none
Перенос главного контроллера домена RRS feed

  • Вопрос

  • Добрый день.

    Решили купить новый сервер . Встал вопрос о переносе на него главного контроллера домена. Хотелось бы узнать (желательно пошагово), как это осуществить.

    На данный момент есть:

    1. "ДС" - главный контроллер домена (его и надо переносить)

    2. "БДС" - резервный контроллер (реплицируется с главным)

    3. "Терм" - терминал-сервер

    4. "Экс" - exchange server 2003

    Я примерно прикинул план переноса сервера, но тут столько подводных камней, что хотелось бы спросить опытных лоцманов.

    Есть статья здесь , но мне не совсем понятно, например,

    - как перенесется Active directory.

    - как перенесутся установки для Excahnge Server

    23 марта 2010 г. 8:54

Ответы

  • Как же  надоели  эти главные контроллеры домена... До 2003 были PDC и BDC. Сейчас уже все контроллеры одинаковые.

    ну значит так по порядку:

    1. Поднимает новый контроллер домена для вашего домена, утилита dcpromo
    2. дожидаемся репликации, смотрим пару дней на это дело. Смотрим ошибки в event Log, запускаем Dcdiag - все тесты должны проходить
    3. На новом КД должна быть служба DNS
    4. На DHCP сервере добавляем новый DNS сервер для  раздачи IP
    5. Используем утилиту ndsutil для передачи FSMO ролей тут инструкция
    6. Смотрим, что бы все работало. В логах не должно быть ошибок
    7. Понижаем первый контроллер домена до рядового сервера. dcpromo
    ну вроде и все. Exchange у вас какой ? по идее он сам найдет все изменения.
    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    • Предложено в качестве ответа Bakanov Denis 23 марта 2010 г. 11:05
    • Предложено в качестве ответа Bakanov Denis 23 марта 2010 г. 11:05
    • Помечено в качестве ответа Vinokurov YuriyModerator 25 марта 2010 г. 7:43
    23 марта 2010 г. 10:30

Все ответы

  • Как же  надоели  эти главные контроллеры домена... До 2003 были PDC и BDC. Сейчас уже все контроллеры одинаковые.

    ну значит так по порядку:

    1. Поднимает новый контроллер домена для вашего домена, утилита dcpromo
    2. дожидаемся репликации, смотрим пару дней на это дело. Смотрим ошибки в event Log, запускаем Dcdiag - все тесты должны проходить
    3. На новом КД должна быть служба DNS
    4. На DHCP сервере добавляем новый DNS сервер для  раздачи IP
    5. Используем утилиту ndsutil для передачи FSMO ролей тут инструкция
    6. Смотрим, что бы все работало. В логах не должно быть ошибок
    7. Понижаем первый контроллер домена до рядового сервера. dcpromo
    ну вроде и все. Exchange у вас какой ? по идее он сам найдет все изменения.
    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    • Предложено в качестве ответа Bakanov Denis 23 марта 2010 г. 11:05
    • Предложено в качестве ответа Bakanov Denis 23 марта 2010 г. 11:05
    • Помечено в качестве ответа Vinokurov YuriyModerator 25 марта 2010 г. 7:43
    23 марта 2010 г. 10:30
  • 2. дожидаемся репликации

    Получается, что ДС должен уже реплицироваться сразу с  двумя контроллерами - БДС и ДСНью (новый поднятый)? Не будет ли конфликтов? Фактически я уже буду иметь 3 копии active directory

    3. На новом КД должна быть служба DNS

    Ну я ему предоставлю все роли, которые есть на старом КД

    4. На DHCP сервере добавляем новый DNS сервер для  раздачи IP

    Соответственно на всех машинах в локалке мне надо будет поменять адрес главного сервера ДНС (которым станет мой новый КД)?

    Exchange у вас какой ?

    2003

     

    На существующем КД есть куча расшаренных папок, которые я перенесу на новый КД. С правами доступа (permissions) более-менее ясно - это позволяет сделать утилита Robocopy. А вот как быть с шарами? Руками переносить или тоже есть спец. утилита?

    23 марта 2010 г. 10:49
  • так-с, у вас уже есть два ДС ? Проблем не будет, В сайте Active Directory должно быть минимум 2 контроллера домена (рекомендация Microsoft).

    ДС должен уже реплицироваться сразу с  двумя контроллерами

    ДА

    Соответственно на всех машинах в локалке мне надо будет поменять адрес главного сервера ДНС (которым станет мой новый КД)?

    Сами определяйте какие сервера у вас  будут работать как DNS. Все в ваших руках. минимум должен быть один. желательно  два.

    На существующем КД есть куча расшаренных папок, которые я перенесу на новый КД. С правами доступа (permissions) более-менее ясно - это позволяет сделать утилита Robocopy. А вот как быть с шарами? Руками переносить или тоже есть спец. утилита?

    Вообще  иметь общие папки на контроллере домена  не  является  лучшим из решений. контроллеры домена не должны выполнять больше никаких задач, кроме первоначальных.

    Какие шары ? Sysvol и netlogon появятся  сами. Остальное - ваши проблемы, как перенесете, так и будет.

     

    Все настройки для exchange хранятся  в Active Directory.

     


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    • Помечено в качестве ответа Vinokurov YuriyModerator 25 марта 2010 г. 7:43
    • Снята пометка об ответе Notsaint 25 апреля 2010 г. 8:19
    23 марта 2010 г. 11:04
  • Сами определяйте какие сервера у вас  будут работать как DNS. Все в ваших руках. минимум должен быть один. желательно  два.

    На данный момент у меня итак два: основной ДНС - ДС, альтернативный - БДС. Т.е. руками менять будем. Угу...

    не должны выполнять больше никаких задач

    Фактически еще одна роль - файл-сервер. Она же не требует супер-нагрузок

    В логах не должно быть ошибок

    Это только по Event viewer если отслеживать. Какие-нибудь дополнительные утилиты предусмотрены? Скажем, 2-3 дня (а то  неделю) , я работаю с тремя КД. Как мне отследить, что кто-то продолжает обращаться в старому КД за чем-либо?

    23 марта 2010 г. 11:13
  • Она же не требует супер-нагрузок

    тут дело не в нагрузке, просто не рекомендуется, что бы пользователи использовали как файл-сервер. В вашем случае -ничего критичного не случится.

    Мне хватает  дня на просмотр  ошибок. если нету, то понижаю Domain Controller до обычного сервера.

    Да, есть еще утилиты:

    1. DCdiag.exe
    2. netdiag.exe
    3. replmon.exe

     


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    23 марта 2010 г. 11:26
    1. DCdiag.exe
    2. netdiag.exe
    3. replmon.exe


    Ну это первые друзья админа - я с ними знаком :).

    Я имел в виду ситуацию: скажем компьютер в локалке обратился за чем-то к старому ДС. Тот ему или отказал (по причине пониженной роли), или предоставил (допущенная мной ошибка при переносе прав). Эти утилиты мне про это не скажут

    23 марта 2010 г. 12:06
  • необратится, что бы убедиться в  этом смотрите DNS сервер , а именно SRV записи. У вас не должно остаться записей, ссылающихся на старый Domain Controller. почитайте какие и для чего нужны тут

    Если не будет записей, то клиенты  банально не узнают об этом контроллере домена. Собственно, как и другие КД не узнают о соседях своих. DNS важная штука.

    У них может быть  в кэше информация, но при необходимости/недоступности они пере запросят DNS на начие КД


    Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос :-)
    • Помечено в качестве ответа Vinokurov YuriyModerator 25 марта 2010 г. 7:43
    • Снята пометка об ответе Notsaint 25 апреля 2010 г. 8:18
    23 марта 2010 г. 12:24
  • - 1 -

    По поводу SRV-записей.

    После переноса ролей контроллера домена (спустя 3 часа) файл netlogon.dns имеет вид (на новом сервере dcnew с ip=192.168.150.199)

    metal.local. 600 IN A 192.168.150.199
    _ldap._tcp.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.Default-First-Site._sites.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.e1058ed9-af82-4aee-804e-e7575bd73511.domains._msdcs.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    a52bdc5b-ff1f-4ecc-9390-a2bf459d29b6._msdcs.metal.local. 600 IN CNAME dcnew.metal.local.
    _kerberos._tcp.dc._msdcs.metal.local. 600 IN SRV 0 100 88 dcnew.metal.local.
    _kerberos._tcp.Default-First-Site._sites.dc._msdcs.metal.local. 600 IN SRV 0 100 88 dcnew.metal.local.
    _ldap._tcp.dc._msdcs.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.Default-First-Site._sites.dc._msdcs.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _kerberos._tcp.metal.local. 600 IN SRV 0 100 88 dcnew.metal.local.
    _kerberos._tcp.Default-First-Site._sites.metal.local. 600 IN SRV 0 100 88 dcnew.metal.local.
    _kerberos._udp.metal.local. 600 IN SRV 0 100 88 dcnew.metal.local.
    _kpasswd._tcp.metal.local. 600 IN SRV 0 100 464 dcnew.metal.local.
    _kpasswd._udp.metal.local. 600 IN SRV 0 100 464 dcnew.metal.local.
    DomainDnsZones.metal.local. 600 IN A 192.168.150.199
    _ldap._tcp.DomainDnsZones.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.Default-First-Site._sites.DomainDnsZones.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    ForestDnsZones.metal.local. 600 IN A 192.168.150.199
    _ldap._tcp.ForestDnsZones.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.Default-First-Site._sites.ForestDnsZones.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.pdc._msdcs.metal.local. 600 IN SRV 0 100 389 dcnew.metal.local.
    _ldap._tcp.gc._msdcs.metal.local. 600 IN SRV 0 100 3268 dcnew.metal.local.
    _ldap._tcp.Default-First-Site._sites.gc._msdcs.metal.local. 600 IN SRV 0 100 3268 dcnew.metal.local.
    gc._msdcs.metal.local. 600 IN A 192.168.150.199
    _gc._tcp.metal.local. 600 IN SRV 0 100 3268 dcnew.metal.local.
    _gc._tcp.Default-First-Site._sites.metal.local. 600 IN SRV 0 100 3268 dcnew.metal.local.

    Насколько я понял, именно в этом файле и больше нигде будут отражаться ошибки по поводу подключения. Или же еще где-то можно найти их следы? Ведь такие записи появляются (прочитано :) ) при попытке подключения рабочей станции к домену.

     

    - 2 -

    По поводу переподключения Exchange.

    Я практически безоговорочно уже доверяю Bakanov_Denis , однако "терзают смутные сомнения" по поводу самонахождения сервером новоиспеченного сервера DCNew. И вот почему.

    1) System Manager (Exchange) -> Recepients -> Recepients Update Service найдены ссылки конкретно указывающие на старый домен-контроллер. Требуется тут указание нового?

    2) На старом домен-контроллере в списке оснасток (mmc) присутствует оснастка Exchange Manager; также обнаружен каталог с установленными файлами от Exchange. Не возниакет ли ситуация, что во время установки Exchange Server он прописал что-то на старый домен-контроллер? Ведь автоматически на моем новом контроллере такой оснастки нет

    22 апреля 2010 г. 10:44
  • Все-таки хотелось бы уточнить - где именно должны находиться эти SRV-записи...
    25 апреля 2010 г. 8:20
  • Сам с собой я веду беседу видимо... :)

     

    А как быть с сертификатами, которые у меня остаются на старом контроллере? Достаточно ли будет экспорта со старого КД и импорта их на новом? Или же требуются другие телодвижения?

    26 апреля 2010 г. 6:12