MDM*_*rra 9 domain-name-system windows active-directory
对于经常用作 DNS 服务器的 Active Directory 域控制器的退役过程,有两种思想流派。
将传出 DC 的 IP 地址添加到新 DC,并确保 DNS 正在侦听该地址。
将旧 DC 降级,保留 DNS 角色,并将全局 DNS 转发器配置到新服务器。
显然,在所有服务器和设备都配置为使用新服务器的主 IP 地址之前,两者都是权宜之计,但有时过渡期可能会相对较长,具体取决于环境的大小。
这里有明确的最佳实践吗?
通向 Active Directory 地狱的道路是用临时绷带铺成的。将已停用或将要停用的 DNS 服务器的 IP 地址分配给您的新 DC 和 DNS 服务器是一种临时绷带。
正如@gravyface 在评论中指出的那样,在理想情况下,在完全停用旧 DC 之前,您将更改所有 DHCP 范围和静态配置以将客户端 DNS 首选项更新为新 IP 而不是旧 IP。
我知道确保所有客户端都已重新配置不一定能按时完成,但我当然认为选项 2(转发整个命名空间)是这里最不令人反感的选项。
除了让老服务器将请求转发甚至降级之后,我会建议启用调试日志记录在DNS服务器上的传入请求-这使得它更容易一点不仅评估,如果客户端仍然指向旧的DNS服务器,但还识别所述客户。
话虽如此,我认为您已经错过了明显的第三个选项:存根区域!
我不愿回答,因为我认为这更像是一个“讨论”问题,而不是一个严格的问答问题……但周六早上很懒,所以我还是会回答。
这里有明确的最佳实践吗?
不。(该死,也许这是一个简单的答案......)
Microsoft 提供了关于如何降级域控制器以及执行 AD 和 DNS 迁移的非常通用、易于Google 搜索的Bingable 指南,但我不会费心链接到它们,也不会假装它们解决您的具体问题,因为 Microsoft 显然不能记录每个不同组织环境的每个特定案例。
因此,像我们这样的系统管理员/工程师只能用我们自己的专业知识和经验来填补空白,而微软并没有专门为我们编写一个特殊的脚本,这就是让我们有价值的原因。
我可以举一个例子,说明我们为解决同样的问题所做的一些事情,因为我也在全球范围内工作,有数十个或更多域控制器,不同的 AD 林共存在同一网络上,非 Windows 设备也消耗来自相同 DC 的 DNS 服务等。 搬入新数据中心和搬出旧数据中心,需要迁移到新硬件或新操作系统版本,以及简单的旧商业政治都是我们需要停用域控制器的可能原因可能仍在使用。如果您有多个当前使用这些 DC/DNS 服务器的异构组织,在停用域控制器之前重新配置每个客户端(其中许多可能不受您的控制)通常是一个艰苦而漫长的过程,涉及项目经理,
所以这就是为什么我说我认为没有人可以给你这个问题的答案。有上千种方法可以解决,有些方法会比其他方法更好,具体取决于您组织的结构和需求。
我们为解决这个问题所做的事情是为每个数据中心创建一个 VIP,并将该数据中心中的所有域控制器集中在该 VIP 后面。(此VIP是DNS服务仅出于显而易见的原因,我不是在谈论负载均衡的Kerberos和LDAP)。这样一来,客户可以配置为使用VIP为他们的DNS解析,我们可以自由地添加并带走该 VIP 背后的域控制器,无论何时何地,我们都愿意。
但是您并没有解决问题......所以考虑到您提供的选项:
将传出 DC 的 IP 地址添加到新 DC,并确保 DNS 正在侦听该地址。
将旧 DC 降级,保留 DNS 角色,并将全局 DNS 转发器配置到新服务器。
我会选择选项 #1,因为您的目标是尽快停用旧服务器,而选项 #2 不会帮助您摆脱旧服务器。使用选项#2,服务器的存在仍然是必要的。我也不同意 Mathias R. Jessen 关于存根区域的建议,因为同样,您仍然必须将旧服务器留在原地和服务中,这不利于您的最终目标。
使用选项#1,虽然它可能很丑陋,但您可以淘汰旧服务器,为您的公司节省成本,避免在该数据中心再支付一个月的租金,并因成为如此优秀的员工而获得奖励。
编辑:再想想我们的聊天,我想我可能已经把我自己的要求投射到你身上了,因为我现在确实对一些东西有即插即用的要求,所以我觉得这很新鲜。听起来您没有立即关闭服务器的迫切要求。
也就是说,我不会改变我的建议,因为我仍然更喜欢它。过去,在非常相似的情况下,将额外的 IP 固定到现有的域控制器上对我来说效果很好,我宁愿让服务器的奇怪残留附属物在那里停留不确定的时间。
| 归档时间: |
|
| 查看次数: |
16799 次 |
| 最近记录: |