วิธีปฏิบัติที่ดีที่สุดสำหรับการรื้อถอน Domain Controller ที่เป็นเซิร์ฟเวอร์ DNS ด้วยหรือไม่

9

มีสองโรงเรียนแห่งความคิดสำหรับกระบวนการรื้อถอนของ Active Directory Domain Controllers ที่ใช้เป็นเซิร์ฟเวอร์ DNS เป็นอย่างมาก

  1. เพิ่มที่อยู่ IP ของ DC ที่ส่งออกไปยัง DC ใหม่และตรวจสอบให้แน่ใจว่า DNS กำลังฟังที่อยู่นั้น

  2. ลดระดับ DC เก่าทิ้งบทบาท DNS ไว้และกำหนดค่า DNS forwarder ไปยังเซิร์ฟเวอร์ใหม่ของคุณ

เห็นได้ชัดว่าทั้งคู่เป็น stopgaps จนกว่าเซิร์ฟเวอร์และอุปกรณ์ทั้งหมดจะได้รับการกำหนดค่าให้ใช้ที่อยู่ IP หลักของเซิร์ฟเวอร์ใหม่ แต่บางครั้งช่วงเวลาการเปลี่ยนภาพอาจค่อนข้างยาวขึ้นอยู่กับขนาดของสภาพแวดล้อม

มีแนวปฏิบัติที่ดีที่สุดที่ชัดเจนหรือไม่?

windows  domain-name-system  active-directory 
MDMarra
แหล่งที่มา
2
หรือหนึ่งในสามเปลี่ยนการอ้างอิงใด ๆ / ทั้งหมดไปยังเซิร์ฟเวอร์ DNS เก่าทั่วทั้งเครือข่าย
gravyface
1
แน่นอนว่านั่นคือเป้าหมายสุดท้ายซึ่งเป็นเหตุผลที่ฉันเรียกมันว่า stopgap แต่ในบางสภาพแวดล้อมที่มีขนาดใหญ่มากนั่นไม่ใช่ตัวเลือกถ้าคุณต้องการให้มันทำในเวลาที่เหมาะสม ฉันพูดว่าObviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.ใช่มั้ย
MDMarra
ซีแมนทิกส์ ... ถูกต้อง แต่ฉันต้องการเปลี่ยนการกำหนดค่า DNS ของอุปกรณ์อย่างเป็นระบบตรวจสอบกิจกรรมเริ่มต้นด้วยขอบเขต DHCP จากนั้นทำงานผ่านเซิร์ฟเวอร์ตามลำดับอย่างน้อยสำคัญเป็นสำคัญ (เซิร์ฟเวอร์สมาชิกเป็น DC อื่น ๆ ) มากกว่าเลียนแบบเซิร์ฟเวอร์เก่าและ / หรือปล่อยให้เซิร์ฟเวอร์ทำงานช้ากว่าที่จำเป็น
gravyface
แน่นอนว่าเป็นตัวเลือกที่ดีที่สุด แต่เมื่อฉันพูดถึงสภาพแวดล้อมที่ "ใหญ่มาก" ฉันกำลังพูดถึงโครงสร้างพื้นฐานกระจายทั่วโลกด้วย 300+ DC และทีมไอทีที่แตกต่างกันหลายคนที่จัดการส่วนประกอบต่าง ๆ ของโครงสร้างพื้นฐาน บางครั้งมันเป็นไปไม่ได้ที่จะให้แน่ใจว่าคุณได้รับอุปกรณ์ทุกชิ้นในการแกว่งครั้งแรกระหว่างการอัพเกรด
MDMarra
1
@gravyface คุณไม่ผิด แต่ในสภาพแวดล้อมที่มีขนาดใหญ่และกระจายตัวทางภูมิศาสตร์ซึ่งมีการจัดการแบบกระจายอำนาจขององค์ประกอบที่แตกต่างกันมันไม่ได้เป็นไปได้เสมอที่จะเห็นด้วยกับแผนเกมรับทุกคนในสายและทำงานเพื่อเป้าหมายร่วมกัน บางครั้งคุณเพียงแค่ต้องตัดสินใจที่จะก้าวไปข้างหน้าและหาทางออกหรือวิธีแก้ปัญหาเพื่อให้แน่ใจว่ามันมีความเกี่ยวข้องกับผู้อื่นน้อยที่สุด
Mathias R. Jessen

คำตอบ:

5

ฉันลังเลที่จะตอบเพราะฉันคิดว่านี่เป็นคำถาม "อภิปราย" มากกว่าคำถามถาม - ตอบอย่างเคร่งครัด ... แต่มันเป็นเช้าวันเสาร์ที่ขี้เกียจดังนั้นฉันจะทำต่อไป

มีแนวปฏิบัติที่ดีที่สุดที่ชัดเจนหรือไม่?

ไม่(ประณามบางทีนี่อาจเป็นคำตอบง่าย ๆ ทั้งหมด ... )

Microsoft ให้คำแนะนำ Bingable ที่ใช้ทั่วไปได้อย่างง่ายดายGoogleได้เกี่ยวกับวิธีลดระดับตัวควบคุมโดเมนและดำเนินการย้ายข้อมูลของ AD และ DNS แต่ฉันจะไม่รบกวนการเชื่อมโยงไปยังพวกเขาและฉันจะไม่แกล้งทำเป็นว่าพวกเขาตอบคำถามเฉพาะของคุณ จัดทำเอกสารทุกกรณีเฉพาะสำหรับสภาพแวดล้อมขององค์กรที่แตกต่างกัน

ดังนั้นผู้ดูแลระบบ / วิศวกรอย่างเราจึงต้องเติมช่องว่างด้วยความเชี่ยวชาญและประสบการณ์ของเราเองที่ Microsoft ไม่ได้เขียนสคริปต์พิเศษสำหรับเราและนั่นคือสิ่งที่ทำให้เรามีค่า

ฉันสามารถให้คุณตัวอย่างของสิ่งที่เราได้ทำเพื่อแก้ไขปัญหาเดียวกันนี้เนื่องจากฉันยังทำงานในสภาพแวดล้อมแบบโลกที่มีตัวควบคุมโดเมนหลายสิบหรือมากกว่าการแยก AD ป่าไม้อยู่ร่วมกันบนเครือข่ายเดียวกันอุปกรณ์ที่ไม่ใช่ Windows บริการ DNS จาก DC เดียวกันและอื่น ๆ การย้ายเข้าสู่ดาต้าเซ็นเตอร์ใหม่และย้ายออกจากเก่าจำเป็นต้องโยกย้ายไปยังฮาร์ดแวร์ใหม่หรือเวอร์ชันใหม่ของ OS และการเมืองธุรกิจเก่าล้วนเป็นเหตุผลที่เป็นไปได้ทั้งหมดที่เราจำเป็นต้องรื้อโดเมนคอนโทรลเลอร์ ยังคงมีการใช้งานอยู่ และเมื่อคุณมีองค์กรต่างกันหลายแห่งที่ใช้เซิร์ฟเวอร์ DC / DNS เหล่านี้มักจะเป็นกระบวนการที่ยากลำบากและดึงออกมาเพื่อกำหนดค่าไคลเอนต์ใหม่ (ซึ่งหลายแห่งอาจไม่อยู่ภายใต้การควบคุมของคุณ) ก่อนที่จะรื้อถอนโดเมนคอนโทรลเลอร์

เพื่อที่ว่าทำไมผมบอกว่าผมไม่คิดว่าทุกคนสามารถให้คุณตอบสำหรับคำถามนี้ มีวิธีนับพันที่คุณสามารถทำได้และบางวิธีจะดีกว่าวิธีอื่น ๆ ขึ้นอยู่กับโครงสร้างและความต้องการขององค์กรของคุณ

สิ่งที่เราได้ทำเพื่อแก้ไขปัญหานี้คือสร้าง VIP สำหรับดาต้าเซ็นเตอร์แต่ละแห่งและรวมโดเมนคอนโทรลเลอร์ทั้งหมดในดาต้าเซ็นเตอร์หลังวีไอพีนั้น (วีไอพีนี้ใช้สำหรับบริการ DNS สำหรับเหตุผลที่ชัดเจนเท่านั้นฉันไม่ได้พูดถึงการทำโหลดบาลานซ์ Kerberos และ LDAP) ด้วยวิธีนี้ลูกค้าสามารถกำหนดค่าให้ใช้วีไอพีนั้นสำหรับตัวแก้ไข DNS ของพวกเขาและเรามีอิสระที่จะเพิ่มและนำออกไป ผู้ควบคุมโดเมนที่อยู่เบื้องหลัง VIP นั้นและเมื่อใดก็ตามที่เราต้องการ

แต่คุณไม่ได้อยู่ข้างหน้าปัญหา ... ดังนั้นให้เลือกตัวเลือกที่คุณให้ไว้:

  1. เพิ่มที่อยู่ IP ของ DC ที่ส่งออกไปยัง DC ใหม่และตรวจสอบให้แน่ใจว่า DNS กำลังฟังที่อยู่นั้น

  2. ลดระดับ DC เก่าทิ้งบทบาท DNS ไว้และกำหนดค่า DNS forwarder ไปยังเซิร์ฟเวอร์ใหม่ของคุณ

ฉันจะเลือกตัวเลือก # 1 เนื่องจากเป้าหมายของคุณคือการรื้อถอนเซิร์ฟเวอร์เก่าโดยเร็วที่สุดและตัวเลือก # 2 ไม่ได้ช่วยให้คุณกำจัดเซิร์ฟเวอร์เก่าได้ ด้วยตัวเลือก # 2 จำเป็นต้องมีเซิร์ฟเวอร์อยู่ ฉันจะไม่ไปกับคำแนะนำของ Mathias R. Jessen เกี่ยวกับโซน stub เพราะอีกครั้งคุณยังคงต้องทิ้งเซิร์ฟเวอร์เก่าไว้ที่เดิมและให้บริการซึ่งไม่เอื้อต่อเป้าหมายสุดท้ายของคุณ

ด้วยตัวเลือก # 1 น่าเกลียดคุณสามารถออกเซิร์ฟเวอร์เก่าเรียกร้องการประหยัดต้นทุนสำหรับ บริษัท ของคุณหลีกเลี่ยงการจ่ายค่าเช่าอีกหนึ่งเดือนในดาต้าเซ็นเตอร์นั้นและได้รับรางวัลสำหรับการเป็นพนักงานที่ดี

แก้ไข: เมื่อพิจารณาเกี่ยวกับการแชทของเราอีกเล็กน้อยฉันคิดว่าฉันอาจคาดการณ์ความต้องการของฉันไว้ที่คุณเพราะฉันมีข้อกำหนดแบบดึงได้โดยเร็วสำหรับบางสิ่งในตอนนี้ดังนั้นมันจึงสดใหม่ในใจ ดูเหมือนว่าคุณไม่ได้มีความต้องการในทันทีเพื่อปิดเซิร์ฟเวอร์โดยเร็วที่สุด

ที่กล่าวว่าฉันไม่ได้เปลี่ยนคำแนะนำของฉันเพราะฉันจะยังคงชอบมัน การตรึง IP เพิ่มเติมไปยังตัวควบคุมโดเมนที่มีอยู่ได้ทำงานได้ดีสำหรับฉันในอดีตในสถานการณ์ที่คล้ายกันมากและฉันต้องการมากกว่าที่จะมีส่วนเชื่อมต่อที่แปลกประหลาดของเซิร์ฟเวอร์นั่งอยู่ที่นั่นเป็นระยะเวลาที่ไม่แน่นอน

Ryan Ries
แหล่งที่มา
1
ฉันคิดว่าสิ่งนี้อยู่ภายใต้good subjectiveการโพสต์ในอัตนัยที่ดีอัตนัยที่กำหนดกฎ "คำถามการอภิปราย" อย่างน้อยฉันก็หวังเช่นนั้น
MDMarra
@MDMarra ฉันเห็นด้วย +1 สำหรับคำถามที่กระตุ้นความคิดและน่าสนใจ :)
Ryan Ries
นอกจากนี้สำหรับบันทึกฉันมักจะทำสิ่งที่ตรงกันข้ามกับข้อเสนอแนะของคุณ: D
MDMarra
5

เส้นทางสู่ Active Directory นรกถูกปูด้วยผ้าพันแผลชั่วคราว การกำหนดที่อยู่ IP ของเซิร์ฟเวอร์ DNS ที่ถูกแบ่งแยกหรือที่จะถูกแยกไปยังเซิร์ฟเวอร์ DC และ DNS ใหม่ของคุณนั้นเป็นผ้าพันแผลชั่วคราว

ตามที่ @gravyface ระบุไว้ในความคิดเห็นในสถานการณ์ที่เหมาะสมที่สุดคุณจะเปลี่ยนขอบเขต DHCP และการกำหนดค่าสแตติกทั้งหมดเพื่ออัปเดตการตั้งค่า DNS ไคลเอนต์เป็น IP ใหม่แทนเก่าก่อนที่คุณจะแยก DC เก่าออกทั้งหมด

ฉันเข้าใจว่าต้องแน่ใจว่าลูกค้าทุกคนได้รับการกำหนดค่าใหม่ไม่สามารถทำได้ทันเวลา แต่ฉันคิดว่าตัวเลือกหมายเลข 2 (ส่งต่อชื่อทั้งหมด) เป็นตัวเลือกที่น่ารังเกียจน้อยที่สุดที่นี่

นอกเหนือจากการปล่อยให้เซิร์ฟเวอร์เก่าส่งต่อการร้องขอแม้หลังจากการถอดถอนมันผมจะแนะนำให้เปิดใช้งานการตรวจแก้จุดบกพร่องการบันทึกข้อมูลสำหรับการร้องขอขาเข้าบนเซิร์ฟเวอร์ DNS - นี้จะทำให้มันเล็ก ๆ น้อย ๆ ได้ง่ายขึ้นในการประเมินไม่เพียง แต่ถ้าลูกค้ายังคงชี้ไปยังเซิร์ฟเวอร์ DNS เก่า แต่ยัง ระบุลูกค้าดังกล่าว

ที่ถูกกล่าวว่าฉันคิดว่าคุณพลาดตัวเลือกที่สามอย่างชัดเจน: Stub Zones !

  • ลดระดับ DC เก็บบทบาท DNS และเพิ่มโซนทั้งหมดที่จัดขึ้นก่อนหน้านี้เป็นโซนสตับ - ส่งต่อทุกอย่างอื่น วิธีนี้บังคับให้ลูกค้าของคุณติดต่อกับ Domain Controllers ที่พวกเขาควรใช้แทนการทำงานให้พวกเขา
Mathias R. Jessen
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.