使用新域添加新的活動目錄
我有幾個問題,因為在 Active Directory 上非常新,並且在 AD 遷移和 AD 複製之間感到困惑。我在客戶生產站點上有一個小型 Active Directory 項目。有 2 台現有 AD 伺服器使用 Windows Server 2008R2 和 2003,其中 2008r2 成為主要伺服器,2003 作為次要伺服器。兩台 AD 伺服器均作為主動-主動冗餘配置執行。現有伺服器啟用了 DNS 和 NTPServer。客戶決定將作業系統更改為 server 2012 R2 和根域名(例如:從 abc.local 到 xyz.local)。
問題是:
- 如何將所有 AD 使用者資訊和組策略從現有 AD 伺服器導出到新伺服器 2012R2。我是否需要使用步驟 adprep 和 forestprep 來遵循遷移過程。
- 現在是否可以不停用現有的 AD 伺服器?因為我相信如果發生某些事情,可以啟動回滾計劃。
3.AD遷移的注意事項?遷移後我應該測試什麼。
我希望我聽起來不粗魯,但是您的客戶應該僱用知道如何維護 Active Directory 的人。
你說諸如“主要”和“次要”DC之類的事實表明了一種非常令人擔憂的無知程度。AD 中沒有“主要”和“次要”域控制器之類的東西。它是一個多主機環境(不是“主動-主動”)。有一些 FSMO 角色託管在 DC 上,但它們不會影響複製或組策略傳播(好吧,一個角色會影響,但不是出於此目的)。
我將解釋一些非常高級的因素和基本說明,以便您可以在一定程度上理解您的目的。
您在這裡有兩件事:增加域控制器的伺服器操作版本,並進行域重命名。
讓我們從簡單的部分開始,伺服器和域升級。
- 域名是否健康?如果沒有,甚至不要開始。您/客戶是否擁有 Microsoft 的 Premier Support 帳戶?如果沒有,請不要繼續。讓它成為一個條件。
- 要升級域控制器,您至少應該使用 Server 2016。2012 R2 現已脫離主流支持。現在不要理會它。對於域功能,它並沒有太大的區別,但它有助於 Windows Hello 等新功能。最好的部分是它得到了微軟的主流支持。
- 客戶端是否使用 DHCP 來獲取其網路地址?伺服器如何獲取其 DNS 設置?DHCP 還是 GPO?如果沒有,並且域伺服器或其他客戶端具有硬編碼的 DNS 客戶端設置,您可能需要“回收”現有的 DC IP 以確保您不會失去客戶端電腦上的 DNS。
- 您在域中是否有任何舊式工作站?比 Windows 7/Server 2008 R2 還低嗎?如果你這樣做了,那麼你已經遇到了問題。是的,您可以升級域,但您需要弄清楚一些安全策略。理想情況下,應首先從域中刪除所有舊成員電腦。2003 年的 DC 仍然存在,這真的很糟糕。
- 是否有任何依賴匿名 LDAP 綁定在 DC 上進行 LDAP 查詢的東西?如果是這樣,請修復它們。除非超過 25 年,否則 LDAP 客戶端應該能夠進行身份驗證以執行 LDAP 查詢。在修復任何此類應用程序之前不要繼續操作(為其創建一個服務帳戶以用於執行 LDAP - 它不需要任何特殊權限來進行正常查詢)。
- 是否有任何帳戶配置為使用僅 DES 加密?我不在乎 20 歲的 SAP Note 說什麼,這是錯誤的(除非你的 SAP 是 20 歲)。修復使用僅 DES 加密的任何帳戶。有腳本可以找到它們。Google。
- 確定林和域功能級別。它必須至少是 2003 Native 模式。如果沒有,您將無法繼續添加 2016 DC(同樣,您應該這樣做。沒有參數。)我假設只有一個 AD 站點。檢查是否是這種情況。
- 在 DNS 中,是否所有區域都集成了 AD?如果 DC 上有任何未集成 AD 的主要區域,則繼續進行轉換。複製應該是“此域/林中的所有 DNS 伺服器”(兩者都可以,域是預設值)。
- _msdcs 區域是一個單獨的區域嗎?還是它在主域區域“下方”?如果它不是一個單獨的區域,請將其移出。有一個完整的程序。
- 是否有任何由 DC 複製的輔助區域?如果是這樣,則應記錄它們 - 輔助區域配置是每個 DNS 伺服器。它們不儲存在 AD 數據庫中。同樣,任何復製到外部輔助伺服器的主要區域都應該記錄這些配置 - 同樣,它們是每個 DNS 伺服器的設置,而不是域範圍的。
- 記錄每個 DC的**DNS 轉發器。**這很關鍵。有些腳本會轉儲 DNS 配置 - 為每個 DC 執行它們,因為它們可能有不同的配置。
- 記錄 PDCE 模擬器 FSMO 角色持有者的 NTP(時間服務)配置。我強烈建議通過組策略配置 NTP。如果你Google,有指南。
- 建立一個離線實驗室環境(您至少需要兩台可以通過網路通信的機器進行 BASIC 測試),備份 Active Directory 並將其還原到您實驗室的一台電腦上,使其成為新的 DC。然後將另一個實驗室伺服器提升為另一個 DC。檢查複製工作。檢查您是否可以在實驗室中將客戶端電腦添加到域並進行身份驗證、添加新使用者等。如果您不知道如何恢復 Active Directory 和重建域,您應該立即停止。
- 測試完 AD 還原過程後,您可以計劃升級。您應該知道是否有極端的舊客戶端(2008 年之前的 R2/Windows 7),並且最好有計劃在升級之前擺脫它們。如果客戶不想制定淘汰舊機器的計劃,請離開這份工作(因為您顯然沒有足夠的經驗來處理困難客戶的複雜情況)。
- 現在進行升級。如果您不理解以下任何步驟,請立即停止,不要繼續。
- 這假設您需要回收 DC IP 地址以保持 DNS 客戶端正常工作。如果您可以通過 GPO 或 DHCP 範圍配置更改**所有域客戶端(包括伺服器)的 DNS,那麼它就不那麼重要了。**我認為您應該“以防萬一”至少保留一個現有 IP 地址(除非您必須在新網路上建構)。
- 我建議在周末或下班後進行任何 DCPromo 或 DC 重啟。為新 DC 建構的基礎伺服器可以隨時進行。從 Microsoft 獲取 AD 複製狀態工具(免費下載)並將其安裝在某處 - 可以是任何成員伺服器/跳轉框。
- 建構將成為新 DC 的第一台 2016 年伺服器並將其加入域。現在使用任何 IP - DHCP 很好。安裝 DNS、AD DS、DFS 命名空間和 DFS 複製角色和功能。並且可能獲勝。考慮完全刪除尚未安裝的所有其他角色和功能。特別是刪除 SMB1(因為您不為任何舊客戶端提供服務,是嗎?)
- 使用 2016 伺服器進行 AD 森林準備和域準備。當您執行 DCpromo 時,Domain\forestprep 將自行執行,但最好單獨執行並確保域複製新架構並且執行狀況良好。這可以隨時完成。
- 如果域/森林準備工作正常,請等待一夜,然後在早上檢查複製/廣告執行狀況。
- 將 FSMO 角色轉移到 2008 R2 伺服器(如果它們不存在)
- 為 2003 域控制器分配一個新的臨時 IP 地址。確保記下“舊”地址(用於在新 DC 上回收)。
- 在 2003 DC 上,更改網路適配器上的 DNS 客戶端配置,使 2008 R2 DC 位於第一,其舊 IP 位於第二,新 IP 位於第三,127.0.0.1 位於最後。
- 將 IP 地址更改為 2003 DC 上的臨時地址。重新啟動它並確保 Netlogon 服務在 DNS 的 _msdcs 命名空間中註冊新 IP 的 SRV 記錄。請注意,您的 DNS 客戶端現在只會解析一台伺服器以進行 DNS 查詢。(這就是為什麼這應該在幾個小時/週末之後完成)
- 檢查
DCDIAG
、域複製、2003 DC 上的身份驗證。查看 _msdcs 中是否有任何 SRV 記錄仍指向 2003 DC 的舊 IP 地址。如果那裡有,請刪除它們。盡量不要刪除新的IP!但是,如果您犯了錯誤,只需NETLOGON
在 DC 上重新啟動,它就會重新註冊記錄。執行 AD 複製狀態工具並檢查一切正常。如果一切正常,您可以添加第一個 2016 DC。- 在新的 2016 伺服器上,確保將網路客戶端 DNS 配置為指向其 DNS 的 2008 R2 DC。使用舊的 2003 IP 地址將伺服器 IP 地址更改為靜態條目。重新啟動伺服器。然後你可以 DCpromo 2016 域控制器。它應該是一個全域目錄。大約半小時以確保一切正常後,檢查 SYSVOL 是否在伺服器上共享,如果這樣做,複製工作正常
repadmin /replsum
,沒有錯誤DCDIAG
,事件日誌中沒有嚴重錯誤,並且帳戶正在對新 DC 進行身份驗證。如果DCDIAG
顯示一些錯誤,請在一個小時後再次檢查。- 在新的 2016 DC 上,一旦健康,更新伺服器網路配置,使其 DNS 設置首先具有 2008 R2 DC,其次是它自己的 IP 地址,最後是 127.0.0.1。
- 在 DNS 伺服器控制台中更新 DNS 轉發器。確保重新創建從 2003 伺服器 DNS 服務配置中提取的任何輔助區域、輔助主伺服器和任何其他詳細資訊的配置。
- 等待幾天/週末,檢查域中的所有情況是否良好。執行 AD 複製狀態工具。做另一個 AD 備份(無論如何你應該每天都做這些 - 確保你沒有在 DC 升級期間覆蓋相同的備份!)。
- 非常重要- 確保新的 2016 DC 從域客戶端獲取 DNS 請求並為其提供服務。
- 等待一天/一夜,檢查該域中的所有人是否健康。
- 建構您的下一個 2016 DC,安裝與第一個相同的角色,並將其加入域。將網路適配器 DNS 配置為首先指向另一個 2016 DC 用於 DNS,其次是它自己的 IP,最後是 127.0.0.1。
- 為 2008 R2 DC 分配一個臨時 IP 地址。
- 與 2003 伺服器類似,將網路適配器上的 2008 R2 DNS 客戶端配置為首先指向 2016 伺服器,其舊 IP 第二,臨時 IP 第三,最後指向 127.0.0.1。將新 IP 地址分配給網路適配器並重新啟動。確保 Netlogon 在 _msdcs 區域中為自己註冊 SRV 記錄。
- 在 2008 R2 伺服器上執行所有檢查並確保 SYSVOL 是共享的,如果這樣做,複製工作正常
repadmin /replsum
,DCDIAG 中沒有錯誤,事件日誌中沒有嚴重錯誤,並且帳戶正在驗證。等待一夜以確保一切正常,並在早上重新檢查。- 查看 _msdcs 區域中是否有任何 SRV 記錄仍指向 2003 DC 的舊 IP 地址。如果那裡有,請刪除它們。
- 在新的 2016 伺服器上,確保將網路客戶端 DNS 配置為指向其 DNS 的 2016 DC。將伺服器 IP 地址更改為舊的 Server 2008 R2 地址。重新啟動伺服器。
- 然後再次 DCpromo 2016 域控制器 - 全域目錄。大約半小時以確保一切正常後,檢查 SYSVOL 是否在伺服器上共享,如果這樣做,複製工作正常
repadmin /replsum
,沒有錯誤DCDIAG
,事件日誌中沒有嚴重錯誤,並且帳戶正在對新 DC 進行身份驗證。如果DCDIAG
顯示一些錯誤,請在一個小時後再次檢查。- 在新的 2016 DC 上,更新 DNS 伺服器控制台中的 DNS 轉發器。確保重新創建從 2008 R2 伺服器 DNS 服務配置中提取的任何輔助區域、輔助主伺服器和任何其他詳細資訊的配置。
- 一旦新 DC 執行良好,第二天,更新 FIRST 2016 DC 上的網路適配器,將 NEW 2016 DC 作為列表中的第一個 DNS 伺服器,其自己的 IP 作為下一個 DNS,最後是 127.0.0.1。執行 AD 複製狀態工具以獲得良好的測量效果。
- 現在您有 4 個 DC - 兩個舊的和兩個新的 2016 伺服器。新伺服器使用的是舊版 DC 以前的 IP 地址,因此 DNS 對客戶端應該沒問題。
- 將您的 FSMO 角色轉移到 2016 年 DC 之一。確保
DCDIAG
並repadmin
顯示複製工作正常。如果您不介意通過 GPO 配置 PDCE NTP 服務,請立即在新的 PDCE 上修復它(只需執行 GPO)。- 等幾天——到下週末。做備份!AD 複製狀態工具。如果域執行良好,請將 2003 DC 降級並將其從域中刪除。如有必要,執行元數據清理。確保從 AD 站點和服務中刪除 2003 DC,無論它發生在哪裡,並從 _msdcs DNS 區域中刪除所有 2003 DC SRV 記錄。
- 再等幾天——下個週末!備份。域健康。AD 複製狀態工具。如果一切正常,請將 2008 R2 DC 降級並將其從域中刪除。如有必要,執行元數據清理。確保從 AD 站點和服務中刪除 2008 R2 DC,無論它發生在哪裡,並從 _msdcs DNS 區域中刪除所有 2008 R2 DC SRV 記錄。
- 現在您有兩個執行 2003 本機模式林和域的 2016 DC。你還沒有完成。進行域健康檢查。AD 複製狀態工具。
- 安排域和林功能級別升級,以及 SYSVOL 遷移到 DFSR。不要讓客戶推遲 DFL/FFL 升級。這是沒有意義的,並且沒有新的 AD 功能的許多好處離開域。這是 FFL 和 DFL 的指南。安全性方面最重要的變化發生在 2008/2012 年,此時 kerberos 的 AES 加密類型可用,而 DES 加密類型已被棄用。https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels。將 SYSVOL 遷移到 DFSR 沒有任何影響 - 只是有點繁瑣。
- 備份
- 您需要將 FRS SYSVOL 遷移到 DFSR。我為你做了Google搜尋,這是權威指南。跟著它。https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/
- 完成 SYSVOL 並且複制沒有錯誤後,繼續執行 DFL/FFL。我希望你已經閱讀了所有關於潛在安全方面的文件。如果您注意到我在開始時提出的警告(沒有僅限 DES 的帳戶,沒有匿名 LDAP 等),那麼這應該沒什麼大不了的。閱讀上面的指南。按照連結。然後繼續按照文件末尾連結的步驟先進行 DFL,然後是 FFL。檢查 AD 執行狀況!這些步驟的好處是,如果它變成梨形,很快就會很明顯。如果有,請**致電 Microsoft 。**不要亂來。
現在,雖然這些步驟看起來非常詳細,但它們並非如此。我還沒有討論過 WINS,這是撒旦的詛咒。我什至都懶得問這個廣告的大小。我希望為您著想,單個站點中的使用者數少於幾千。有了 2 個 DC,您就不可能再提供服務了。我還沒有談到對 Kerberos 加密的影響,以及環境中哪些非域加入的垃圾可能正在使用您不知道的 AD。
在我的上一份工作中,我們發現用於管理整個網路的軟體使用了不安全的 LDAP 配置,指向單個遺留 DC IP(甚至不是 DNS 名稱),我們之所以發現這個配置,是因為我們認為不需要回收該地址,並關閉該特定 DC(這是具有該地址的第二個DC - 他們應該在此之前修復其配置)。讓我告訴你,當網路工程師無法維護公共安全組織中的關鍵基礎設施時,他們會非常激動,即使他們提前幾個月被告知要修復使用這些協議的任何系統。(幾年前,當舊的 DC 退役時!這就是為什麼我不想為不執行主/輔助 DNS 的 DC 回收 IP - 它清除了配置錯誤的系統)。
他們的變更控制和文件流程是什麼?您將如何進行適當的測試?
測試 AD 備份和域恢復是最起碼的開始。沒有測試您的應用程序是否可以使用新的 AD 安全性,其中一些是在您安裝具有更高作業系統的新 DC 時引入的 - Server 2012 R2 是一個很大的變化。順便說一句,這與 DFL/FFL 無關。這是直流作業系統。
而且我們甚至還沒有進入新的域安全配置和更新 GPO 以反映目前的最佳實踐(如果他們有 2003 DC,他們可能不會那麼在意,除非這是試圖解決問題……沒有經驗的技術)。就像擺脫 NTLMv1、SMB1 等一樣。
如果你把這件事搞砸了,可能幾天都無法訪問任何東西,企業有多高興?當然,假設您有 Premier Support 幫助。
我寫了所有這些準細節,希望能嚇到你,你會建議他們聘請有適當經驗的人。