我有一个由大约 70 台机器组成的网络,目前有两个 DC 都运行 Windows Server 2003(DC0 和 DC1)。DC0 是一台五年前的 Poweredge 1850,最近变得越来越不稳定,在过去两周内已经崩溃了两次。
我想更换这台机器,但我很谨慎,因为这种事情出错的可能性很大。我设想的方法是建造一台新机器,然后进行 DCPROMO 并运行三个域控制器一个月左右,直到我对一切正常感到满意,然后再淘汰旧机器。
特别需要关注的是当前控制器的角色复制(例如 GP 设置)以及关闭迄今为止一直是“主要”机器的后果。
如果有令人信服的理由使用 Server 2008,我愿意这样做,但是我不知道这是否会对我现有的 2003 机器造成问题。
非常欢迎任何有关最佳实践或以往经验的建议。
答案1
Microsoft 有大量关于将角色和服务从一台服务器移动到另一台服务器的文章。使用 DC 时,您需要特别小心,以便事情顺利进行,并且您可以在此处发布问题,因为这不是简单地关闭电源或从 AD 用户和用户和计算机中删除服务器。
如果您要构建新服务器 - 此时我需要一个令人信服的理由不将其基于 2K8 R2。确保您的支持应用程序也支持 2K8 R2 - 防病毒、备份等。如果操作系统和 Cals 的成本不是问题,我想我不会看到基于 7 年前的操作系统建立长期系统的理由?我认为 2K8 R2 存在于 2K3 域中的要求是它必须处于 2K3 本机模式,并且 2K3 DC 可能需要是 SP2 或更高版本。
首先建立新服务器,将其添加到域并对其进行 dcpromo - 无需等待。确保新服务器或剩余的旧服务器设置为全局目录服务器:http://support.microsoft.com/kb/313994
您主要需要关注的是确保 FSMO 角色正确移交给另一个 DC。本文将告诉您需要执行的每个步骤的具体内容和方法:http://support.microsoft.com/kb/324801。
GPO 的复制由 Sysvol 树上的 FRS 自动处理 - 因此您不必担心。
您可能还需要处理 DHCP 和 DNS 服务。这里有一篇关于在必要时移动 DHCP 数据库的好文章:http://support.microsoft.com/kb/962355。将 dhcp 数据库移至新服务器并启动后,请务必禁用 DHCP 服务。重要的是移动 dhcp 数据库,而不是仅仅停止旧服务器上的服务并在另一个服务器上启动它 - 您将在各处拥有具有重复 IP 地址的客户端系统。
我总是倾向于移除 FSMO 和 DHCP 角色,然后等待几天再删除系统作为 DC。
当您移动 FSMO 角色和 DHCP(以及任何其他软件)时,从命令行运行 dcpromo 以将其作为 DC 删除。然后使用添加/删除程序 -> Windows 组件卸载 DNS 服务。最后 - 从域中删除系统并关闭电源。
祝你好运!
答案2
同一域中的域控制器之间的复制是完全自动的,所以您完全不必担心,除非出现问题;所有 AD 内容(用户、计算机、OU、GPO 等)都将被复制到您添加到域的任何新 DC,并且每个 DC 将始终存储域数据库的完整副本。
您应该关心两件事(当然,除了服务器上可能运行的任何其他应用程序之外):FSMO 角色和 DNS。
如果你的 DC 是 DNS 服务器,你应该注意在其他 DC 上启用该服务,并让所有域成员计算机(客户端和服务器)指向它们,而不是您要淘汰的服务器;在标准 AD 设置中,在 DC 上安装 DNS 服务就足够了:您不需要定义和填充 DNS 区域,因为主域区域将与 AD 集成,从而复制到所有也是 DC 的 DNS 服务器。
FSMO 角色是特殊角色,每次只能由一个 DC 担任,通常由域中创建的第一个 DC 拥有;它们将要如果您降级拥有它们的 DC,它们会自动移动到另一个 DC,但您无法控制它们的位置,因此最好手动移动它们;您可以使用各种 AD 工具(用户和计算机、站点和服务、域和信任、架构)或使用 NTDSUTIL 来执行此操作。
此外,在淘汰旧 DCdcpromo之前,请务必小心,务必将其降级(使用);这将确保有关其以前作为 DC 的角色的所有信息均已从 Active Directory 中正确删除。
答案3
答案4
正如前面所说,确保所有旧角色都从旧服务器中删除并迁移到其他/或新服务器。在 DCPROMO 不再是全局目录服务器之前,您将无法运行它。试一试 - 最坏的情况是什么?如果一切都出错了,小猫也不会受伤。