web-dev-qa-db-ja.com

Windows 2003からWindows 2016へのActive Directoryの移行

私は古いWindows 2003ベースのActive Directoryインストールを継承しており、それを最新の標準にアップグレードする必要があります。以下の計画を使用して、ラボでさまざまな(成功した)テストを実行しましたが、この分野の他の専門家からのリアリティチェック/ベストプラクティスの提案が本当に必要です。

現在のステータス:Windows 2003インストールで実行されている単一ラベルのWindows-2000混合モードActive Directoryドメイン。 DNSコンポーネントは、安全でない動的更新で実行されています。

ターゲットステータス:Windows 2016インストールのWindows 2012R2レベルドメインに移行します(注:2016ではなくWindows 2012R2のターゲットレベルは、他のWindows 2012R2サーバーを使用している顧客)。移行は、最も中断の少ない方法で行う必要があります。とにかく、私は週末にそれに取り組むつもりなので、短いサービスの中断が受け入れられます。

警告:シングルラベルドメインは非推奨ですが、実際にそのまま実行し続ける必要があります。ドメイン名の変更とドメイン名の新しい名前への移行のいずれかまたは両方を評価しましたが、顧客に要求するには多すぎるようです。

私の計画:

  • 新しいWindows 2016サーバーをインストールし、単純なメンバーとして現在のドメインに追加する
  • 現在のフォレスト/ドメインの機能レベルをWindows 2003に上げる
  • 新しいWindows 2016サーバーをドメインコントローラー(グローバルカタログ付き)の役割に昇格させる
  • 古いサーバーを降格する(dcpromo経由)
  • 新しいWindows 2016サーバーで、「Active Directoryサイトとサービス」を使用して、降格操作から最終的に残ったものをすべて削除します。
  • 新しいWindows 2016では、「DNSマネージャー」を使用してDNS動的更新タイプを「セキュアのみ」に変更します
  • フォレスト/ドメインの機能レベルをWindows 2012R2に上げる
  • 古いサーバーの元のIPアドレスを変更します(例:192.168.1.1から192.168.1.2へ)
  • 新しいサーバーのIPアドレスを古いドメインコントローラーと一致するように変更します(例:192.168.1.10から192.168.1.1へ)。 注:現在のDHCP設定とゲートウェイファイアウォール/ VPNルールにより、これを行う予定です
  • fSRからDFSRに移行します( ここ および ここ を参照)
  • 別のWindows 2016サーバーをブランチオフィスにインストールし、それを新しいドメインコントローラー(グローバルカタログ付き)として追加します。

質問:

  • 重要なものが欠けていますか?
  • ファイアウォール/ VPN/DHCPの変更を最小限に抑えるために古い/新しいサーバーのIPアドレスを交換するという私の考えは良いものですか、それとも避けるべきですか?
  • 知っておくべきことはありますか?

UPDATE:多くの議論とテストの後、私は顧客にdomain rename。 Microsoftの推奨に従って、rendomユーティリティを使用してそれを実行しましたが、すべて順調に進みました(幸い、オンプレミスのExchangeサーバーがありませんでした)。

6
shodanshok

シングルラベルドメインは非推奨ですが、実際にそのまま実行し続ける必要があります。ドメイン名の変更とドメイン名の新しい名前への移行のどちらかまたは両方を評価しましたが、顧客に要求するには多すぎるようです。

正しいことは時々最も難しいです。 IMO、SLDの使用とサポートを継続することで、顧客に不満を与えています。 「正しい」ことを行い、ドメインの名前変更を実行するか、新しいドメインに移行します。

4
joeqwerty

新しいWindows 2016サーバーで、「Active Directoryサイトとサービス」を使用して、降格操作から最終的に残ったものをすべて削除します。

余談ですが、2003/2008を移行するときは常にクリーンアップする必要がある残りがDNSのコンソール内にあります。古いDCは常にNSのフィールドにリストされたままです。

正確に言うと、

enter image description here

2つ目の注意事項は、WINSも使用しないことを確認することです。それをアクティブにする必要があるかどうかを確認するために、ここで再確認してください。これは、その頃から人気がありました。

ドメイン名を変更することはお勧めしません。悪いステップが行われた場合に多くのエラーが残る可能性があるので、これは大きな作業です。

2
yagmoth555

ドメインコントローラーのメタデータをクリーンアップしようとするサイトとサービスを手動で経由しないでください。間違いをする可能性があり、そのようなデータが存在するのはそれだけではありません。ネイティブのNTDSUTILコマンドを使用します。信頼できるメタデータクリーンアップ操作があります。

古いDCを降格する前に、FSMOの役割を新しいDCに転送します。まだ降格していないと警告が表示されると思いますが、試したくありません。

Windows以外のクライアントを使用している場合、安全なDNSアップデートには追加の設定が必要です。これには、DHCPをサポートするプリンターなどのさまざまなデバイスが含まれます。ニーズに応じてオプションがあります。

  • そのようなクライアントに代わってDNSレコードを登録するようにDHCPサーバーを構成できます(複数のDHCPサーバーがある場合はDnsUpdateProxyグループにデータを入力します)。
  • 自分で安全な更新を実行するようにシステムを構成できます(たとえば、安全な更新にはKerberos認証が必要なため、Linuxにはkeytabファイルが必要になります)、または
  • 静的DNSレコードを作成し、それらのデバイスのDHCP予約をセットアップできます

新しいDCのIPを変更する前にNETLOGONサービスを停止し、すぐに再起動します。これにより、関連するDNSレコードの即時更新が保証されます。

単一ラベルドメインからの脱却については以前のポスターに同意しますが、ベストプラクティスが常に手の届く範囲にあるわけではないことを理解しています。一部の環境では、このような変更に関連するかなりの作業が必要になる場合があります。

1
DoubleD