Sustitución de un controlador de dominio W2K3: ¿qué necesito saber?

11

Tengo una red de alrededor de 70 máquinas, actualmente con dos DC que ejecutan Windows Server 2003 (DC0 y DC1). DC0 es un Poweredge 1850 de cinco años y recientemente se ha vuelto cada vez más inestable, y en las últimas dos semanas ha caído más de dos veces.

Quiero reemplazar esta máquina, pero soy cauteloso ya que hay un gran margen para que este tipo de cosas salgan mal. La forma en que me imagino haciendo esto es construir una nueva máquina y luego hacer un DCPROMO y ejecutar tres controladores de dominio durante un mes más o menos hasta que esté feliz de que todo funcione como debería antes de retirar la vieja máquina.

Las áreas particulares de preocupación son la replicación de roles de los controladores actuales (configuraciones GP por ejemplo) y las ramificaciones de apagar la máquina que, hasta ahora, ha sido la 'primaria'.

Si hay razones convincentes para usar Server 2008, estoy dispuesto a hacerlo, sin embargo, no sé si esto causaría problemas con mis máquinas 2003 existentes.

Cualquier consejo sobre mejores prácticas o experiencias previas sería bienvenido.

Marko Carter
fuente

Respuestas:

5

Microsoft tiene una gran cantidad de artículos sobre el traslado de roles y servicios de un servidor a otro. Con DC, debe ser especialmente cuidadoso para que las cosas sucedan con gracia y está bien guiado para publicar la pregunta aquí, porque no es un simple apagado o eliminación del servidor de usuarios y usuarios de AD y computadoras.

Si va a construir un nuevo servidor, en este punto necesitaría una razón convincente para no basarlo en 2K8 R2. Asegúrese de que sus aplicaciones compatibles también sean compatibles con 2K8 R2: antivirus, copia de seguridad, etc. Si el costo del sistema operativo y las Cals no es un problema, supongo que no vería el razonamiento para defender un sistema a largo plazo basado en un 7 años de edad OS? Creo que los requisitos para que 2K8 R2 exista en un dominio 2K3 son que deben estar en modo nativo 2K3 y que los DC de 2K3 deben ser SP2 o posteriores.

Primero construya su nuevo servidor, agréguelo al dominio y dcpromo, sin razón para esperar. Asegúrese de que el nuevo servidor o el servidor anterior restante estén configurados para ser Servidores de catálogo global: http://support.microsoft.com/kb/313994

Su área principal de preocupación debe ser garantizar que las funciones de FSMO se entreguen correctamente a otro DC. Este artículo le dirá exactamente qué y cómo de cada paso deberá realizar: http://support.microsoft.com/kb/324801 .

El FRS maneja automáticamente la replicación de GPO en el árbol Sysvol, por lo que no debería tener ninguna preocupación allí.

Es probable que también deba manejar los servicios DHCP y DNS. Aquí hay un buen artículo sobre cómo mover su base de datos DHCP si es necesario: http://support.microsoft.com/kb/962355 . Asegúrese de deshabilitar el servicio DHCP después de mover la base de datos dhcp a un nuevo servidor y activarla allí. Es importante mover la base de datos dhcp en lugar de simplemente detener el servicio en el servidor anterior e iniciarlo en otro: tendrá sistemas cliente en todas partes con direcciones IP duplicadas.

Siempre prefiero quitar las funciones de FSMO y DHCP y esperar varios días antes de eliminar el sistema como DC.

Cuando tenga sus roles FSMO y DHCP movidos (y cualquier otro software) ejecute dcpromo desde la línea de comando para eliminarlo como DC. Luego use Agregar o quitar programas -> Componentes de Windows para desinstalar el servicio DNS. Por último, elimine el sistema del dominio y apáguelo.

¡Buena suerte!

Jeff Hengesbach
fuente
6

La replicación es totalmente automática entre los controladores de dominio en el mismo dominio, por lo que no debería preocuparse en absoluto, a menos que algo salga mal; todo el contenido de AD (usuarios, computadoras, unidades organizativas, GPO, etc.) se replicará a cualquier DC nuevo que agregue al dominio, y cada DC siempre almacenará una copia completa de la base de datos del dominio.

Hay dos cosas que debería interesarle (aparte de cualquier otra aplicación que pueda estar ejecutándose en el servidor, por supuesto): roles FSMO y DNS.

Si su DC es un servidor DNS, debe asegurarse de habilitar ese servicio en otros DC y hacer que todos los equipos miembros de su dominio (cliente y servidores) los señalen en lugar del que está retirando; en una configuración AD estándar, instalar el servicio DNS en un DC es suficiente: no necesita definir y llenar zonas DNS, ya que la zona de dominio principal estará integrada en AD y, por lo tanto, se replicará en todos los servidores DNS que también son DC.

Los roles de FSMO son roles especiales que solo puede tener un DC a la vez, y generalmente son propiedad del primer DC creado en el dominio; se moverán automáticamente a otro si degradas el DC que los posee, pero no tendrás control sobre su ubicación, por lo que siempre es mejor moverlos manualmente; puede hacerlo usando las diversas herramientas de AD (usuarios y computadoras, sitios y servicios, dominio y fideicomisos, esquema), o usando NTDSUTIL.

Además, tenga cuidado de degradar el viejo DC (usando dcpromo) antes de retirarlo; esto asegurará que toda la información relacionada con su rol anterior como DC se elimine correctamente de Active Directory.

Massimo
fuente
0

Si no planea migrar a 2008, no me molestaría en actualizar. Hay muchas advertencias que dependen de las otras aplicaciones que tenga. Si planea actualizar a 2008, lo primero que debe hacer es una actualización de esquema. También debe asegurarse de que sus aplicaciones sean compatibles con los controladores de dominio de 2008 (en particular, debe asegurarse de que si tiene RODC en el entorno o planee que las aplicaciones sepan cómo llegar a un GC o DC grabable en caso de ser necesario) . A modo de ejemplo, solo desde el pasado mes de febrero, Exchange 2008 r2 fue compatible con Exchange.

Consulte este enlace para ver los preparativos del dominio y este enlace para ver los preparativos forestales.

Jim B
fuente
0

Estoy de acuerdo con lo que dijo Jeff. Para agregar, los registros DNS se replican entre servidores DNS, es solo la base de datos DHCP que puede respaldar y restaurar entre diferentes servidores DHCP. Con solo administrar la duración del arrendamiento, puede hacer que este cambio sea suave. Simplemente no ate todos los tornillos hasta que esté seguro de que todo está configurado. De la forma en que lo hice, toma 2-3 días máximo para cubrir todos los roles (FSMO) y los registros (DNS / DHCP).

usuario44304
fuente
0

Como se ha dicho, asegúrese de que todas las funciones antiguas se eliminen del servidor anterior y se migren al otro / o al nuevo. no podrá ejecutar DCPROMO hasta que ya no sea un servidor de catálogo global. Dale una paliza: ¿qué es lo peor que puede pasar? los gatitos no se lastimarán si todo sale mal.


fuente
Famosas últimas palabras publicadas aquí. ¡Cualquier administrador de sistemas debe ejecutarse cuando los oiga!
SturdyErde