Remplacement d'un contrôleur de domaine W2K3 - que dois-je savoir?

J'ai un réseau d'environ 70 machines, actuellement avec deux contrôleurs de domaine exécutant tous les deux Windows Server 2003 (DC0 et DC1). DC0 est un Poweredge 1850 âgé de cinq ans et est récemment devenu de plus en plus floconneux, et au cours des deux dernières semaines, il est tombé deux fois.

Je veux remplacer cette machine, mais je suis prudent car il y a une énorme marge de manœuvre pour ce genre de chose. La façon dont j'imagine faire cela est de construire une nouvelle machine, puis de faire un DCPROMO et d'exécuter trois contrôleurs de domaine pendant un mois environ jusqu'à ce que je sois heureux que tout fonctionne comme il se doit avant de retirer l'ancienne machine.

Les domaines de préoccupation particuliers sont la réplication des rôles des contrôleurs actuels (paramètres GP par exemple) et les ramifications de la mise hors tension de la machine qui était, jusqu'à présent, la «principale».

S'il existe des raisons impérieuses d'utiliser Server 2008, je suis prêt à le faire, mais je ne sais pas si cela entraînerait des problèmes avec mes machines 2003 existantes.

Tout conseil sur les meilleures pratiques ou les expériences antérieures serait le bienvenu.

Microsoft a une multitude d'articles concernant le déplacement des rôles et des services d'un serveur à un autre. Avec les contrôleurs de domaine, vous devez être particulièrement prudent pour que les choses se passent bien et vous êtes bien guidé pour poser la question ici, car il ne s'agit pas d'une simple mise hors tension ou de supprimer le serveur des utilisateurs AD et des utilisateurs et des ordinateurs.

Si vous allez construire un nouveau serveur - à ce stade, j'aurais besoin d'une raison impérieuse de ne pas le baser sur 2K8 R2. Assurez-vous que vos applications de prise en charge prennent également en charge 2K8 R2 - AntiVirus, sauvegarde, etc. Si le coût du système d'exploitation et de Cals n'est pas un problème, je suppose que je ne verrais pas le raisonnement pour résister à un système à long terme basé sur un 7 OS vieux? Je pense que les exigences pour que 2K8 R2 existent dans un domaine 2K3 doivent être en mode natif 2K3 et les DC 2K3 devront peut-être être SP2 ou version ultérieure.

Construisez d'abord votre nouveau serveur, ajoutez-le au domaine et dcpromo - aucune raison d'attendre cela. Assurez-vous que le nouveau serveur ou l'ancien serveur restant sont définis pour être des serveurs de catalogue global: http://support.microsoft.com/kb/313994

Votre principal domaine de préoccupation doit être de veiller à ce que les rôles de la FSMO soient correctement transférés à un autre CD. Cet article vous dira exactement quoi et comment de chaque étape que vous devrez effectuer: http://support.microsoft.com/kb/324801 .

La réplication des GPO est gérée automatiquement par le FRS sur l'arborescence Sysvol - vous ne devriez donc pas avoir de soucis là-bas.

Vous devrez probablement également gérer les services DHCP et DNS. Voici un bon article sur le déplacement de votre base de données DHCP si besoin est: http://support.microsoft.com/kb/962355 . Assurez-vous de désactiver le service DHCP après avoir déplacé la base de données DHCP vers un nouveau serveur et y avoir déclenché. Il est important de déplacer la base de données DHCP plutôt que de simplement arrêter le service sur l'ancien serveur et de le démarrer sur un autre - vous aurez des systèmes clients partout avec des adresses IP en double.

Je préfère toujours retirer les rôles FSMO et DHCP et attendre plusieurs jours avant de supprimer le système en tant que DC.

Lorsque vous avez déplacé vos rôles FSMO et DHCP (et tout autre logiciel), exécutez dcpromo à partir de la ligne de commande pour le supprimer en tant que contrôleur de domaine. Utilisez ensuite Ajout / Suppression de programmes -> Composants Windows pour désinstaller le service DNS. Enfin - supprimez le système du domaine et éteignez-le.

Bonne chance!

La réplication est totalement automatique entre les contrôleurs de domaine du même domaine, vous ne devriez donc pas avoir à vous en préoccuper, à moins que quelque chose ne se passe mal; tout le contenu AD (utilisateurs, ordinateurs, unités d'organisation, objets de stratégie de groupe, etc.) sera répliqué sur tout nouveau contrôleur de domaine que vous ajoutez au domaine, et chaque contrôleur de domaine stockera toujours une copie complète de la base de données du domaine.

Il y a deux choses dont vous devez vous soucier (à part toute autre application qui peut être exécutée sur le serveur, bien sûr): les rôles FSMO et DNS.

Si votre contrôleur de domaine est un serveur DNS, vous devez prendre soin d'activer ce service sur d'autres contrôleurs de domaine et de faire pointer tous les ordinateurs membres de votre domaine (client et serveurs) au lieu de celui que vous retirez; dans une configuration AD standard, l'installation du service DNS sur un contrôleur de domaine suffit: vous n'avez pas besoin de définir et de remplir des zones DNS, car la zone de domaine principale sera intégrée à AD et donc répliquée sur tous les serveurs DNS qui sont également des contrôleurs de domaine.

Les rôles FSMO sont des rôles spéciaux qui ne peuvent être détenus que par un seul contrôleur de domaine à la fois, et ils appartiennent généralement au premier contrôleur de domaine créé dans le domaine; ils seront automatiquement déplacés vers un autre si vous rétrogradez le contrôleur de domaine qui les possède, mais vous n'aurez aucun contrôle sur leur placement, il est donc toujours préférable de les déplacer manuellement; vous pouvez le faire en utilisant les divers outils AD (utilisateurs et ordinateurs, sites et services, domaine et approbations, schéma) ou en utilisant NTDSUTIL.

Veillez également à rétrograder l'ancien DC (à l'aide dcpromo) avant de le retirer; cela garantira que toutes les informations concernant son rôle précédent en tant que contrôleur de domaine seront correctement supprimées d'Active Directory.

Si vous ne prévoyez pas de migrer vers 2008, je ne prendrais pas la peine de mettre à niveau. Il y a des mises en garde qui dépendent des autres applications que vous avez. Si vous prévoyez de passer à 2008, la première chose à faire est une mise à jour du schéma. Vous devez également vous assurer que vos applications sont compatibles avec les contrôleurs de domaine 2008 (en particulier, vous devez vous assurer que si vous avez des contrôleurs de domaine en lecture seule dans l'environnement ou prévoyez que les applications sachent comment accéder à un GC ou DC inscriptible si cela est nécessaire) . À titre d'exemple, ce n'est que depuis le dernier février que l'échange 2008 R2 a été pris en charge par l'échange.

Vérifiez ce lien pour les préparatifs de domaine et ce lien pour les préparatifs forestiers

Je serais d'accord avec ce que Jeff a dit. Pour ajouter, les enregistrements DNS sont répliqués entre les serveurs DNS, c'est juste la base de données DHCP que vous pouvez sauvegarder et restaurer entre différents serveurs DHCP. En gérant simplement la durée du bail, vous pouvez effectuer ce changement en douceur. N'attachez pas toutes les vis tant que vous n'êtes pas sûr que tout est en place. Comme je l'ai fait, il faut 2-3 jours maximum pour couvrir tous les rôles (FSMO) et les enregistrements (DNS / DHCP).

Comme cela a été dit, assurez-vous que tous les anciens rôles sont supprimés de l'ancien serveur et migrés vers l'autre / ou le nouveau. vous ne pourrez pas exécuter DCPROMO jusqu'à ce qu'il ne soit plus un serveur de catalogue global. Donnez-lui un coup bas - quel est le pire qui puisse arriver? les chatons ne se blesseront pas si tout va mal.