एक डोमेन नियंत्रक जो कि एक DNS सर्वर भी है, के लिए सर्वोत्तम अभ्यास?

सक्रिय निर्देशिका डोमेन नियंत्रकों की decommissioning प्रक्रिया के लिए विचार के दो स्कूल हैं जो DNS सर्वर के रूप में भारी उपयोग किए जाते हैं।

निवर्तमान डीसी के आईपी पते को एक नए डीसी में जोड़ें और सुनिश्चित करें कि DNS उस पते पर सुन रहा है।
पुराने डीसी को डिमोट करें, उस पर डीएनएस भूमिका छोड़ दें, और अपने नए सर्वर पर एक वैश्विक डीएनएस फारवर्डर कॉन्फ़िगर करें।

जाहिर है, दोनों स्टॉपगैप हैं जब तक कि सभी सर्वर और डिवाइस को एक नए सर्वर के प्राथमिक आईपी पते का उपयोग करने के लिए कॉन्फ़िगर नहीं किया गया है, लेकिन कभी-कभी यह संक्रमण अवधि पर्यावरण के आकार के आधार पर अपेक्षाकृत लंबी हो सकती है।

क्या यहाँ एक स्पष्ट कटौती सर्वोत्तम अभ्यास है?

windows domain-name-system active-directory

— MDMarra
स्रोत

या एक तिहाई, पूरे नेटवर्क में पुराने DNS सर्वर के किसी भी / सभी संदर्भों को बदल दें?

— ग्रेवीफेस सेप

बेशक यह अंत-लक्ष्य है, यही वजह है कि मैंने इसे स्टॉपगैप कहा। लेकिन कुछ बहुत बड़े परिवेशों में यह विकल्प नहीं है यदि आप इसे समय पर पूरा करना चाहते हैं। मैंने कहा:

Obviously, both are stopgaps until all servers and devices have been configured to use the primary IP address of a new server, but sometimes that transition period can be relatively long depending on the size of the environment.

सही है?

— एमडीएमरा

शब्दार्थ ... आप सही हैं, लेकिन मैं सिर्फ व्यवस्थित रूप से उपकरणों के डीएनएस विन्यास को बदलूंगा, गतिविधि की निगरानी करूंगा, डीएचसीपी स्कोप से शुरू करूंगा, फिर सर्वर के माध्यम से कम से कम महत्वपूर्ण (सदस्य सर्वर से अन्य डीसी तक) के माध्यम से काम करूंगा ) पुराने सर्वर को लागू करने और / या आवश्यकता से अधिक समय के आसपास इसे छोड़ दें।

— ग्रेवीफेस सेप

बेशक यह सबसे अच्छा विकल्प है, लेकिन जब मैं कहता हूं "बहुत बड़े" वातावरण में, मैं 300+ डीसी के साथ विश्व स्तर पर वितरित बुनियादी ढांचे की बात कर रहा हूं और कई अलग-अलग आईटी टीमें बुनियादी ढांचे के विभिन्न घटकों का प्रबंधन कर रही हैं। कभी-कभी, यह सुनिश्चित करना संभव नहीं होता है कि अपग्रेड के दौरान आपको पहली बार हर डिवाइस मिले ।

— एमडीएमरा

@gravyface आप गलत नहीं हैं, लेकिन बड़े और भौगोलिक रूप से छितरे हुए वातावरण में, विभिन्न घटकों के विकेंद्रीकृत प्रबंधन के साथ, यह हमेशा गेम प्लान पर सहमत होने के लिए, हर एक को लाइन में लाने और एक सामान्य लक्ष्य की दिशा में काम करने के लिए संभव नहीं है। कभी-कभी आपको बस आगे बढ़ने का फैसला लेना पड़ता है और समाधान या एक समाधान खोजने के लिए यह सुनिश्चित करना होता है कि इसका दूसरों के लिए जितना संभव हो सके उतना प्रभाव हो

— Mathias R. Jessen

जवाबों:

मुझे उत्तर देने में संकोच हो रहा है क्योंकि मुझे लगता है कि यह कड़ाई से प्रश्नोत्तर प्रश्न की तुलना में एक "चर्चा" प्रश्न के अधिक है ... लेकिन यह शनिवार की सुबह एक आलसी है तो मैं वैसे भी करूंगा।

क्या यहाँ एक स्पष्ट कटौती सर्वोत्तम अभ्यास है?

नहीं। (अरे, शायद यह एक आसान जवाब था ...)

Microsoft डोमेन नियंत्रकों को डीमोट करने और AD और DNS के माइग्रेशन करने के तरीके पर बहुत ही सामान्य, आसानी से ~~Googleable~~ Bingable मार्गदर्शन प्रदान करता है , लेकिन मैं उन्हें लिंक करने से परेशान नहीं करूंगा और न ही यह दिखावा करूंगा कि वे आपके विशिष्ट प्रश्न को संबोधित करते हैं, क्योंकि Microsoft स्पष्ट रूप से नहीं कर सकता हर अलग संगठन के पर्यावरण के लिए हर विशिष्ट मामले का दस्तावेज।

इसलिए हमारे जैसे विशेषज्ञ / इंजीनियर हमारी अपनी विशेषज्ञता और अनुभव के साथ अंतराल को भरने के लिए छोड़ दिए जाते हैं जहां Microsoft ने हमारे लिए एक विशेष स्क्रिप्ट नहीं लिखी है, और यही हमें मूल्यवान बनाता है।

मैं आपको एक ऐसी चीज का उदाहरण दे सकता हूं जो हमने इसी मुद्दे को संबोधित करने के लिए किया है, क्योंकि मैं दर्जनों या अधिक डोमेन नियंत्रकों के साथ ग्लोब-फैले हुए वातावरण में भी काम करता हूं, एक ही नेटवर्क पर सह-वन के रूप में ई.पू. वनों की असमानता, गैर-विंडोज डिवाइस भी खपत करते हैं एक ही DC से DNS सेवाएं, आदि .. नए डेटाकार्डर्स में जा रहे हैं और पुराने से बाहर जा रहे हैं, नए हार्डवेयर या नए ओएस संस्करणों में माइग्रेट करने की आवश्यकता है, और सादे पुरानी व्यापार राजनीति सभी संभावित कारण हैं जो हमें डोमेन नियंत्रकों को डिक्रिप्ट करने की आवश्यकता होगी: संभावित रूप से अभी भी उपयोग किए जा रहे थे। और जब आपके पास कई विषम संगठन वर्तमान में उन डीसी / डीएनएस सर्वर का उपयोग कर रहे हैं, तो यह आमतौर पर एक भयावह, हर ग्राहक को पुन: कॉन्फ़िगर करने की प्रक्रिया से बाहर है (जिनमें से कई आपके नियंत्रण में नहीं हो सकते हैं) परियोजना नियंत्रक को शामिल करने से पहले, परियोजना प्रबंधकों को शामिल करना

इसलिए मैं कहता हूं कि मुझे नहीं लगता कि कोई भी आपको इस प्रश्न का उत्तर दे सकता है । एक हजार तरीके हैं जिनके बारे में आप जा सकते हैं और कुछ आपके संगठन की संरचना और जरूरतों के आधार पर दूसरों की तुलना में बेहतर होंगे।

इस मुद्दे के सामने आने के लिए हमने जो कुछ किया है, वह प्रत्येक डेटासेंटर के लिए एक वीआईपी है, और उस वीआईपी के पीछे उस डेटासेंटर के सभी डोमेन नियंत्रकों को पूल करेगा। (यह VIP केवल स्पष्ट कारणों के लिए DNS सेवा के लिए है, मैं Kerberos और LDAP को लोड करने के बारे में बात नहीं कर रहा हूँ ।) इस तरह, ग्राहकों को उनके DNS रिज़ॉल्वर के लिए उस VIP का उपयोग करने के लिए कॉन्फ़िगर किया जा सकता है, और हम इसे जोड़ने और दूर ले जाने के लिए स्वतंत्र हैं। जब भी और फिर भी कृपया उस वीआईपी के पीछे डोमेन नियंत्रक।

लेकिन आप समस्या के सामने नहीं हैं ... इसलिए आपके द्वारा दिए गए विकल्प दिए गए हैं:

निवर्तमान डीसी के आईपी पते को एक नए डीसी में जोड़ें और सुनिश्चित करें कि DNS उस पते पर सुन रहा है।

पुराने डीसी को डिमोट करें, उस पर डीएनएस भूमिका छोड़ दें, और अपने नए सर्वर पर एक वैश्विक डीएनएस फारवर्डर कॉन्फ़िगर करें।

मैं विकल्प # 1 का चयन करूंगा, क्योंकि आपका लक्ष्य पुराने सर्वर को जल्द से जल्द विघटित करना है, और विकल्प # 2 आपको पुराने सर्वर से छुटकारा पाने में मदद नहीं करता है। विकल्प # 2 के साथ सर्वर का अस्तित्व अभी भी आवश्यक है। न ही मैं स्टब ज़ोन के मैथियास आर जेसेन के सुझाव के साथ जाऊंगा, क्योंकि फिर से, आपको अभी भी पुराने सर्वर को जगह और सेवा में छोड़ना होगा, जो आपके अंतिम लक्ष्य के लिए अनुकूल नहीं है।

विकल्प # 1 के साथ, बदसूरत के रूप में यह हो सकता है, आप पुराने सर्वर को रिटायर कर सकते हैं, अपनी कंपनी के लिए लागत बचत का दावा कर सकते हैं, उस डेटासेंटर पर एक और महीने के किराए का भुगतान करने से बचें, और इतने अच्छे कर्मचारी होने के लिए एक पुरस्कार दिया जाए।

संपादित करें: हमारी चैट के बारे में थोड़ा और सोचते हुए, मुझे लगता है कि मैंने अपनी आवश्यकताओं को आप पर पेश किया होगा, क्योंकि मेरे पास अभी कुछ सामानों पर पुल-इन-प्लग-एएसएपी आवश्यकताएं हैं, इसलिए यह मेरे दिमाग में ताजा था। ऐसा लगता है कि आपके पास ASAP से सर्वर को बंद करने की तत्काल आवश्यकता नहीं है।

उन्होंने कहा, मैं अपना सुझाव नहीं बदल रहा हूं, क्योंकि मैं अभी भी इसे पसंद करूंगा। एक मौजूदा डोमेन कंट्रोलर पर अतिरिक्त आईपी को टैप करना मेरे लिए बहुत ही समान परिदृश्यों में अतीत में अच्छी तरह से काम किया है, और मैं यह चाहूंगा कि एक सर्वर के अजीब अजीब उपांग के लिए समय की अनिश्चित राशि के लिए वहां बैठे हों।

— रयान रीस
स्रोत

मुझे लगता है कि इस के अंतर्गत आती है good subjectiveमें अच्छा व्यक्तिपरक, बुरा व्यक्तिपरक पोस्ट है कि "चर्चा सवाल" नियम को परिभाषित किया। कम से कम मुझे ऐसी आशा है।

— एमडीएमरा

@MDMarra मैं सहमत हूँ। एक विचार-उत्तेजक और दिलचस्प सवाल के लिए +1। :)

— रयान रीज़

इसके अलावा, सिर्फ रिकॉर्ड के लिए, मैं आमतौर पर आपके सुझाव के विपरीत करता हूं: D

— MDMarra

सक्रिय निर्देशिका नरक की सड़क अस्थायी पट्टियों के साथ पक्की है। अपने नए डीसी और डीएनएस सर्वर के लिए एक डीम्प्रेशन किए गए या डी-डिकम्पोज़्ड डीएनएस सर्वर के आईपी पते को असाइन करना एक अस्थायी पट्टी है।

जैसा कि @gravyface टिप्पणियों में उल्लेख किया गया है, आदर्श परिदृश्य में आप पुराने डीसी के पूरी तरह से विघटन से पहले नए आईपी के बजाय क्लाइंट DNS प्राथमिकता को अपडेट करने के लिए सभी डीएचसीपी स्कोप और स्टेटिक कॉन्फ़िगरेशन को बदल देंगे।

मैं समझता हूं कि यह सुनिश्चित करना कि सभी ग्राहकों को पुन: कॉन्फ़िगर किया गया है, समय पर जरूरी नहीं है, लेकिन मैं निश्चित रूप से विकल्प संख्या 2 (संपूर्ण नामस्थान को अग्रेषित करना) को यहां सबसे कम आपत्तिजनक विकल्प मानता हूं।

पुराने सर्वर को डिमोट करने के बाद भी फॉरवर्ड रिक्वेस्ट देने के अलावा, मैं DNS सर्वर पर आने वाले रिक्वेस्ट के लिए डिबग लॉगिंग को सक्षम करने की सलाह दूंगा - इससे न केवल यह आकलन करना आसान हो जाता है कि क्लाइंट्स अभी भी पुराने डीएनएस सर्वर की ओर इशारा कर रहे हैं, बल्कि ग्राहकों को पहचानना।

कहा जा रहा है, मुझे लगता है कि आप स्पष्ट तीसरे विकल्प से चूक गए हैं: स्टब ज़ोन !

डीसी को डिमोट करें, डीएनएस भूमिका रखें और सभी ज़ोन को पहले से स्टब ज़ोन के रूप में आयोजित करें - बाकी सब कुछ आगे जोड़ें। इस तरह, आपके ग्राहकों को उनके लिए काम करने के बजाय, वास्तव में उन डोमेन नियंत्रकों से संपर्क करना चाहिए जिनका वे उपयोग कर रहे हैं

— मैथियास आर जेसेन
स्रोत