none
Миграция контроллера домена с 2012R2 на 2008 RRS feed

  • Общие обсуждения

  • Доброго времени суток. Есть необходимость перенести контроллер домена с WinServ2012R2 Standart на WinSer2008R2 Standart. Имеется ли такая возможность и где почитать информацию? Цель -  миграция служб DNS, DHCP и AD для сохранения работоспособности локальной сети организации и авторизации пользователей на сетевых ресурсах в локальной сети. 

    2012тый понадобился для других целей, новую лицензию покупать нет финансовой возможности, но есть лицензии на 2003тий и 2008мой, которые с данной задачей вполне справятся. Можно конечно создать всё заново, но очень уж не хочется тратить на это время. Заранее спасибо за ответ.

    16 декабря 2015 г. 12:43

Все ответы

  • "Перенести" контроллер домена невозможно ни в каком сценарии. Можно только ввести в домен новый сервер, сделать его вторым КД, передать туда роли, затем первый понизить и использовать по другому назначению.

    Ответ на поставленный вами вопрос зависит от того, в каком режиме сейчас находятся ваш лес и домен. Если в режиме 2008 R2 и более старом, то новый КД на базе этой ОС ввести можно. Если в режиме 2012 R2, как это предлагается по умолчанию при развертывании нового леса на базе этой ОС, то ввести новый КД на базе устаревшей ОС нельзя.

    Однако вам вовсе незачем избавляться от КД на базе 2012 R2 Standard. На деле эта позиция содержит ДВЕ лицензии на запуск 2012 R2 в виртуальных машинах на одном хосте. В предположении, что речь идет о физическом сервере, добавьте на ваш КД роль Hyper-V, разверните в ней ВМ с новым экземпляром 2012 R2, создайте там новый КД, перенесите туда все остальные роли со старого КД и понизьте старый КД, превратив его в хост виртуализации в чистом виде. Потом разверните на том же хосте еще одну ВМ с той же ОС и уже в ней делайте все, что заблагорассудится.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    16 декабря 2015 г. 12:56
  • Тоесть я правильно понял что по одной лицензии 2012 R2 Standard можно развернуть на виртуальной машине два экземпляра 2012 R2 Standard и активировать их одним и тем же ключом активации? Если это так, то  конечно же спасибо за подобную информацию, только вот проблема - у меня сервера должны быть физически разными. :) Можно ли 2012 установить в режиме 2008 и ввести его в домен который в режиме 2012того? Если нет то грусть и печаль - придётся поднимать всё на 2008-мом с нуля.

    Может есть способ передать учётные записи пользователей и компьютеров контроллеру домена из другого леса? например у меня xxxx.ru а я создам xxxx.local

    16 декабря 2015 г. 13:04
  • 1. Да, вы правильно поняли. 1 лицензия Windows Server 2012 RTM/R2 = 2 экземпляра ОС в виртуальных машинах на одном хосте (независимо от среды виртуализации).

    2. Если нужно разносить ВМ по физическим серверам, то увы, лицензия этого не допускает. В этом случае смотрите первую часть моего ответа. В Active Directory Users & Computers щелкните на названии домена и выберите Raise domain functional level. В диалоговом окне система покажет вам текущий уровень домена. Если он 2008 R2 или более старый, то можете создавать новый КД на базе устаревшей ОС. Если 2012/2012R2, то остается только развертывать новый КД с нуля и мигрировать содержимое старого с помощью ADMT.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    16 декабря 2015 г. 13:15
  • Спасибо за ответ. Буду курить ADMT. Ман на русском на этого зверя есть?
    16 декабря 2015 г. 13:21
  • смотрим уровни функционирования леса\домена

    - если 2012 или 2012R2 - тогда смотрим что из этого функционала реально задействовано (понижение допустимо только если плюшки текущего уровня не используются)

    16 декабря 2015 г. 13:27
  • Уровень леса и домена сначала проверьте.

    На 2012R2 эти уровни можно изменить командлетом и обеспечить совместимость с 2008 R2. И не надо ADMT.


    Сазонов Илья

    https://isazonov.wordpress.com/

    16 декабря 2015 г. 13:28
    Модератор
  • из плюшек используются только DNS, DHCP и AD в качестве авторизации пользователей. Политики стандартные. По сути это просто сервер авторизации на сетевых ресурсах. Режим леса к сожалению 2012R2
     
    16 декабря 2015 г. 13:30
  • ну если ничего из модного функционала AD 2012 не задействовано тогда вопрос номер раз:

    Вы уже делаете бакапы или еще нет?

    короче сделайте нормальный бакап.

    потом по статейке http://social.technet.microsoft.com/wiki/contents/articles/26377.downgrade-domain-functional-level-from-2012-r22012-to-2008r22008.aspx отдаунгрейдите уровни

    затем поставьте второй DC на 2008, передайте FSMO, выведите первый.

    16 декабря 2015 г. 13:46
  • бэкапы генерятся ежедневно :) вопрос в том, что Вы называете " нормальный бакап"?
    16 декабря 2015 г. 13:50
  • есть 3 типа админов:

    одни еще не делают бакапы

    вторые уже делают бакапы

    третьи таки проверяют что из бакапов можно восстановить нужное :-)

    16 декабря 2015 г. 14:03
  • Проверочное восстановление базы AD из бэкапа в продуктиве с одним КД - мсье знает толк в экстриме. ;)

    Но я бы не стал понижать уровень леса/домена независимо от наличия бэкапов. Категорически бы не стал. Пара часов, сэкономленных на миграции на данном этапе, могут аукнуться серьезными неприятностями и многими часами простоя в будущем.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    17 декабря 2015 г. 5:06
  • Спасибо за ответ. Буду курить ADMT. Ман на русском на этого зверя есть?
    Насчет русского не в курсе, я предпочитаю английские версии. Гугление по словам "миграция admt" выдает кучу ссылок на русскоязычные статьи и заметки по данному вопросу. Но там особенно нечего осваивать. Настраиваете доверительные отношения между доменами, мигрируете учетки пользователей, переводите ПК - все, собственно. Привязка локальных пользовательских профилей к новым учеткам может выполняться, например, с помощью Profile Wizard.

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    17 декабря 2015 г. 5:09
  • Проверочное восстановление базы AD из бэкапа в продуктиве с одним КД - мсье знает толк в экстриме. ;)

    Но я бы не стал понижать уровень леса/домена независимо от наличия бэкапов. Категорически бы не стал. Пара часов, сэкономленных на миграции на данном этапе, могут аукнуться серьезными неприятностями и многими часами простоя в будущем.


    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    начнем с того что продакшен с одним кд эту уже само по себе тот еще экстрим.

    А утверждать о наличии бакапа ни разу не удосужившись проверить возможность восстановления с него - тоже как то не айс.

    А почему такое неприятие понижения уровня функционирования? Детские страхи или неприятный опыт сын ошибок трудных?

    У меня вот тоже были глюки при миграции больших доменов с помощью ADMT и чо терь? Зубов бояться, в лес не ходить :)

    >> Пара часов, сэкономленных на миграции

    я бы точно не стал доверять миграции сделанной за 2 часа, разве что это домен из двух с половиной машин :))

    17 декабря 2015 г. 14:24
  •  Но там особенно нечего осваивать. Настраиваете доверительные отношения между доменами, мигрируете учетки пользователей, переводите ПК - все, собственно. Привязка локальных пользовательских профилей к новым учеткам может выполняться, например, с помощью Profile Wizard.

    блин и чо мы месяцы, а то и полгода домены мигрим? с оценкой рисков, изучения инфраструктуры и прочего...В следующий раз обязательно к вам обратимся, а чо за пару часов хуякс-хуякс и в продакшен... там же и изучать\осваивать нечего...

    Политики например мигрировать Пушкин будет? Ресурсы? Всю остальную лабуду вы с сид хистори потащите?

    а потом вы домен будете переименовывать или еще одну миграцию предложите?

    и вообще в ТЗ сказано Цель -  миграция служб DNS, DHCP и AD для сохранения работоспособности локальной сети организации и авторизации пользователей на сетевых ресурсах в локальной сети. 

    таки всетаки может поинтересоваться что там таки есть?

    17 декабря 2015 г. 14:38
  • Понижение роли леса и домена частично связана с проблемой миграции на UNIX под управлением SAMBA 4.1. Эта тварь держать АД уровня 2012 ещё не умеет. а при создании инфраструктуры никто не озадачился данным фактом при наличии уже существующих серверов на UNIX.
    18 декабря 2015 г. 7:40

  • таки всетаки может поинтересоваться что там таки есть?

    Там таки есть сетевые ресурсы которые находятся как на WIN Server так и на UNIX Server, причём по ТЗ один из Unix является резервным КД для DNS, DHCP и AD для сохранения работоспособности локальной сети организации и авторизации пользователей на сетевых ресурсах в локальной сети если вдруг  к WIN серверу подкрадётся писец :) Так же это связано с использованием некоторых бесплатных плюшек от UNIX, которые в среде WIN стоят кучу денег. Но вот проблемка - SAMBA пока не умеет держать лес и схему 2012того. только 2008гоR2 и ниже
    Как вариант после рассмотрения Ваших ЦУ вижутакой вариант

    1. Поднимаем на виртуальной машине АД на схеме 2012 и делаем репликацию с реального сервера, переводим локальную сеть на виртуальную.

    2. С помощью данной инструкции "http://social.technet.microsoft.com/wiki/contents/articles/26377.downgrade-domain-functional-level-from-2012-r22012-to-2008r22008.aspx" понижаем уровень на виртуалке до 2008.

    3. Присоединяем к АД на виртуалке сервер на UNIX, делаем миграцию. 

    4. в случае успеха выводим существующий реальный сервер из схемы заменив его на виртуальные серваки под WIN и UNIX.

    5. делаем миграции с виртуальных  на физические сервера.

    6. Пьём пиво...  ;)


    18 декабря 2015 г. 7:46
  • В силу отсутствия у заказчика финансов на оборудование для реализации полигона для админа приходится относится к второй части с параноидальными наклонностями - бэкапим ВСЁ и КАЖДЫЙ ДЕНЬ. :) Пока спасало. :)

    Анекдот:

    Первым делом наш новый админ сделал бэкап бэкапов. Тяжёлая видать была у мужика жизнь...

    18 декабря 2015 г. 8:17
  • Спасибо за совет. Буду пробовать.
    18 декабря 2015 г. 8:21
  • > начнем с того что продакшен с одним кд эту уже само по себе тот еще экстрим.

    Это само собой. :) Но встречается не так уж и редко, особенно если у заказчика стоит SBS.

    > А утверждать о наличии бакапа ни разу не удосужившись проверить возможность восстановления с него - тоже как то не айс.

    Ну, по моему опыту, бэкап, регулярно делаемый стандартными средствами, еще никогда битым не оказывался. Не все копии одновременно, во всяком случае (мы же говорим о нескольких копиях, нэ?)

    > А почему такое неприятие понижения уровня функционирования? Детские страхи или неприятный опыт сын ошибок трудных?

    Эта процедура до недавнего времени была невозможной, а сейчас все еще проходит по категории нестандартных. С такими вещами, как AD, в подобные игры лучше не играть. Можете считать, что это сын ошибок трудных, пусть и не в точно такой ситуации. ;)

    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 6:36
  • Миграция c AD на Samba? У-у, как у вас все запущенно...  Госконтора и директива переходить на отечественное?



    Evgeniy Lotosh // MCSE: Server infrastructure, MCSE: Messaging

    21 декабря 2015 г. 6:38