对于大量用作 DNS 服务器的 Active Directory 域控制器的退役过程,有两种观点。
将传出 DC 的 IP 地址添加到新的 DC 并确保 DNS 正在监听该地址。
降级旧的 DC,保留其上的 DNS 角色,并为新服务器配置全局 DNS 转发器。
显然,在所有服务器和设备都配置为使用新服务器的主 IP 地址之前,这两种方法都是权宜之计,但有时根据环境的规模,过渡期可能会相对较长。
这里有明确的最佳实践吗?
答案1
我犹豫着是否要回答,因为我认为这更像是一个“讨论”问题,而不是严格的问答问题......但现在是一个慵懒的星期六早晨,所以我还是会回答。
这里有明确的最佳实践吗?
不。(该死,也许这是一个简单的答案......)
Microsoft 提供非常普通,在 Google 上可以轻松找到有关如何降级域控制器以及执行 AD 和 DNS 迁移的 Bingable 指南,但我不会费心链接到它们,也不会假装它们解决了您的具体问题,因为微软显然无法为每个不同组织的环境记录每个具体案例。
因此,像我们这样的系统管理员/工程师只能用自己的专业知识和经验来填补空白,而微软并没有为我们编写专门的脚本,这就是我们的价值所在。
我可以举一个我们为解决同一问题所做的事情的例子,因为我也在全球范围的环境中工作,有几十个或更多的域控制器,不同的 AD 林共存于同一网络上,非 Windows 设备也使用来自同一 DC 的 DNS 服务,等等。迁入新数据中心和迁出旧数据中心、需要迁移到新硬件或新操作系统版本以及普通的商业政治都是我们需要停用可能仍在使用的域控制器的可能原因。而且,当有多个异构组织当前使用这些 DC/DNS 服务器时,在停用域控制器之前,通常需要重新配置每个客户端(其中许多客户端可能不在您的控制范围内)的繁琐而漫长的过程,这需要项目经理、向其他团队发送可能需要几天或几周才能完成的工作等。
所以我说我认为没有人能给你这回答这个问题。有上千种方法可以解决此问题,有些方法会比其他方法更好,具体取决于您的组织结构和需求。
为了解决这个问题,我们为每个数据中心设置一个 VIP,并将该数据中心的所有域控制器集中到该 VIP 后面。(此 VIP 用于 DNS 服务仅有的出于显而易见的原因,我不是谈论负载平衡 Kerberos 和 LDAP。这样,就可以将客户端配置为使用该 VIP 作为其 DNS 解析器,并且我们可以随时随地随意添加和删除该 VIP 后面的域控制器。
但你并没有面临问题...因此给出你提供的选项:
将传出 DC 的 IP 地址添加到新的 DC 并确保 DNS 正在监听该地址。
降级旧的 DC,保留其上的 DNS 角色,并为新服务器配置全局 DNS 转发器。
我会选择选项 1,因为您的目标是尽快停用旧服务器,而选项 2 无法帮助您摆脱旧服务器。对于选项 2,服务器的存在仍然是必要的。我也不会采纳 Mathias R. Jessen 提出的存根区域建议,因为同样,您仍然必须保留旧服务器并使其继续运行,这不利于您的最终目标。
选择选项 1,虽然可能不太好,但您可以淘汰旧服务器,为公司节省成本,避免为该数据中心支付一个月的租金,并且因您是一名优秀员工而获得奖励。
编辑:再想想我们的聊天,我想我可能把自己的要求投射到了你身上,因为我现在确实对某些东西有尽快关闭电源的要求,所以这件事在我脑海中记忆犹新。听起来你并没有那么迫切地要求尽快关闭服务器。
话虽如此,我并没有改变我的建议,因为我还是更喜欢它。过去在非常相似的情况下,将额外的 IP 添加到现有的域控制器上对我来说效果很好,我宁愿这样做,也不愿让服务器的奇怪残留附件在那里停留一段不确定的时间。
答案2
通往 Active Directory 地狱的道路是由临时绷带铺就的。将已退役或即将退役的 DNS 服务器的 IP 地址分配给新的 DC 和 DNS 服务器只是一种临时绷带。
正如 @gravyface 在评论中指出的那样,在理想情况下,您会在完全停用旧 DC 之前更改所有 DHCP 范围和静态配置,以将客户端 DNS 首选项更新为新 IP 而不是旧 IP。
我理解确保所有客户端都已按时重新配置不一定能够做到,但我确实认为选项 2(转发整个命名空间)是这里最不令人反感的选项。
除了让旧服务器在降级后转发请求外,我建议在 DNS 服务器上启用传入请求的调试日志记录 - 这不仅可以更轻松地评估如果客户端仍然指向旧的 DNS 服务器,但也识别所述客户端。
话虽如此,我认为你错过了明显的第三个选择:存根区域!
- 降级 DC,保留 DNS 角色,并将其之前拥有的所有区域添加为存根区域 - 转发其他所有内容。这样,您就强制客户端实际联系他们所拥有的域控制器应该使用,而不是为他们做工作