none
Возможна ли смена IP подсети в Active Directory ??? RRS feed

  • Вопрос

  •  

    Ситуация такая - живет себе спокойно Active Directory  (режим работы леса - Windows 2003) . Есть корневой DC, есть дочерние домены. Все крутится на Windows2003 R2 SP2.  В предприятии используется подсеть класса 172.19.0.0.  И стала задача поменять подсеть на 10.100.0.0

    Понятно, что надо поменять записи в DNS. Сменить IP адреса на сетевых картах  Контроллеров доменов тоже не сложно. Но хочется на всякий случай убедиться - а можно ли у контроллеров менять IP. Может он жестко прописывается куда-нибудь при первой инсталяции. Или возможно на основе IP  генерируется при установке AD какой-нибудь уникальный ID....

     

    Вообщем как быть - возможно ли смена IP у "Контроллеров домена" ?

    4 апреля 2008 г. 9:03

Ответы

  •  

    Можно, но осторожно.

     

    Процедура примерно такая:

    1. Обрабатываемый DC (далее просто DC) должен успешно отреплицироваться. Это надо обязательно проверить с помощью ntdsutil
    2. Смотрим в свойствах сетевого интерфейса, на какой DNS ходит DC. Если он ходит сам на себя - это нехорошо. Сервис DNS а этом DC нужно застопорить и нацелить на другой DNS.
    3. Убить объекты NTDS, связывающие DC с другими контроллерами.
    4. Заменить адрес на сетевом интерфейсе.
    5. Остановить DC. 
    6. Относящиеся к DC записи убить на DNS.
    7. Запустить DC.
    8. На DNS-сервере проверить наличие новых записей, относящихся к DC. (При настройках по умолчанию - включена авторегистрация на DNS-сервере.)
    9. Обязательно подождать минут 20.
    10. Запустить KCC.
    11. Проверить NTDS-объекты.

    И так далее с каждым контроллером.

     

    Ну и помнить надо, чтобы DNS на DC реплицируется благодаря NTDS-объектам. Так что внимательно надо смотреть и соображать, где чего застопить/запустить/отреплицировать/проверить. 

    4 апреля 2008 г. 13:24

Все ответы

  • Нет. Жесткой привязки нет. Однако это надо делать осторожно, что бы не нарушить процессы репликации.

    Делать это надо последоватьельно и смотреть в первую очередь на структуру DNS. И не забыть добавть новые подсети в сайты.

     

    4 апреля 2008 г. 9:15
    Модератор
  • Согласен,смена ip на dc возможна, но могут возникнуть проблемы. Поэтому надо продумать все шаги и возможные последствия от этих действий.
    Если поводом для смены адресации служит увеличение адресов, то быть может лучше прибегнуть к межклассовой маршрутизации и уменьшить маску, оставив прежние адреса?

    4 апреля 2008 г. 9:22
  •  

    Причиной является не увеличение адресов, а подгонка под другую подсеть другой организации

    Вот возможные последсвия меня и итересуют..... Smile

     

    А что значит последовательно ?

    Надо начинать к примеру с корневого контроллера домена (леса) и соответсвенного его DNS. Или возможно наоборот с дочерних, а корневой в конце ??

     

    4 апреля 2008 г. 9:36
  • Т.к. сайт судя по всему у вас один, то я бы пошёл по одному из следующих путей
    1. Выбрать в дочернем домене контроллер,который не выполняет ролей в рамках домена и не является GC
    2. Сделать полный бэкап

    далее
    Вариант1:
     3.Назначить контроллеру дополнительный(!) ip-адрес
     4. ipconfig /registerdns
     5. Проверить состояние dc netdiag, dcdiag и nslookup c какой-нибудь другой машины
     6. Если всё ок - убрать первый ip и сменить настройки dns на клиентах
    Вариант 2
     3. Добавить на клиентских машинах "новый" IP DC в акчестве вторичного dns
     4. Сменить ip
     5. Проверить состояние dc netdiag, dcdiag и nslookup c какой-нибудь другой машины
     6. Если всё ок  - поставить новый ip в качестве первичного dns на клиентских машинах

    В случае неполадок - либо обратная смена ip, либо (в худшем варианте) восстановление из бэкапа

    PS: сам я такую процедуру никогда не делал, поэтому всё вышесказанное только теория
     
    4 апреля 2008 г. 10:07
  •  

    Можно, но осторожно.

     

    Процедура примерно такая:

    1. Обрабатываемый DC (далее просто DC) должен успешно отреплицироваться. Это надо обязательно проверить с помощью ntdsutil
    2. Смотрим в свойствах сетевого интерфейса, на какой DNS ходит DC. Если он ходит сам на себя - это нехорошо. Сервис DNS а этом DC нужно застопорить и нацелить на другой DNS.
    3. Убить объекты NTDS, связывающие DC с другими контроллерами.
    4. Заменить адрес на сетевом интерфейсе.
    5. Остановить DC. 
    6. Относящиеся к DC записи убить на DNS.
    7. Запустить DC.
    8. На DNS-сервере проверить наличие новых записей, относящихся к DC. (При настройках по умолчанию - включена авторегистрация на DNS-сервере.)
    9. Обязательно подождать минут 20.
    10. Запустить KCC.
    11. Проверить NTDS-объекты.

    И так далее с каждым контроллером.

     

    Ну и помнить надо, чтобы DNS на DC реплицируется благодаря NTDS-объектам. Так что внимательно надо смотреть и соображать, где чего застопить/запустить/отреплицировать/проверить. 

    4 апреля 2008 г. 13:24
  • тааакс. есть вопросы Smile

     

    2  - у меня на DC (дочерних доменов) подняты DNS отвечающие за свои зоны. Соответсвеннов св-ах сетевого интерфейса DC - он смотрит сам на себя(на свой DNS) . Вопрос - на кого нацеливать тогда  ?

    3 Где убивать объекты NTDS ? вернее как - извините за вопрос,но я не особо разбираюсь в терминалогиях.Опыта мало

    10 что такое КСС и как его запускать ?

    11 ну  опять NTDS объекты - где и как их проверять

     

    Не все так просто чуствую будет....

     

    4 апреля 2008 г. 14:11
  • 2. оставьте всё как есть - пусть DC указывают на себя как на первичные DNS, как и рекомендует Microsoft. Все изменения в DNS отреплицируются на другие DC вместе с AD. Обратное ("перекрестный" DNS между двумя DC) обычно делается только для ускорения процесса загрузки DC

    3. имхо этого не следует делать - изменения подхватятся автоматически

    10. имхо и этого не следует делать. Сайт у вас один и KCC автоматически изменит топологию репликации,если потребуется (что маловероятно)

    11. см. п. 3

     

    5 апреля 2008 г. 6:17
  • 3 и 10 - чтобы всю работу сделать примерно за 45 минут и идти спокойно пить пиво

     

    :-)

    5 апреля 2008 г. 8:42
  •  

    по вопросу 2:

    • когда DC запускается, ему с самого начала очень нужен DNS-сервер, на котором про родной домен есть все-все-все
    • единственный способ гарантировать это - предоставить ссылку на нормально работающий DNS-сервер, в вашем случае это, наверное, еще один контроллер домена с поднятым сервисом DNS и интегрированной DNS-зоной, вот на него в сетевом интерфейсе и укажите
    • естественно, прямо перед загрузкой DC с новым IP-адресом лучше бы вручную убить записи со "старыми" IP-адресами этого DC, потому как в жизни всякое бывает и откуда ни возьмись, появляются DNS-record с дурацкими permissions

     

    по вопросу 3

    • убивать объекты можно в оснастке Active Directory Site and Services:
      выбрать нужный DC, далее выбрать объект NTDS Settings, а уже внутри него может быть несколько объектов  (обычно они все автоматически сгенерированные), каждый из которых отвечает за однонаправленную связь с другим контроллером домена

     

    по вопросу 10

    • KCC - это Knowledge Consistency Checker, механизм для (обычно автоматического) создания NTDS-объектов
    • Запускается оч. просто - выбрать объект NTDS Settings и в менюшке щелкнуть Check Replication Topology

     

    по вопросу 11

    самый простой (хотя и не дотошный способ) - выбрать объект NTDS Settings, в нем выбрать нужный NTDS-объект и в контекстном меню щелкнуть Replicate Now для принудительного запуска репликации вдоль по питерской. Если репликация загнется - системка вам скажет, что с данным NTDS-объектом проблемки и он не может обеспечить связь с другим контроллером.

    5 апреля 2008 г. 9:18
  • Поменял IP на контроллере домена. Поменял IP в обоих DNS. Перезагрузил оба контроллера. Проходит какое-то время и IP в DNS возвращается на старый. Контроллеров всего два.

    Кто меняет IP?


    http://zorion.ru
    16 ноября 2010 г. 5:44