Вопрос или проблема
Я знаю, что на форуме уже есть темы этого характера. У меня есть быстрый вопрос по поводу контроллера домена 2012 R2.
В моей конфигурации есть три контроллера домена 2012 R2. Один основной и два резервных контроллера.
Я хочу мигрировать на контроллер домена 2022. Мне сначала нужно понизить два резервных контроллера и полностью их удалить, оставив только основной, перед миграцией на 2022?
Или я могу просто мигрировать основной на 2022, а потом удалить остальные два позже?
Спасибо
Спасибо за все советы. Я сейчас замечаю, что получаю ошибку 5014 при репликации DFRS. Это нечто, о чем стоит беспокоиться, или я могу продолжить с реализацией 2022?
Служба репликации DFS останавливает связь с партнером для группы репликации Domain System Volume из-за ошибки. Служба будет периодически пытаться восстановить соединение.
Дополнительная информация: Ошибка: 9036 (Приостановлено для резервного копирования или восстановления) Идентификатор подключения: C05B985F-BD03-45A1-AC55-DD7CDC888D5F Идентификатор группы репликации: E63EA78B-8407-41F5-B838-640BEE005837
Установите сервер 2022 рядом и повысите его до контроллера домена, затем понизьте и выведите из эксплуатации остальные. Не забудьте очистить AD и повысить уровень функциональности.
Некоторое время назад я также отвечал на вопрос, похожий на этот.
- Я бы добавил контроллер домена 2022 в качестве вторичного контроллера домена, если это возможно в вашем лесу и домене.
- Затем пусть он синхронизируется и реплицируется в течение, скажем, недели. И проведите некоторые диагностические тесты с dcdiag и так далее.
- Затем понизьте контроллер 2012 DC из домена и проверьте снова. Также убедитесь, что все репликационные связи удалены и тому подобное.
- Завершите и задокументируйте.
Поскольку я только что завершил эту миграцию, я знаю, что эти шаги работают. Некоторые из других ответов упускают некоторые шаги. Вы также должны учесть миграцию DNS и диапазонов DHCP, так как довольно распространено включение этих ролей на контроллер домена. Хорошо, что вы развернули DFSR, так как это является предварительным условием. Если бы вы все еще использовали старую систему репликации, вам пришлось бы мигрировать перед повышением вашего первого контроллера 2022.
-
Разверните новый контроллер домена 2022 (или несколько), присоедините его к домену и повысьте его до контроллера домена. Пока ваш лес домена и уровень функциональности равен 2012R2, вы можете присоединить и повысить контроллер 2022.
-
Мигрируйте роли FSMO к вашим новым контроллерам домена. Также мигрируйте настройки времени на новый PDCE, который вы выберете. Присоединенные к домену компьютеры будут получать время от контроллера, другие контроллеры в домене по умолчанию получают время от PDCE. Проверьте свою конфигурацию настроек времени, это вас подведет, если вы это не измените.
-
Мониторьте службы, перемещайте DNS/DHCP (если применимо). Перемещайте другие службы (жестко закодированная LDAP-аутентификация и т.д.).
-
Когда будете готовы, понижайте контроллеры 2012R2 по одному. Очистите соединения в AD Sites and Services, когда старый контроллер выключен.
Что касается ошибки, которую вы получили, если вы выполняете резервное копирование с помощью решения на основе снимков или используете что-то вроде Microsoft Data Protection Manager, это приостановит DFSR во время выполнения резервного копирования. Проверьте состояние репликации с помощью команд dcdiag и repadmin. Эти два инструмента лучше показывают проблемы, которые необходимо решить, чем средство просмотра событий.
Если вы хотите обновить свой домен до более новой версии Active Directory, вы можете обновить каждый контроллер домена на месте или можете добавить новые контроллеры, а затем понизить старые. Термин “повышение на месте” используется для изменения существующего сервера на более новую версию при большинстве неизменных настроек. Я думаю, что это то, что вы имеете в виду, когда пишете “мигрировать”.
Хотя это поддерживается, и я сам использовал этот путь с успехом, пожалуйста, обратите внимание, что Microsoft говорит:
Рекомендуемый способ обновления домена – это повышение новых серверов до контроллеров домена, работающих на более новой версии Windows Server, и понижение старых контроллеров по мере необходимости. Этот метод предпочтительнее, чем обновление операционной системы существующего контроллера домена, которое также известно как обновление на месте. (из этой статьи).
Нет реального смысла в терминах “Основной” или “Резервный” контроллеры в Windows Server 2012 R2. Существуют роли FSMO, и если вы удаляете контроллер, вы должны сначала передать любые роли FSMO, которые он держит, другому контроллеру. Существует множество статей, показывающих, как это сделать.
Таким образом, чтобы обновить на месте, вам нужно сделать хорошую резервную копию вашего AD и обновить на месте любой из ваших контроллеров в любом порядке.
Если вы предпочитаете следовать совету Microsoft и добавлять новые серверы на новой ОС, а затем повышать их до контроллера домена, то этот путь довольно прост, хотя вам следует учитывать, какие IP-адреса будут у серверов, поскольку у вас могут быть другие устройства, использующие старые контроллеры для разрешения DNS, и жизнь станет проще, если эти запросы будут работать и после завершения.
На каждом этапе вы можете проверить синхронизацию AD с помощью DCDIAG. После завершения синхронизации вы можете перейти к следующему шагу.
Уровни функциональности домена и леса важны. Если уровни функциональности домена и леса установлены на 2008 или выше, вы можете устанавливать контроллеры на версиях Windows до и включая Windows Server 2022. Если вы на более низком уровне, вам нужно будет обновить уровень функциональности домена и/или леса перед тем, как продолжить. Если вы на уровне 2008 или выше и думаете об обновлении уровня, то лучше сделать это после того, как вы обновите или удалите все старые контроллеры.
Похоже, у вас может быть только один сайт Active Directory, но учитывайте ссылки между сайтами, если у вас их больше одного.
Я помню, что примерно в это время в прошлом году я планировал обновить все свои 2012 и 2012R2 до 2022 после объявления Microsoft о окончании поддержки Windows Server 2012.
Мои два контроллера 2012R2 (2012R2-DC1 — физический сервер и 2012R2-DC2 — виртуальная машина) были первыми в моем списке, и вот как я это сделал с помощью PowerShell.
Я развернул 2 новых виртуальных машины (с установленной ОС Windows Server 2022), названные DC1-2022 и DC2-2022, присоединил их к своему домену “my-domain.local” и повысил новые серверы до контроллера домена.
После повышения обоих серверов до DC на моем DC1-2022 с помощью PowerShell от имени администратора я проверил, как распределены роли FSMO в моем Active Directory.
netdom query fsmo
После успешного завершения я увидел, что все роли были назначены 2012R2-DC2 (что означало, что это был основной контроллер домена).
Затем, чтобы подтвердить то, что я увидел, я просмотрел владельцев и держателей ролей FSMO во всем лесу и домене в своем домене.
Get-ADForest my-domain.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain my-domain.local | ft InfrastructureMaster, PDCEmulator, RIDMaster
Поскольку я попытался передать роли FSMO с нового DC1-2022, который тогда не был основным контроллером домена, я получил ошибку “Служба каталога недоступна”.
Это стоило мне немного времени на устранение ошибок команды, но я думаю, что это сэкономит вам время. Просто найдите основной контроллер домена и перенесите оттуда.
Итак, я вошел в 2012R2-DC2 и передал все роли FSMO сразу, заменив названия ролей на номера с 0 по 4.
Move-ADDirectoryServerOperationMasterRole DC1-2022 -OperationMasterRole 0,1,2,3,4
После передачи ролей FSMO к DC1-2022 я понизил контроллеры 2012R2, вывел их из домена и выключил для списания серверы.
Я также поднял уровни функциональности домена и леса до самых высоких (Windows2016Domain и Windows2016Forest), чтобы разблокировать новые функции для дополнительных опций безопасности в моем домене.
Я проверил текущие уровни функциональности, и, как и ожидалось, они были Windows2012R2Domain и Windows2012R2Forest.
Get-ADDomain my-domain.local | Select-Object DomainMode
Get-ADForest my-domain.local | Select-Object ForestMode
Затем я повысил оба уровня функциональности.
Set-ADDomainMode my-domain.local -DomainMode Windows2016Domain
Set-ADForestMode my-domain.local -ForestMode Windows2016Forest
Я делал это недавно – по крайней мере до 2019 года. Я понизил ‘резервный’ DC, проверил, что он правильно вышел из домена/ldap, обновил его, dcpromo, и наоборот. Всё было в порядке, не так уж ужасно. Я очень внимательно относился ко всему, что связано с повышением уровня функциональности и его распространением. Этот подход помог, и у меня не будет волнений делать это снова, если у меня будет время проверять всё на каждом этапе. Если вам нужно пройти через 2016 (я делал, если не ошибаюсь), добавьте дополнительное время для корректного применения всех обновлений. Перезагрузите и подождите после того, как он скажет, что всё сделано. Обычно это не завершено, когда так говорит. В противном случае разрешения dhcp ad/service засосали 90% времени, ненавижу работать с этой ОС.
Ответ или решение
Перенос контроллеров домена с Windows Server 2012 R2 на Windows Server 2022
Введение
Переход с устаревших версий Windows Server на более современные, такие как Windows Server 2022, является важной задачей для обеспечения безопасности и производительности вашей инфраструктуры. По вашему описанию, у вас имеется три контроллера домена на базе Windows Server 2012 R2, и вы хотите выполнить миграцию на новую версию. В этом руководстве будут рассмотрены последовательные шаги по миграции, а также решение по поводу ошибки 5014 в службе DFSR.
Основные этапы миграции:
-
Планирование миграции:
- Начните с документации вашей текущей конфигурации и всех компонентов Active Directory, включая учетные записи FSMO и службы (DNS, DHCP и т. д.).
- Убедитесь, что ваша версия домена и леса поддерживает добавление контроллеров домена на Windows Server 2022. Вам нужно, чтобы лес и домен были на уровне функциональности не ниже Windows Server 2012 R2.
-
Развертывание нового контроллера домена:
- Установите новый сервер с Windows Server 2022, настройте его в сети и присоедините к вашему домену.
- Промотируйте его в контроллер домена, используя команду DCPROMO или соответствующий PowerShell скрипт.
-
Синхронизация и проверка:
- Дайте новому контроллеру домена время для синхронизации с существующими DC. Запустите диагностику с помощью
dcdiagиrepadminдля проверки состояния репликации. - Убедитесь, что служба DFSR работает корректно, и нет активных ошибок.
- Дайте новому контроллеру домена время для синхронизации с существующими DC. Запустите диагностику с помощью
-
Перенос ролей FSMO:
- После успешной синхронизации перенесите роли FSMO на новый контроллер домена. Это можно сделать с помощью PowerShell:
Move-ADDirectoryServerOperationMasterRole -Identity "Имя_нового_DC" -OperationMasterRole 0,1,2,3,4 - Убедитесь, что все роли перенесены корректно, проверив их с помощью
netdom query fsmo.
- После успешной синхронизации перенесите роли FSMO на новый контроллер домена. Это можно сделать с помощью PowerShell:
-
Мониторинг и миграция дополнительных услуг:
- Проверьте состояние DNS и DHCP, если эти роли были привязаны к старым DC. Перенесите их на новый контроллер домена, если необходимо.
- Убедитесь, что все участники домена получают корректные настройки от нового контроллера.
-
Демотирование старых контроллеров домена:
- После успешной проверки и тестирования старых DC можно начинать процесс их демотирования по одному. Убедитесь, что все соединения и ссылки в "Active Directory Sites and Services" удалены.
- Дайте время для обновления всей информации в Active Directory после демотирования.
-
Повышение функционального уровня:
- После успешного демотирования всех старых DC, вы можете повысить функциональный уровень домена и леса до Windows Server 2016 или выше:
Set-ADDomainMode -Identity "my-domain.local" -DomainMode Windows2016Domain Set-ADForestMode -Identity "my-domain.local" -ForestMode Windows2016Forest
- После успешного демотирования всех старых DC, вы можете повысить функциональный уровень домена и леса до Windows Server 2016 или выше:
-
Документация и завершение:
- В конце процесса задокументируйте все изменения и выполненные шаги для дальнейшего использования.
Ошибки DFSR и их значения:
Ошибка 5014, связанная с остановкой службы репликации DFS, может возникать в связи с завершением резервного копирования. Это нормальная реакция, если используется решение для резервного копирования на основе снимков. Однако важно проверить состояние репликации перед началом миграции.
Для более детального анализа состояния реактивируйте службу репликации и используйте следующие команды:
Get-DfsReplicatedFolder -GroupName "Имя_группы"Таким образом, вы сможете убедиться, что вся информация корректно реплицируется до начала процесса миграции.
Заключение
Процесс миграции контроллеров домена на более новую версию Windows Server требует внимания к деталям и тщательного планирования. Следуя описанным шагам и учитывая наблюдаемые ошибки, вы сможете успешно выполнить миграцию, минимизируя риск потери данных и сбоев в работе системы.