Aynı zamanda bir DNS sunucusu olan bir Etki Alanı Denetleyicisinin hizmetten çıkarılması için en iyi yöntem nedir?

9

Active Directory Etki Alanı Denetleyicilerinin hizmetten çıkarma işlemi için DNS sunucuları olarak kullanılan iki düşünce okulu vardır.

  1. Giden DC'nin IP adresini yeni bir DC'ye ekleyin ve DNS'nin bu adresi dinlediğinden emin olun.

  2. Eski DC'yi indirgeyin, DNS rolünü üzerinde bırakın ve yeni sunucunuza genel bir DNS iletici yapılandırın.

Açıkçası, tüm sunucular ve aygıtlar yeni bir sunucunun birincil IP adresini kullanacak şekilde yapılandırılıncaya kadar her ikisi de durma boşluklarıdır, ancak bazen bu geçiş süresi ortamın boyutuna bağlı olarak nispeten uzun olabilir.

Burada net bir en iyi uygulama var mı?

windows  domain-name-system  active-directory 
MDMarra
kaynak
2
Ya da üçüncüsü, ağdaki eski DNS sunucusuna yapılan herhangi bir / tüm referansları değiştirilsin mi?
gravyface
1
Tabii ki bu son hedef, bu yüzden buna bir stopgap dedim. Ancak bazı çok geniş ortamlarda, zamanında yapılmasını istiyorsanız bu bir seçenek değildir. Dedim ki: Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.değil mi?
MDMarra
anlambilim ... haklısınız, ancak cihazların DNS yapılandırmasını sistematik olarak değiştirmeyi, etkinlik için izlemeyi, DHCP kapsamlarıyla başlamayı, daha sonra önemsiz (üye sunucuların diğer DC'lere üye sunucuları aracılığıyla) çalışmasını tercih ederim. ) eski sunucunun kimliğine bürünmek ve / veya gerekenden daha uzun süre bekletmek.
gravyface
Tabii ki bu en iyi seçenek, ancak "çok geniş" bir ortam dediğimde, 300'den fazla DC ile küresel olarak dağıtılmış altyapı ve altyapının farklı bileşenlerini yöneten birçok farklı BT ekibinden bahsediyorum. Bazen, yükseltme sırasında her cihazı ilk hızda aldığınızdan emin olmak gerçekten mümkün değildir .
MDMarra
1
@gravyface Yanlış değilsiniz, ancak farklı bileşenlerin merkezi olmayan yönetimi ile geniş ve coğrafi olarak dağınık ortamlarda, bir oyun planı üzerinde anlaşmak, her birini sıraya koymak ve ortak bir hedefe doğru çalışmak her zaman mümkün değildir. Bazen ilerlemek ve başkaları için mümkün olduğunca az etkisi olmasını sağlamak için bir çözüm veya geçici çözüm bulmak için bir karar vermeniz gerekir
Mathias R. Jessen

Yanıtlar:

5

Cevaplamakta tereddüt ediyorum çünkü bunun kesinlikle bir soru-cevap sorusundan daha çok bir "tartışma" sorusu olduğunu düşünüyorum ... ama tembel bir Cumartesi sabahı, bu yüzden yine de yapacağım.

Burada net bir en iyi uygulama var mı?

Hayır. (Lanet olsun, belki bu kolay bir cevaptı ...)

Microsoft, etki alanı denetleyicilerini indirgeme ve AD ve DNS geçişlerini gerçekleştirme konusunda çok genel, kolayca Googleable Bingable rehberlik sağlar, ancak onlara bağlanma zahmetine girmeyeceğim ya da belirli sorunuzu ele aldıklarını iddia etmeyeceğim, çünkü Microsoft açıkça yapamıyor her farklı kuruluşun ortamı için her özel vakayı belgelemek.

Bu nedenle, bizim gibi sistem yöneticileri / mühendisleri, Microsoft'un sadece bizim için özel bir senaryo yazmadığı kendi uzmanlığımız ve deneyimlerimizle boşlukları doldurmaya bırakıldı ve bu bizi değerli kılan şey.

Aynı sorunu ele almak için yaptığımız şeylere bir örnek verebilirim, çünkü onlarca veya daha fazla etki alanı denetleyicisine sahip dünya çapında ortamlarda da çalışıyorum, aynı ağlarda birlikte çalışan farklı AD ormanları, Windows olmayan cihazlar da tüketiyor Aynı DC'lerden gelen DNS hizmetleri, vb. Yeni veri merkezlerine geçmek ve eski veri merkezlerine geçmek, yeni donanıma veya yeni işletim sistemi sürümlerine geçmeye ihtiyaç duymak ve eski işletme politikalarının tümü, potansiyel olarak hala kullanılıyorlardı. Şu anda bu DC / DNS sunucularını kullanan birden fazla heterojen kuruluşunuz varsa, genellikle proje yöneticilerini içeren etki alanı denetleyicisini devre dışı bırakmadan önce her istemciyi (birçoğu sizin kontrolünüzde olmayabilir) yeniden yapılandırmak için yorucu, çizilmiş bir işlemdir,

Bu yüzden kimsenin size bu sorunun cevabını verebileceğini sanmıyorum diyorum . Bu konuda binlerce yol vardır ve bazıları kuruluşunuzun yapısına ve ihtiyaçlarına bağlı olarak diğerlerinden daha iyi olacaktır.

Bu sorunun önüne geçmek için yaptığımız bir şey, her veri merkezi için bir VIP yapmak ve bu veri merkezindeki tüm etki alanı denetleyicilerini bu VIP'nin arkasında bir araya getirmektir. (Bu VIP DNS hizmeti içindir sadece ben değilim, bilinen nedenlerle değil Bu şekilde, müşterilerin DNS çözümleyici için o VIP kullanmak üzere yapılandırılabilir. Kerberos ve LDAP yük dengeleme söz) ve biz ekleyip götürmek serbesttir ne zaman ve ne zaman olursa olsun, bu VIP'nin arkasındaki etki alanı denetleyicileri.

Ama problemin önünde değilsin ... verdiğiniz seçenekler göz önüne alındığında:

  1. Giden DC'nin IP adresini yeni bir DC'ye ekleyin ve DNS'nin bu adresi dinlediğinden emin olun.

  2. Eski DC'yi indirgeyin, DNS rolünü üzerinde bırakın ve yeni sunucunuza genel bir DNS iletici yapılandırın.

Amacınız # 1'i seçerim, çünkü amacınız eski sunucuyu olabildiğince çabuk hizmetten çıkarmaktır ve # 2 seçeneği eski sunucudan kurtulmanıza yardımcı olmaz. Seçenek # 2 ile sunucunun varlığı hala gereklidir. Mathias R. Jessen'in saplama bölgeleri önerisiyle de gitmezdim, çünkü yine, eski sunucuyu yerinde ve hizmette bırakmanız gerekiyor, ki bu da son hedefinize elverişli değil.

Seçenek # 1 ile, çirkin olabileceği gibi, eski sunucuyu emekliye ayırabilir, şirketiniz için maliyet tasarrufu talep edebilir, bu veri merkezine başka bir ayın kirasını ödemek zorunda kalmazsınız ve böyle iyi bir çalışan olduğu için ödül verebilirsiniz.

Düzenleme: Sohbetimizi biraz daha düşünerek, kendi gereksinimlerimi size yansıtmış olabileceğimi düşünüyorum, çünkü şu anda bazı şeyler için tak-ASAP gereksinimleri var, bu yüzden aklımda taze oldu. ASAP sunucusunu kapatmak için acil bir gereksiniminiz olmadığı anlaşılıyor.

Bununla birlikte, önerimi değiştirmiyorum, yine de tercih ettiğim gibi. Varolan bir etki alanı denetleyicisine fazladan IP'yi yapıştırmak geçmişte benim için çok benzer senaryolarda iyi çalıştı ve daha çok belirsiz bir süre için orada oturan bir sunucunun garip bir eklentisi olmasını tercih ederim.

Ryan Ries
kaynak
1
Bunun altına düştüğünde düşünüyorum good subjectiveiçinde iyi subjektif, Kötü Öznel "tartışma soruları" kuralını tanımlanan post. En azından böyle umuyorum.
MDMarra
@MDMarra katılıyorum. Düşündürücü ve ilginç bir soru için +1. :)
Ryan Ries
Ayrıca, sadece kayıt için, genellikle önerinin tam tersini yaparım: D
MDMarra
5

Active Directory cehennemine giden yol geçici bandajlarla döşenmiştir. Yeni DC ve DNS sunucunuza, devre dışı bırakılmış veya devre dışı bırakılacak bir DNS sunucusunun IP adresini atamak geçici bir bandajdır.

@Gravyface yorumlarında belirtildiği gibi, ideal senaryoda, eski DC'yi tamamen devre dışı bırakmadan önce istemci DNS tercihini eski yerine yeni IP'ye güncellemek için tüm DHCP kapsamlarını ve statik yapılandırmaları değiştirirsiniz.

Tüm istemcilerin yeniden yapılandırıldığından emin olmanın zamanında mümkün olmadığını anlıyorum, ancak kesinlikle seçenek numarası 2'yi (tüm ad alanını iletme) burada en az sakıncalı seçenek olarak görüyorum.

Eski sunucunun indirgeme işleminden sonra bile istekleri iletmesine izin vermenin yanı sıra, DNS Sunucusundan gelen istekler için Hata Ayıklama Günlüğünü etkinleştirmeyi öneririm - bu, yalnızca istemciler hala eski DNS sunucusunu işaret ediyorsa değil , aynı zamanda söz konusu müşterileri belirlemek.

Bununla birlikte, bariz üçüncü seçeneği kaçırdığınızı düşünüyorum: Saplama Bölgeleri !

  • DC'yi indirgeyin, DNS rolünü koruyun ve daha önce saplama bölgeleri olarak tuttuğu tüm bölgeleri ekleyin - diğer her şeyi iletin. Bu şekilde, istemcileri , kendileri için işi yapmak yerine, kullanmaları gereken Etki Alanı Denetleyicileriyle gerçekten iletişim kurmaya zorlama
Mathias R. Jessen
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.