DNSサーバーでもあるドメインコントローラーを廃止するためのベストプラクティス

DNSサーバーとして頻繁に使用されているActive Directoryドメインコントローラーの廃止プロセスについては、2つの考え方があります。

送信DCのIPアドレスを新しいDCに追加し、DNSがそのアドレスでリッスンしていることを確認します。
古いDCを降格し、DNSの役割はそのままにして、新しいサーバーにグローバルDNSフォワーダーを構成します。

明らかに、すべてのサーバーとデバイスが新しいサーバーのプライマリIPアドレスを使用するように設定されるまで、どちらも一時的なギャップですが、環境のサイズによっては、移行期間が比較的長くなる場合があります。

ここに明確なベストプラクティスがありますか？

windows domain-name-system active-directory

— MDMarra
ソース

または、ネットワーク全体で古いDNSサーバーへの参照をすべて変更しますか？

— gravyface 2013

もちろん、それが最終目標です。そのため、私はそれを暫定と呼びました。ただし、非常に大規模な環境では、タイムリーに実行したい場合、これはオプションではありません。私は言いました：

Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.

そうですか？

— MDMarra 2013

セマンティクス...その通りですが、デバイスのDNS構成を体系的に変更し、アクティビティを監視し、DHCPスコープから始めて、重要度の低いものから順にサーバー全体を処理します（サーバーを他のDCにメンバー化））古いサーバーになりすますか、必要以上に長く残します。

— gravyface 2013

もちろんそれが最良の選択肢ですが、「非常に大規模な」環境と言うときは、300以上のDCを備えたグローバルに分散したインフラストラクチャと、インフラストラクチャのさまざまなコンポーネントを管理する多くのさまざまなITチームについて話しています。場合によっては、アップグレード中に最初のスイングですべてのデバイスを確実に入手できないことがあります。

— MDMarra 2013

@gravyface間違いではありませんが、大規模で地理的に分散した環境でさまざまなコンポーネントの分散管理を行う場合、ゲームプランについて合意し、全員を一列に並べて共通の目標に向けて取り組むのは必ずしも現実的ではありません。時には、あなたはそれが可能な限り他の人のためのいくつかの意味合いとして持っていることを確認するために前進し、解決策や回避策を見つけるために決定を取らなければならない

— マティアスR.ジェッセン

回答:

これは厳密なQ＆Aの質問というよりは「議論」の質問だと思うので、答えるのをためらっています。

ここに明確なベストプラクティスがありますか？

いいえ（くそー、たぶんこれは簡単な答えでした...）

マイクロソフトは、ドメインコントローラーを降格し、ADおよびDNSの移行を実行する方法について、非常に一般的で簡単に~~Googleに~~アクセスできる~~Bingable~~ガイダンスを提供しますが、それらにリンクすることも、特定の質問に対処するつもりもありません。さまざまな組織の環境の特定のケースをすべて文書化します。

したがって、私たちのようなシステム管理者/エンジニアは、Microsoftが私たちのためだけに特別なスクリプトを作成していないという私たち自身の専門知識と経験のギャップを埋める必要があり、それが私たちの価値を高めています。

これと同じ問題に対処するために私たちが行った例を挙げましょう。私はまた、数十個以上のドメインコントローラー、同じネットワーク上に共存している異種のADフォレスト、Windows以外のデバイスも消費している地球規模の環境で作業しているためです。同じDCからのDNSサービスなど。新しいデータセンターへの移動と古いデータセンターからの移動、新しいハードウェアまたは新しいOSバージョンへの移行が必要なこと、および単純な古いビジネスポリシーが、ドメインコントローラーを廃止する必要があるすべての理由です。潜在的にまだ使用されていました。そして、複数の異種組織が現在これらのDC / DNSサーバーを使用している場合、それは通常、プロジェクトマネージャーが関与するドメインコントローラーを廃止する前に、すべてのクライアント（その多くは自分の管理下にない場合がある）を再構成する困難で引き抜かれたプロセスです。

私は、私は考えていないと言う理由ですので、誰もあなたを与えることができますこの質問への答えを。あなたがそれについて取り組むことができる千の方法があり、いくつかはあなたの組織の構造とニーズに応じて他のものより良いでしょう。

この問題に対処するために行ったのは、各データセンターにVIPを作成し、そのVIPの背後にあるそのデータセンター内のすべてのドメインコントローラーをプールすることです。（このVIPは明らかな理由でのみ DNSサービス用です。KerberosとLDAPの負荷分散については話していません。）このように、クライアントはそのVIPをDNSリゾルバーに使用するように構成でき、自由に追加および削除できます。そのVIPの背後にあるドメインコントローラーはいつでも、そして私たちが好きです。

しかし、あなたは問題の前にいるわけではありません...あなたが提供したオプションを考えると：

送信DCのIPアドレスを新しいDCに追加し、DNSがそのアドレスでリッスンしていることを確認します。

古いDCを降格し、DNSの役割はそのままにして、新しいサーバーにグローバルDNSフォワーダーを構成します。

私はオプション＃1を選択します。あなたの目標は古いサーバーをできるだけ早く廃止することであり、オプション＃2は古いサーバーを取り除く助けにはならないからです。オプション＃2では、サーバーの存在が依然として必要です。Mathias R. Jessenのスタブゾーンの提案にも同意しません。これも、古いサーバーをそのままの状態で稼働させたままにする必要があるため、最終目標につながらないためです。

オプション＃1を使用すると、醜いかもしれませんが、古いサーバーを廃止し、会社のコスト削減を主張し、そのデータセンターで別の月の家賃を支払う必要をなくし、そのような優れた従業員であることに対して賞を与えることができます。

編集：私たちのチャットについてもう少し考えてみます。私は今、いくつかのことについて、Pull-the-plug-ASAP要件を持っているので、自分の要件をあなたに投影したと思います。サーバーをできるだけ早くシャットダウンする必要性がすぐにはないようです。

とはいえ、私はそれを好むので、提案を変更しません。既存のドメインコントローラーに追加のIPを追加することは、非常によく似たシナリオで過去にうまく機能していました。不確定な時間サーバーにサーバーが奇妙な痕跡を残さないようにしたいのです。

— ライアン・リース
ソース

これは、「ディスカッションの質問」ルールを定義good subjectiveしたグッド主観、バッド主観の投稿に該当すると思います。少なくとも私はそう願っています。

— MDMarra 2013

@MDMarra同意する。+1は、示唆に富む興味深い質問です。:)

— ライアンリース2013

また、

— 参考までに

Active Directoryの地獄への道は一時的な包帯で舗装されています。廃止された、または廃止予定のDNSサーバーのIPアドレスを新しいDCおよびDNSサーバーに割り当てるのは一時的な包帯です。

コメントで@gravyfaceが指摘したように、理想的なシナリオでは、古いDCを完全に廃止する前に、すべてのDHCPスコープと静的構成を変更して、クライアントDNS設定を古いIPではなく新しいIPに更新します。

すべてのクライアントが時間どおりに再構成されたことを確認できるとは限らないことを理解していますが、ここではオプション番号2（名前空間全体の転送）を最も不快なオプションとは考えていません。

古いサーバーが降格した後でも要求を転送できるようにすることに加えて、DNSサーバーで着信要求のデバッグログを有効にすることをお勧めします。これにより、クライアントがまだ古いDNSサーバーを指しているかどうかだけでなく、評価するのも少し簡単になります。上記のクライアントを識別する。

そうは言っても、明らかな3番目のオプションであるスタブゾーンを逃したと思います。

DCを降格し、DNSの役割を維持して、以前にDCが保持していたすべてのゾーンをスタブゾーンとして追加し、それ以外はすべて転送します。この方法では、あなたが実際に彼らはドメインコントローラに連絡するようにクライアントを強制する必要があります使用することを、代わりに彼らのために仕事をして

— マティアス・R・ジェッセン
ソース