>将传出DC的IP地址添加到新DC,并确保DNS正在侦听该地址.
>降级旧DC,在其上保留DNS角色,并为新服务器配置全局DNS转发器.
显然,两者都是权宜之计,直到所有服务器和设备都配置为使用新服务器的主IP地址,但有时这个过渡期可能相对较长,具体取决于环境的大小.
这里有明确的最佳做法吗?
Is there a clear cut best practice here?
没有.(该死的,也许这是一个简单的答案…)
Microsoft提供了关于如何降级域控制器以及执行AD和DNS迁移的非常通用,易于Google格式的Bingable指南,但我不打算链接到它们,也不会假装它们解决您的具体问题,因为Microsoft显然不能记录每个不同组织环境的每个具体案例.
因此,像我们这样的系统管理员/工程师需要利用我们自己的专业知识和经验填补空白,而微软并没有为我们编写特殊的脚本,而这正是使我们有价值的原因.
我可以举例说明我们为解决同一问题所做的一些事情,因为我还在全球范围内工作,有数十个或更多域控制器,不同的AD森林在同一网络上同居,非Windows设备也在消耗来自相同DC的DNS服务等.迁移到新数据中心并迁出旧数据中心,需要迁移到新硬件或新操作系统版本,以及普通的旧商业政治都是我们需要停用域控制器的可能原因可能仍在使用.当你有多个异构组织正在使用这些DC / DNS服务器时,通常是在退出域控制器之前重新配置每个客户端(其中许多可能不在你的控制之下)的一个艰苦的,抽象的过程,包括项目经理,门票可能需要数天或数周才能上班的其他各种团队等.
所以这就是为什么我说我不认为有人能给你这个问题的答案.根据您的组织结构和需求,有一千种方法可以解决这个问题,有些方法会比其他方式更好.
我们为解决此问题而做的一件事就是为每个数据中心创建一个VIP,并将该数据中心内的所有域控制器汇集到该VIP后面. (这个VIP仅用于DNS服务,原因很明显,我不是在谈论负载均衡Kerberos和LDAP.)这样,客户端可以配置为使用该VIP作为他们的DNS解析器,我们可以自由添加和带走无论何时何地我们都欢迎这个VIP背后的域控制器.
但是你不是在问题面前…所以考虑到你提供的选项:
Add the IP address of the outgoing DC to a new DC and ensure that DNS is listening on that address.
Demote the old DC,leave the DNS role on it,and configure a global DNS forwarder to your new server.
我会选择#1选项,因为你的目标是尽快淘汰旧服务器,而选项#2不能帮你摆脱旧服务器.使用选项#2,服务器的存在仍然是必要的.我也不会选择Mathias R. Jessen关于存根区域的建议,因为再次,您仍然需要将旧服务器留在原地并投入使用,这不利于您的最终目标.
使用选项#1,尽管可能很丑陋,但您可以退出旧服务器,为您的公司节省成本,避免在该数据中心支付另一个月的租金,并获得成为如此优秀员工的奖励.
编辑:考虑一下我们的聊天,我想我可能已经将自己的要求投射到你身上了,因为我现在对某些东西有拉动插件ASAP要求,所以这在我脑海中是新鲜的.听起来你没有尽快关闭服务器的直接要求.
也就是说,我不会改变我的建议,因为我仍然会喜欢它.在过去非常类似的情况下,将额外的IP添加到现有的域控制器上对我来说效果很好,而且我宁愿这样做也不会有一个奇怪的服务器附件在那里停留不确定的时间.