停用也是 DNS 服务器的域控制器的最佳实践？

通往 Active Directory 地狱的道路是用临时绷带铺就的。将停用或即将停用的 DNS 服务器的 IP 地址分配给新的 DC 和 DNS 服务器是一种临时性的绷带。

正如@gravyface 在评论中指出的那样，在理想情况下，在完全停用旧 DC 之前，您将更改所有 DHCP 范围和静态配置，以将客户端 DNS 首选项更新为新 IP 而不是旧 IP。

我知道确保所有客户端都已重新配置不一定能按时进行，但我当然认为选项 2（转发整个命名空间）是这里最不令人反感的选项。

除了让旧服务器在降级后转发请求之外，我建议对 DNS 服务器上的传入请求启用调试日志 - 这不仅可以更容易地评估客户端是否仍然指向旧 DNS 服务器，而且识别所述客户。

话虽如此，我认为您已经错过了明显的第三个选项：存根区域！

• 将 DC 降级，保留 DNS 角色并将其之前持有的所有区域添加为存根区域 - 转发其他所有内容。这样，您强制客户端实际联系他们应该使用的域控制器，而不是为他们做工作

我犹豫要不要回答，因为我认为这更像是一个“讨论”问题，而不是一个严格的问答问题……但这是一个懒惰的星期六早上，所以无论如何我都会这样做。

这里有明确的最佳实践吗？

不。（该死，也许这是一个简单的答案......）

Microsoft 提供了非常通用的、易于使用 Google 的Bingable指南，介绍如何降级域控制器以及执行 AD 和 DNS 迁移，但我不会费心链接到它们，也不会假装它们解决了您的特定问题，因为 Microsoft 显然不能记录每个不同组织环境的每个具体案例。

所以像我们这样的系统管理员/工程师只能用我们自己的专业知识和经验来填补微软没有专门为我们编写特殊脚本的空白，而这正是我们的价值所在。

我可以给你一个例子，说明我们为解决同样的问题所做的事情，因为我也在全球范围内工作，有几十个或更多域控制器，不同的 AD 森林在同一个网络上共存，非 Windows 设备也消耗来自相同 DC 的 DNS 服务等。搬入新数据中心并搬出旧数据中心，需要迁移到新硬件或新操作系统版本，以及简单的旧业务政治都是我们需要停用域控制器的可能原因可能仍在使用。当您有多个异构组织当前使用这些 DC/DNS 服务器时，在停用域控制器之前重新配置每个客户端（其中许多可能不受您的控制）通常是一个艰苦而漫长的过程，涉及项目经理，

所以这就是为什么我说我认为没有人可以给你这个问题的答案。您可以采用一千种方法，其中一些方法会比其他方法更好，具体取决于您组织的结构和需求。

我们为解决这个问题所做的事情是为每个数据中心创建一个 VIP，并将该数据中心中的所有域控制器集中在该 VIP 后面。（此 VIP仅出于明显的原因用于 DNS 服务，我不是在谈论负载平衡 Kerberos 和 LDAP。）这样，客户端可以配置为使用该 VIP 作为其 DNS 解析器，我们可以自由添加和删除该 VIP 背后的域控制器可以随时随地进行。

但是您并没有遇到问题……因此，鉴于您提供的选项：

1. 将传出 DC 的 IP 地址添加到新 DC，并确保 DNS 正在侦听该地址。

2. 将旧 DC 降级，保留 DNS 角色，并将全局 DNS 转发器配置到新服务器。

我会选择选项 #1，因为您的目标是尽快停用旧服务器，而选项 #2 并不能帮助您摆脱旧服务器。使用选项#2，服务器的存在仍然是必要的。我也不会接受 Mathias R. Jessen 对 stub zone 的建议，因为同样，您仍然必须将旧服务器留在原处并投入使用，这不利于您的最终目标。

使用选项 #1，尽管它可能很丑陋，但您可以淘汰旧服务器，为您的公司节省成本，避免在该数据中心支付另一个月的租金，并因成为如此优秀的员工而获得奖励。

编辑：再想想我们的聊天，我想我可能已经把我自己的要求投射到你身上了，因为我现在确实对一些东西有即插即用的要求，所以这在我脑海中是新鲜的。听起来您没有立即关闭服务器的要求。

也就是说，我不会改变我的建议，因为我仍然更喜欢它。过去，在非常相似的情况下，将额外的 IP 附加到现有的域控制器上对我来说效果很好，我宁愿这样做，而不是让服务器的奇怪残留附属物坐在那里一段时间。