Обновление доменных служб Active Directory (AD DS) до Windows Server 2016
Вставка
- Опубліковано 6 жов 2024
- Данный веб-каст посвящен обновлению домена и леса Active Directory до Windows Server 2016.
В веб-касте представлены:
Повышение функциональных уровней домена и леса Active Directory.
Миграция репликации SYSVOL с File Replication Service (FRS) на Distributed File System (DFS).
Добавление контроллеров домена Active Directory.
Перемещение хозяев FSMO-ролей.
Вывод из эксплуатации контроллеров домена Active Directory.
Автор: sites.google.c...
Блог: lebedevum.blogs...
Авторизованное и авторское обучение: edu.softline.ru/
Юрий, спасибо за ваш труд и такой полезный материал!
С наступившим вас! Всех благ!
Спасибо, с наступившими и наступающими вас.
Очень хороший материал публикуете
Спасибо, стараюсь.
Если кто будет переводить впервые с FRS на DFS-R то знайте, что по-умолчанию, DfS будет c выключенным режимом autorecovery. То есть если у вас произойдет uexpected shutdown , то репликация встанет колом. Для авто-продолжения репликации после неожиданной перезагрузки контроллера, на каждом DC в реестре включите autorecovery (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DFSR\Parameters
StopReplicationOnAutoRecovery = 0)
В Windows Server 2008 R2 эту проблему устранял hotfix 2780453. Так как начиная с WS2012 он на борту, то служба не должна отваливаться после жесткой перезагрузки или отката на моментальный снимок.
Данная проблема возникает не из-за неисправности, а из-за настроенного по дефолту поведения службы DFS-R (выключено autorecovery) . Причем, если в организации нет SCOM с MP DFS, то контроллер будет коварно умалчивать о проблеме с репликацией :) MS считает, что после "dirty shutdown" администратор должен сделать резервную копию на шарах и выполнить команду на подтверждение продолжения репликации для того чтоб не произошла ошибочная перезапись. blogs.technet.microsoft.com/filecab/2012/07/23/understanding-dfsr-dirty-unexpected-shutdown-recovery/
Подскажите пожалуйста какого типа должен быть этот параметр.. Я пока поставил REG_DWORD
Отличное видео. У меня есть небольшой вопрос. Есть два DC на win 2008r2, например, с адресами 10.0.0.1 и 10.0.0.2. Добавляю два новых DC на win 2016 с IP адресами 10.0.0.3 и 10.0.0.4. Когда все операции по переходу\обновлению будут выполнены могу я но новых контроллерах домена вернуть старые IP адреса ?
Если это необходимо, то после вывода старых контроллеров из эксплуатации, меняете IP-адрес на нужный сначала на одном контроллере домена, перезагружаете его (в процессе загрузки он перерегистрирует все свои служебные записи в DNS), затем повторяете процедуру на втором.
Первым в dns настройках адаптера должен идти другой КД. А вот вторым себя можно указывать. Иначе при рестарте могут возникнуть ошибки и тормоза из-за недоступности службы dns
Для Windows Server 2003 и более ранних - это было действительно так.
Юрий спасибо за новый ролик! С наступившим вас!
Подскажите как работает 2016? Надежно? Есть ли проблемы? В Win10 постоянно были проблемы после глобальных обновлений
Для серверов это критично
Спасибо, с наступившими и наступающими вас.
С Windows 10 сложности возникали только после глобальных обновлений, например, с 15XX на 16XX, при этом ничего критичного мною замечено не было, инженеры все устраняли в течении часа. С серверами пока ничего подобного я не заметил, да и ставить подобного рода обновления без предварительного тестирования не рекомендую.
На данный момент перевел часть собственной инфраструктуры на Windows Server 2016, по ощущениям в ряде задач работают быстрее чем WS 2012 R2, но в некоторых моментах нет, например, контроллеры домена стали чуть более требовательны к дискам.
Я перехожу на Windows Server 2016 из-за новых возможностей в отказоустойчивых кластерах, Hyper-V, службах хранилища и сетях, если все сложится - скоро я многое из этого продемонстрирую.
Требовательный к дискам? Очень интересно, т.е. SATA, не пойдут нужно SAS или SSD?
У нас как раз контроллер домена и виртуалки на одном сервере
Я имел в виду, не формат диска, нет, Windows Server 2016 прекрасно работает на механике (SAS/SATA) в том числе 5400 rpm, я имел в виду несколько другое. По сравнению с Windows Server предыдущих версий, количество IOPS у контроллера домена на базе Windows Server 2016 больше.
зачем редакцию Datazenter на контроллеры домена надо? денег много? поверхность атаки больше - короче стандарт норм
Хороший материал, повторил в тестовой среде.
Не могли бы вы ответить на пару вопросов?
Есть доменная инфраструктура на windows server 2012r2 standart rus.
Буду добавлять второй контроллер домена и обновлять доменные службы до windows server 2016.
Думаю ставить eng редакцию. Стоит ли переезжать с русской на английскую? Есть ли какие-нибудь грабли с переездом с русской редакции на английскую?
Последний вопрос.
После обновления ОС на контроллере домена, нужно ли менять имя сервера или оставить старое?
По идее информация о старом сервере должна удалятся из active directory если контроллер был корректно понижен. Был случай, приходилось принудительно удалять контроллер домена и вычищать записи о нем.
Люди советовали в таких случаях сменить имя сервера для нового контроллера, т.к. не все записи могли быть удалены из active directory.
Благодарю.
> Не могли бы вы ответить на пару вопросов?
Постараюсь.
> Стоит ли переезжать с русской на английскую? Есть ли какие-нибудь грабли с переездом с русской редакции на английскую?
Несколько раз проделывал подобное, проблем не было, технически начиная с Windows Server 2008 все возможные сложности устранены. А стоит ли переезжать на английскую - решать вам.
> После обновления ОС на контроллере домена, нужно ли менять имя сервера или оставить старое?
Имя сервера менять не нужно.
> Был случай, приходилось принудительно удалять контроллер домена и вычищать записи о нем.
Такое обычно диагностируется при помощи dcdiag.exe до начала процедуры понижения, а про очистку доменных служб Active Directory при помощи ntdsutil.exe я делал отдельный веб-каст.
> Люди советовали в таких случаях сменить имя сервера для нового контроллера, т.к. не все записи могли быть удалены из active directory.
И вновь dcdiag.exe покажет вам если что-то не удалено. А способ с переименованием - очень плохой самый лучший вариант.
Благодарю.
добрый день, Юрий, спасибо за полезный материал. Подскажите а что делать при переносе DHCP с 2008r2 на 2016?
Юрий Вы бы могли просвятить по поводу PKI а то практически нигде нет информации...
Времени на все не хватает, может быть позже.
Юрий, спасибо. Если дефолтные политики в домене отвязаны от своих OU - обновляться без них можно? И второе. Как PKI AD отреагирует на апгрейд до 2016?
Привязка Default Domain Policy и Default Domain Controller Policy на обновление никак не повлияют. PKI AD - это Active Directory Certificate Services? Здесь важно сколько уровней в иерархии и какие версии операционной системы используются.
Здравствуйте уважаемый Юрий. Хотелось бы спросить. Поставил windows server 2016. создали политики. политики применились как надо к машинам в ос windows xp
и windows 7. а вот на машины с windows 10 политики просто не применяются.
В чем может быть дело. Подскажите пожалуйста! заранее благодярен! :)
Вопрос. если у меня всего 1 контролер домена 2008R2 нужно провести процедуру репликации sysvol с frs на dfs? или это только для тех у кого несколько контролеров домена? Спасибо.
Юрий а если мигрировать с 2008 на 2012r2 то тоже надо делать процедуру миграции frs на dfs
Через ADSI проверьте какой у вас используется транспорт репликации и если там FRS, то мигрируйте на DFS-R. Лучше это сделать ещё на 2008-ом сервере, прежде чем добавлять новые контроллеры домена.
Юрий, а как быть с ад 2016 и roaming profiles rds? не повышать уровень домена до 2016 а только до 2012r2?
Добрый день! А с чем связан Ваш вопрос по Roaming Profiles? Что-то не поддерживается в более новой ОС? У нас просто все пользователи Remote Profiles. Вот надо обновляться до 2019 уже ОС на DC. Вот собираю информацию не будет ли какой-то несовместимости с текущей инфраструктурой
Молодец автор. Но у меня произошел затык на 19 минуте..... при repadmin.exe /kcc
Всем кто будет смотреть видео, и просьба автора вставить сылку на вот это решение.
docs.microsoft.com/ru-ru/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers
У тебя нет решения когда ошибка, у тебя все гуд!!!!
Добрый день.
Понижение уровня леса и домена с 2016 через PowerShell поддерживается ?
Если быть точным, то откат (Rollback) функциональных уровней домена (DFL) и леса (FFL), поддерживается начиная с Windows Server 2008 R2, откатываться можно до Windows Server 2008. Про это есть соответствующий веб-каст «Откат функциональных уровней домена и леса в Windows Server 2012 R2» у меня на сайте: sites.google.com/site/lebedevum/voprosy-i-otvety/winsrv2012/fl-rollback
Спасибо.
Добрый день
По вашим видеоблогам я перевел свой домен (где были дк 2003 и 2008р2).
Точнее я добавил дк 2012 и убрал дк2003.
Вроде бы неделя и полет нормальный.
Правда было непонятное зависание дк 2008 (он хозяин всего) ночью, после изменения функционального уровня домена до 2008r2.
Но вроде бы это решилось простой перезагрузкой сервера.
Наступила пора поднять дк2016.
И несколько вопросов
1. Если я обновлю схему репликации с FRS на DFS. Не повлияет ли это на работу компов со старыми ОС ( NT, ХР, 2003)
2. Смогут ли эти компы нормально использовать групповые политики.
3. Давным давно у меня были установлены сервера ДНС на Линукс. Когда я переходил с контролера НТ на 2003 все записи Виндовс ДНС как то скопировались в линукс. Я не могу вспомнить, что у меня было настроено. Сейчас при удалении 2003 и добавлении 2012 никаких изменений на линукс ДНС не происходит. Подскажите, может я должеy включить разрешение передачи зон на Виндовс ??????
4. В настройках ДНС, зона _msdc.х.х.х\gc пристуствуют записи А и АААА для домен контролеров. И еще одна запись АААА с непонятным адресом fe80;....... Не знаю, что за запись. Можно ли ее удалить ???????
5. При dcdiag /test:dns выводятся сообщения об отсутсвии записей АААА для домен контролеров. Как решить это. Или можно просто игнорировать.
Вдогонку. Запись с адресом fe80....... возможно я сам добавил. Как то ремонтировал ДНС. Но вот теперь не знаю, что с ней делать. Кстати этот адрес и не пингуется. Вообще непонятный.
И еще вдогонку. ДК 2008 не завис полностью после изменения ф-ционального уровня. Он перестал пинговаться. При этом все на нем открывалось. Но в логах ничего не было о проблемах.
Она там не нужна от слова совсем.
Тут нужно смотреть журналы, особенно системный, если он еще остался.
Добрый день.
1. Режим репликации SYSVOL (FRS/DFS) влияет только на взаимодействие и распространение контента между контроллерами домена, конечные устройства работают по SMB. Но с NT 3/4 есть серьезные ограничения по поддерживаемым методам взаимодействия в связи с устареванием их криптографических алгоритмов (в видео на 18:50 первое предупреждение).
2. Если шаблон (ADM/ADMX) к ним применим смогут, такие вещи как предпочтения не работают на NT/2000 совсем.
3. Если вы используете передачу зон DNS, то она включается отдельно на каждом DNS-сервере в свойствах зоны. WS 2012/2012R2/2016 может использовать любые методы передачи AXFR/IXFR, а также быструю передачу для BIND 8.1 и старше, более младшие версии имеют ограничения. Но AXFR работает практически всегда, в том числе с BIND младше 4-ой версии.
4. fe80::/64 - это Link-Local IPv6 Address, аналог APIPA в IPv4, смотрите видео по IPv6 в Windows 7, там есть ответ на этот вопрос. Не совсем понятно, что этот адрес делает в зоне _msdc, нужно смотреть журналы и делать dcdiag.
5. Начните с отключения стека IPv6, судя по пункту выше вы его не используете и у вас с ним не все в порядке. Также нужно смотреть журналы, контроллер домена многие записи в DNS обновляет во время запуска, что-то явно работает некорректно.