Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Миграция DC на WS 2012 R2 и перенос ролей.

cobion

Добрый день коллеги. Стоит задача миграции физических DC с WS 2008 R2 в виртуальную среду. Гипервизор WS Hyper-V 2012 R2, ВМ с контроллером так же WS 2012 R2. Будет создан кластер виртуальных машин в который так же будут входить и новые контроллеры домена.

FSMO роли передаются легко. Есть однако пару вопросов по DNS и DHCP:

DHCP сервер, по его переносу понятно, НО какое решение лучше предпочесть- поставить второй DHCP на другой виртуальный DC на другой ноде кластера и сделать DHCP Failover, либо полагаться на сам кластер и его Failover и будет ли значительный простой при перезапуске ВМ на другой ноде при отработке отказа (кластера). Так же и по DHCP Realy, их много и они у провайдера- я так понимаю при смене айпишника при переносе DHCP на другой DC , нужно будет как-то перенастраивать DHCP Relay , а в примере с DHSP Failover- так же ?

Как быть с основным DNS , который прописан в основной гуще серваков статически. Если клиентам все можно раздать динамически через DHCP, то как быть при перенастройке основного DNS при поднятии нового DC ?

Спасибо!

Алексей Максимов

Ничего не понял. Давайте по порядку, и не сваливая всё в один "беспорядочный поток сознания":

1) Что имеется и как это работает.

2) Что нужно получить в конечном результате. Конкретно.

3) Как именно (по шагам) планируется переход от п.1 к п.2

4) Какие есть сомнения и вопросы относительно каждого шага в п.3

cobion

Ок, по порядку:

1.Один лес состоит из одного домена и двух физических DC .На одном из них стоит ОС WS 2008 R2 и на нем же все критичные роли (FSMO,DHCP,AD CS уровня Enterprise Root, DNS интеграция в AD).Второй DC с ОС WS 2012 R2 и является репликой.Уровень леса и домена 2008 R2 Так же имеется три офиса в которых установлены RODC и на них так же установлены DHCP (для некоторой автономии аутентификации + шары локально).Теперь некоторые моменты- самая критичная роль здесь DHCP на корневом DC , так как очень много клиентов и разных подсетей с областями и резервированием, которые поддерживает DHCP на корневом DC.Этот DHCP поддерживает клиентов в офисах в разных сетях и еще в добавок в МСК (пока что там нет своего RODC). Отальное и подавляющее количетво служб и сервисов работает на платформе виртуализации WS 2012 R2 Hyper-V, есть так же кластера и мощности для данной платформы будут только расширяться.

2.Глобально стоит задача обновить все DC до WS 2012 R2.Первым этапом стоит задача обновить головные и пишущие DC, то есть корневой.Так же есть мысль перенести рутовый DC в гипервизор , так как MS сейчас официально поддерживает виртуализацию ADDS Естественно уйти и от единой точки отказа- разнеся роли на несколько серверов с возможностью быстрого восстановления при отказах в (виртуалку вегда проще и быстрее восстановить чем физику).Поэтому план сводится к миграции ролей на несколько серверов.Ну и пока оставить хотя бы один DC в физике.

3.Первый шаг поднятие на Hyper-V реплики ADDS и передача всех ролей FSMO.Туда же перенести роль DHCP и для отказоустойчивости самого DHCP организовать Failover c другим физическим DC- который уже с ОС WS 2012 R2- предварительно необходимо удалить/добавить в DHCP Relay соответствующий ip адреса- что бы клиенты в разных подсетях могли найти оба DHCP сервера. Службу центра сертификации перенести на рядовой сервер. Подумать как сделать так, что бы адреса DNS на большом количестве серверов появились корректно в статике-после добавления и миграции ролей DC Это пока план номер один.

4.Сомнение раз-какую схему отказоустойчивости DHCP предпочесть, даже если он будет завиртуализирован и помещен в кластер Hyper-V, то при отработки отказа (FAILOVER) виртуалка перезапустится на другом узле гипервизора, но все равно это простой (холодный ShutDown) и еще надо время на запуск самой ОС и служб. Все таки свой механизм отказоустойчивости в DHCP куда выше.То есть вопрос по размещению этой службы как критичной. Сомнения два- при передаче ролей FSMO я так понимаю никаких манипуляций более делать не надо, так как реплика уведомит всех участников домена о том кто сейчас главный ? Сомнение три-Появился новый DC, новый ip-адрес, новый FSMO,соответственно на всех статичных адресах - то есть серверах, а так же репликах DC порядок первичного/вторичного DNS надо менять/добавлять-хотя порядок DNS не особо важен, ведь служба интегрирована в ADDS и ответит первый авторитетный. Но серверам все равно надо будет добавлять DNS-как бы это автоматизировать ?

Ну и рядом стоящий MS Exchange 2010 +Lync не должены наверное всего этого почувствовать.

Вроде как то так....

Алексей Максимов

Ну и пока оставить хотя бы один DC в физике

Если кластер Hyper-V на базе Windows Server 2012 R2, то можете спокойно переносить все DC в виртуальную среду, так как этот кластер совершенно спокойно стартует без наличия доступного домена. Это уже проверено на практике не однократно. Об этом кстати я писал ранее в статье про конвертацию физического DC в виртуальный.

какую схему отказоустойчивости DHCP предпочесть

А вариант у Вас, насколько я понимаю, всего один - DHCP Failover, то есть наличие двух DHCP-серверов (неважно какие они будут -физические или виртуальные). Если DHCP сервер иметь один - то это всегда единая точка отказа в виде конкретной серверной ОС.

при передаче ролей FSMO я так понимаю никаких манипуляций более делать не надо, так как реплика уведомит всех участников домена о том кто сейчас главный

Думаю да. В AD все эти вещи давно автоматизированы, насколько я знаю.

Но серверам все равно надо будет добавлять DNS-как бы это автоматизировать

PowerShell

cobion

Спасибо Алексей- очень лаканично!

Единственное, что хотел уточнить про DHCP-ретрансляторы/либо IP Helper-ры, то есть надо сетевикам заранее предоставить айпишники новых DHCP серверов что бы они внесли их в ретрансляцию DHCP ?

Вот и я о том же, то есть все хосты WS 2012 Hyper-V у нас так же введены в домен и это все равно не помешает их перезагрузке, если гипервизор ребутнется даже с DC ? Я это пытаюсь объяснить товарисчаам, но там как-то скептически к этому относятся. Скажите Алексей может есть ссылочка на данный факт, я просто забыл, клаастер теперь же не собо завист от CNO вроде, ?

Спасибо!

Алексей Максимов

Вот и я о том же, то есть все хосты WS 2012 Hyper-V у нас так же введены в домен и это все равно не помешает их перезагрузке, если гипервизор ребутнется даже с DC ?

Не помешает. Кластер стартанёт, загрузятся виртуальные машины с DC и всё будет работать, как прежде. Дополнительно можно настроить очередность загрузки ВМ, чтобы AD-зависимые сервисы не пытались подниматься раньше того, как стартанут виртуальные DC. Если Вы сомневаетесь в этом, никто не мешает на время выключить физический DC (прежде чем окончательно его удалять), и протестировать выключение/включение кластера.

Скажите Алексей может есть ссылочка на данный факт

В статье, про которую я упомянул ранее в самом начале есть ссылка. Плюс я проверил это своими практическими испытаниями, если конечно для Вас это имеет какой-то вес :)

Алексей Максимов

По поводу переключения DHCP. Для более мягкого перехода можно распилить работающие области на две части с непересекающимися адресами. Первую часть (большую по объёму) оставить на старом DHCP, а вторую часть прописать на новом виртуальном кластере DHCP. На обоих DHCP выставить малые сроки аренды и прописать дополнительные хелперы на сетевом оборудовании (приоритет выставить новому DHCP если это возможно), и наблюдать за ситуацией. Если клиенты будут успешно прилетать на новый DHCP кластер и брать адреса так, как должны, то дальше потихоньку придавить старый DHCP сервер, параллельно расширив области на новом DHCP. В общем тут всё зависит от Вашей фантазии.

cobion

Спасибо Алексей.Да отличная статья!

По DHCP , хорошее предложение, но похоже "выкусывать" диапазоны областей на данный момент задачка будет сложной, поэтому будем переносить сразу.

cobion

Алексей доброго дня. Хотел спросить в контексте выполнения данных работ про RODC , на них так же есть свой DHCP c некоторыми областями, плюс так же имеется некая инфраструктура общих папок. Возможно ли выполнить In Place Upgrade данных RODC с WS 2008 R2 до WS 2012 R2 , именно без чистой установки и могут ли при этом возникнуть проблемы с DHCP и шарами ?

Спасибо!

Алексей Максимов

Не знаю. Мне бы такой колхоз даже в голову не пришло инплейсом обновлять.