locked
請教AD機器平行移轉問題 RRS feed

  • 問題

  • 因為需要汰換舊機器,想請教關於AD平行移轉的問題~

    AD-1:Windows 2008 R2,舊機器,擁有五大角色、GC、DNS、憑證服務

    AD-2:Windows 2008 R2,機器已加入到 AD-1 網域裡,並成為GC

    在加入網域後,大約等待72小時以上,在 AD-2下指令:repadmin /showrepl,有確認是沒有錯誤訊息的~

    若要準備將 AD-2 取代 AD-1,不知下列的執行步驟是否正確呢?

    (1)在AD-1,憑證服務停止,備份憑證CA資料庫、KEY與登錄檔

    (2)在AD-2,安裝AD憑證服務角色,還原憑證CA資料庫、KEY與登錄檔

    (3)在AD-1,移除AD憑證服務角色,重開機

    (4)在AD-1,DNS服務停止,備份DNS登錄檔與資料夾

    (5)在AD-2,DNS服務停止,還原AD-1的DNS登錄檔與資料夾,DNS服務啟動

    (6)在AD-2,將五大角色從AD-1轉移過來

    (7)在AD-1,從 GC 改為 DC

    (8)因為顧慮其他Client端電腦有寫DNS IP,所以要將 AD-1 與 AD-2 的IP對調

    (9)AD-1 與 AD-2 的主機名稱對調

    (10)將舊主機關機,觀察一至二星期後,再降級為成員伺服器

    另外,上述的步驟,是否哪個步驟需要再等待24小時以上的資料抄寫呢?不知哪個步驟可在上班時間執行也不影響使用者呢?

    第一次作平行移轉所以比較多想詢問的問題 ^^" 感謝唷!


    • 已編輯 米嵐 2017年12月6日 上午 09:02
    2017年12月6日 上午 08:53

解答

  • 不需要特別停用 DNS 服務,
    接不接手不是主機端的問題,
    而是用戶端電腦在找不到第一台 DNS 時,
    就自然會去嘗試找第二台

    另外,同網域中還有其他兩台,
    其實也不太需要特別將 AD-1 關機觀察,
    除非 AD-1 上面有不清楚的服務或軟體被安裝


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 米嵐 2017年12月8日 下午 03:21
    2017年12月8日 上午 01:55
    版主

所有回覆

  • 您好,

    1.AD1保留憑證服務,電腦名稱及IP不變.

    2.AD2成為網域控制站+DNS後,將五大角色及GC 移轉至AD2

    3.用戶端的DNS IP重新指向AD2 IP,並且驗證登入網域及使用是否正常?

    4.AD1 DCPROMO降級成網域成員伺服器後.繼續提供憑證服務使用.因為不建議憑證服務與AD在同一台運作(經驗談).

    以上四點,輕鬆移轉AD降低風險.

    未來,有新設備時,再將憑證服務移轉至新伺服器中,或者重新安裝佈署憑證服務也是可以的,至少降低移轉風險吧!

    提供您參考,

    希望對您有所幫助

    謝謝.

    2017年12月6日 上午 09:39
  • 您好,

    感謝您的解答~ 其實還有二台AD slave主機,但這次是要把AD master主機作汰換

    如您所說,憑證服務不與AD其他服務放在同一台,請問可以將憑證服務移轉到其他slave主機嗎?

    會想要將電腦名稱與IP對調的原因是有許多server、computer、其他設備服務,都有直接指定AD IP,如果不對調的話,怕會造成更多問題@@

    2017年12月6日 上午 10:06
  • 1. 憑證服務建議與 AD 服務角色拆開
    2. 憑證服務可以移轉到其他台非 DC 的網域成員伺服器沒問題
    3. AD-2 不用特別備份移轉 DNS 資料,預設就會自行複寫同步
    4. 主機一旦成為 DC 就不建議更名,即便微軟有提供文件說明方法,頂多做 IP 更換即可


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    2017年12月6日 上午 11:51
    版主
  • 感謝回覆~~~

    請問DNS直接從AD-1停止服務,AD-2會自動接手嗎?這個DNS轉移的步驟是否依然在五大角色轉移之前處理呢?

    集結大家提供的建議,調整了一下步驟:

    (1)在AD-1,DNS服務停止
    (2)在AD-2,將五大角色從AD-1轉移過來
    (3)在AD-1,從 GC 改為 DC
    (4)將 AD-1 與 AD-2 的IP對調
    (5)因為還有其他2台同網域的GC在運作,將舊主機先關機,觀察一至二星期後,再降級為成員伺服器

    上述的步驟是否就比較沒問題了呢?

    2017年12月7日 上午 10:23
  • 不需要特別停用 DNS 服務,
    接不接手不是主機端的問題,
    而是用戶端電腦在找不到第一台 DNS 時,
    就自然會去嘗試找第二台

    另外,同網域中還有其他兩台,
    其實也不太需要特別將 AD-1 關機觀察,
    除非 AD-1 上面有不清楚的服務或軟體被安裝


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案

    • 已標示為解答 米嵐 2017年12月8日 下午 03:21
    2017年12月8日 上午 01:55
    版主
  • AD-1可能還是會需要關機觀察,感謝各位的回覆吶~~~

    2017年12月8日 下午 03:26