Рейтинг:0

Необходим совет по переносу общих ресурсов с контроллера домена 2003 года на новый 2012 года: как избежать нарушения объектов групповой политики установки программного обеспечения?

флаг cn

Я, наконец, виртуализировал всю нашу серверную инфраструктуру и готов начать миграцию на наш купленный Windows Server 2019. Поскольку наша текущая установка основана на Windows Server 2003, нам, очевидно, придется выполнить шаг миграции посредством промежуточной установки, скажем, 2012 R2. (AFAIK 2016 тоже подойдет).

Моя проблема заключается в следующем. Наш DC 2003 содержит несколько файловых ресурсов. Некоторые из них очень легко скопировать в установку 2019 года и просто изменить мои существующие объекты групповой политики, чтобы они ссылались на имя сервера 2019 года вместо 2003 года.

Моя проблема связана с определенными объектами групповой политики для установки программного обеспечения, для которых соответствующие установочные пакеты MSI находятся не на SYSVOL, а на общем ресурсе, доступном как \srv2003\установщики. Очевидно, что это закончится как \srv2019\установщики\ но как перейти от одного к другому? Если я «изменю» наши задачи установки GPO, чтобы они ссылались на новые пути установки, я вызову бурю установки для всех наших клиентов...

Можете ли вы дать какие-либо советы о том, как я могу выполнить эту задачу? И, возможно, лучший способ подготовить наш GPO msi к установке (возможно, в SYSVOL вместо другого общего ресурса)?

РЕДАКТИРОВАТЬ: Поскольку мой вопрос был закрыт и чтобы не загромождать ОП тем, почему его следует открыть повторно, проверьте мое объяснение того, почему это должно остаться.

Рейтинг:2
флаг cn

Поскольку это обновление включает в себя промежуточную установку Windows Server 2012R2, я подумал о возможном пути. Предостережение заключается в том, что нет никаких погрешностей, поскольку весь процедура должна выполняться в один шаг. Таким образом, необходимо планировать, например, приспособиться к переходу на DFS-R. И вся эта процедура должна выполняться в нерабочее время.

Предположим, что текущими серверами AD являются srv1 и srv2 (Windows Server 2003R2), и что первый предоставляет общий ресурс для установки программного обеспечения на основе GPO.

Сначала сделайте резервную копию акций где-нибудь. Затем ввести в домен два (а не один, так как если что-то пойдет не так, то мы обречены) серверов Windows 2012R2 в домен. Избегайте использования Server 2016 для этого шага, я так думаю. прекратил поддержку ФРС.

Переместите роли и сделайте все необходимое, чтобы повысить один из двух новых серверов, передать роли и т. д., а затем понизить роль srv1 и srv2. Удалите оба сервера 2k3 из домена. Поднимите функциональный уровень до 2008 R2 (например), замените FRS на DFS. Наконец, сделайте две новые установки сервера 2019 года, позаботившись о:

  • назовите первый именем первого старого сервера 2к3, то есть srv1, а второй сервер как срв2
  • настроить IP-адреса этих двух новых серверов, чтобы они соответствовали старым (необязательный шаг, но я бы сделал это на всякий случай)

Повторите путь миграции, на этот раз с временных серверов на новые srv1 и srv2 и, наконец, понизьте/удалите промежуточные серверы. Повторно создайте общие ресурсы на srv1 и заполните их.

Не очень чистое решение, но оно позволит мне сохранить мои установочные объекты групповой политики без изменения имени/переустановки.

РЕДАКТИРОВАТЬ: я только что закончил эту процедуру.Он работал безупречно, новые клиентские системы загружали установочные пакеты GPO. Все счастливы!

Рейтинг:2
флаг gg

Первое важное замечание: крайне не рекомендуется использовать какие-либо серверные роли на контроллерах домена, кроме «DNS-сервера» и «Доменных служб Active Directory».

Если вы выполняли миграцию с файлового сервера 2003 года на файловый сервер 2019 года, я бы рекомендовал использовать мастер миграции хранилища, включенный в Windows Server 2019. Он помогает с переносом общих ресурсов, а также может перенаправлять пользователей на новый сервер после перехода с оригинальный файловый сервер. В этом случае я не думаю, что этот подход можно рекомендовать (миграция с контроллера домена).

Мое первое желание состояло в том, чтобы поместить оба из них в качестве комментариев вместо ответа, но на данный момент действительно было бы «правильным» решением создать файловый сервер, скопировать установочные файлы в новый общий ресурс на нем (вы даже можете используйте то же имя общего ресурса), а затем отредактируйте объекты групповой политики, заменив имя контроллера домена новым именем файлового сервера в UNC установщика.

carmik avatar
флаг cn
К сожалению, мне не хватает $$$ (РЕДАКТИРОВАТЬ: и времени для проведения тендера на процедуру покупки), чтобы купить еще один сервер 2019 года (так как у меня есть два, чтобы заменить два сервера 2k3). Я буду переходить на 2019 год постепенно, но в качестве промежуточного шага использую пробную версию 2012R2. Суть в том, что, к сожалению, мне придется фактически прикрепить роль файлового сервера к одному из моих контроллеров домена. Теперь я не знаю, предлагает ли 2012R2 аналогичную миграцию общих ресурсов. Учитывая мои ограничения, поверите ли вы, что переход с файлового сервера 2k3 на **файловый** сервер 2012 возможен и, возможно, рекомендуется?
carmik avatar
флаг cn
Кроме того, не указывает ли ваше последнее предложение на то, что можно каким-то волшебным образом изменить мои установочные объекты групповой политики, чтобы они указывали на новый UNC, не вызывая бурю повторной установки/повторного развертывания?
SamErde avatar
флаг gg
Вы, конечно, можете использовать пробную версию 2012R2 в качестве промежуточного шага, но, если уж на то пошло, вы также можете использовать пробную версию 2019 в качестве еще лучшего промежуточного шага! Вы получите больше функций файлового сервера, улучшенную безопасность и, возможно, более производительный сервер. Есть ли причина использовать 2012R2, в частности? (Я не могу придумать ни одного.)
SamErde avatar
флаг gg
Ваш второй вопрос является проницательным, и вы хотели бы проверить его и/или проверить документацию.Стоит протестировать с одним (или несколькими) наверняка.
carmik avatar
флаг cn
Поскольку мой домен находится на функциональном уровне 2003 года, я могу придумать два: ***минимальный*** функциональный уровень для сервера 2019 — это функциональный уровень сервера 2008, который сам по себе запрещает присоединение сервера 2019 к этому домену. Следовательно, нужно присоединиться к серверу 2008/2012/2016, и после перемещения ролей и понижения уровня серверов 2k3 он поднимет функциональный уровень и только после этого введет серверы 2019 года. Другая причина заключается в том, что в 2019 году используется DFS-R [ссылка] (https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory-functional-levels)
SamErde avatar
флаг gg
Отличные очки! Прошло довольно много времени с тех пор, как я должен был рассмотреть 2003 год.
Рейтинг:0
флаг us

Я не знаю чистого решения вашей текущей проблемы. Но могу дать вам подсказку на будущее:

Используйте для этой цели конкретное имя, например install.your.domain, и установите DNS-запись srv2019 с этим именем. В следующий раз, когда вы переместите свой установочный ресурс, просто измените эту запись DNS.

Для вашей текущей проблемы что-то вроде этого может быть значительным:

  • Убедитесь, что srv2003 больше используется только для этой папки.
  • Отразить общий ресурс на srv2019
  • Измените запись DNS для srv2003 на IP-адрес srv2019.
  • Списание srv2003
  • Создайте новые объекты групповой политики для только что установленных клиентов и нового программного обеспечения, используйте конкретное имя, упомянутое выше здесь.

Когда старые клиенты заменяются или полностью настраиваются новые, использование вашего старого объекта групповой политики уменьшается до тех пор, пока в какой-то момент его нельзя будет удалить.

carmik avatar
флаг cn
Во-первых, пояснение: как я отметил в OP, я буду использовать Server 2012R2 в качестве промежуточного шага, поскольку прямой перенос моей AD на основе 2003 года на 2019 невозможен по ряду причин. Я **полагаю**, что пытался добавить CNAME, указывающий на фактическую адресную запись A моего текущего сервера 2k3, но соединение с CNAME не удается. Я считаю, что внутренние компоненты SMB не любят подключаться к хорошо известному IP-адресу с другим именем.
Manu avatar
флаг us
Вам нужно будет понизить роли FSMO от srv2003, вывести его из домена и затем добавить CNAME.
SamErde avatar
флаг gg
OP может иметь неожиданные результаты в будущем, если изменить запись A старого контроллера домена на CNAME для файлового сервера.
yagmoth555 avatar
флаг cn
@кармик к твоему сведению; чтобы это работало, вам нужно поиграть с реестром DisableStrictNameChecking для LanmanService
carmik avatar
флаг cn
@ yagmoth555 Я не знал об этом. И быстрый поиск выдал эту [статью о technet] (https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-cname-alias-cannot-access-smb-file-server- Поделиться). Буду тестить и отчитываться.
Рейтинг:0
флаг co

Я согласен с SturdyErde в том, что вам следует избегать общих файловых ресурсов на вашем контроллере домена, но я перенес свою компанию с SBS08 пару лет назад и понимаю, что иногда это так. Высокоуровневое описание моего предлагаемого пути обновления:

  • Добавьте сервер 2012 R2 в домен в качестве контроллера домена.
  • Отражайте свои акции
  • Списание srv2003
  • Добавьте свой сервер 2019 в домен
  • Создайте псевдоним DNS srv2003, указывающий на srv2019.
  • Продвижение 2019

Там будут шаги по повышению функционального уровня домена, но главное — сделать DNS-псевдоним srv2003, чтобы он указывал на новые общие ресурсы, как только вы выведете из эксплуатации старый сервер.

Я также согласен со SturdyErde в том, что вам следует обратиться к мастеру миграции хранилища. Я считаю, что есть вариант, который переименовывает новый сервер в имя старого сервера, но я немного нервничаю при мысли о том, чтобы сделать это с контроллером домена.

Удачи!

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.