停用也是DNS服务器的域控制器的最佳实践？

对于大量用作DNS服务器的Active Directory域控制器的停用过程，有两种思路。

1. 将传出的DC的IP地址添加到新的DC，并确保DNS正在侦听该地址。

2. 降级旧的DC，保留DNS角色，并为新服务器配置全局DNS转发器。

显然，在所有服务器和设备都配置为使用新服务器的主IP地址之前，两者都是停滞的，但是有时过渡期可能会相对较长，具体取决于环境的大小。

这里有明确的最佳实践吗？

我犹豫不决，因为我认为这更像是一个“讨论”问题，而不是严格的问答问题……但这是一个懒惰的星期六早晨，所以无论如何我还是会的。

这里有明确的最佳实践吗？

不。（该死，也许这是一个简单的答案...）

微软为如何降级域控制器以及执行AD和DNS的迁移提供了非常通用的，可轻松访问的 Bingable指南，但是我不会打扰它们的链接，也不会假装它们解决了您的特定问题，因为微软显然不能记录每个不同组织环境的每个特定案例。

因此，像我们这样的系统管理员/工程师只能利用我们自己的专业知识和经验来填补空白，而Microsoft并不仅仅是为我们编写特殊的脚本，这才使我们变得有价值。

我可以举一个例子说明我们为解决同一问题而采取的措施，因为我还在具有数十个或更多域控制器的全球范围内的环境中工作，不同的AD林并存于同一网络中，非Windows设备也很耗时来自相同DC的DNS服务等。迁移到新的数据中心并移出旧的数据中心，需要迁移到新的硬件或新的OS版本，以及普通的旧商业策略，都是我们需要停用域控制器的所有可能原因可能仍在使用。而且，当您有多个异构组织当前正在使用这些DC / DNS服务器时，通常这是一个繁琐的工作，需要重新配置每个客户端（其中很多可能不在您的控制之下），然后再取消涉及项目经理的域控制器的使用，

这就是为什么我说我认为没有人能给您这个问题的答案。您可以采用一千种方法来完成它，有些方法会比其他方法更好，这取决于您组织的结构和需求。

为了解决这个问题，我们要做的是为每个数据中心创建一个VIP，并将该数据中心中的所有域控制器集中在该VIP后面。（此VIP 仅出于显而易见的原因用于DNS服务，我不是在谈论Kerberos和LDAP的负载平衡。）这样，可以将客户端配置为将该VIP用于其DNS解析器，我们可以自由添加和删除无论何时何地，VIP背后的域控制器都可以。

但是您并没有遇到问题...因此，鉴于您提供的选项：

1. 将传出的DC的IP地址添加到新的DC，并确保DNS正在侦听该地址。

2. 降级旧的DC，保留DNS角色，并为新服务器配置全局DNS转发器。

我会选择选项＃1，因为您的目标是尽快停用旧服务器，而选项＃2并不能帮助您摆脱旧服务器。使用选项2，仍然需要服务器的存在。我也不会接受Mathias R. Jessen关于存根区域的建议，因为同样，您仍然必须将旧服务器保留在原处并投入使用，这不利于最终目标。

使用选项＃1可能会很丑陋，您可以退休旧服务器，为公司节省成本，避免在该数据中心上再支付一个月的租金，并因为拥有如此出色的员工而获得奖励。

编辑：再考虑一下我们的聊天，我想我可能已经将自己的要求投射到了您身上，因为我现在确实对某些东西有即插即用的ASAP要求，所以这在我脑海中是新鲜的。听起来您没有立即关闭服务器的紧急要求。

就是说，我没有改变我的建议，因为我仍然喜欢它。在过去，在非常相似的情况下，将额外的IP分配到现有的域控制器上对我来说效果很好，我宁愿不要在服务器上呆上一段不确定的时间，而要在服务器上呆一整天。

Active Directory地狱之路铺满了临时绷带。将停用或将要停用的DNS服务器的IP地址分配给新的DC和DNS服务器是一个临时任务。

正如@gravyface在注释中指出的那样，在理想情况下，您将更改所有DHCP作用域和静态配置，以在完全停用旧DC之前将客户端DNS首选项更新为新IP，而不是旧IP。

我知道确保所有客户端都不必按时进行重新配置，但是我当然认为选项2（转发整个名称空间）在这里是最不令人讨厌的选项。

除了让老服务器将请求转发甚至降级之后，我会建议启用调试日志记录在DNS服务器上的传入请求-这使得它更容易一点不仅评估，如果客户端仍然指向旧的DNS服务器，但还识别所述客户。

话虽如此，我认为您已经错过了显而易见的第三个选择：存根区域！

• 降级DC，保留DNS角色，并添加以前保留为存根区域的所有区域-转发其他所有区域。这样，您可以强制客户端实际联系他们应该使用的域控制器，而不是为他们工作