Миграция DC1 на другое железо при наличии DC2
 

Всем привет!
В принципе нашел подходящую статью при поиске на форуме. Думаю воспользоваться ей. Но всё же хочу проконсультироваться с местными гуру, имеющими опыт таких хирургических операций. К тому же у меня чуток другая ситуация.
В конторе есть два КД DC1 и DC2 c 2008r2. DC1 за главного, его надо перенести на другое железо, имеет роли WSUS, DFS. По DFS идет репликация КД.

Моё видение переноса. Если что упустил или попутал с порядком, то дайте знать, народ. Буду очень признателен.

1. Установить на новом сервере 2008r2. Имя сервера временное DC3. Ввести в домен.
2. DC1 понизить до рядового КД (передача ролей FSMO?).
3. DC2 повысить до главного КД. (прием ролей FSMO?)
4. DC1 удалить роль AD, вывести из домена. Комп переименовываем в dc1-temp
5. Новый сервер переименовываем из DC3 в DC1, устанавливаем роль AD, повышаем до главного КД.

Т.е. после того как роли FSMO передали от DC1 в DC2, DC1 можно просто удалять роль AD?

В общем почитав вышеупомянутую статью пришел к выводу, что все сводится (в основном) к передачи FSMO ролей. От главного КД к не главному. Это и определяет главность КД.
Вопрос 1: после передачи FSMO ролей можно переходить к удалению на бывшем DC1 роли контроллера AD или еще нужны процедуры?
Вопрос 2: DFS тут как играет роль? На новом DC1 надо поставить DFS и все само подцепится или надо еще DFS настраивать?

У вас круглосуточно и безостановочно пользователи работают?

ничему вас жизнь не учит: ставьте Hyper-V, а КД уже на виртуалку

Да. Кроме выходных и праздников.
Эммм... без временного сервера смогу обойтись? Виртуалку зачем предлагаете? На dc2 все перекинуть (FSMA, timeserver), а потом уже, после понижения dc1 и вывода его из сети, сделаю новый dc1 и обратно перекину FSMA с dc2. Не?

Понизь dc1 и выведи его из домена, передай роли dc2, установи новый сервер и назови его dc1, введи его в домен и подними на нем КД и перекинь роли обратно.
Ее можно с бэкапировать и не париться вообще, если КД рухнет, то из бэкапа восстановить его занимает несколько минут. Так же без проблем переносится КД на любое железо тупым копированием, которое тоже займет несколько минут.

Я бы просто поставил DC3 на новый сервер, потом поднял бы на нём WSUS и сделал бы его репликой WSUS на DC1.
Подождал бы пару дней, пока пройдёт синхронизация.
Потом сделал бы WSUS на DC3 самостоятельным, перевёл бы GPO Windows update на него.
Потом перекинул бы роли с DC1, понизил бы его, вывел из домена, и всё. Возможно, при понижении роли сами передаются, тут я бы почитал документацию, наизусть уже не помню.

Смысла в переименовании DC3 в DC1 не вижу никакого. Так бы и оставил. Роли потом можно вернуть с DC2, а можно и не возвращать. Особой разницы нет.

Ну и, конечно, с виртуализацией было бы проще. С виртуализацией один нюанс - на контроллерах домена нельзя делать снэпшоты. Вернее, делать-то можно, а вот откатываться на них крайне не рекомендуется. Что-то там изобрели в 2012 сервере по этому поводу, но я бы всё равно поостерёгся от таких трюков.

Спасибо народ! .) Ваши слова на вес золота. Про виртуалку подумаю. Возможно и правда пора начать юзать виртуализацию.
Файловая шара на DC2.
Переименовывание просто для красоты, феншуя.
"Покурив" вчера понял, что можно обойтись без времянки (DC3). Всё перегнать на dc2, почистить все от dc1 (днсы) (хотя в инете пишут, что если сервак с таким же именем поднимать, то нет смысла чистить), поднять новый сервак dc1 и перекинуть туда опять FSMO.

в следующий раз - да
там из коробки вообще live migration есть - нажал пару кнопочек - и оно само перетекло на другой железный сервер без остановки

на выходных остановите DC1, клонируйте в виртуальную среду на новом аппаратном сервере, запустите - всё!

Всё получилось. Перед НГ праздниками мигрировал DC1. Пользовался этой статьей. Был нюанс с выводом старого DC1 из контроллера домена. Решилось этой статьей.
Всем спасибо.

Не забывайте, бекапами (снимков состояния системы на виртуальном сервере) для основного контроллеера домена не рекомендую пользоваться в качестве восстановления репликации с резервным, слетят билеты.
бекапить нужно только штатной архивацией.

Я бы сделал по-другому:

1. Передать все FSMO-роли DC2.
2. Выждать время и проверить нормальную работу всего.
3. На сетевых интерфейсах всех рабочих станций ip-адрес DC2 поставить первым.
4. Выждать и проверить нормальную работу.
5. Перенести роли WSUS и DFS, если DC1 является и файловым сервером (это две отдельные задачи со списком шагов не меньше этого).
6. Удалить все роли с DC2.
7. Выждать и проверить нормальную работу.
8. Вывести DC1 из домена.
9. Выждать и проверить нормальную работу.
10. Поставить на новом железе новый DC1 со старым IP.
11. Поднять AD на DC1.
12. Выждать и проверить нормальную работу.
13. Вернуть FSMO-роли на DC1.
14. Выждать и проверить нормальную работу.
15. Поставить ip-адрес DC1 первым на рабочих станциях.
16. Проверить нормальную работу и начать жить счастливо.