Миграция контроллера домена (Domain Controller)

Один из лучших способов обезопасить ваши системы – убедиться, что на контроллерах домена Active Directory (AD) установлена последняя версия Windows Server. Контроллеры домена являются критически важной инфраструктурой, поскольку они обеспечивают безопасность и доступ ко всем вашим ИТ-ресурсам. Если DC скомпрометирован, то вам следует считать, что вся ваша сеть скомпрометирована. Контроллеры домена являются важными целями для хакеров, и вы должны предпринять все разумные шаги для их защиты.

Многие организации по-прежнему используют DC на Windows Server 2012 R2. И хотя ОС поддерживается в рамках расширенной поддержки Microsoft до 10.10.2023, более поздние версии Windows Server значительно более безопасны, предлагая такие функции, как встроенная защита от вредоносных программ в виде защитника Windows, Credential Guard для защиты учетных данных локального и удаленного домена на скомпрометированных серверах, а также множество дополнительных улучшений безопасности это делает новые версии Windows более надежными.

Часто бывает так, что организации имеют лицензию на обновление до последней версии Windows Server, но не делают этого, потому что не хотят затрагивать свою рабочую инфраструктуру. Но из-за особенностей AD заменить старый контроллер домена на новый относительно легко. И без прерывания критически важных ИТ-служб.

Что нового в Active Directory?

Улучшения AD DS связаны с функциональными уровнями ее домена. Обновление операционной системы или добавление контроллеров домена, работающих под управлением Windows Server 2022, в существующую инфраструктуру AD не приведет к автоматическому обновлению функциональных уровней домена. Нам нужно обновить его вручную, как только старые контроллеры домена будут выведены из эксплуатации.

Доменные службы Active Directory впервые появились в мире с Windows Server 2000. Уже более 21 года AD DS помогает организациям управлять цифровыми идентификационными данными. Однако современные требования к управлению доступом сложны. Сейчас предприятия используют все больше и больше облачных сервисов. Большая часть сотрудников по-прежнему работает из дома и получает доступ к конфиденциальным корпоративным данным через незащищенные сети. Большинство поставщиков программного обеспечения переходят на модель SaaS. Число киберпреступлений стремительно растет, и на карту поставлена защита личных данных. Чтобы удовлетворить эти требования, нам необходимо выйти за рамки устаревшего управления доступом. Azure Active Directory – это облачный управляемый поставщик услуг идентификации как услуги (IDaaS), который может обеспечить безопасность мирового класса, надежную аутентификацию и бесперебойную совместную работу.

Одной из ключевых тем Windows Server 2022 является “безопасность”. Усовершенствованная многоуровневая система безопасности в Windows Server 2022 обеспечивает комплексную защиту от современных угроз. Это также добавляет дополнительный уровень безопасности к ролям, выполняемым на Windows Server 2022, включая Active Directory.

Чек-лист миграции Active Directory

Перенос ролей FSMO на новый сервер и обновление функциональных уровней домена занимает не более нескольких минут, но когда дело доходит до миграции, нам нужно учитывать еще несколько моментов.

1. Оцените бизнес-требования для миграции Active Directory.
2. Выполните аудит существующей инфраструктуры Active Directory, чтобы проверить ее работоспособность.
3. Создайте подробный план внедрения.
4. Подготовьте физические/виртуальные ресурсы для контроллера домена
5. Установите Windows Server 2022 Standard/Центр обработки данных
6. Установите на серверы последние обновления Windows
7. Назначьте выделенный IP-адрес контроллеру домена
8. Установите роль AD DS
9. Перенесите роли приложений и серверов с существующих контроллеров домена
10. Перенесите роли FSMO на новые контроллеры домена
11. Добавьте новые контроллеры домена в существующую систему мониторинга
12. Добавьте новые контроллеры домена к существующему решению DR
13. Выведите из эксплуатации старые контроллеры домена
14. Повысьте функциональные уровни домена
15. Выполните текущее техническое обслуживание (обзор групповой политики, внедрение новых функций, выявление и устранение проблем с инфраструктурой Active Directory и многое другое)

Этапы миграции контроллера домена

1. Настройте новый сервер с помощью Windows Server

Первым шагом является установка нового Windows Server на физическое устройство или виртуальную машину. Если у вас больше технического опыта работы с Windows Server, вы можете выбрать установку Server Core, а затем выполнить необходимые действия с помощью PowerShell или удаленно подключившись к новому серверу с помощью диспетчера серверов или Центра администрирования Windows. В противном случае установите Windows Server с включенной ролью Desktop Experience.

2. Присоедините новый сервер к вашему существующему домену Active Directory

Как только новый сервер будет запущен, присоедините его к вашему существующему домену AD. Вы можете запустить процесс на вкладке “Локальный сервер” в диспетчере серверов, нажав “Рабочая группа” в разделе “Свойства”. Вам нужно будет перезагрузить сервер, чтобы завершить процесс.

 3. Установите роль доменных служб Active Directory

Дождитесь перезагрузки сервера, а затем войдите в систему с учетной записью администратора домена. Затем вы можете установить роль сервера доменных служб Active Directory (AD DS) с помощью диспетчера серверов и мастера добавления ролей и компонентов в меню Управление.

4. Подключите новый сервер к контроллеру домена

Когда роль сервера AD DS будет установлена, вы получите уведомление в диспетчере серверов с предложением назначить сервер контроллеру домена. Щелчок по значку с желтым восклицательным знаком запустит мастер настройки AD DS. Вы должны выбрать “Добавить контроллер домена к существующему домену” и следовать инструкциям на экране.

5. Перенесите роли FSMO на новый сервер

Следующим шагом является вход на старый контроллер домена и перемещение ролей FSMO домена на новый контроллер домена. Самый простой способ сделать это – использовать PowerShell.

В этой статье предполагается, что у вас есть домен только с одним контроллером домена. На практике вполне вероятно, что у вас будет более одного контроллера домена, поэтому убедитесь, что вы понимаете, как работают роли FSMO и на каких контроллерах домена они расположены в вашем домене.

На новом контроллере домена подтвердите, что роли FSMO были перемещены. Начните с проверки ролей FSMO домена.

6. Понизьте статус вашего старого контроллера домена

Теперь, когда вы переместили роли FSMO в новый DC, вы можете безопасно понизить статус старого контроллера домена Windows Server. Вы можете понизить уровень контроллера домена с помощью диспетчера серверов.

7. Повысьте функциональные уровни домена

Наконец, вы можете повысить функциональные уровни домена.

Заключение

Конечно, любой проект миграции сопряжен с риском и имеет много подводных камней. Поэтому ищите поставщика, который предлагает сервис мирового класса, такого как Fanetech, мы работаем в Казахстане и странах СНГ. Это позволит избежать сложностей, упростить процесс миграции и обеспечить успех.