Mover el controlador de dominio primario al nuevo servidor

15

Acabo de comprar un nuevo servidor que será el nuevo controlador de dominio primario. Me preguntaba si alguien conocía algún artículo o tutorial sobre cómo hacer este cambio. Me imagino que es simplemente configurar el rol e importar una copia de seguridad del Active Directory desde el antiguo controlador de dominio. Solo quiero asegurarme de que no me estoy perdiendo ninguna tarea crucial en el medio.

active-directory domain-controller Poconnor
fuente
1
Estoy seguro de que esto ya está cubierto por las preguntas existentes, pero no encuentro una buena para marcar como duplicado.
Zoredache
3
Ya no existe el "controlador de dominio primario". Eso se fue con NT4.
MDMarra
2
@SpacemanSpiff Estoy de acuerdo. Eso no cambia el hecho de que la gente todavía dice PDC y BDC como si fueran cosas reales. Un DC con el rol de emulador PDC es completamente diferente de lo que era un PDC NT4.
MDMarra
2
@ MarkM: Eso no cambia el hecho de que no se puede degradar un DC con el rol de emulador PDC. Y si se cae, terminarás teniendo que asumir el papel.
surfasb
1
@surfasb las versiones más recientes de dcpromo moverán los roles FSMO automáticamente del servidor que está degradando. Las versiones anteriores simplemente se equivocarían quejándose del hecho.
Chris S

Respuestas:

21
  • Agregar nueva computadora al dominio
  • Promocionar el sistema a un controlador de dominio ( dcpromo )
  • Transferir roles FSMO
  • Verificar / Convertir el nuevo sistema en un Catálogo global .
  • Espere un tiempo para que tenga lugar la replicación. Ejecute dcdiag / repadmin y así sucesivamente para asegurarse de que todo se transfiere
  • Degradar sistema antiguo (dcpromo)
  • Verifique dos veces las zonas DNS y AD para asegurarse de que se eliminó el sistema anterior.

Migre cualquier otro dato o servicio según sea necesario.

Por supuesto, puede dejar el viejo sistema en funcionamiento para tener otro DC de repuesto.

Zoredache
fuente
¿Qué pasa con tener múltiples catálogos globales?
Tim Brigham
@timbrigham, lo siento, no estoy seguro de entender lo que estás preguntando.
Zoredache
1
@TheCompWiz: Creo que ese es solo el caso en un bosque de múltiples dominios, pero no es aplicable en un bosque de un solo dominio. Creo que la mejor práctica de MS para un bosque de dominio único es que todos los DC también sean GC.
joeqwerty
77
@TheCompWiz, technet.microsoft.com/en-us/library/cc732877(WS.10).aspx - In a single-domain forest, configure all domain controllers as global catalog servers. Because every domain controller stores the only domain directory partition in the forest, configuring each domain controller as a global catalog server does not require any additional disk space usage, CPU usage, or replication traffic.
Zoredache
1
@todos. Estoy 100% corregido ... severamente ... y repetidamente. Sinceramente, recuerdo haber leído un artículo de Technet hace un tiempo (¿hace más de 5 años, tal vez?) Que advirtió contra tener múltiples GC en la misma subred / dominio ... pero gracias por la corrección.
TheCompWiz
6

Además de lo que Zoredache declaró en su respuesta, asegúrese de actualizar todos los clientes de dominio para usar el nuevo DC para DNS.

En una nota al margen, si el DC original que está reemplazando es el único DC en el dominio, entonces ejecutar DCPROMO en el DC original transferirá los roles de FSMO al nuevo DC sin la necesidad de transferirlos manualmente. Si no es el único DC en el dominio, DCPROMO transferirá los roles FSMO a otro DC, simplemente no estoy seguro de cómo selecciona el DC para asumir los roles.

joeqwerty
fuente
1
para estar seguro ... Todavía sugeriría mover los roles FSMO + GC manualmente y verificar que se hayan completado en lugar de confiar en dcpromo para transferir los roles. dcpromo falla silenciosamente con bastante frecuencia y hace un trabajo muy pobre al documentar esas fallas.
TheCompWiz
2
@TheCompWiz ¿Podría explicar en qué momento dcpromo falló en silencio? Nunca una vez tuve que dejar AD en ningún estado oscuro. He tenido un montón de momentos en los que realmente se niega a hacer nada porque algo Alimenté era basura ...
Chris S
@ChrisS lo haría ... pero este no es el momento ni el lugar para hacerlo.
TheCompWiz
1

Algo que no vi a nadie más mencionar son los servicios de tiempo. Es probable que su PDC sea el principal responsable del tiempo para el dominio ... ese rol / configuración debe rehacerse en el nuevo PDC.

grep65535
fuente