Substituindo um controlador de domínio W2K3 - o que preciso saber?

Eu tenho uma rede de cerca de 70 máquinas, atualmente com dois controladores de domínio executando o Windows Server 2003 (DC0 e DC1). O DC0 é um Poweredge 1850 de cinco anos e recentemente se tornou cada vez mais flakey, e na última quinzena caiu duas vezes.

Quero substituir esta máquina, mas sou cauteloso, pois há um enorme escopo para esse tipo de coisa dar errado. O jeito que eu imagino fazer isso é construir uma nova máquina, executar um DCPROMO e executar três controladores de domínio por um mês ou mais, até que eu esteja feliz que tudo esteja funcionando como deveria antes de se aposentar a máquina antiga.

Áreas de preocupação específicas são a replicação de funções dos controladores atuais (configurações do GP, por exemplo) e as ramificações de desligar a máquina que, até agora, era a 'principal'.

Se houver razões convincentes para usar o Server 2008, estou disposto a fazê-lo, no entanto, não sei se isso causaria problemas nas minhas máquinas 2003 existentes.

Qualquer conselho sobre boas práticas ou experiências anteriores seria bem-vindo.

A Microsoft possui diversos artigos sobre a movimentação de funções e serviços de um servidor para outro. Com os controladores de domínio, você precisa ser particularmente cuidadoso para que as coisas aconteçam normalmente e você é bem orientado a postar a pergunta aqui, porque não é um desligamento simples ou exclui o servidor dos Usuários e Usuários do AD e computadores.

Se você for construir um novo servidor - nesse momento, precisarei de um motivo convincente para não basear o 2K8 R2. Certifique-se de que seus aplicativos de suporte também suportem o 2K8 R2 - antivírus, backup etc. Se o custo do SO e do Cals não for um problema, acho que eu não veria o motivo para sustentar um sistema de longo prazo baseado em 7 OS anos de idade? Eu acho que as solicitações para o 2K8 R2 existir em um domínio 2K3 devem estar no modo nativo 2K3 e os DCs 2K3 podem precisar ser SP2 ou posterior.

Primeiro crie seu novo servidor, adicione-o ao domínio e dcpromo-lo - não há razão para esperar por isso. Verifique se o novo servidor ou o servidor antigo restante está definido como Global Catalog Servers: http://support.microsoft.com/kb/313994

Sua principal área de preocupação precisa ser garantir que as funções da FSMO sejam entregues adequadamente a outro CD. Este artigo informará exatamente o que e como de todas as etapas que você precisará executar: http://support.microsoft.com/kb/324801 .

A replicação dos GPOs é manipulada automaticamente pelo FRS na árvore do Sysvol - portanto, você não deve ter preocupações.

Você provavelmente também precisará lidar com os serviços DHCP e DNS. Aqui está um bom artigo sobre como mover seu banco de dados DHCP, se necessário: http://support.microsoft.com/kb/962355 . Certifique-se de desativar o serviço DHCP depois de mover o banco de dados dhcp para um novo servidor e inicie-o lá. É importante mover o banco de dados dhcp em vez de simplesmente parar o serviço no servidor antigo e iniciá-lo em outro - você terá sistemas clientes em todo o lugar com endereços IP duplicados.

Eu sempre prefiro desativar as funções FSMO e DHCP e esperar vários dias antes de remover o sistema como um controlador de domínio.

Quando suas funções FSMO e DHCP forem movidos (e qualquer outro software), execute o dcpromo na linha de comando para removê-lo como um controlador de domínio. Em seguida, use Adicionar ou remover programas -> Componentes do Windows para desinstalar o serviço DNS. Por fim - remova o sistema do domínio e desligue-o.

Boa sorte!

A replicação é totalmente automática entre controladores de domínio no mesmo domínio; portanto, você não precisa se preocupar com nada, a menos que algo dê errado; todo o conteúdo do AD (usuários, computadores, OUs, GPOs etc.) será replicado para qualquer novo controlador de domínio adicionado ao domínio, e cada controlador de domínio sempre armazenará uma cópia completa do banco de dados do domínio.

Há duas coisas com as quais você deve se preocupar (além de qualquer outro aplicativo que possa estar em execução no servidor, é claro): funções FSMO e DNS.

Se o seu controlador de domínio for um servidor DNS, ative esse serviço em outros controladores de domínio e faça com que todos os computadores membros do domínio (cliente e servidores) aponte para eles, em vez do servidor que você está se aposentando; em uma configuração padrão do AD, instalar o serviço DNS em um controlador de domínio é suficiente: você não precisa definir e preencher as zonas DNS, pois a zona de domínio principal será integrada ao AD e, portanto, replicada para todos os servidores DNS que também são controladores de domínio.

As funções FSMO são funções especiais que podem ser mantidas apenas por um único controlador de domínio por vez e geralmente pertencem ao primeiro controlador de domínio criado no domínio; eles serão movidos automaticamente para outro se você rebaixar o controlador de domínio que os possui, mas você não terá controle sobre o posicionamento deles; portanto, é sempre melhor movê-los manualmente; você pode fazer isso usando as várias ferramentas do AD (usuários e computadores, sites e serviços, domínio e relações de confiança, esquema) ou usando o NTDSUTIL.

Além disso, tenha cuidado para rebaixar o CD antigo (usando dcpromo) antes de retirá-lo; isso garantirá que todas as informações sobre sua função anterior como controlador de domínio sejam removidas corretamente do Active Directory.

Se você não planeja migrar para 2008, eu não me incomodaria em atualizar. Existem algumas advertências dependendo de outros aplicativos que você possui. Se você planeja atualizar para 2008, a primeira coisa a fazer é uma atualização de esquema. Você também precisa garantir que seus aplicativos sejam compatíveis com os controladores de domínio de 2008 (em especial, se você tiver RODCs no ambiente ou planeja que os aplicativos saibam como chegar a um GC ou DC gravável, caso seja necessário) . Como exemplo, foi somente desde o último feburário que o Exchange 2008 r2 foi suportado com o Exchange.

Verifique este link para preparações de domínio e este link para preparações florestais

Eu concordaria com o que Jeff disse. Para adicionar, os registros DNS replicam entre servidores DNS, é apenas o banco de dados DHCP que você pode fazer backup e restaurar entre diferentes servidores DHCP. Com apenas a administração da duração da concessão, você pode facilitar essa alteração. Apenas não amarre todos os parafusos até ter certeza de que tudo está definido. Do jeito que eu fiz isso, leva 2-3 dias no máximo para cobrir todas as funções (FSMO) e registros (DNS / DHCP).

Como foi dito, verifique se todas as funções antigas são removidas do servidor antigo e migradas para o outro / ou novo. você não poderá executar o DCPROMO até que não seja mais um servidor de catálogo global. Faça uma festança - o que de pior pode acontecer? gatinhos não se machucam se tudo der errado.