各位好, 因為小弟的公司近來想升級舊的DC, 從原本的2003到2012
我們DC有兩台, 都是VM, 而基於安全, 我上司并不想直接升級這兩台DC
因為原本DC已經有點怪怪的, 可能有些長年累積的問題在, 加上直接升級要是出問題了很可能救不回, 於是我就想了另一個方案:
把現有兩個DC V2V到另一個UAT環境(跟原本DC所在的網絡是隔絕的)
然後在UAT環境新建兩部2012加入網域, 升級成DC, 網域資料當然是2003A > 2012A
B就抄去B這樣, 再轉移五大角色, 然後把UAT的兩部2003都降級和退出網域, 就可以功成身退
剩下就兩部2012DC, 整個過程不會動到正在用的兩台2003 DC
最後, 就是把現役的兩台2003DC下線, 同時上線兩台新的2012DC
而IP會用原來2003的兩組, 那用戶就不用改DNS
而要fallback, 也就只是把兩台舊的2003DC重新上線, 這樣對用戶的風險應該是最低
我已經在UAT簡單模擬過環境實作, 新DC上線, 原本的用戶電腦登入改密碼之類都是正常的
而登入的帳戶是換完DC新建的, 確保是新DC正在發揮功用
想看看各位師兄, 對於這個做法, 是否會有任何問題?
謝謝!!
已邀請的邦友 {{ invite_list.length }}/5
這個有做過 ... 是由 2008 升級到 2012R2
那時有變更架構 , 有用 nginx 兩台做 DC proxy 且做成 HA
將 VIP 取代原有的 DNS IP
PC 更換 DNS IP , 那時有很努力的去每台PC抄MAC 設 DHCP
有變動時 DHCP Server 改 DNS 就好
沒有 DHCP 時 HA IP 直接取代原有的 DNS Server IP 也可
或是 AD 派送將 固定 IP 改 動態 IP , 這個蠻麻煩的要取到正確網卡然後依照電腦名稱設定 DHCP IP 去換client IP , 那還不如到client 那邊一台一台設 DHCP
做成 HA 好處是 DC 或 nginx 其中一台關機時沒影響整個 AD ....
轉移時先 加入一台 2012R2 確定正常後改 nginx 加入這台 2012R2
然後再加入一台 2012R2 , 再改 nginx 確定正常
再五大腳色轉移 確定正常
再把 nginx 設定移除 2008 ....
當然切換過程沒停AD 完全由 HA 的 IP 運作 ....
HA 及 nginx 的設定 ....
https://www.echochio.nctu.me/2016/11/nginx_proxy_keepalived/
感謝你的分享, 不過我暫時不需要設定HA及proxy
而且我是沒有更改架構和沒有用DHCP
主要我是想用戶端不用一部一部改DNS, 系統的下線時間應該也能大幅減短, 因為公司太多VM了, 要是逐一去改不但耗費大量時間, 而且也極大機會遺漏, 到時不但要逐一補救, 也會影響客戶, 這是我們最不願意見到
如果針對我的個案, 大大會否想到有可能出現的問題呢? 謝謝你回答我
改架構一勞永逸當然不改也行
改後只是讓你換 DC 完全沒壓力
VM 是主機吧,主機正常不用 DHCP
主機不指向 HA 的 DNS 也沒差,只要2012 替代原本的DC 的 ip
改 DC 最麻煩的是 DNS,其他加入新 DC, 角色轉移都沒問題
你的樹系要升級嗎? ,升級後可能會有派送失敗的可能
應該說架構短期內不會改, 一來我對於AD的了解和經驗很淺, 可以不動的就不動。而且需盡快解決的燃眉之急是把DC轉移到別的VM順便升級以防它突然就掛了
而兩部主機(DC)都是固定IP(其實我全公司的機都是XD)
DNS都建於主機內, 轉移時會一併把DNS轉移到兩台新主機
新主機用回舊主機的DNS IP, 那用戶不就不用改了嗎?
至於樹系是會升, 看過教學都要求把2000升到2003
我公司的主機不論主機或VM最低的OS都是2003, 我想升到2003應該是沒有問題 (不知有沒有理解錯)
問題很多, 先感謝你回答我(感動)
新主機用回舊主機的DNS IP, 那用戶不就不用改 -- 是的
樹系升级没事的 ... 有問題可以再降回
感謝你的回應,2台AD成功在剛過去的星期6升到了2012
雖有小問題, 但基本上大部份都解決了
你提供的方案也是未來我嘗試的一個方向, 真的非常謝謝
iThome鐵人賽
看影片追技術