Migración de dominio de clúster de conmutación por error
En este artículo se proporciona información general sobre cómo mover clústeres de conmutación por error de Windows Server de un dominio a otro.
Razones para migrar entre dominios
Existen varios escenarios en los que es necesario migrar un clúster de un dominio a otro.
- La compañía A se fusiona con la compañía B y debe mover todos los clústeres al dominio de la compañía A
- Los clústeres se crean en el centro de datos principal y se envían a ubicaciones remotas.
- El clúster se creó como un clúster de grupo de trabajo y ahora debe formar parte de un dominio.
- El clúster se creó como un clúster de dominio y ahora debe formar parte de un grupo de trabajo.
- El clúster se está trasladando de un área de la compañía a otra y el subdominio es diferente.
Microsoft no proporciona asistencia a los administradores que quieran mover recursos de un dominio a otro si la operación de aplicación subyacente no puede realizarse. Por ejemplo, Microsoft no proporciona asistencia a los administradores que quieran mover un servidor de Microsoft Exchange de un dominio a otro.
Advertencia
Antes de mover el clúster, se recomienda hacer una copia de seguridad completa de todo el almacenamiento compartido en el clúster.
Windows Server 2016 y versiones anteriores
En Windows Server 2016 y versiones anteriores, el Servicio de clúster no tenía capacidad para pasar de un dominio a otro. Esto se debía a la mayor dependencia de Active Directory Domain Services y los nombres virtuales creados.
Opciones
Hay dos opciones para realizar este tipo de movimiento.
La primera opción conlleva destruir el clúster y volver a crearlo en el nuevo dominio.
Como se muestra en la animación, esta opción es destructiva, y consta de los siguientes pasos:
- Destruir el clúster
- Cambiar la pertenencia de dominio de los nodos en el nuevo dominio
- Volver a crear el clúster de cero en el dominio actualizado (esto conllevaría tener que volver a crear todos los recursos)
La segunda opción es menos destructiva, pero requiere hardware adicional, ya que habría que crear un clúster nuevo en el nuevo dominio. Una vez que el clúster esté en el nuevo dominio, ejecute el Asistente para la migración de clústeres para migrar los recursos. El Asistente para la migración de clústeres no migra datos, se requiere otra herramienta, como Storage Migration Service, una vez agregada la compatibilidad con clústeres.
Como se muestra en la animación, esta opción no es destructiva, pero requiere usar hardware diferente o un nodo del clúster existente que se ha quitado.
- Cree un clúster en el nuevo dominio mientras el clúster anterior siga estando disponible.
- Use el asistente para la migración de clústeres para migrar todos los recursos al nuevo clúster. Recuerde que el Asistente para la migración de clústeres no copia los datos, esta acción debe realizarse por separado.
- Retire o destruya el clúster anterior.
En ambas opciones, en el nuevo clúster habría que instalar todas las aplicaciones compatibles con el clúster, tener los controladores actualizados y realizar pruebas para garantizar la funcionalidad. Si también es necesario mover datos, esto aumenta el tiempo necesario para completar este proceso.
Windows Server 2019
En Windows Server 2019 hemos incorporado capacidades de migración de clústeres entre dominios. Los escenarios, como se mencionó anteriormente, se pueden realizar fácilmente, ya que la necesidad de volver a generar ya no es necesaria.
Mover un clúster de un dominio es un proceso sencillo que se puede realizar mediante dos cmdlets de PowerShell:
New-ClusterNameAccount
: crea una cuenta de nombre de clúster en Active Directory.Remove-ClusterNameAccount
: quita las cuentas de nombre de clúster de Active Directory.Nota:
Es posible que el cmdlet
Remove-ClusterNameAccount
no se ejecute correctamente. Si se produce un problema, siga los pasos para Windows Server 2016 y versiones anteriores. Microsoft es consciente del problema.
El proceso consiste en cambiar el clúster de un dominio a un grupo de trabajo y de vuelta al nuevo dominio. Ya no es necesario destruir un clúster, volver a crear un clúster o instalar aplicaciones. Por ejemplo:
Migración de un clúster a un dominio nuevo
En los siguientes pasos, se mueve un clúster desde el dominio Contoso.com al nuevo dominio Fabrikam.com. El nombre del clúster es CLUSCLUS y tiene un rol de servidor de archivos denominado FS-CLUSCLUS.
Cree una cuenta de administrador local con el mismo nombre y contraseña en todos los servidores del clúster. Esto puede ser necesario para iniciar sesión mientras los servidores se mueven entre dominios.
Inicie sesión en el primer servidor con una cuenta de administrador o de usuario de dominio que tenga permisos de Active Directory en el objeto de nombre de clúster (CNO) y en los objetos de equipo virtual (VCO) y que tenga acceso al clúster, y abra PowerShell.
Asegúrese de que todos los recursos de nombre de red de clúster están en un estado sin conexión y ejecute el siguiente comando para quitar los objetos de Active Directory que el clúster pueda tener.
Nota:
Si no puede eliminar objetos de nombre de clúster mediante la opción
-Cluster CLUSCLUS
, quite la opción-Cluster
o ejecute-Cluster <Node Name>
.Si no puede eliminar objetos de nombre de clúster mediante la opción
-DeleteComputerObjects
, actualice los permisos del objeto CNO para conceder a la cuenta de VCO control total de la cuenta de CNO de antemano.
Remove-ClusterNameAccount -Cluster CLUSCLUS -DeleteComputerObjects
Use Usuarios y equipos de Active Directory para asegurarse de que se han quitado los objetos de equipo CNO y VCO asociados a todos los nombres en clúster.
Nota:
Detenga el Servicio de clúster en todos los servidores del clúster y establecer el tipo de inicio del servicio en Manual para que el servicio de clúster no se inicie cuando se reinicien los servidores mientras se cambia de dominio.
Stop-Service -Name ClusSvc Set-Service -Name ClusSvc -StartupType Manual
Cambie la pertenencia de dominio de los servidores a un grupo de trabajo, reinicie los servidores, una los servidores al nuevo dominio y vuelva a reiniciar.
Una vez que los servidores estén en el nuevo dominio, inicie sesión en un servidor con una cuenta de administrador o de usuario de dominio que tenga permisos de Active Directory para crear objetos y que tenga acceso al clúster, y abra PowerShell. Inicie el Servicio de clúster y vuelva a establecerlo en Automático.
Start-Service -Name ClusSvc Set-Service -Name ClusSvc -StartupType Automatic
Ponga el nombre del clúster y todos los demás recursos de nombre de red del clúster en estado en línea.
Start-ClusterResource -Name "Cluster Name" Start-ClusterResource -Name FS-CLUSCLUS
Nota:
Si se produce un error en New-ClusterNameAccount posterior, lleve el nombre del clúster y todos los demás recursos de nombre de red del clúster a un estado sin conexión antes de volver a intentarlo.
Cambie el clúster para que forme parte del nuevo dominio con objetos de Active Directory asociados. El comando siguiente vuelve a crear los objetos de nombre en Active Directory y los recursos de nombre de red deben estar en estado en línea:
New-ClusterNameAccount -Name ClusterName -Domain NewDomainName.com -UpgradeVCOs
Nota:
Si no tiene ningún grupo adicional con nombres de red, como un clúster de Hyper-V solo con máquinas virtuales, no se necesita el parámetro
-UpgradeVCOs
.Si el VCO no se crea al ejecutar New-ClusterNameAccount, use la función Repair en los recursos Nombre de red del clúster desde el Administrador de clústeres de conmutación por error.
Use Usuarios y equipos de Active Directory para comprobar el nuevo dominio y asegurarse de que se han creado los objetos de equipo asociados. Si se han creado, ponga en línea los recursos restantes en los grupos.
Start-ClusterGroup -Name "Cluster Group" Start-ClusterGroup -Name FS-CLUSCLUS
Problemas conocidos
Si usa la nueva característica de testigo USB, no podrá agregar el clúster al nuevo dominio, debido al tipo de testigo del recurso compartido de archivos que debe usar Kerberos para la autenticación. Cambie el testigo a ninguno antes de agregar el clúster al dominio. Una vez completado este paso, vuelva a crear el testigo USB. El error que verá es:
New-ClusternameAccount : Cluster name account cannot be created. This cluster contains a file share witness with invalid permissions for a cluster of type AdministrativeAccesssPoint ActiveDirectoryAndDns. To proceed, delete the file share witness. After this you can create the cluster name account and recreate the file share witness. The new file share witness will be automatically created with valid permissions.