Best Practice für die Außerbetriebnahme eines Domänencontrollers, der auch ein DNS-Server ist?

9

Es gibt zwei Denkansätze für den Stilllegungsprozess von Active Directory-Domänencontrollern, die häufig als DNS-Server verwendet werden.

  1. Fügen Sie die IP-Adresse des ausgehenden DC zu einem neuen DC hinzu und stellen Sie sicher, dass DNS diese Adresse abhört.

  2. Herabstufen des alten Domänencontrollers, Belassen der DNS-Rolle und Konfigurieren einer globalen DNS-Weiterleitung für Ihren neuen Server.

Offensichtlich sind beide Lücken, bis alle Server und Geräte so konfiguriert wurden, dass sie die primäre IP-Adresse eines neuen Servers verwenden. Manchmal kann diese Übergangszeit jedoch abhängig von der Größe der Umgebung relativ lang sein.

Gibt es hier eine eindeutige Best Practice?

windows domain-name-system active-directory MDMarra
quelle
2
Oder ein dritter, alle Verweise auf den alten DNS-Server im Netzwerk ändern?
Soße Gesicht
1
Das ist natürlich das Endziel, weshalb ich es eine Notlösung nannte. In einigen sehr großen Umgebungen ist dies jedoch keine Option, wenn Sie möchten, dass dies rechtzeitig erfolgt. Ich habe gesagt: Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.richtig?
MDMarra
Semantik ... Sie haben Recht, aber ich möchte lieber die DNS-Konfiguration der Geräte systematisch ändern, die Aktivität überwachen, mit DHCP-Bereichen beginnen und dann die Server in der Reihenfolge von am wenigsten wichtig bis wichtig (Mitgliedsserver zu anderen Domänencontrollern) durcharbeiten ) als sich als der alte Server auszugeben und / oder ihn länger als nötig stehen zu lassen.
Soße Gesicht
Das ist natürlich die beste Option, aber wenn ich von einer "sehr großen" Umgebung spreche, spreche ich von einer global verteilten Infrastruktur mit mehr als 300 Domänencontrollern und vielen verschiedenen IT-Teams, die verschiedene Komponenten der Infrastruktur verwalten. Manchmal ist es wirklich nicht möglich sicherzustellen, dass Sie während eines Upgrades jedes Gerät auf den ersten Blick haben.
MDMarra
1
@gravyface Sie liegen nicht falsch, aber in großen und geografisch verteilten Umgebungen mit dezentraler Verwaltung verschiedener Komponenten ist es nicht immer möglich, sich auf einen Spielplan zu einigen, alle in Einklang zu bringen und auf ein gemeinsames Ziel hinzuarbeiten. Manchmal muss man einfach eine Entscheidung treffen, um voranzukommen und eine Lösung oder Problemumgehung zu finden, um sicherzustellen, dass dies für andere so wenig Auswirkungen wie möglich hat
Mathias R. Jessen,

Antworten:

5

Ich zögere zu antworten, weil ich denke, dass dies eher eine "Diskussions" -Frage als eine reine Frage- und Antwortfrage ist ... aber es ist ein fauler Samstagmorgen, also werde ich es trotzdem tun.

Gibt es hier eine eindeutige Best Practice?

Nein. (Verdammt, vielleicht war das eine einfache Antwort für alle ...)

Microsoft bietet sehr allgemeine, leicht googleable Bingable-Anleitungen zum Herabstufen von Domänencontrollern und zum Durchführen von Migrationen von AD und DNS. Ich werde mich jedoch nicht darum kümmern, auf sie zu verlinken, und ich werde auch nicht so tun, als würden sie Ihre spezifische Frage beantworten, da Microsoft dies offensichtlich nicht kann Dokumentieren Sie jeden speziellen Fall für die Umgebung jedes Unternehmens.

Systemadministratoren / Ingenieure wie wir müssen also die Lücken mit unserem eigenen Fachwissen und unserer Erfahrung schließen, in denen Microsoft kein spezielles Skript nur für uns geschrieben hat, und das macht uns wertvoll.

Ich kann Ihnen ein Beispiel für etwas geben, das wir getan haben, um dieses Problem zu beheben, da ich auch in weltumspannenden Umgebungen mit Dutzenden oder mehr Domänencontrollern arbeite, unterschiedliche AD-Gesamtstrukturen in denselben Netzwerken zusammenleben und auch Nicht-Windows-Geräte verbrauchen DNS-Dienste von denselben Domänencontrollern usw. Der Umzug in neue Rechenzentren und der Umzug aus alten Rechenzentren, die Migration auf neue Hardware oder neue Betriebssystemversionen sowie die einfache alte Geschäftspolitik sind mögliche Gründe, warum wir Domänencontroller außer Betrieb nehmen müssten wurden möglicherweise noch verwendet. Und wenn Sie mehrere heterogene Organisationen haben, die derzeit diese DC / DNS-Server verwenden, ist es normalerweise ein anstrengender, langwieriger Prozess, jeden Client (von dem viele möglicherweise nicht unter Ihrer Kontrolle stehen) neu zu konfigurieren, bevor Sie den Domänencontroller außer Betrieb nehmen, an dem Projektmanager beteiligt sind.

Deshalb sage ich, ich glaube nicht, dass Ihnen jemand die Antwort auf diese Frage geben kann . Es gibt tausend Möglichkeiten, wie Sie vorgehen können, und einige sind je nach Struktur und Anforderungen Ihres Unternehmens besser als andere.

Um dieses Problem zu lösen, haben wir für jedes Datencenter einen VIP erstellt und alle Domänencontroller in diesem Datencenter hinter diesem VIP zusammengefasst. (Dieser VIP ist nur aus offensichtlichen Gründen für den DNS-Dienst bestimmt. Ich spreche nicht von Kerberos und LDAP mit Lastenausgleich.) Auf diese Weise können Clients so konfiguriert werden, dass sie diesen VIP für ihren DNS-Resolver verwenden, und wir können ihn hinzufügen und entfernen Domain-Controller hinter diesem VIP, wann und wie immer wir möchten.

Aber Sie sind nicht vor dem Problem ... angesichts der von Ihnen bereitgestellten Optionen:

  1. Fügen Sie die IP-Adresse des ausgehenden DC zu einem neuen DC hinzu und stellen Sie sicher, dass DNS diese Adresse abhört.

  2. Herabstufen des alten Domänencontrollers, Belassen der DNS-Rolle und Konfigurieren einer globalen DNS-Weiterleitung für Ihren neuen Server.

Ich würde Option 1 wählen, da Ihr Ziel darin besteht, den alten Server so schnell wie möglich außer Betrieb zu setzen, und Option 2 hilft Ihnen nicht, den alten Server loszuwerden. Mit Option 2 ist die Existenz des Servers weiterhin erforderlich. Ich würde auch nicht dem Vorschlag von Mathias R. Jessen zu Stub-Zonen folgen, da Sie den alten Server immer noch an Ort und Stelle und in Betrieb lassen müssen, was Ihrem Endziel nicht förderlich ist.

Mit Option 1, so hässlich es auch sein mag, können Sie den alten Server in den Ruhestand versetzen, Kosteneinsparungen für Ihr Unternehmen geltend machen, vermeiden, eine weitere Monatsmiete für dieses Rechenzentrum zahlen zu müssen, und eine Auszeichnung für einen so guten Mitarbeiter erhalten.

Bearbeiten: Wenn ich ein bisschen mehr über unseren Chat nachdenke, denke ich, dass ich möglicherweise meine eigenen Anforderungen auf Sie projiziert habe, da ich momentan für einige Dinge die Anforderungen habe, so schnell wie möglich zu ziehen. Das war also frisch in meinem Kopf. Es hört sich so an, als müssten Sie den Server nicht so schnell wie möglich ausschalten.

Trotzdem ändere ich meinen Vorschlag nicht, da ich ihn immer noch vorziehen würde. Das Anheften der zusätzlichen IP-Adresse an einen vorhandenen Domänencontroller hat in der Vergangenheit in sehr ähnlichen Szenarien für mich gut funktioniert, und ich würde es vorziehen, wenn ein seltsamer Rest eines Servers auf unbestimmte Zeit dort sitzt.

Ryan Ries
quelle
1
Ich denke, dass dies good subjectivein den Beitrag " Gut subjektiv, schlecht subjektiv " fällt, in dem die Regel "Diskussionsfragen" definiert wurde. Zumindest hoffe ich das.
MDMarra
@ MDMarra Ich stimme zu. +1 für eine zum Nachdenken anregende und interessante Frage. :)
Ryan Ries
Außerdem mache ich nur das Gegenteil von Ihrem Vorschlag: D
MDMarra
5

Der Weg zur Hölle von Active Directory ist mit temporären Bandagen gepflastert. Das Zuweisen der IP-Adresse eines stillgelegten oder stillgelegten DNS-Servers zu Ihrem neuen DC- und DNS-Server ist ein vorübergehender Verband.

Wie @gravyface in den Kommentaren feststellte, würden Sie im Idealfall alle DHCP-Bereiche und statischen Konfigurationen ändern, um die Client-DNS-Voreinstellung auf die neue IP-Adresse anstelle der alten zu aktualisieren, bevor Sie den alten DC vollständig außer Betrieb setzen.

Ich verstehe, dass es nicht unbedingt rechtzeitig möglich ist, sicherzustellen, dass alle Clients neu konfiguriert wurden, aber ich betrachte Option 2 (Weiterleitung des gesamten Namespace) als die am wenigsten zu beanstandende Option.

Zusätzlich dazu, dass der alte Server Anforderungen auch nach dem Herabstufen weiterleiten kann, würde ich empfehlen, die Debug-Protokollierung für eingehende Anforderungen auf dem DNS-Server zu aktivieren. Dies erleichtert die Beurteilung nicht nur, ob Clients noch auf den alten DNS-Server verweisen, sondern auch Identifizierung der Kunden.

Davon abgesehen denke ich, dass Sie die offensichtliche dritte Option verpasst haben: Stub Zones !

  • Herabstufen des DC, Beibehalten der DNS-Rolle und Hinzufügen aller zuvor als Stub-Zonen gehaltenen Zonen - Weiterleiten aller anderen Zonen. Auf diese Weise erzwingen Sie, dass die Clients tatsächlich Kontakt mit den Domänencontrollern aufnehmen, die sie verwenden sollten , anstatt die Arbeit für sie zu erledigen
Mathias R. Jessen
quelle