Active Directory域控制器的退役过程有两种stream派,它们被广泛用作DNS服务器。
将传出DC的IP地址添加到新的DC,并确保DNS正在侦听该地址。
降级旧DC,在其上留下DNSangular色,并将全局DNS转发器configuration到新服务器。
显然,两者都是阻塞,直到所有服务器和设备都被configuration为使用新服务器的主IP地址,但有时候,根据环境的大小,过渡期可能会相对较长。
这里有没有明确的最佳做法?
我很犹豫回答,因为我认为这是一个“讨论”问题,而不是严格的问答问题……但这是一个慵懒的星期六上午,所以我会反正。
这里有没有明确的最佳做法?
没有(该死的,也许这是一个简单的答案…)
微软就如何降级域控制器和执行AD和DNS的迁移提供了非常通用的,易于Googleable的 Bingable指导,但我不会打扰链接到他们,也不会假装他们解决您的具体问题,因为微软显然不能为每个不同的组织环境logging每个具体案例。
所以,像我们这样的系统pipe理员/工程师,只需要我们自己的专业知识和经验就可以填补这个空白,微软并没有为我们写一个特殊的脚本,这就是我们的价值所在。
我可以给你举一个例子,我们已经做了一些事情来解决这个问题,因为我也在跨越几十个甚至更多的域控制器的工作环境中工作,不同的AD森林在同一个networking上共处,非Windows设备也在消耗来自同一个数据中心的DNS服务等等。迁移到新的数据中心,迁移到新的数据中心,需要迁移到新的硬件或新的操作系统版本,以及简单的旧的商业政治都是可能的原因,我们需要停用域控制器可能仍在使用中。 当你有多个使用这些DC / DNS服务器的异构组织时,通常是在退役域控制器之前,重新configuration每个客户端(其中许多可能不受你的控制),这是一个艰苦的过程,涉及项目经理,门票到其他可能需要几天或几周才能工作的其他团队等。
所以这就是为什么我说我不认为有人可以给你这个问题的答案。 有一千种方法可以解决这个问题,有些方法会比其他方法更好,这取决于组织的结构和需求。
我们在这个问题面前所做的一件事就是为每个数据中心制作一个VIP,并将该数据中心内的所有域控制器集中在该VIP后面。 (这个VIP只用于DNS服务,原因很明显,我不是在讨论负载平衡的Kerberos和LDAP。)这样,客户端可以configuration为使用那个VIPparsing器,我们可以自由添加和拿走这个VIP后面的域控制器,无论何时何地。
但是,你不是在问题面前…所以给你提供的选项:
将传出DC的IP地址添加到新的DC,并确保DNS正在侦听该地址。
降级旧DC,在其上留下DNSangular色,并将全局DNS转发器configuration到新服务器。
我会select#1选项,因为您的目标是尽快淘汰旧服务器,而选项#2不能帮助您摆脱旧的服务器。 使用选项#2,服务器的存在仍然是必要的。 我也不会和Mathias R. Jessen提出的存根区域的build议,因为再一次,你仍然必须离开旧的服务器到位和服务,这是不利于你的最终目标。
使用第一种方式,尽可能地丑陋,您可以退休旧服务器,为您的公司节约成本,避免在该数据中心支付另一个月的租金,并获得如此优秀员工的奖励。
编辑:想想我们的聊天多一点,我想我可能已经把自己的需求投射到你身上了,因为我现在对某些东西有ASAP的要求,所以在我心中是新鲜的。 这听起来像你没有太多的立即要求尽快closures服务器。
这就是说,我不会改变我的build议,因为我仍然会更喜欢这个build议。 将过多的IPjoin到现有的域控制器中,在过去非常类似的情况下,对我来说效果不错,而且我宁愿这样做,也不愿意在服务器上留下一个奇怪的残余附属物,而且这个附属体在那里呆了很长时间。
通往Active Directory地狱的道路是用临时绷带铺设的。 为新的DC和DNS服务器分配一个已经中断或将要中断的DNS服务器的IP地址是一个临时绷带。
正如在评论中提到的@gravyface,在理想情况下,您可以更改所有DHCP作用域和静态configuration,以在完全断开旧DC之前将客户端DNS首选项更新为新IP,而不是旧IP。
我明白,确保所有的客户端已经重新configuration不一定是可能的,但我当然认为选项2(转发整个命名空间)是最不讨厌的选项。
除了让旧服务器转发请求之后,我还是build议在DNS服务器上启用debugging日志logging来传入请求,这样不仅可以评估客户端是否仍然指向旧的DNS服务器,识别所述客户。
话虽如此,我想你已经错过了明显的第三个选项: 存根区域 !