Вопрос: AD с SBS2011 до 2012 R2 и новый домен


У нас есть существующий сервер SBS2011 и мы хотим перейти на новый сервер 2012 R2. В идеале мы хотели бы сделать это в новом домене - 1. мы хотели бы реорганизовать подразделения, чтобы удалить «SBS» с именем stuff (т.е. все пользователи не в пользователях, они находятся в SBSUsers и т. Д. ..) и 2. мы хотели бы перейти к доменному имени, которое больше соответствует лучшим практикам (subdomain.ourdomain.com, а не name.local).

Я пытаюсь найти лучший способ сделать эту миграцию. Большинство прочитанных мной вещей говорят о том, чтобы выполнить миграцию, добавив новый DC в существующий домен, продвигая его, позволяя всем синхронизировать, а затем понижая прежнюю. Однако это не касается ни одной из наших проблем: переименование или реорганизация.

Я также думал о чем-то перекрестном лесу, но из того, что я могу сказать, вам нужен либо ADMT (не поддерживается в 2012 году), либо, возможно, платный инструмент (не вероятный вариант, так как мы некоммерческие и имеем минимальный бюджет для этого).

Наконец, я могу экспортировать пользователей и импортировать их, но похоже, что это будет включать в себя различные шаги для пользователей, компьютеров, групп и т. Д. ... и я беспокоюсь о том, насколько хорошо он будет мешать. Кроме того, насколько я могу судить, без одного из вышеперечисленных инструментов (и, возможно, даже не тогда!) Я все равно не могу этого сделать, не сделав всех пользователей сбросами своих паролей.

Exchange не является переменной здесь (я не думаю!), Поскольку мы переносим ее на Office 365, и для простоты не добавляем SSO, пока все остальные не будут отсортированы.

Есть ли вариант, который мне не хватает, что позволит нам выполнить все наши критерии - возможность изменить доменное имя и сохранить стандартную структуру OU, а не SBS, а не покупать дорогостоящий сторонний инструмент и не влиять на учетную запись пользователя / пароли ?


5
2018-06-02 22:12


Источник


Из того, что я вижу, существует еще один потенциальный (хотя и довольно византийский) путь: понизите функциональный уровень 2012 года до 2008 R2. Добавьте временный сервер 2008 R2 и продвиньте его в DC в новом домене. Установите ADMT на этот новый DC. Используйте его, чтобы выполнить перекрестную миграцию леса (по-прежнему нечеткие, как это сделать, но это кажется возможным). После того, как все синхронизировано, удалите временный DC 2008 и затем поднимите функциональный уровень до 2012 года (необязательно). Кажется возможным? Есть ли способ лучше? - teleute00


Ответы:


Exchange 2007 и более поздние версии не позволяют вам выполнять переименовать домен, Поскольку вы говорите, что вы ругаетесь на месте Exchange, это не фактор. Это открывает дверь для того, что, по моему мнению, будет намного проще, чем создание нового леса или домена:

  • Завершите миграцию в Office 365 и удалите Exchange из среды SBS 2011.

  • Добавьте временный DC в существующий домен и перенесите AD (и все роли FSMO) в сторону от сервера SBS, понизив сервер SBS до члена домена в этом процессе. (После этого у вас будет 21 день для завершения миграции.)

  • Выполните переименование домена.

  • Добавьте свой постоянный постоянный DC W2K12 R2 и снимите временный DC.

  • Переименуйте / переместите подразделения (объекты групповой политики и т. Д.) В AD по своему вкусу.

  • Перенесите любые другие функции из машины SBS и выведите ее из эксплуатации.

Временный DC не является строго необходимым, но я, вероятно, сделаю это (потому что я суеверен). Переименование домена сложно, но без Exchange это на самом деле довольно просто. Если вы вообще заинтересованы в создании своей среды с использованием виртуальных машин в изолированной сети и попробуйте ее (желательно, используя реальную копию вашего AD, «собранную» из вашей производственной сети и помещенную в виртуальную среду).

Вам придется отказаться от центра сертификации по умолчанию, который была создана при настройке SBS 2011, когда вы это делаете. Вывод из эксплуатации предприятия CA на самом деле это не так сложно, если предположить, что вы на самом деле ничего не используете. (Если вы, то независимо от того, какую стратегию перехода вы берете, вам нужно будет беспокоиться об этом.)

Когда все будет готово, у вас будет красивое новое имя домена, ваши подразделения будут выглядеть так, как вы хотите, все пароли пользователей будут неповрежденными, а все компьютеры-члены домена будут иметь целые доверительные отношения домена.

Запланированные, проверенные и выполненные должным образом переименование и миграция производственного домена могут занять всего пару часов. (Очевидно, что время, затрачиваемое на планирование и тестирование на фронте, принесет огромные дивиденды, когда вы действительно сделаете реальную вещь).

(Я бы также экспортировал акции на новую машину W2K12R2, которая отражала акции, экспортированные старой машиной SBS, и я бы добавил машину SBS как DNS-псевдоним на новый сервер. Тогда существующие ярлыки, UNC и т. Д. Будут «просто работать» после миграции.)

Редактировать:

Я не знаю, почему люди так зацикливаются на переименовании домена. Вам нужно спланировать его и выполнить его методично, но для меня это было безболезненно. Я сделал три производственных переименования домена и не имел проблем (кроме давно забытых FQDN, используемых во встроенных устройствах, которые необходимо было изменить). В двух средах был Exchange 2003, а другой нет. У одного был единственный DC, у двух других было несколько DC. Я издевался над первыми двумя (средами с Exchange) в виртуальных машинах, но третий я просто работал на производственной сети без макета (потому что это было так просто - одиночный DC, no Exchange).

Вот эта точка с надписью сверху, «Выполните переименование домена», с разбивкой на этапы.

Что касается статей Microsoft, я предпочитаю: Как переименовывать домен  Статья содержит много из лишнего фона, но основные шаги там.

Для одного домена леса с одним DC процесс довольно безболезненным:

  • Вывести из эксплуатации любой корень CA предприятия.

  • Создайте новую зону DNS для нового доменного имени.

  • Установите функциональный уровень леса на Windows 2003 или выше.

  • Бег rendom /list для создания файла описания леса (Domainlist.xml).

  • Отредактируйте Domainlist.xml файл, чтобы отразить новые DNS-имена и имена доменов NetBIOS.

  • Запустите rendom /showforest, который отображает Domainlist.xml файл «дружественным» способом, и просмотрите вывод, чтобы убедиться, что вы сделали правильные изменения.

  • Запустите rendom /upload чтобы установить новое доменное имя в Active Directory. На данный момент переименования не происходит - вы просто создаете AD для переименования. В среде с несколькими постоянными окружениями это инициирует репликацию инструкций переименования ко всем контроллерам домена.

  • Запустите rendom /prepare чтобы проверить готовность к переименованию. В среде с несколькими DC-окружениями эта команда проверяет каждый DC, чтобы гарантировать, что все они получили инструкции переименования. Переименование не может начаться, пока все контроллеры домена не реплицируют инструкции по переименованию. (Необходимо, чтобы изменения произошли со всеми репликами базы данных AD почти одновременно.) Как только вы выполните rendom /prepareвы не можете добавлять новые домены в лес или DC в домен, пока не будете выполнены rendom /clean (Смотри ниже).

  • Запустите rendom /execute для выполнения переименования. Это дает указание контроллерам домена выполнить переименование. Каждый DC переключает свою базу данных AD в однопользовательский режим обслуживания, выполняет переименование, а затем перезагружается обратно в нормальное рабочее состояние.

  • Как только все контроллеры домена завершили выполнение переименования 'Gpfixup' с соответствующими старыми и новыми доменными именами для обновления любых ссылок на старое имя домена на новое имя в объектах групповой политики.

  • Измените основной DNS-суффикс на каждом DC потому что они не меняются автоматически, Я не знаю, почему Microsoft не имела этих изменений автоматически, но они этого не сделали. Перезагрузите DC снова после внесения этого изменения.

  • Перезагрузите все компьютеры домена домена дважды. Это не нужно делать немедленно (я держал домен в этом состоянии в течение нескольких недель). Компьютеры-члены домена «обнаруживают», что переименование домена было выполнено и автоматически обновляется во время этих двух перезагрузок.

  • После перезагрузки всех компьютеров-членов домена дважды выполните rendom /clean чтобы очистить инструкции переименования от AD и вернуть домен в нормальное рабочее состояние.

  • Удалите зону DNS старого домена из AD, как только вы перенесли из него какие-либо записи из других доменов.

Как я уже сказал, в одном домене единая среда DC проста, потому что вам не нужно беспокоиться о репликации инструкций переименования домена или иметь возможность связаться со всеми контроллерами домена.

Что касается побочных эффектов:

  • Вам нужно знать, что имена доменов DFS домена будут изменены. Если у вас есть установка программного обеспечения групповой политики, исходящая из путей домена DFS, вы увидите переустановки программного обеспечения (потому что клиент групповой политики будет считать, что программное обеспечение не установлено).

  • если ты /clean домен слишком рано (до того, как все компьютеры-члены были перезагружены дважды), вы можете запустить в состояние, в котором у вас есть машины, которые необходимо вручную отключить и присоединиться к домену.

  • В более крупных средах вы увидите увеличенный трафик репликации при заполнении новых зон DNS.


5
2018-06-25 06:26



FYI - мы провели миграцию в минувшие выходные (закончили это вручную). :-) Но все равно проясню пару вещей, чтобы я мог дать вам очки. Когда я исследовал переименование домена, у меня появилось множество хитов, которые в основном были похожи на «сложный и отвратительный и полностью не рекомендованный». Любые хорошие простые руководства по этому поводу? И информация о потенциальных побочных эффектах или последствиях, которые не так страшатся? :-) Я знаю, что все, что я читал, заставило меня не хотеть приближаться к нему. Благодаря! - teleute00
Я отказался от редактирования с комментариями о переименовании домена. - Evan Anderson
Ничего себе - фантастично! Выше и дальше. Спасибо! Я уверен, что это будет полезно и для других в будущем. - teleute00
У кого-нибудь есть ссылка на sbs2011 и Exchange Server 2010 переименовать домен? - zman
@zman. Похоже, вы запрашиваете явную ссылку на документ Microsoft, указывающий, что переименование домена в среде Exchange 2010 не поддерживается. У меня нет такой ссылки, но вот ссылка на Exchange 2007. (Она не поддерживается в Exchange 2007 или новее.) technet.microsoft.com/en-us/library/dd577077(v=exchg.80).aspx - Evan Anderson