Windows-Server-2008

使用新域添加新的活動目錄

  • February 26, 2019

我有幾個問題,因為在 Active Directory 上非常新,並且在 AD 遷移和 AD 複製之間感到困惑。我在客戶生產站點上有一個小型 Active Directory 項目。有 2 台現有 AD 伺服器使用 Windows Server 2008R2 和 2003,其中 2008r2 成為主要伺服器,2003 作為次要伺服器。兩台 AD 伺服器均作為主動-主動冗餘配置執行。現有伺服器啟用了 DNS 和 NTPServer。客戶決定將作業系統更改為 server 2012 R2 和根域名(例如:從 abc.local 到 xyz.local)。

問題是:

  1. 如何將所有 AD 使用者資訊和組策略從現有 AD 伺服器導出到新伺服器 2012R2。我是否需要使用步驟 adprep 和 forestprep 來遵循遷移過程。
  2. 現在是否可以不停用現有的 AD 伺服器?因為我相信如果發生某些事情,可以啟動回滾計劃。

3.AD遷移的注意事項?遷移後我應該測試什麼。

我希望我聽起來不粗魯,但是您的客戶應該僱用知道如何維護 Active Directory 的人。

你說諸如“主要”和“次要”DC之類的事實表明了一種非常令人擔憂的無知程度。AD 中沒有“主要”和“次要”域控制器之類的東西。它是一個多主機環境(不是“主動-主動”)。有一些 FSMO 角色託管在 DC 上,但它們不會影響複製或組策略傳播(好吧,一個角色會影響,但不是出於此目的)。

我將解釋一些非常高級的因素和基本說明,以便您可以在一定程度上理解您的目的。

您在這裡有兩件事:增加域控制器的伺服器操作版本,並進行域重命名。

讓我們從簡單的部分開始,伺服器和域升級。

  1. 域名是否健康?如果沒有,甚至不要開始。您/客戶是否擁有 Microsoft 的 Premier Support 帳戶?如果沒有,請不要繼續。讓它成為一個條件。
  2. 要升級域控制器,您至少應該使用 Server 2016。2012 R2 現已脫離主流支持。現在不要理會它。對於域功能,它並沒有太大的區別,但它有助於 Windows Hello 等新功能。最好的部分是它得到了微軟的主流支持
  3. 客戶端是否使用 DHCP 來獲取其網路地址?伺服器如何獲取其 DNS 設置?DHCP 還是 GPO?如果沒有,並且域伺服器或其他客戶端具有硬編碼的 DNS 客戶端設置,您可能需要“回收”現有的 DC IP 以確保您不會失去客戶端電腦上的 DNS。
  4. 您在域中是否有任何舊式工作站?比 Windows 7/Server 2008 R2 還低嗎?如果你這樣做了,那麼你已經遇到了問題。是的,您可以升級域,但您需要弄清楚一些安全策略。理想情況下,應首先從域中刪除所有舊成員電腦。2003 年的 DC 仍然存在,這真的很糟糕。
  5. 是否有任何依賴匿名 LDAP 綁定在 DC 上進行 LDAP 查詢的東西?如果是這樣,請修復它們。除非超過 25 年,否則 LDAP 客戶端應該能夠進行身份驗證以執行 LDAP 查詢。在修復任何此類應用程序之前不要繼續操作(為其創建一個服務帳戶以用於執行 LDAP - 它不需要任何特殊權限來進行正常查詢)。
  6. 是否有任何帳戶配置為使用僅 DES 加密?我不在乎 20 歲的 SAP Note 說什麼,這是錯誤的(除非你的 SAP 是 20 歲)。修復使用僅 DES 加密的任何帳戶。有腳本可以找到它們。Google。
  7. 確定林和域功能級別。它必須至少是 2003 Native 模式。如果沒有,您將無法繼續添加 2016 DC(同樣,您應該這樣做。沒有參數。)我假設只有一個 AD 站點。檢查是否是這種情況。
  8. 在 DNS 中,是否所有區域都集成了 AD?如果 DC 上有任何集成 AD 的主要區域,則繼續進行轉換。複製應該是“此域/林中的所有 DNS 伺服器”(兩者都可以,域是預設值)。
  9. _msdcs 區域是一個單獨的區域嗎?還是它在主域區域“下方”?如果它不是一個單獨的區域,請將其移出。有一個完整的程序。
  10. 是否有任何由 DC 複製的輔助區域?如果是這樣,則應記錄它們 - 輔助區域配置是每個 DNS 伺服器。它們不儲存在 AD 數據庫中。同樣,任何復製到外部輔助伺服器的主要區域都應該記錄這些配置 - 同樣,它們是每個 DNS 伺服器的設置,而不是域範圍的。
  11. 記錄每個 DC的**DNS 轉發器。**這很關鍵。有些腳本會轉儲 DNS 配置 - 為每個 DC 執行它們,因為它們可能有不同的配置。
  12. 記錄 PDCE 模擬器 FSMO 角色持有者的 NTP(時間服務)配置。我強烈建議通過組策略配置 NTP。如果你Google,有指南。
  13. 建立一個離線實驗室環境(您至少需要兩台可以通過網路通信的機器進行 BASIC 測試),備份 Active Directory 並將其還原到您實驗室的一台電腦上,使其成為新的 DC。然後將另一個實驗室伺服器提升為另一個 DC。檢查複製工作。檢查您是否可以在實驗室中將客戶端電腦添加到域並進行身份驗證、添加新使用者等。如果您不知道如何恢復 Active Directory 和重建域,您應該立即停止
  14. 測試完 AD 還原過程後,您可以計劃升級。您應該知道是否有極端的舊客戶端(2008 年之前的 R2/Windows 7),並且最好有計劃在升級之前擺脫它們。如果客戶不想制定淘汰舊機器的計劃,請離開這份工作(因為您顯然沒有足夠的經驗來處理困難客戶的複雜情況)。
  15. 現在進行升級。如果您不理解以下任何步驟,請立即停止,不要繼續。
  16. 這假設您需要回收 DC IP 地址以保持 DNS 客戶端正常工作。如果您可以通過 GPO 或 DHCP 範圍配置更改**所有域客戶端(包括伺服器)的 DNS,那麼它就不那麼重要了。**我認為您應該“以防萬一”至少保留一個現有 IP 地址(除非您必須在新網路上建構)。
  17. 我建議在周末或下班後進行任何 DCPromo 或 DC 重啟。為新 DC 建構的基礎伺服器可以隨時進行。從 Microsoft 獲取 AD 複製狀態工具(免費下載)並將其安裝在某處 - 可以是任何成員伺服器/跳轉框。
  18. 建構將成為新 DC 的第一台 2016 年伺服器並將其加入域。現在使用任何 IP - DHCP 很好。安裝 DNS、AD DS、DFS 命名空間和 DFS 複製角色和功能。並且可能獲勝。考慮完全刪除尚未安裝的所有其他角色和功能。特別是刪除 SMB1(因為您不為任何舊客戶端提供服務,是嗎?)
  19. 使用 2016 伺服器進行 AD 森林準備和域準備。當您執行 DCpromo 時,Domain\forestprep 將自行執行,但最好單獨執行並確保域複製新架構並且執行狀況良好。這可以隨時完成。
  20. 如果域/森林準備工作正常,請等待一夜,然後在早上檢查複製/廣告執行狀況。
  21. 將 FSMO 角色轉移到 2008 R2 伺服器(如果它們不存在)
  22. 為 2003 域控制器分配一個新的臨時 IP 地址。確保記下“舊”地址(用於在新 DC 上回收)。
  23. 在 2003 DC 上,更改網路適配器上的 DNS 客戶端配置,使 2008 R2 DC 位於第一,其舊 IP 位於第二,新 IP 位於第三,127.0.0.1 位於最後。
  24. 將 IP 地址更改為 2003 DC 上的臨時地址。重新啟動它並確保 Netlogon 服務在 DNS 的 _msdcs 命名空間中註冊新 IP 的 SRV 記錄。請注意,您的 DNS 客戶端現在只會解析一台伺服器以進行 DNS 查詢。(這就是為什麼這應該在幾個小時/週末之後完成)
  25. 檢查DCDIAG、域複製、2003 DC 上的身份驗證。查看 _msdcs 中是否有任何 SRV 記錄仍指向 2003 DC 的舊 IP 地址。如果那裡有,請刪除它們。盡量不要刪除新的IP!但是,如果您犯了錯誤,只需NETLOGON在 DC 上重新啟動,它就會重新註冊記錄。執行 AD 複製狀態工具並檢查一切正常。如果一切正常,您可以添加第一個 2016 DC。
  26. 在新的 2016 伺服器上,確保將網路客戶端 DNS 配置為指向其 DNS 的 2008 R2 DC。使用舊的 2003 IP 地址將伺服器 IP 地址更改為靜態條目。重新啟動伺服器。然後你可以 DCpromo 2016 域控制器。它應該是一個全域目錄。大約半小時以確保一切正常後,檢查 SYSVOL 是否在伺服器上共享,如果這樣做,複製工作正常repadmin /replsum,沒有錯誤DCDIAG,事件日誌中沒有嚴重錯誤,並且帳戶正在對新 DC 進行身份驗證。如果DCDIAG顯示一些錯誤,請在一個小時後再次檢查。
  27. 在新的 2016 DC 上,一旦健康,更新伺服器網路配置,使其 DNS 設置首先具有 2008 R2 DC,其次是它自己的 IP 地址,最後是 127.0.0.1。
  28. 在 DNS 伺服器控制台中更新 DNS 轉發器。確保重新創建從 2003 伺服器 DNS 服務配置中提取的任何輔助區域、輔助主伺服器和任何其他詳細資訊的配置。
  29. 等待幾天/週末,檢查域中的所有情況是否良好。執行 AD 複製狀態工具。做另一個 AD 備份(無論如何你應該每天都做這些 - 確保你沒有在 DC 升級期間覆蓋相同的備份!)。
  30. 非常重要- 確保新的 2016 DC 從域客戶端獲取 DNS 請求並為其提供服務。
  31. 等待一天/一夜,檢查該域中的所有人是否健康。
  32. 建構您的下一個 2016 DC,安裝與第一個相同的角色,並將其加入域。將網路適配器 DNS 配置為首先指向另一個 2016 DC 用於 DNS,其次是它自己的 IP,最後是 127.0.0.1。
  33. 為 2008 R2 DC 分配一個臨時 IP 地址。
  34. 與 2003 伺服器類似,將網路適配器上的 2008 R2 DNS 客戶端配置為首先指向 2016 伺服器,其舊 IP 第二,臨時 IP 第三,最後指向 127.0.0.1。將新 IP 地址分配給網路適配器並重新啟動。確保 Netlogon 在 _msdcs 區域中為自己註冊 SRV 記錄。
  35. 在 2008 R2 伺服器上執行所有檢查並確保 SYSVOL 是共享的,如果這樣做,複製工作正常repadmin /replsum,DCDIAG 中沒有錯誤,事件日誌中沒有嚴重錯誤,並且帳戶正在驗證。等待一夜以確保一切正常,並在早上重新檢查。
  36. 查看 _msdcs 區域中是否有任何 SRV 記錄仍指向 2003 DC 的舊 IP 地址。如果那裡有,請刪除它們。
  37. 在新的 2016 伺服器上,確保將網路客戶端 DNS 配置為指向其 DNS 的 2016 DC。將伺服器 IP 地址更改為舊的 Server 2008 R2 地址。重新啟動伺服器。
  38. 然後再次 DCpromo 2016 域控制器 - 全域目錄。大約半小時以確保一切正常後,檢查 SYSVOL 是否在伺服器上共享,如果這樣做,複製工作正常repadmin /replsum,沒有錯誤DCDIAG,事件日誌中沒有嚴重錯誤,並且帳戶正在對新 DC 進行身份驗證。如果DCDIAG顯示一些錯誤,請在一個小時後再次檢查。
  39. 在新的 2016 DC 上,更新 DNS 伺服器控制台中的 DNS 轉發器。確保重新創建從 2008 R2 伺服器 DNS 服務配置中提取的任何輔助區域、輔助主伺服器和任何其他詳細資訊的配置。
  40. 一旦新 DC 執行良好,第二天,更新 FIRST 2016 DC 上的網路適配器,將 NEW 2016 DC 作為列表中的第一個 DNS 伺服器,其自己的 IP 作為下一個 DNS,最後是 127.0.0.1。執行 AD 複製狀態工具以獲得良好的測量效果。
  41. 現在您有 4 個 DC - 兩個舊的和兩個新的 2016 伺服器。新伺服器使用的是舊版 DC 以前的 IP 地址,因此 DNS 對客戶端應該沒問題。
  42. 將您的 FSMO 角色轉移到 2016 年 DC 之一。確保DCDIAGrepadmin顯示複製工作正常。如果您不介意通過 GPO 配置 PDCE NTP 服務,請立即在新的 PDCE 上修復它(只需執行 GPO)。
  43. 等幾天——到下週末。做備份!AD 複製狀態工具。如果域執行良好,請將 2003 DC 降級並將其從域中刪除。如有必要,執行元數據清理。確保從 AD 站點和服務中刪除 2003 DC,無論它發生在哪裡,並從 _msdcs DNS 區域中刪除所有 2003 DC SRV 記錄。
  44. 再等幾天——下個週末!備份。域健康。AD 複製狀態工具。如果一切正常,請將 2008 R2 DC 降級並將其從域中刪除。如有必要,執行元數據清理。確保從 AD 站點和服務中刪除 2008 R2 DC,無論它發生在哪裡,並從 _msdcs DNS 區域中刪除所有 2008 R2 DC SRV 記錄。
  45. 現在您有兩個執行 2003 本機模式林和域的 2016 DC。你還沒有完成。進行域健康檢查。AD 複製狀態工具。
  46. 安排域和林功能級別升級,以及 SYSVOL 遷移到 DFSR。不要讓客戶推遲 DFL/FFL 升級。這是沒有意義的,並且沒有新的 AD 功能的許多好處離開域。這是 FFL 和 DFL 的指南。安全性方面最重要的變化發生在 2008/2012 年,此時 kerberos 的 AES 加密類型可用,而 DES 加密類型已被棄用。https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels。將 SYSVOL 遷移到 DFSR 沒有任何影響 - 只是有點繁瑣。
  47. 備份
  48. 您需要將 FRS SYSVOL 遷移到 DFSR。我為你做了Google搜尋,這是權威指南。跟著它。https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/
  49. 完成 SYSVOL 並且複制沒有錯誤後,繼續執行 DFL/FFL。我希望你已經閱讀了所有關於潛在安全方面的文件。如果您注意到我在開始時提出的警告(沒有僅限 DES 的帳戶,沒有匿名 LDAP 等),那麼這應該沒什麼大不了的。閱讀上面的指南。按照連結。然後繼續按照文件末尾連結的步驟先進行 DFL,然後是 FFL。檢查 AD 執行狀況!這些步驟的好處是,如果它變成梨形,很快就會很明顯。如果有,請**致電 Microsoft 。**不要亂來。

現在,雖然這些步驟看起來非常詳細,但它們並非如此。我還沒有討論過 WINS,這是撒旦的詛咒。我什至都懶得問這個廣告的大小。我希望為您著想,單個站點中的使用者數少於幾千。有了 2 個 DC,您就不可能再提供服務了。我還沒有談到對 Kerberos 加密的影響,以及環境中哪些非域加入的垃圾可能正在使用您不知道的 AD。

在我的上一份工作中,我們發現用於管理整個網路的軟體使用了不安全的 LDAP 配置,指向單個遺留 DC IP(甚至不是 DNS 名稱),我們之所以發現這個配置,是因為我們認為不需要回收該地址,並關閉該特定 DC(這是具有該地址的第二個DC - 他們應該在此之前修復其配置)。讓我告訴你,當網路工程師無法維護公共安全組織中的關鍵基礎設施時,他們會非常激動,即使他們提前幾個月被告知要修復使用這些協議的任何系統。(幾年前,當舊的 DC 退役時!這就是為什麼我不想為不執行主/輔助 DNS 的 DC 回收 IP - 它清除了配置錯誤的系統)。

他們的變更控制和文件流程是什麼?您將如何進行適當的測試?

測試 AD 備份和域恢復是最起碼的開始。沒有測試您的應用程序是否可以使用新的 AD 安全性,其中一些是在您安裝具有更高作業系統的新 DC 時引入的 - Server 2012 R2 是一個很大的變化。順便說一句,這與 DFL/FFL 無關。這是直流作業系統。

而且我們甚至還沒有進入新的域安全配置和更新 GPO 以反映目前的最佳實踐(如果他們有 2003 DC,他們可能不會那麼在意,除非這是試圖解決問題……沒有經驗的技術)。就像擺脫 NTLMv1、SMB1 等一樣。

如果你把這件事搞砸了,可能幾天都無法訪問任何東西,企業有多高興?當然,假設您有 Premier Support 幫助。

我寫了所有這些準細節,希望能嚇到你,你會建議他們聘請有適當經驗的人。

引用自:https://serverfault.com/questions/954443