none
Переименование домена. Возможны ли грабли? RRS feed

  • Общие обсуждения

  • Добрый день!
    Как всегда Родина сказала "надо", а партия отвечает "есть". :-) А именно, дали задание подготовить план переименования домена, отсюда вопросы.
    Что сейчас есть:
    AD: функциональный уровень windows 2000 native, доменный корень DFS.
    DC1: win2k, все роли FSMO, DNS, включен в DFS
    DC2: win2k, несёт GC, DNS
    DC3: win2k3, несёт GC, DNS (Филиал)
    File server: win2k3, включен в DFS, CA Enterprise
    Что будем делать:

    1.    DC1 обновим до win2k3, позволяет

    2.    DC2 исключим, обновление не возможно из-за железа.

    3.    Поднимем функциональный уровень домена до windows 2003

    4.    Поднимем функциональный уровень леса до windows 2003

    5.    Запустим rendom с выделенного сервера (control station), оставляя включенными рабочие станции

    6.    Запустим gpfix с выделенного сервера (control station)

    Вопросы:
    Очень хочется узнать возможные пути отката на каждом шаге. Возможно ли авторитарное восстановление AD на шагах с 3 по 6?
    Вообще, какие могут быть «грабли»?

    Green
    19 февраля 2009 г. 12:05

Все ответы

  •  По поводу домена 2000 читайте: http://support.microsoft.com/kb/292541
    т.е. вам придётся все контроллеры домена понижать до рядовых серверов и очень много нехороших вещей делать. А так же, CA вам вряд ли позволит изменить имя домена, поскольку это поддерживается только при уровне домена 2003 Native. Следовательно вам придётся с нуля переинсталлировать CA после переименования домена.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 12:12
  • Я делал так: снимаем имидж с DC (с обоих) и в процессе переименования не вносим ни каких изменений в AD. Далее выполняем процедуру переименования, как рассказано в соответствующей доке на сайте МС. Проверяем, все ли получилось. У меня и на полигоне и на живой системе только DCs не захотели подхватить новый суффикс DNS (я переименовывал плоское имя в имя.локал). Поэтому единственно отступление от доки, что пришлось выполнить, это добавить суффикс вручну.
    После переименования домена дайте ему поработать недельку-две. Посмотрите. Если все ок, то выполните завершающую команду переименования. К сожалению, я не готов вспомнить ее синтаксис, но в доке она отмечена. До ее выполнения обратимость процедуры сохраняется.
    ЗЫ. Но все же снятие имиджа мне кажется более надежным средством сохранения системы

    А лучше всего полигон. Собираете аналогичную среду и тренируетесь. Сейчас есть средства виртуализации существующих систем.
    19 февраля 2009 г. 12:15
  • а вот имиджы (образы) тут как раз вредны, поскольку если в сети более одного контроллера, то при восстановлении можете схлопотать USN Rollback.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 12:17
  • Наверно имеется ввиду rendom /end
    Но какже фиксить gpfixup  для  Groupe Policy и dfsutil для DFS, они же делаются после?

    Green
    19 февраля 2009 г. 12:22
  • afaik, утилита rendom работает только в 2003, а мы говорим про домен с контроллерами windows 2000 server.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 12:25
  • Alexey Enin написал:

    Наверно имеется ввиду rendom /end
    Но какже фиксить gpfixup  для  Groupe Policy и dfsutil для DFS, они же делаются после?


    Green


    Нет, это лишь окончание процесса переименования, но не удаление данных о предыдущем домене. это делается командой, в которой, на сколько я помню, присутствует слово clear или очень похожее

    19 февраля 2009 г. 12:26
  • Vadims Podans написал:

    а вот имиджы (образы) тут как раз вредны, поскольку если в сети более одного контроллера, то при восстановлении можете схлопотать USN Rollback.


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Мы не знаем структуру сайтов. если контроллеры в разных сайтах, то ни чего страшного. В любом случае, переименование домена не простая процедура, что бы к ней не готовиться. В конце концов, процедуру восстановления лучше отработать на полигоне
    19 февраля 2009 г. 12:28
  • Vadims Podans написал:

    afaik, утилита rendom работает только в 2003, а мы говорим про домен с контроллерами windows 2000 server.


    [тут могла быть ваша реклама] http://www.sysadmins.lv



    Мы не говорим о windows 2000! Читайте внимательно. Мы обновляемся до 2003 сервера.
    Green
    19 февраля 2009 г. 12:30
  • судя по первому топику я могу предположить, что как минимум 2 контроллера находятся в одном сайте. С образами вы заимеете больше проблем, чем без него. Я бы предложил использовать ntbackup и никаких потусторонних образов. Это более гарантировано и единственное поддерживаемое решение со стороны MSFT. И всё-таки, мне кажется, что проще будет просто смигрировать в другой домен, чем переименовывать текущий, учитывая специфику имеющегося домена.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 12:32
  • Alexey Enin написал:

    Vadims Podans написал:

    afaik, утилита rendom работает только в 2003, а мы говорим про домен с контроллерами windows 2000 server.


    [тут могла быть ваша реклама] http://www.sysadmins.lv



    Мы не говорим о windows 2000! Читайте внимательно. Мы обновляемся до 2003 сервера.
    Green



    ах, простите, не заметил. Тогда вам нужно в первую очередь решить вопрос с CA, а потом уже и остальное.
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 12:33
  • Vadims Podans написал:

    судя по первому топику я могу предположить, что как минимум 2 контроллера находятся в одном сайте. С образами вы заимеете больше проблем, чем без него. Я бы предложил использовать ntbackup и никаких потусторонних образов. Это более гарантировано и единственное поддерживаемое решение со стороны MSFT. И всё-таки, мне кажется, что проще будет просто смигрировать в другой домен, чем переименовывать текущий, учитывая специфику имеющегося домена.


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Предположить можно все, что угодно.
    С образами проблем не будет. И восстанавливают они систему значительно быстрее, чем ntbackup. Но это мое мнение, я не настаиваю.
    Миграция замечательное решение. Только объем работы вырастет в геометрической прогрессии.
    19 февраля 2009 г. 12:38
  • Sudden Death написал:

    Vadims Podans написал:

    судя по первому топику я могу предположить, что как минимум 2 контроллера находятся в одном сайте. С образами вы заимеете больше проблем, чем без него. Я бы предложил использовать ntbackup и никаких потусторонних образов. Это более гарантировано и единственное поддерживаемое решение со стороны MSFT. И всё-таки, мне кажется, что проще будет просто смигрировать в другой домен, чем переименовывать текущий, учитывая специфику имеющегося домена.


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Предположить можно все, что угодно.
    С образами проблем не будет. И восстанавливают они систему значительно быстрее, чем ntbackup. Но это мое мнение, я не настаиваю.
    Миграция замечательное решение. Только объем работы вырастет в геометрической прогрессии.



    я бы не был столь категоричен:
    http://support.microsoft.com/kb/875495
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 12:41
  • Даже с образами нужно будет делать принудительное восстановление. А миграция...Во время миграциии мы потеряем профили на десятках рабочих станций и серверах, а еще, как мне кажется есть шанс потерять доступ к файлам.
    Green
    19 февраля 2009 г. 13:07
  • http://technet.microsoft.com/en-us/library/cc974406.aspx
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 13:16
  • Alexey Enin написал:

    Даже с образами нужно будет делать принудительное восстановление. А миграция...Во время миграциии мы потеряем профили на десятках рабочих станций и серверах, а еще, как мне кажется есть шанс потерять доступ к файлам.


    Green


    Почему так категорично про принудительное восстановление ? Вы постоянно манипулируете объектами и их свойствами ? Разве нельзя это отложить ? В конце концов, переименование можно сделать в выходной день. Что именно вызывает у вас отвращение к снятию образа ?
    19 февраля 2009 г. 13:38
  • по поводу образов парой постов выше я написал, почему они мне не нравятся. (там ссылка есть).
    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 13:44
  • Vadims Podans написал:

    по поводу образов парой постов выше я написал, почему они мне не нравятся. (там ссылка есть).


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Почитал. Тогда мне не нравятся не бронированные корпуса серверов. Когда их выбрасываешь в окно, они не сохраняют работоспособность в большинстве случаев

    19 февраля 2009 г. 13:49
  • Прочитали? Судя по практике на это нарываются более, чем в 90% случаев при восстановлении сервера, если в сети более 1 контроллера. А вот ntbackup, хоть он и медленней, но он лишён этих проблем. Но вам, я смотрю, виднее, "тыщу раз так делал и всё работало". Удачи.


    [тут могла быть ваша реклама] http://www.sysadmins.lv
    19 февраля 2009 г. 13:53
  • Sudden Death написал:

    Alexey Enin написал:

    Даже с образами нужно будет делать принудительное восстановление. А миграция...Во время миграциии мы потеряем профили на десятках рабочих станций и серверах, а еще, как мне кажется есть шанс потерять доступ к файлам.


    Green


    Почему так категорично про принудительное восстановление ? Вы постоянно манипулируете объектами и их свойствами ? Разве нельзя это отложить ? В конце концов, переименование можно сделать в выходной день. Что именно вызывает у вас отвращение к снятию образа ?



    Вы имеете ввиду, что образы нужно сделать для всех домен контроллеров, заморозив состояние таким обарзом?
    Еще для меня не понятный вопрос касательно ДНС, зону нужно создавать новую, или она сама будет создаваться? А еще с DFS, там утилита меняет как днс-имя, так и Небиос-имя?
    Еще, что делать с CA?
    Green
    19 февраля 2009 г. 13:54
  • Vadims Podans написал:

    Прочитали? Судя по практике на это нарываются более, чем в 90% случаев при восстановлении сервера, если в сети более 1 контроллера. А вот ntbackup, хоть он и медленней, но он лишён этих проблем. Но вам, я смотрю, виднее, "тыщу раз так делал и всё работало". Удачи.


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    У вас явный перекос в желание видеть то, что хотите, а не в то, что есть на самом деле. Если вам кажется, что кто либо умнее вас, то это может быть и на самом деле так.
    19 февраля 2009 г. 13:55
  • А как вот тут можно откатить, до выполнения rendom /clean ?
    Green
    19 февраля 2009 г. 13:57
  • Sudden Death написал:

    Vadims Podans написал:

    по поводу образов парой постов выше я написал, почему они мне не нравятся. (там ссылка есть).


    [тут могла быть ваша реклама] http://www.sysadmins.lv


    Почитал. Тогда мне не нравятся не бронированные корпуса серверов. Когда их выбрасываешь в окно, они не сохраняют работоспособность в большинстве случаев



    В окно серверы выбрасывают куда реже, чем происходит изменение USN.
    Можете провести эксперимент: поставите на виртуалке два DC и ничего более, дайте им полностью прореплицироваться, и посмотрите (repadmin /showvect ) последние номера USN на них.
    Запомните эти эти числа. Теперь повторите через часок и посмотрите, что получится. У меня, например, эти самые последние USN сдвинулись на пару десятков номеров. Для того, чтобы система обнаружила USN Rollback и вывалилась из репликации, этого достаточно более чем.
    Короче, если уж Вам так хочется иметь проблемы, то создавайте их только самому себе, не надо давать советы, приводящите к проблемам у других людей.
    PS Если уж Вы так любите образы, то делайте перед снятием образа резервную копию SystemState (это делается быстро), а после восстановления из образа загрузитесь в режиме восстановления AD и восстановите SystemState. При таком подходе USN Rollback не возникнет.



    War is peace, freedom is slavery, ignorance is power
    19 февраля 2009 г. 15:27