Há duas escolas de pensamento para o processo de descomissionamento de controladores de domínio do Active Directory que são muito usadas como servidores DNS.
Adicione o endereço IP do controlador de domínio de saída a um novo controlador de domínio e verifique se o DNS está escutando nesse endereço.
Rebaixe o controlador de domínio antigo, deixe a função DNS nele e configure um encaminhador de DNS global para o seu novo servidor.
Obviamente, ambos são interrupções até que todos os servidores e dispositivos tenham sido configurados para usar o endereço IP principal de um novo servidor, mas às vezes esse período de transição pode ser relativamente longo, dependendo do tamanho do ambiente.
Existe uma prática recomendada clara aqui?
Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.certo?Respostas:
Eu hesito em responder porque acho que essa é mais uma questão de "discussão" do que uma pergunta estritamente de perguntas e respostas ... mas é uma manhã de sábado preguiçosa, então eu o farei de qualquer maneira.
Não. (Droga, talvez essa tenha sido uma resposta fácil a todos ...)
A Microsoft fornece uma orientação Bingable muito genérica e facilmente
Googleablesobre como rebaixar controladores de domínio e executar migrações de AD e DNS, mas não vou me incomodar em vincular a eles nem pretendo que eles abordem sua pergunta específica, porque a Microsoft obviamente não pode documentar todos os casos específicos para cada ambiente da organização.Portanto, administradores / engenheiros de sistemas como nós são deixados a preencher as lacunas com nossa própria experiência e experiência, onde a Microsoft não escreveu um script especial apenas para nós, e é isso que nos torna valiosos.
Posso dar um exemplo de algo que fizemos para resolver esse mesmo problema, já que também trabalho em ambientes de abrangência mundial com dezenas ou mais controladores de domínio, florestas diferentes do AD que coabitam nas mesmas redes, dispositivos não Windows também consomem Serviços DNS dos mesmos controladores de domínio, etc. Mudar para novos datacenters e sair dos antigos, precisar migrar para um novo hardware ou novas versões de sistemas operacionais e políticas comerciais antigas e simples são todos os possíveis motivos para descomissionar controladores de domínio que potencialmente ainda estavam sendo usados. E quando você tem várias organizações heterogêneas atualmente usando esses servidores DC / DNS, geralmente é um processo árduo e prolongado de reconfigurar todos os clientes (muitos dos quais podem não estar sob seu controle) antes de descomissionar o controlador de domínio, envolvendo gerentes de projeto,
Então é por isso que eu digo que eu não acho que ninguém pode dar-lhe a resposta a esta pergunta. Existem milhares de maneiras pelas quais você pode fazer isso e algumas serão melhores que outras, dependendo da estrutura e das necessidades da sua organização.
Algo que fizemos para resolver esse problema é criar um VIP para cada datacenter e agrupar todos os controladores de domínio nesse datacenter atrás desse VIP. (Este VIP é para o serviço DNS única , por razões óbvias, eu estou não falar sobre o balanceamento de carga Kerberos e LDAP.) Dessa forma, os clientes podem ser configurados para usar esse VIP para a sua resolução de DNS, e somos livres para adicionar e tirar controladores de domínio por trás desse VIP quando e como quisermos.
Mas você não está diante do problema ... então, dadas as opções que você forneceu:
Eu escolheria a opção 1, porque seu objetivo é descomissionar o servidor antigo o mais rápido possível, e a opção 2 não ajuda você a se livrar do servidor antigo. Com a opção 2, a existência do servidor ainda é necessária. Também não concordaria com a sugestão de zonas de stub de Mathias R. Jessen, porque, novamente, você ainda precisa deixar o servidor antigo no local e no serviço, o que não é propício ao seu objetivo final.
Com a opção 1, por mais feia que seja, você pode desativar o servidor antigo, reivindicar economia de custos para sua empresa, evitar pagar um mês de aluguel naquele datacenter e receber um prêmio por ser um bom funcionário.
Edit: Pensando um pouco mais em nosso bate-papo, acho que posso ter projetado meus próprios requisitos para você, porque tenho requisitos o mais rápido possível em algumas coisas agora, de modo que estava fresco em minha mente. Parece que você não tem um requisito imediato para desligar o servidor o mais rápido possível.
Dito isto, não estou mudando minha sugestão, pois ainda a preferiria. Aderir o IP extra a um controlador de domínio existente funcionou bem para mim no passado em cenários muito semelhantes, e eu prefiro que ter um apêndice vestigial estranho de um servidor sentado lá por um período indeterminado de tempo.
fonte
good subjectiveno post Subjetivo Bom, Subjetivo Ruim que definiu a regra "questões para discussão". Pelo menos eu espero que sim.O caminho para o inferno do Active Directory é pavimentado com ataduras temporárias. Atribuir o endereço IP de um servidor DNS descomissionado ou a ser descomissionado ao seu novo servidor DC e DNS é um curativo temporário.
Como o @gravyface observou nos comentários, no cenário ideal, você alteraria todos os escopos DHCP e configurações estáticas para atualizar a preferência de DNS do cliente para o novo IP, em vez do antigo, antes de descomissionar completamente o antigo controlador de domínio.
Entendo que garantir que todos os clientes tenham sido reconfigurados não seja necessariamente possível a tempo, mas certamente considero a opção número 2 (encaminhamento de todo o espaço para nome) como a opção menos questionável aqui.
Além de permitir que o servidor antigo encaminhe solicitações mesmo depois de rebaixá-lo, eu recomendaria ativar o Log de Depuração para solicitações recebidas no servidor DNS - isso facilita um pouco a avaliação, não apenas se os clientes ainda estão apontando para o servidor DNS antigo, mas também identificação dos referidos clientes.
Dito isto, acho que você perdeu a terceira opção óbvia: Zonas de stub !
fonte