Как правильно организовать замену сервера Контроллера домена?

Question

[kaw1994]

Имеется 2 железных сервера DC на windows server 2012 R2. Первый настроен как главный (на нем так же развернуты роли ЦС и DHCP, второй как резерв (фактически они равноправны, только ЦС и dhcp отсутствуют).
Каким образом произвести замену 2-го сервера? Как будет правильней?
1) Ввести новый DC-3 назначить ему те же права что и DC-2, а после вывести из эксплуатации DC-2. Но как быть с адресами? Хотелось бы оставить тот же адрес и даже имя.
2) Сначала вывести DC-2, потом ввести DC-3 и назначить те же права. Не будет ли проблем в таком случае?

Comments

[RStarun]

Уж имя прежнее точно не стоит оставлять. Можно потом огрести всяких неудобств в виде останков от старого DC в каталоге и непонятно будет это от старого или от нового.

Если по варианту 2, то убедитесь что есть прям самые новые и хорошие бэкапы DC и что их можно быстро развернуть если что. Так-то вероятность потерять единственный DC за несколько часов что поднимается новый - крайне низкая.

Answer 1

[Роман Безруков]

примерно так:
1. с DC-2 передать все FSMO-роли на DC-1
2. понизить DC-2 до рядового сервера
3. вывести DC-2 из домена и проверить, что в AD не осталось хвостов (может потребоваться очистка метаданных - metadata cleanup)
4. добавить в домен новый сервер DC, присвоив ему имя DC-2 и соответствующий IP-адрес и
5. поднять новый DC-2 до уровня Контроллер домена
6. ждем реплику и проверяем новый КД - dcdiag /s:DC-2

Answer 2

[MVV]

Вариант 2 несет риск отказа единственного КД в в процессе замены второго КД. Вариант 1 в этом плане безопаснее. Оставлять тот же адрес IP и имя, чаще всего, не обязательно (для проверки можно выключить второй КД и посмотреть, что все в организации функционирует нормально).
PS Для отказоустойчивости DHCP можно поднять DHCP на другом КД, а зону(ы) для локальной сети настроить отказоустойчивыми через DHCP Failover.

Answer 3

[Alexey Dmitriev]

Только первый вариант правильный, ибо нельзя оставлять в работе один контроллер домена.
С вводом третьего и его переименованием в имя от второго после вывода старого второго.
Контроллеры домена нормально переименовываются по инструкциям из интернета.
Вкратце:

spoiler

Зайти на новый контроллер домена и запустить из под Администратора командную строку.
Подать команду "NETDOM computername %ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА%NEW /add:%ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА%.efko.ru".
Подождать 20 минут и проверить репликацию на другом контроллере домена в другом сайте AD, запустив ADSIEdit.msc и проверив наличие дополнительного имени в свойствах компьютерного аккаунта в параметре "msDS-AdditionalDnsHostName"
Если запись появилась, вернуться на новый контроллер домена и сделать дополнительное имя основным, подав команду "NETDOM computername %ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА%NEW /makeprimary %ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА%".
Перезагрузить новый контроллер домена.
Удалить ставшее не основным имя контроллера домена, подав команду "NETDOM computername %ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА% /remove:%ИМЯ_КОНТРОЛЛЕРА_ДОМЕНА%NEW".

Answer 4

[pindschik]

1)Виртуализируем второй контроллер домена, запускаем в виртуальной среде.
2)Проблема переноса снимается.