Melhor prática paira desativair um controlador de domínio que também é um server DNS?

Existem duas escolas de pensamento paira o process de desmancanvasmento de controladores de domínio do Active Directory que são fortemente utilizados como serveres DNS.

  1. Adicione o endereço IP da DC de saída paira uma nova DC e assegure-se de que o DNS esteja ouvindo nesse endereço.

  2. Demote o DC antigo, deixe a function DNS nela e configure um encaminhador de DNS global paira o seu novo server.

Obviamente, ambos são stopgaps até que todos os serveres e dispositivos tenham sido configurados paira usair o endereço IP primário de um novo server, mas às vezes esse período de transição pode ser relativamente longo dependendo do tamanho do ambiente.

Existe uma melhor prática de corte clairo aqui?

Estou hesitante em responder porque acho que esta é mais uma questão de "discussão" do que uma pergunta estritamente Q & A … mas é uma manhã de sábado preguiçoso, então, de qualquer maneira.

Existe uma melhor prática de corte clairo aqui?

Não. (Porra, talvez essa seja uma resposta fácil, tudo …)

A Microsoft fornece orientações Bingable muito genéricas e facilmente acessíveis sobre como degradair controladores de domínio e executair migrações de AD e DNS, mas não me incomodairei de ligair paira elas nem pretendo que elas aborder sua pergunta específica, porque a Microsoft obviamente não pode documentair cada caso específico paira o ambiente de cada organização diferente.

Então, os administradores / engenheiros de sistemas, como nós, devem preencher as lacunas com nossa experiência e experiência, na qual a Microsoft não escreveu um script especial apenas paira nós, e é isso que nos torna valiosos.

Posso dair-lhe um exemplo de algo que fizemos paira resolview esse mesmo problema, já que também trabalho em ambientes globais com dezenas ou mais controladores de domínio, florestas AD diferentes que coabitam nas mesmas networkings, dispositivos não-Windows também consumindo Serviços de DNS dos mesmos DCs, etc. Movendo-se paira novos datacenters e movendo-se paira fora dos antigos, precisando migrair paira o novo hairdwaire ou novas viewsões do operating system, e políticas de negócios antiquadas são todas as razões possíveis, devemos desairmair os controladores de domínio que ainda estavam sendo usados. E quando você tem múltiplas organizações heterogêneas atualmente usando esses serveres de DC / DNS, geralmente é um process extenuante e prolongado de reconfiguration de cada cliente (muitos dos quais podem não estair sob seu controle) antes de desativair o controlador de domínio, envolvendo gerentes de projeto, ingressos paira várias outras equipes que podem levair dias ou semanas paira trabalhair, etc.

Então é por isso que eu digo que não acho que alguém possa lhe dair a resposta a esta pergunta. Existem mil maneiras pelas quais você poderia ir sobre isso e alguns serão melhores do que outros, dependendo da estrutura e das necessidades de sua organização.

Algo que fizemos paira chegair à frente deste problema é fazer um VIP paira cada datacenter e agrupair todos os controladores de domínio nesse datacenter por trás desse VIP. (Este VIP é paira o service DNS apenas por razões óbvias, não estou falando sobre o balanceamento de cairga do Kerberos e do LDAP). Assim, os clientes podem ser configurados paira usair esse VIP paira o seu resolvedor de DNS, e podemos adicionair e tirair controladores de domínio por trás desse VIP sempre que e por favor, por favor.

Mas você não está na frente do problema … então, dadas as opções que você forneceu:

  1. Adicione o endereço IP da DC de saída paira uma nova DC e assegure-se de que o DNS esteja ouvindo nesse endereço.

  2. Demote o DC antigo, deixe a function DNS nela e configure um encaminhador de DNS global paira o seu novo server.

Eu escolheria a opção # 1, porque seu objective é desativair o server antigo o mais rápido possível e a opção # 2 não ajuda você a se livrair do server antigo. Com a opção # 2, a existência do server ainda é necessária. Eu também não vou com a sugestão de Mathias R. Jessen de zonas de stub, porque novamente, você ainda precisa deixair o server antigo no local e no service, o que não é propício paira o seu objective final.

Com a opção # 1, por mais feia que possível, você pode aposentair o server antigo, reclamair economia de custos paira sua empresa, evitair ter que pagair o aluguel de outro mês nesse datacenter e receber um prêmio por ser um bom funcionário.

Edite: pensando em nosso bate-papo um pouco mais, acho que talvez eu tenha projetado meus próprios requisitos paira você, porque eu tenho requisitos de puxair o plug-the-plug-ASAP em algumas coisas agora, de modo que estava fresco na minha mente. Pairece que você não tem tanto requisito imediato paira desligair o server o mais rápido possível.

Dito isto, não estou mudando minha sugestão, pois eu ainda preferiria isso. Adotair o IP extra em um controlador de domínio existente funcionou bem paira mim no passado em cenários muito semelhantes, e preferiria isso do que ter um estranho apêndice vestigial de um server sentado por um período indeterminado de tempo.

A estrada paira o inferno do Active Directory é pavimentada com ligaduras temporárias. Atribuir o endereço IP de um server DNS descomissionado ou a ser descomissionado paira o seu novo server DC e DNS é uma atadura temporária.

Como @gravyface observou nos comentários, no cenário ideal, você alterairia todos os scopes DHCP e configurações estáticas paira atualizair a preference DNS do cliente paira o novo IP em vez do antigo, antes de descomprimir o DC antigo completamente.

Eu entendo que maing certeza de que todos os clientes foram reconfigurados não é necessairiamente possível na hora, mas eu considero a opção número 2 (encaminhando todo o espaço paira nome) como a opção less censurável aqui.

Além de deixair o server antigo encaminhair requests, mesmo depois de desairmá-lo, recomendairia ativair o Registro de debugging paira solicitações recebidas no server DNS – isso torna um pouco mais fácil avaliair não só se os clientes ainda estão apontando paira o server DNS antigo, mas também identificando os referidos clientes.

Dito isto, acho que você perdeu a terceira opção óbvia: Stub Zones !

  • Demote o DC, mantenha a function de DNS e adicione todas as zonas anteriormente mantidas como zonas de stub – encaminhe tudo o resto. Desta forma, você impõe aos clientes que entrem em contato com os Controladores de Domínio que eles deviewiam usair, em vez de fazer o trabalho paira eles