Миграция DC на WS 2012 R2 и перенос ролей.

Ответить
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение cobion »

Добрый день коллеги. Стоит задача миграции физических DC с WS 2008 R2 в виртуальную среду. Гипервизор WS Hyper-V 2012 R2, ВМ с контроллером так же WS 2012 R2. Будет создан кластер виртуальных машин в который так же будут входить и новые контроллеры домена.
FSMO роли передаются легко. Есть однако пару вопросов по DNS и DHCP:
DHCP сервер, по его переносу понятно, НО какое решение лучше предпочесть- поставить второй DHCP на другой виртуальный DC на другой ноде кластера и сделать DHCP Failover, либо полагаться на сам кластер и его Failover и будет ли значительный простой при перезапуске ВМ на другой ноде при отработке отказа (кластера). Так же и по DHCP Realy, их много и они у провайдера- я так понимаю при смене айпишника при переносе DHCP на другой DC , нужно будет как-то перенастраивать DHCP Relay , а в примере с DHSP Failover- так же ?
Как быть с основным DNS , который прописан в основной гуще серваков статически. Если клиентам все можно раздать динамически через DHCP, то как быть при перенастройке основного DNS при поднятии нового DC ?

Спасибо!
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение Алексей Максимов »

Ничего не понял. Давайте по порядку, и не сваливая всё в один "беспорядочный поток сознания":
1) Что имеется и как это работает.
2) Что нужно получить в конечном результате. Конкретно.
3) Как именно (по шагам) планируется переход от п.1 к п.2
4) Какие есть сомнения и вопросы относительно каждого шага в п.3
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение cobion »

Ок, по порядку:
1.Один лес состоит из одного домена и двух физических DC .На одном из них стоит ОС WS 2008 R2 и на нем же все критичные роли (FSMO,DHCP,AD CS уровня Enterprise Root, DNS интеграция в AD).Второй DC с ОС WS 2012 R2 и является репликой.Уровень леса и домена 2008 R2 Так же имеется три офиса в которых установлены RODC и на них так же установлены DHCP (для некоторой автономии аутентификации + шары локально).Теперь некоторые моменты- самая критичная роль здесь DHCP на корневом DC , так как очень много клиентов и разных подсетей с областями и резервированием, которые поддерживает DHCP на корневом DC.Этот DHCP поддерживает клиентов в офисах в разных сетях и еще в добавок в МСК (пока что там нет своего RODC). Отальное и подавляющее количетво служб и сервисов работает на платформе виртуализации WS 2012 R2 Hyper-V, есть так же кластера и мощности для данной платформы будут только расширяться.
2.Глобально стоит задача обновить все DC до WS 2012 R2.Первым этапом стоит задача обновить головные и пишущие DC, то есть корневой.Так же есть мысль перенести рутовый DC в гипервизор , так как MS сейчас официально поддерживает виртуализацию ADDS Естественно уйти и от единой точки отказа- разнеся роли на несколько серверов с возможностью быстрого восстановления при отказах в (виртуалку вегда проще и быстрее восстановить чем физику).Поэтому план сводится к миграции ролей на несколько серверов.Ну и пока оставить хотя бы один DC в физике.
3.Первый шаг поднятие на Hyper-V реплики ADDS и передача всех ролей FSMO.Туда же перенести роль DHCP и для отказоустойчивости самого DHCP организовать Failover c другим физическим DC- который уже с ОС WS 2012 R2- предварительно необходимо удалить/добавить в DHCP Relay соответствующий ip адреса- что бы клиенты в разных подсетях могли найти оба DHCP сервера. Службу центра сертификации перенести на рядовой сервер. Подумать как сделать так, что бы адреса DNS на большом количестве серверов появились корректно в статике-после добавления и миграции ролей DC Это пока план номер один.
4.Сомнение раз-какую схему отказоустойчивости DHCP предпочесть, даже если он будет завиртуализирован и помещен в кластер Hyper-V, то при отработки отказа (FAILOVER) виртуалка перезапустится на другом узле гипервизора, но все равно это простой (холодный ShutDown) и еще надо время на запуск самой ОС и служб. Все таки свой механизм отказоустойчивости в DHCP куда выше.То есть вопрос по размещению этой службы как критичной. Сомнения два- при передаче ролей FSMO я так понимаю никаких манипуляций более делать не надо, так как реплика уведомит всех участников домена о том кто сейчас главный ? Сомнение три-Появился новый DC, новый ip-адрес, новый FSMO,соответственно на всех статичных адресах - то есть серверах, а так же репликах DC порядок первичного/вторичного DNS надо менять/добавлять-хотя порядок DNS не особо важен, ведь служба интегрирована в ADDS и ответит первый авторитетный. Но серверам все равно надо будет добавлять DNS-как бы это автоматизировать ?
Ну и рядом стоящий MS Exchange 2010 +Lync не должены наверное всего этого почувствовать.
Вроде как то так....
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение Алексей Максимов »

Ну и пока оставить хотя бы один DC в физике
Если кластер Hyper-V на базе Windows Server 2012 R2, то можете спокойно переносить все DC в виртуальную среду, так как этот кластер совершенно спокойно стартует без наличия доступного домена. Это уже проверено на практике не однократно. Об этом кстати я писал ранее в статье про конвертацию физического DC в виртуальный.
какую схему отказоустойчивости DHCP предпочесть
А вариант у Вас, насколько я понимаю, всего один - DHCP Failover, то есть наличие двух DHCP-серверов (неважно какие они будут -физические или виртуальные). Если DHCP сервер иметь один - то это всегда единая точка отказа в виде конкретной серверной ОС.
при передаче ролей FSMO я так понимаю никаких манипуляций более делать не надо, так как реплика уведомит всех участников домена о том кто сейчас главный
Думаю да. В AD все эти вещи давно автоматизированы, насколько я знаю.
Но серверам все равно надо будет добавлять DNS-как бы это автоматизировать
PowerShell
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение cobion »

Спасибо Алексей- очень лаканично!
Единственное, что хотел уточнить про DHCP-ретрансляторы/либо IP Helper-ры, то есть надо сетевикам заранее предоставить айпишники новых DHCP серверов что бы они внесли их в ретрансляцию DHCP ?
и
Если кластер Hyper-V на базе Windows Server 2012 R2, то можете спокойно переносить все DC в виртуальную среду, так как этот кластер совершенно спокойно стартует без наличия доступного домена. Это уже проверено на практике не однократно. Об этом кстати я писал ранее в статье про конвертацию физического DC в виртуальный.
Вот и я о том же, то есть все хосты WS 2012 Hyper-V у нас так же введены в домен и это все равно не помешает их перезагрузке, если гипервизор ребутнется даже с DC ? Я это пытаюсь объяснить товарисчаам, но там как-то скептически к этому относятся. Скажите Алексей может есть ссылочка на данный факт, я просто забыл, клаастер теперь же не собо завист от CNO вроде, ?

Спасибо!
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение Алексей Максимов »

Вот и я о том же, то есть все хосты WS 2012 Hyper-V у нас так же введены в домен и это все равно не помешает их перезагрузке, если гипервизор ребутнется даже с DC ?
Не помешает. Кластер стартанёт, загрузятся виртуальные машины с DC и всё будет работать, как прежде. Дополнительно можно настроить очередность загрузки ВМ, чтобы AD-зависимые сервисы не пытались подниматься раньше того, как стартанут виртуальные DC. Если Вы сомневаетесь в этом, никто не мешает на время выключить физический DC (прежде чем окончательно его удалять), и протестировать выключение/включение кластера.
Скажите Алексей может есть ссылочка на данный факт
В статье, про которую я упомянул ранее в самом начале есть ссылка. Плюс я проверил это своими практическими испытаниями, если конечно для Вас это имеет какой-то вес :)
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение Алексей Максимов »

По поводу переключения DHCP. Для более мягкого перехода можно распилить работающие области на две части с непересекающимися адресами. Первую часть (большую по объёму) оставить на старом DHCP, а вторую часть прописать на новом виртуальном кластере DHCP. На обоих DHCP выставить малые сроки аренды и прописать дополнительные хелперы на сетевом оборудовании (приоритет выставить новому DHCP если это возможно), и наблюдать за ситуацией. Если клиенты будут успешно прилетать на новый DHCP кластер и брать адреса так, как должны, то дальше потихоньку придавить старый DHCP сервер, параллельно расширив области на новом DHCP. В общем тут всё зависит от Вашей фантазии.
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение cobion »

Спасибо Алексей.Да отличная статья!
По DHCP , хорошее предложение, но похоже "выкусывать" диапазоны областей на данный момент задачка будет сложной, поэтому будем переносить сразу.
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение cobion »

Алексей доброго дня. Хотел спросить в контексте выполнения данных работ про RODC , на них так же есть свой DHCP c некоторыми областями, плюс так же имеется некая инфраструктура общих папок. Возможно ли выполнить In Place Upgrade данных RODC с WS 2008 R2 до WS 2012 R2 , именно без чистой установки и могут ли при этом возникнуть проблемы с DHCP и шарами ?

Спасибо!
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Миграция DC на WS 2012 R2 и перенос ролей.

Сообщение Алексей Максимов »

Не знаю. Мне бы такой колхоз даже в голову не пришло инплейсом обновлять.
Ответить

Вернуться в «Windows Server 2012/2012 R2»