หากคุณเป็นเซิร์ฟเวอร์ DNS คุณควรระมัดระวังในการเปิดใช้งานบริการนั้นใน DC อื่น ๆ และให้คอมพิวเตอร์สมาชิกโดเมนของคุณ (ไคลเอนต์และเซิร์ฟเวอร์) ชี้ไปที่พวกเขาแทนที่จะเป็นคนที่คุณเกษียณ ในการตั้งค่าโฆษณามาตรฐานการติดตั้งบริการ DNS บน DC ก็เพียงพอแล้ว: คุณไม่จำเป็นต้องกำหนดและเติมข้อมูลโซน DNS เนื่องจากโซนโดเมนหลักจะถูกรวมเข้ากับโฆษณาดังนั้นจึงจำลองแบบไปยังเซิร์ฟเวอร์ DNS ทั้งหมดที่เป็น DC

บทบาท FSMO เป็นบทบาทพิเศษที่สามารถจัดขึ้นได้โดย DC ครั้งเดียวเท่านั้นและพวกเขามักจะเป็นเจ้าของโดย DC แรกที่สร้างขึ้นในโดเมน พวกเขาจะถูกย้ายไปที่อื่นโดยอัตโนมัติหากคุณลดระดับ DC ที่เป็นเจ้าของ แต่คุณจะไม่สามารถควบคุมตำแหน่งได้ดังนั้นจึงเป็นการดีกว่าที่จะย้ายพวกเขาด้วยตนเอง คุณสามารถทำได้โดยใช้เครื่องมือโฆษณาต่าง ๆ (ผู้ใช้และคอมพิวเตอร์, ไซต์และบริการ, โดเมนและความน่าเชื่อถือ, สคีมา) หรือโดยใช้ NTDSUTIL

นอกจากนี้ระวังการลดระดับ DC เก่า (ใช้dcpromo) จริง ๆ ก่อนที่จะถอนออก สิ่งนี้จะช่วยให้มั่นใจได้ว่าข้อมูลทั้งหมดที่เกี่ยวข้องกับบทบาทก่อนหน้านี้ในฐานะ DC ได้ถูกลบออกจาก Active Directory

หากคุณไม่ได้วางแผนจะย้ายไปที่ปี 2551 ฉันจะไม่อัปเกรดอีกต่อไป มีคำเตือนอยู่ที่แอปอื่น ๆ ที่คุณมี หากคุณวางแผนที่จะอัปเกรดเป็นปี 2008 สิ่งแรกที่คุณต้องทำคือการปรับปรุงสคีมา คุณต้องแน่ใจว่าแอปพลิเคชันของคุณเข้ากันได้กับตัวควบคุมโดเมนปี 2008 (โดยเฉพาะอย่างยิ่งคุณต้องแน่ใจว่าหากคุณมี RODC ในสภาพแวดล้อมหรือวางแผนว่าแอปพลิเคชันจะรู้วิธีการเข้าถึง GC หรือ DC ที่สามารถเขียนได้) . ตัวอย่างเช่นมันเป็นเพียงตั้งแต่ feburary ครั้งสุดท้ายที่แลกเปลี่ยน 2008 r2 ได้รับการสนับสนุนด้วยการแลกเปลี่ยน

ตรวจสอบลิงค์นี้สำหรับการเตรียมโดเมนและลิงค์นี้สำหรับการเตรียมป่า

ฉันจะเห็นด้วยกับสิ่งที่เจฟฟ์พูด หากต้องการเพิ่มระเบียน DNS จะทำซ้ำระหว่างเซิร์ฟเวอร์ DNS ซึ่งเป็นเพียงฐานข้อมูล DHCP ที่คุณสามารถสำรองและกู้คืนในเซิร์ฟเวอร์ DHCP ที่แตกต่างกัน เพียงแค่จัดการระยะเวลาการเช่าคุณสามารถทำให้การเปลี่ยนแปลงนี้ราบรื่น อย่าผูกสกรูทั้งหมดจนกว่าคุณจะแน่ใจว่าตั้งค่าทุกอย่างแล้ว วิธีที่ฉันทำมันใช้เวลาสูงสุด 2-3 วันในการครอบคลุมบทบาท (FSMO) และระเบียน (DNS / DHCP) ทั้งหมด

ดังที่ได้กล่าวไว้ให้แน่ใจว่าบทบาทเก่าทั้งหมดจะถูกลบออกจากเซิร์ฟเวอร์เก่าและย้ายไปที่อื่น / หรือใหม่ คุณจะไม่สามารถเรียกใช้ DCPROMO จนกว่าจะไม่เป็นเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางอีกต่อไป อะไรที่เลวร้ายที่สุดที่สามารถเกิดขึ้นได้ ลูกแมวจะไม่ได้รับบาดเจ็บหากทุกอย่างผิดพลาด