Поделиться через

Миграция домена отказоустойчивого кластера

В этой статье представлен обзор перемещения отказоустойчивых кластеров Windows Server из одного домена в другой.

Почему миграция между доменами

Существует несколько сценариев, когда требуется перенос кластера из одного домена в другой.

  • Компания A объединяется с компанией B и должна перемещать все кластеры в домен Company A
  • Кластеры создаются в основном центре обработки данных и отправляются в удаленные расположения.
  • Кластер был создан как кластер рабочей группы и теперь должен быть частью домена.
  • Кластер был создан как кластер домена и теперь должен быть частью рабочей группы.
  • Кластер перемещается в одну область компании в другую и является другим поддоменом.

Корпорация Майкрософт не предоставляет поддержку администраторам, которые пытаются переместить ресурсы из одного домена в другой, если базовая операция приложения не поддерживается. Например, корпорация Майкрософт не предоставляет поддержку администраторам, которые пытаются переместить сервер Microsoft Exchange из одного домена в другой.

Предупреждение

Перед перемещением кластера рекомендуется выполнить полную резервную копию всего общего хранилища в кластере.

Windows Server 2016 и более ранние версии

В Windows Server 2016 и более ранних версиях служба кластера не имеет возможности перехода из одного домена в другой. Это связано с увеличением зависимости от служб домен Active Directory и созданных виртуальных имен.

Параметры

Для этого есть два варианта.

Первый вариант включает в себя уничтожение кластера и его перестроение в новом домене.

Анимация действий по уничтожению кластера, перемещению узлов в новый домен и повторному создании кластера в новом домене.

Как показано в анимации, этот параметр является разрушительным с действиями:

  1. Уничтожить кластер.
  2. Измените членство в домене узлов в новом домене.
  3. Повторно создайте кластер как новый в обновленном домене. Это влечет за собой повторное создание всех ресурсов.

Второй вариант является менее разрушительным, но требует дополнительного оборудования, так как новый кластер потребуется создать в новом домене. После того как кластер находится в новом домене, запустите мастер миграции кластера, чтобы перенести ресурсы. Мастер миграции кластера не переносит данные, требуется другое средство, например Storage Migration Service после добавления поддержки кластера.

Анимация действий по созданию кластера в новом домене с помощью мастера миграции кластера, включая списание старого кластера.

Как показано в анимации, этот параметр не является разрушительным, но требует либо другого оборудования, либо узла из существующего кластера, который был удален.

  1. Создайте новый кластер в новом домене, сохраняя доступ к старому кластеру.
  2. Используйте мастер миграции кластера для переноса всех ресурсов в новый кластер. Напоминание о том, что мастер миграции кластера не копирует данные, которые необходимо выполнить отдельно.
  3. Выключите или уничтожите старый кластер.

В обоих вариантах новый кластер должен иметь все приложения с поддержкой кластера, обновления драйверов и тестирования для обеспечения функциональности. Если данные также необходимо переместить, это увеличивает время, необходимое для выполнения этого процесса.

Windows Server 2019

В Windows Server 2019 мы представили возможности миграции между доменами кластера. Сценарии, как упоминалось ранее, можно легко выполнить, так как необходимость перестроения больше не требуется.

Перемещение кластера из одного домена — это прямой процесс, который можно выполнить с помощью двух командлетов PowerShell:

  • New-ClusterNameAccount — создает учетную запись имени кластера в Active Directory

  • Remove-ClusterNameAccount — удаляет учетные записи имен кластера из Active Directory

    Примечание.

    Командлет Remove-ClusterNameAccount может не выполняться успешно. Если возникла проблема, выполните действия для Windows Server 2016 и более ранних версий. Корпорация Майкрософт знает о проблеме.

Процесс состоит в том, чтобы изменить кластер с одного домена на рабочую группу и вернуться к новому домену. Необходимость уничтожения кластера, перестроения кластера или установки приложений не является обязательным. Например:

Анимация, демонстрирующая перенос кластера из предыдущего домена в новый домен.

Перенос кластера в новый домен

На следующих шагах кластер перемещается из домена Contoso.com в новый домен Fabrikam.com. Имя кластера — CLUSCLUS и роль файлового сервера с именем FS-CLUS.

  1. Создайте учетную запись локального администратора с одинаковым именем и паролем на всех серверах в кластере. Это может потребоваться для входа во время перемещения серверов между доменами.

  2. Войдите на первый сервер с помощью учетной записи пользователя домена или администратора с разрешениями Active Directory для объекта имени кластера (CNO), объектов виртуального компьютера (VCO), имеет доступ к кластеру и откройте PowerShell.

  3. Убедитесь, что все ресурсы сетевого имени кластера находятся в автономном состоянии и выполните следующую команду, чтобы удалить объекты Active Directory, которые может иметь кластер.

    Примечание.

    • Если вы не можете удалить объекты имен кластера с помощью -Cluster CLUSCLUS параметра, удалите -Cluster этот параметр или выполните -Cluster <Node Name>

    • Если вы не можете удалить объекты имен кластера с помощью -DeleteComputerObjects параметра, обновите разрешения объекта CNO, чтобы предоставить учетной записи VCO полный контроль над CNO заранее.

    Remove-ClusterNameAccount -Cluster CLUSCLUS -DeleteComputerObjects

  4. Используйте Пользователи и компьютеры Active Directory, чтобы обеспечить удаление объектов компьютеров CNO и VCO, связанных со всеми кластеризованными именами.

    Примечание.

    Остановите службу кластера на всех серверах кластера и задайте тип запуска службы вручную, чтобы служба кластера не запускала при перезапуске серверов при изменении доменов.

    Stop-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Manual

  5. Измените членство в домене серверов на рабочую группу, перезапустите серверы, присоединитесь к новому домену и снова перезапустите серверы.

  6. После того как серверы находятся в новом домене, войдите на сервер с помощью учетной записи пользователя домена или администратора с разрешениями Active Directory на создание объектов, имеет доступ к кластеру и откройте PowerShell. Запустите службу кластера и задайте для нее значение "Автоматически".

    Start-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Automatic

  7. Доведите имя кластера и все остальные ресурсы сетевого имени кластера к состоянию в сети.

    Start-ClusterResource -Name "Cluster Name"

Start-ClusterResource -Name FS-CLUSCLUS

    Примечание.

    Если последующий параметр New-ClusterNameAccount завершается ошибкой, перед повторным повтором приведите имя кластера и все остальные ресурсы сетевого имени кластера в автономное состояние.

  8. Измените кластер, чтобы он был частью нового домена с связанными объектами Active Directory. Следующая команда повторно создает объекты имен в Active Directory, а ресурсы сетевого имени должны находиться в состоянии в сети:

    New-ClusterNameAccount -Name ClusterName -Domain NewDomainName.com -UpgradeVCOs

    Примечание.

    • Если у вас нет дополнительных групп с именами сетевых имен, таких как кластер Hyper-V только с виртуальными машинами, -UpgradeVCOs параметр не нужен.

    • Если виртуальная машина не создается при запуске New-ClusterNameAccount, используйте функцию восстановления ресурсов имени сети кластера из диспетчера отказоустойчивых кластеров.

  9. Используйте Пользователи и компьютеры Active Directory для проверки нового домена и обеспечения создания связанных объектов компьютеров. Если у них есть, доведите оставшиеся ресурсы в группах в сети.

    Start-ClusterGroup -Name "Cluster Group"

Start-ClusterGroup -Name FS-CLUSCLUS

Известные проблемы

Если вы используете новую функцию USB-свидетеля, вы не сможете добавить кластер в новый домен из-за типа следящего файла общего ресурса, который должен использовать Kerberos для проверки подлинности. Перед добавлением кластера в домен измените значение следящего сервера на нет . После завершения этого шага повторно создайте USB-свидетель. Появится сообщение об ошибке:

New-ClusternameAccount : Cluster name account cannot be created. This cluster contains a file share witness with invalid permissions for a cluster of type AdministrativeAccesssPoint ActiveDirectoryAndDns. To proceed, delete the file share witness. After this you can create the cluster name account and recreate the file share witness. The new file share witness will be automatically created with valid permissions.