我继承了一个旧的基于 Windows 2003 的 Active Directory 安装,我的任务是将它升级到现代标准。我已经使用下面的计划在我的实验室中进行了各种(成功的)测试,但我真的想要来自该领域其他专家的现实检查/最佳实践建议。
当前状态:在 Windows 2003 安装上运行的单标签、Windows-2000 混合模式 Active Directory 域。DNS 组件正在运行不安全的动态更新。
目标状态:在 Windows 2016 安装上迁移到 Windows 2012R2 级别的域(注意:Windows 2012R2 的目标级别,而不是 2016,是由于我的客户拥有其他 Windows 2012R2 服务器)。迁移应以破坏性最小的方式进行;无论如何,由于我将在周末工作,因此可以接受短暂的服务中断。
警告:虽然单标签域已被弃用,但我确实需要保持原样运行。我评估了域重命名和/或域迁移到新名称,但它们似乎对我的客户要求太多。
我的计划:
- 安装新的 Windows 2016 服务器并将其作为简单成员添加到当前域
- 将当前的林/域功能级别提升到 Windows 2003
- 将新的 Windows 2016 服务器提升为域控制器(具有全局目录)角色
- 降级旧服务器(通过
dcpromo) - 在新的 Windows 2016 服务器上,使用“Active Directory 站点和服务”从降级操作中删除任何最终剩余
- 在新的 Windows 2016 上,使用“DNS 管理器”将 DNS 动态更新类型更改为“仅安全”
- 将林/域功能级别提升到 Windows 2012R2
- 更改旧服务器的原始 IP 地址(例如:从 192.168.1.1 更改为 192.168.1.2)
- 更改新服务器的 IP 地址以匹配旧域控制器(例如:从 192.168.1.10 到 192.168.1.1)。注意:由于当前的 DHCP 设置和网关防火墙/VPN 规则,我打算这样做
- 从 FSR 迁移到 DFSR(参见此处和此处)
- 在分支机构上安装另一台 Windows 2016 服务器,将其添加为新的域控制器(带有全局目录)。
问题:
- 我错过了一些重要的东西?
- 我交换旧/新服务器的 IP 地址以最小化防火墙/VPN/DHCP 更改的想法是一个好主意,还是应该避免这种情况?
- 我应该注意什么?
更新:经过多次讨论和测试,我说服了我的客户进行域名重命名。根据微软的建议,我已经通过该rendom实用程序完成了它,并且一切都很顺利(幸运的是,它没有任何内部部署的 Exchange 服务器)。
正确的事情有时是最难的。IMO,您继续使用和支持 SLD 是在伤害您的客户。做“正确”的事情并执行域重命名或迁移到新域。
附带说明,当我迁移 2003/2008 时,我总是必须清理遗留在 DNS 的控制台中,旧的 DC 始终仍列在 NS 的字段中。
确切地说;
第二个注意事项,我会确保他们也不使用 WINS。请仔细检查以确定是否需要激活它,它在那些年很流行。
对于域重命名,我不建议这样做,这是一项艰巨的任务,如果执行了错误的步骤,可能会留下许多错误。
不要通过站点和服务手动尝试清理域控制器元数据。您可能会犯错误,而这并不是此类数据存在的唯一地方。使用本机 NTDSUTIL 命令;它具有可靠的元数据清理操作。
在降级旧 DC 之前将 FSMO 角色转移到新 DC。我想如果你没有,你会收到警告,但我从来没有尝试过。
如果您有非 Windows 客户端,则安全 DNS 更新需要一些额外的配置。这包括各种设备,例如支持 DHCP 的打印机。根据您的需要有以下选项:
我会在更改新 DC 的 IP 之前停止 NETLOGON 服务,然后立即重新启动它。这应保证相关 DNS 记录的即时更新。
我同意上一张关于摆脱单标签域的海报,但我知道最佳实践并不总是触手可及。在某些环境中,可能会有与这种变化相关的大量工作。