Zakładam taką sytuację:
Domena na 2012 r2 z trzema kontrolerami (A, B, C). Kontroler A jest głównym ale chcę się go pozbyć (przenieść FSMO na kontroler B i usunąć kontroler A z domeny).
Ponoć jeśli odinstaluje rolę ADDS na kontrolerze A to zapyta na który kontroler przenieść FSMO i po krzyku - ale gdzieś wyczytałem że odinstalowując główny kontroler można usunąć całą domenę.
jak najbezpieczniej wykonać scenariusz przeniesienia funkcji głównego kontrolera (A) na inny kontroler?
Cóż, zacznijmy od tego, że nie ma głównego kontrolera domeny. Wszystkie są sobie równe. Różnić się mogą od siebie tylko poniższymy opcjami:
Każdy kontroler domeny, za wyjątkiem RODC, posiada bazę Active Directory, którą replikuje z innymi DC w środowisku i jest w pełni gotowy by przejąc role FSMO po awarii innego, który nimi zarządzał.
Co do procesu usuwania roli AD: DS z kontolera, który trzyma wzorce FSMO, to prawda. Gdy administrator nie dokona samodzilnego przeniesienia wzorców i w środowisku domenowym nie istnieją poważniejsze problemy z replikacją oraz dostępnością innych kontrolerów, instalator samodzielnie dokona przeniesienia ról na inny dostępny kontroler domeny. Tutaj niestety nie mamy wpływu na wybór DC, na który mają one zostać przeniesione.
Dlatego też, dobrą praktyką administratora jest, samodzielne i kontrolowane przenoszenie wzorców operacji na inny/inne kontrolery domeny. Mamy wówczas pełną kontrolę nad tym co robimy oraz wiemy co się dzieje w naszym środowisku. Jest to proces łatwy i nie pochłania zbyt wiele czasu.
Poniżej zachęcam do zapoznania się z artykułami na moim blogu, które pokazują jak tego dokonać w wykorzystaniem konsol graficznych oraz Windows PowerShell w wersji 3.0+
Co do możliwości usunięcia całej domeny, to można tego dokonać na dowolnym DC, który jest deaktywowany. Lecz nie da się tego dokonać przypadkowo, gdyż trzeba zaznaczyć dodatko jedną opcję "Last domain controller in a domain"
Mimo zaznaczenia tej opcji, instalator nie dokona natychmiastowego usunięcia domeny. Trzeba jeszcze odpowiedzieć na szereg innych pytań, związanych z usuwaniem domeny takich jak np.:
Dzieje się to na kilku dodatkowych ekranach, więc administrator idąc dalej, zapewne wie co robi.
Dodatkowo warto pamiętać, że mechanizm ten został już dopracowany po wielu latach i nie pozwala na usunięcie domeny, gdy zostanie wykryte, że w środowisku istnieją jeszcze inne kontrolery domeny. Aby móc skorzystać z tej opcji, w pierwszej kolejności należy usunąć wszystkie pozostałe DC dla danej domeny i dopiero będzie można usunąć ostatni DC oraz całą domenę.
Zapraszam również do zapoznania się z artykułem, który pokazuje jak wykonać proces deaktywacji kontrolera domeny Windows Server 2012/2012R2. Artykuł znajduje się pod wskazanym linkiem http://kpytko.pl/active-directory-domain-services/decommissioning-windows-server-2012-domain-controller/
Mam nadzieję, że udało mi się troszkę rozjaśnić ten temat.
Powyższe linki opisują migrację z 2003 na 2012 a mi chodziło o migrację między dwoma 2012 R2.
W końcu znalazłem filmik - może się komuś przyda: https://www.youtube.com/watch?v=HZBe387PXOE.
jeszcze dwie kwestie:
1 Co z DNS? czy trzeba jakoś migrować po transferze FSMO ? DNS replikuje się na wszystkie kontrolery.
2 Mam na tym serwerze również DHCP - znalazłem info że to trzeba zmigrować bo on ma swoją bazę.
Transferowanie ról pomiędzy serwerami 2012/2012R2 jest dokaładnie takie samo jak we wcześniejszych wersjach :) Jedynie, nowością jest możliwość wykorzystanie PowerShell'a do tego celu.
Co do serwera DNS, to wszystko zależy od tego jaka jest aktualna konfiguracja. Jeżeli mamy domyślną instalację, gdzie znajduje się tylko strefa nazw (DNS namespace) dla domeny i jest ona zintegorwana z Active Directory (Active Directory Integrated) wówczas nie musimy się o nic martwić. Taka strefa jest replikowana automatycznie do wszystkich kontrolerów domeny z zainstalowaną rolą DNS. Gdy mamy więcej stref nazw DNS i są one wszystkie zintegrowane z AD, to również nie ma problemu, zostaną automatycznie zreplikowane.
Sytuacja jest trudniejsza w przypadku, gdy mamy strefy nazw, które nie są zintegrowane z AD. Wówczas musimy je manualnie zreplikować na nowy serwer.
Aby sprawdzić, czy mamy tego typu strefy należy wpisać polecenie dnscmd w wierszu poleceń.
dnscmd /EnumZones
W kolumnie"Storage" szukamy słowa "File". W takim przypadku, wiemy że jest to standardowa strefa DNS, niezintegorwana z AD
lub w konsoli PowerShell
Import-Module DNSServer Get-DNSServerZone
W przypadku PowerShell'a patrzymy na kolumne "IsDsIntegrated", czyli czy jest zintegrowana z AD. Jeżeli wartość jest "False" wtedy wiemy, że jest to strefa niezintegrowana i musimy ją recznie zmigrować.
Dodatkowo w takim przypadku należy sprawdzić kolumnę "Type" dla dnscmd lub "ZoneType" dla PowerShell'a Get-DNSServerZone. Gdy strefy są typu "Primary" (podstawowa), najwygodniej nam będzie utworzyć nową strefę "Secondary" (podrzędną) na nowym serwerze DNS i poczekać aż ustawienia się nam zreplikują.
Wymaga to jednak dodatkowej konfiguracji na strefie źródłowej, musimy zezwolić na transfer do innego/innych serwerów.
Następnie na zakładce "Name Servers" dodajemy nowy serwer DNS, na który chcemy zreplikować strefę.
Teraz czekamy aż strefa się zreplikuje lub wymuszamy replikacje ręcznie, wybierając z menu kontekstowego dla tej strefy "Transfer from Master".
Ostatnim krokiem, który należy wykonać to, konwersja strefy "Primary" na starym serwerze DNS do "Secondary".
We właściwościach strefy nazw na zakładce "General" przy wpisie "Type Primary" naciskamy "Change" a następnie zmieniamy type strefy na "Secondary".
Odwrotną czynność wykonujemy na nowym serwerze DNS, czyli konwertujemy strefę "Secondary" na "Primary" dokładnie w ten sam sposób.
Czynność powtarzamy dla każdej strefy "Primary" nie zintegrowanej z AD na starym serwerze DNS.
W przypadku, gdy typ stref, które mamy na serwerze, to "Secondary" wówczas musimy zidentyfikować serwer źródłowy, z którego są one replikowane i tworzymy strefę "Secondary" na nowym serwerze DNS, wskazując serwer DNS, który posiada kopię podstawową. W takim przypadku należy się upewnić, czy strefa ma zezwolenie na replikację do naszego nowego serwera DNS.
Po dokonaniu tych zmian, musimy pamiętać aby zmodyfikować ustawienia kart sieciowych na wszystkich serwerach, które mają statyczną konfigurację DNS. Należy podmienić stary adres IP serwera DNS, który usuwamy lub jeżeli jest to serwer dodatkowy, wówczas dopisujemy jego adres IP jako alternatywny serwer DNS.
Dokładnie te samą czynność wykonujemy na serwerze DHCP, gdzie modyfikujemy opcje serwera (server options no 006) lub opcje zakresu adresów IP (scope options no 006) podmieniając stary adres na nowy lub dopisując go jako dodatkowy.
W środowisku produkcyjnym warto jednak nie usuwać starego serwera DNS zaraz po migracji stref (gdy było ich wiele) aby uniknąc problemów z rozwiązywaniem nazw. Jeżeli jest to duże środowisko, możemy być pewni, że jakieś serwery mają podany adres IP lub nazwę starego serwer a my nie mamy ich w dokumentacji - krążą legendy, że dokumentacja gdzieś jest na dysku sieciowym ;) - gratulacje temu, komu uda się ją odnaleźć :)
Aby uniknąc tego typu problemów, zalecam konfiguracuję starego serwera DNS jako conditional forwarder'a ze wskazaniem tych usunietych stref na nasz nowy serwer. Po udanej migracji, włączamy monitoring DNS na około tydzień czasu a następnie wyłapujemy pozostałe serwery odnoszące sie do starego serwera DNS i je poprawiamy. Gdy log już nie odkłada nowych wpisów, wiemy że można usunąć role DNS na starym serwerze.
Co do serwera DHCP, który migrujemy pomiędzy dwoma tymi samymi wersjami serwera, w tym przypadku Windows Server 2012R2, to najszybsza metodą jest dokonanie kopii całego folderu DHCP ze starego serwera na nowy. Dzięki temu zachowamy cała konfiguracje oraz przydzielone dzierżawy dla klientów.
By tego dokonać potrzebna jest krótka przerwa w świadczeniu usług DHCP dla klientów (nowe adresy IP nie będą przyznawane jak i odswieżanie już dostarczonych nie będzie przez ten czas możliwe).
Na nowym serwerze DHCP instalujemy rolę DHCP Server a następnie zatrzymujemy usługę "DHCP Server".
Na starym serwerze DHCP zatrzymujemy i WYŁĄCZAMY usługe "DHCP Server".
Kopiujemy całA zawartość folderu %WINDIR%\SYSTEM32\DHCP na nasz nowy serwer do tej samej lokalizacji a następnie na NOWYM SERWERZE, uruchamiamy ponownie usługę "DHCP Server".
Po odświeżeniu konsoli DHCP Manager powinniśmy ujrzeć wszystkie zakresy oraz wydane dzierżawy.
Lokalizacja bazy serwera DHCP może być inna, jeżeli zostały zmienione domyślne wartości. Warto to sprawdzić we właściwościach serwera DHCP, gdzie znajduję się baza.
UWAGA! Po zmianie serwera DHCP, nie należy uruchamiać usługi na starym serwerze oraz koniecznie trzeba uaktualnić konfigurację urządzeń sieciowych poprzez zmianę adresu IP starego serwera DHCP na nowy dla takich usług jak IPHelper lub DHCP Relay Agent. Są one odpowiedzialne za przekierowanie zapytań DHCP klientów do wskazanego serwera DHCP w środowiskach z zaimplementowanymi VLANami lub z centralnym serwerem DHCP dla różnych lokalizacji.
I to tyle, w kwestii migracji tych 2-óch usług. Mam nadzieję, że się przyda.
