Início / server / Perguntas / 902061
Accepted
shodanshok
Asked: 2018-03-17 09:32:40 +0800 CST

Migração do Active Directory do Windows 2003 para o Windows 2016

  • 772

Herdei uma instalação antiga do Active Directory baseada no Windows 2003 e tenho a tarefa de atualizá-la para padrões modernos. Eu fiz vários testes (com sucesso) em meu laboratório usando o plano abaixo, mas eu realmente quero uma verificação da realidade / sugestões de práticas recomendadas de outros especialistas na área.

Status atual: um domínio do Active Directory de modo misto do Windows-2000 de rótulo único em execução em uma instalação do Windows 2003. O componente DNS está sendo executado com atualizações dinâmicas não seguras.

Status de destino: migre para um domínio de nível do Windows 2012R2 em uma instalação do Windows 2016 (observação: o nível de destino do Windows 2012R2, em vez de 2016, deve-se ao fato de meu cliente ter outros servidores Windows 2012R2). A migração deve ser feita da forma menos disruptiva; de qualquer forma, como vou trabalhar nele durante um fim de semana, são aceitas interrupções de serviço curtas.

Advertências: embora o domínio de rótulo único esteja obsoleto, eu realmente preciso mantê-lo funcionando como está. Eu avaliei uma renomeação de domínio e/ou uma migração de domínio para um novo nome, mas eles simplesmente parecem pedir demais para o meu cliente.

Meu plano:

  • instale um novo servidor Windows 2016 e adicione-o, como um membro simples, ao domínio atual
  • aumentar o nível funcional da floresta/domínio atual para o Windows 2003
  • promova o novo servidor Windows 2016 para a função de Controlador de Domínio (com Catálogo Global)
  • rebaixar o servidor antigo (via dcpromo)
  • no novo servidor Windows 2016, use "Sites e serviços do Active Directory" para remover qualquer eventual sobra da operação de rebaixamento
  • no novo Windows 2016, use o "Gerenciador de DNS" para alterar o tipo de atualização dinâmica do DNS para "Somente seguro"
  • aumentar o nível funcional da floresta/domínio para o Windows 2012R2
  • alterar o endereço IP original do servidor antigo (por exemplo: de 192.168.1.1 para 192.168.1.2)
  • altere o endereço IP do novo servidor para corresponder ao antigo controlador de domínio (por exemplo: de 192.168.1.10 para 192.168.1.1). Observação: estou planejando fazer isso devido às configurações atuais de DHCP e às regras de firewall/VPN do gateway
  • migrar de FSR para DFSR (veja aqui e aqui )
  • instale outro servidor Windows 2016 em uma filial, adicionando-o como um novo Controlador de Domínio (com Catálogo Global).

Perguntas:

  • Estou perdendo algo importante?
  • Minha ideia de trocar o endereço IP do servidor antigo/novo para minimizar as alterações de firewall/VPN/DHCP é boa ou devo evitar isso?
  • Algo que eu deveria estar ciente?

ATUALIZAÇÃO: depois de muita discussão e testes, convenci meu cliente a mudar o nome de domínio . Eu fiz isso por meio do rendomutilitário, de acordo com as recomendações da Microsoft, e tudo correu bem (felizmente, não havia nenhum servidor Exchange local).

active-directory

3 respostas

  1. Best Answer

    enquanto o domínio de rótulo único está obsoleto, eu realmente preciso mantê-lo funcionando como está. Eu avaliei uma renomeação de domínio e/ou uma migração de domínio para um novo nome, mas eles simplesmente parecem pedir demais para o meu cliente.

    A coisa certa às vezes é a mais difícil. IMO, você está prestando um desserviço ao seu cliente ao continuar usando e dando suporte ao SLD. Faça a coisa "certa" e execute uma renomeação de domínio ou migre para um novo domínio.

    • 4

  2. no novo servidor Windows 2016, use "Sites e serviços do Active Directory" para remover qualquer eventual sobra da operação de rebaixamento

    Uma nota lateral, um sobra que sempre tenho que limpar quando migro um 2003/2008 está dentro do console do DNS, o DC antigo sempre continua listado no campo do NS.

    Como lá para ser exato;

    insira a descrição da imagem aqui

    Uma segunda nota, eu me certificaria de que eles não usem o WINS também. Por favor, verifique lá para ter certeza se você precisa ativar isso ou não, era popular naqueles anos.

    Para a renomeação de domínio eu não recomendo, é uma grande tarefa que pode deixar muitos erros para trás se uma etapa ruim for feita.

    • 2

  3. Não passe por Sites e Serviços manualmente tentando limpar os metadados do controlador de domínio. Você pode cometer erros, e esse não é o único lugar onde esses dados existem. Use o comando nativo NTDSUTIL; ele tem uma operação confiável de limpeza de metadados.

    Transfira as funções FSMO para o novo DC antes de rebaixar o antigo DC. Acho que você receberá um aviso se não tiver, mas nunca fiquei tentado a tentar.

    As atualizações seguras de DNS exigem alguma configuração adicional se você tiver clientes que não sejam Windows. Isso inclui dispositivos diversos, como impressoras que suportam DHCP. Existem opções de acordo com suas necessidades:

    • Você pode configurar o servidor DHCP para registrar registros DNS em nome desses clientes (e preencher o grupo DnsUpdateProxy se você tiver vários servidores DHCP) ou
    • Você pode configurar os sistemas para realizar atualizações seguras (por exemplo, o Linux precisará de um arquivo keytab, pois as atualizações seguras exigem autenticação Kerberos) ou
    • Você pode criar registros de DNS estáticos e configurar reservas de DHCP para esses dispositivos

    Eu pararia o serviço NETLOGON antes de alterar o IP do novo DC e reiniciá-lo imediatamente depois. Isso deve garantir uma atualização imediata dos registros DNS relevantes.

    Concordo com o pôster anterior sobre como fugir de um domínio de rótulo único, mas entendo que as práticas recomendadas nem sempre estão ao alcance. Pode haver um trabalho considerável associado a essa mudança em alguns ambientes.

    • 1

relate perguntas