准备工作（不影响任何客户）

Question

首先，我相信 Infoblox 专业服务会很乐意帮助您完成此过程（尽管您可能愿意或不愿意支付费用）。

无论如何，这是我过去成功使用过的高级大纲。（注意：您没有提到您的网格拓扑是什么样的，所以我只是假设您至少有几个专用的网格成员将托管 AD 区域。在下面的概述中，假设我仅指那些特定的网格成员，而不是网格中的所有成员。）

准备工作（不影响任何客户）

如果尚未启用 DNS 服务，请在将要托管您的区域的网格成员上启用它。
创建一个TSIG负责 AD 中每个网格成员及相关的 keytab 文件。
将密钥表导入网格并将其分配给关联的网格成员。
在每个成员的 DNS 属性上启用 GSS-TSIG 更新（GSS-TSIG高级选项卡，而不是Updates选项卡）。
为您的 AD 区域创建适当的名称服务器组。
- 如果您希望它们像 DC 一样工作，每个 DC 都以自己作为区域的主名称服务器进行响应，请将每个名称服务器设为网格主服务器。否则，标准网格主服务器和一个或多个辅助服务器也可以。
如果您的 AD DC 是客户端的递归解析器，请确保已在 DNS 视图或成员级别启用递归。
配置 DC 以允许区域传输到网格成员。
（可选）如果您有将客户端指向 DC 进行 DNS 的 DHCP 服务器，请缩短租用时间，以便您稍后进行更改时可以更快地应用这些更改。

主 DNS 切换

对于每个区域（不要忘记你的反向区域）：
- 创建一个空的权威区域并将其分配给名称服务器组。
- 如果合适，请在区域属性中启用Allow GSS-TSIG signed updates。如果 GSS-TSIG 正在运行，则不需要任何基于 IP 的 ACL。
- 如果合适，请在区域属性中启用Automatically create underscore zones和Allow GSS-TSIG-signed updates to underscore zones。您不需要允许来自任何 DC 的未签名更新。
- 选择区域后，单击Import Zone工具栏上的，从其中一个 DC 执行一次性区域传输。我通常不启用任何选项来自动转换/创建关联记录。
- 使用 dig 或 nslookup 验证您现在可以解析刚刚针对网格成员导入的内容。特别是如果您使用多个网格主节点，请确保查询每个成员的 SOA 都会返回其自身作为主节点。
- 您可能会在 GUI 中注意到，导入的大多数记录都是“静态”而非“动态”。随着事物随时间动态重新注册，这种情况会发生变化。
配置 DC 以使用网格成员作为转发器。当区域最终从 DC 中删除时，这将允许任何使用 DC 进行 DNS 的人仍然可以正确解决问题。
更新 DC 上的 TCP/IP 属性中的 DNS 配置以指向适当的网格成员。
- ipconfig /registerdns重新注册 DC 的 A/PTR 记录
- 重新启动 netlogon 服务以使 AD 重新注册所有与域相关的 SRV 记录。
- 检查 DC 事件日志中是否存在注册错误
- 您还可以检查 Infoblox 系统日志。如果您看到错误，请不要惊慌。Windows 始终在使用 GSS-TSIG 重试之前尝试未签名的更新。因此日志将显示更新失败，然后显示更新成功。
- dcdiag /test:dns也是你的朋友。
- 另一个积极的迹象是看到 Infoblox GUI 中的 DC 相关记录从“静态”转换为“动态”

此时，回滚仍然相当容易。唯一被重新指向的是 DC。但只要 DC 可以动态注册其记录并且您可以成功针对网格成员运行查询，您就可以继续。

如果您有 DHCP 服务器将客户端指向 DC 以获取 DNS，请更新它们以指向适当的网格成员。如果您的租约时间相当短，您很快就会看到一些客户端记录开始从“静态”变为“动态”。

在此刻，我们已经到了无可挽回的地步我们将开始从 DC 中删除区域。（恢复区域显然并非不可能。但它足够烦人，以至于您不想被迫在维护窗口中执行此操作。）如果您正确配置了转发，则在区域删除后，任何仍指向 DNS 的 DC 的人仍应能正确解决问题。但是，在区域消失之前，您无法真正确定，因为只要区域仍然存在，DC 就会返回其自己的副本。

对于每个区域（不要忘记你的反向区域，并且可能首先优先考虑不太重要或非 AD 特定的区域）：
- 从 AD 中删除区域并等待更改复制
- 清除 DC 上的 DNS 缓存，并可能重新启动 DNS 服务以获得更好的效果。
- 针对 DC 测试区域的 SOA 查询。它应该返回您在 Infoblox 中看到的该区域的相同序列。如果是旧的，DC 可能仍在返回其自己的旧缓存副本。如果您获得缓存结果，请尝试再次清除 DNS 服务缓存。ipconfig /flushdns在 DC 和您的客户端上尝试。

完成后，DC 应该不再有区域，并且有效地缓存服务器。剩下的就是找到具有静态 DNS 配置的剩余主机并将它们重新指向网格成员。

一旦您确定没有其他客户端尝试使用 DC 进行 DNS，您就可以停止并删除它们的 DNS 角色。

Answer 1

首先，我相信 Infoblox 专业服务会很乐意帮助您完成此过程（尽管您可能愿意或不愿意支付费用）。

无论如何，这是我过去成功使用过的高级大纲。（注意：您没有提到您的网格拓扑是什么样的，所以我只是假设您至少有几个专用的网格成员将托管 AD 区域。在下面的概述中，假设我仅指那些特定的网格成员，而不是网格中的所有成员。）

准备工作（不影响任何客户）

如果尚未启用 DNS 服务，请在将要托管您的区域的网格成员上启用它。
创建一个TSIG负责 AD 中每个网格成员及相关的 keytab 文件。
将密钥表导入网格并将其分配给关联的网格成员。
在每个成员的 DNS 属性上启用 GSS-TSIG 更新（GSS-TSIG高级选项卡，而不是Updates选项卡）。
为您的 AD 区域创建适当的名称服务器组。
- 如果您希望它们像 DC 一样工作，每个 DC 都以自己作为区域的主名称服务器进行响应，请将每个名称服务器设为网格主服务器。否则，标准网格主服务器和一个或多个辅助服务器也可以。
如果您的 AD DC 是客户端的递归解析器，请确保已在 DNS 视图或成员级别启用递归。
配置 DC 以允许区域传输到网格成员。
（可选）如果您有将客户端指向 DC 进行 DNS 的 DHCP 服务器，请缩短租用时间，以便您稍后进行更改时可以更快地应用这些更改。

主 DNS 切换

对于每个区域（不要忘记你的反向区域）：
- 创建一个空的权威区域并将其分配给名称服务器组。
- 如果合适，请在区域属性中启用Allow GSS-TSIG signed updates。如果 GSS-TSIG 正在运行，则不需要任何基于 IP 的 ACL。
- 如果合适，请在区域属性中启用Automatically create underscore zones和Allow GSS-TSIG-signed updates to underscore zones。您不需要允许来自任何 DC 的未签名更新。
- 选择区域后，单击Import Zone工具栏上的，从其中一个 DC 执行一次性区域传输。我通常不启用任何选项来自动转换/创建关联记录。
- 使用 dig 或 nslookup 验证您现在可以解析刚刚针对网格成员导入的内容。特别是如果您使用多个网格主节点，请确保查询每个成员的 SOA 都会返回其自身作为主节点。
- 您可能会在 GUI 中注意到，导入的大多数记录都是“静态”而非“动态”。随着事物随时间动态重新注册，这种情况会发生变化。
配置 DC 以使用网格成员作为转发器。当区域最终从 DC 中删除时，这将允许任何使用 DC 进行 DNS 的人仍然可以正确解决问题。
更新 DC 上的 TCP/IP 属性中的 DNS 配置以指向适当的网格成员。
- ipconfig /registerdns重新注册 DC 的 A/PTR 记录
- 重新启动 netlogon 服务以使 AD 重新注册所有与域相关的 SRV 记录。
- 检查 DC 事件日志中是否存在注册错误
- 您还可以检查 Infoblox 系统日志。如果您看到错误，请不要惊慌。Windows 始终在使用 GSS-TSIG 重试之前尝试未签名的更新。因此日志将显示更新失败，然后显示更新成功。
- dcdiag /test:dns也是你的朋友。
- 另一个积极的迹象是看到 Infoblox GUI 中的 DC 相关记录从“静态”转换为“动态”

此时，回滚仍然相当容易。唯一被重新指向的是 DC。但只要 DC 可以动态注册其记录并且您可以成功针对网格成员运行查询，您就可以继续。

如果您有 DHCP 服务器将客户端指向 DC 以获取 DNS，请更新它们以指向适当的网格成员。如果您的租约时间相当短，您很快就会看到一些客户端记录开始从“静态”变为“动态”。

在此刻，我们已经到了无可挽回的地步我们将开始从 DC 中删除区域。（恢复区域显然并非不可能。但它足够烦人，以至于您不想被迫在维护窗口中执行此操作。）如果您正确配置了转发，则在区域删除后，任何仍指向 DNS 的 DC 的人仍应能正确解决问题。但是，在区域消失之前，您无法真正确定，因为只要区域仍然存在，DC 就会返回其自己的副本。

对于每个区域（不要忘记你的反向区域，并且可能首先优先考虑不太重要或非 AD 特定的区域）：
- 从 AD 中删除区域并等待更改复制
- 清除 DC 上的 DNS 缓存，并可能重新启动 DNS 服务以获得更好的效果。
- 针对 DC 测试区域的 SOA 查询。它应该返回您在 Infoblox 中看到的该区域的相同序列。如果是旧的，DC 可能仍在返回其自己的旧缓存副本。如果您获得缓存结果，请尝试再次清除 DNS 服务缓存。ipconfig /flushdns在 DC 和您的客户端上尝试。

完成后，DC 应该不再有区域，并且有效地缓存服务器。剩下的就是找到具有静态 DNS 配置的剩余主机并将它们重新指向网格成员。

一旦您确定没有其他客户端尝试使用 DC 进行 DNS，您就可以停止并删除它们的 DNS 角色。

准备工作（不影响任何客户）

答案1

准备工作（不影响任何客户）

主 DNS 切换

相关内容