Поделиться через

Миграция домена отказоустойчивого кластера

В этой статье представлен обзор перемещения отказоустойчивых кластеров Windows Server из одного домена в другой.

Почему миграция между доменами

Существует несколько сценариев, когда требуется перенос кластера из одного домена в другой.

  • Компания A объединяется с компанией B и должна перемещать все кластеры в домен Company A
  • Кластеры создаются в основном центре обработки данных и отправляются в удаленные расположения.
  • Кластер был создан как кластер рабочей группы и теперь должен быть частью домена.
  • Кластер был создан как кластер домена и теперь должен быть частью рабочей группы.
  • Кластер перемещается в одну область компании в другую и является другим поддоменом.

Корпорация Майкрософт не предоставляет поддержку администраторам, которые пытаются переместить ресурсы из одного домена в другой, если базовая операция приложения не поддерживается. Например, корпорация Майкрософт не предоставляет поддержку администраторам, которые пытаются переместить сервер Microsoft Exchange из одного домена в другой.

Предупреждение

Перед перемещением кластера рекомендуется выполнить полную резервную копию всего общего хранилища в кластере.

Windows Server 2016 и более ранние версии

В Windows Server 2016 и более ранних версиях служба кластера не имеет возможности перехода из одного домена в другой. Это связано с увеличением зависимости от служб домен Active Directory и созданных виртуальных имен.

Параметры

Для этого есть два варианта.

Первый вариант включает в себя уничтожение кластера и его перестроение в новом домене.

Анимация действий по уничтожению кластера, перемещению узлов в новый домен и повторному создании кластера в новом домене.

Как показано в анимации, этот параметр является разрушительным, и включает следующие действия:

  1. Уничтожить кластер.
  2. Измените членство в домене узлов в новом домене.
  3. Повторно создайте кластер как новый в обновленном домене. Это влечет за собой повторное создание всех ресурсов.

Второй вариант является менее разрушительным, но требует дополнительного оборудования, так как новый кластер потребуется создать в новом домене. После того как кластер находится в новом домене, запустите мастер миграции кластера, чтобы перенести ресурсы. Мастер миграции кластера не переносит данные, требуется другое средство, например Storage Migration Service после добавления поддержки кластера.

Анимация действий по созданию кластера в новом домене с помощью мастера миграции кластера, включая списание старого кластера.

Как показано в анимации, этот параметр не является разрушительным, но требует либо другого оборудования, либо узла из существующего кластера, который был удален.

  1. Создайте новый кластер в новом домене, сохраняя доступ к старому кластеру.
  2. Используйте мастер миграции кластера для переноса всех ресурсов в новый кластер. Напоминание о том, что мастер миграции кластера не копирует данные, которые необходимо выполнить отдельно.
  3. Выключите или уничтожите старый кластер.

В обоих вариантах новый кластер должен иметь установленные все приложения с поддержкой кластера, обновлённые драйверы и пройти тестирование для обеспечения функциональности. Если данные также необходимо переместить, это увеличивает время, необходимое для выполнения этого процесса.

Windows Server 2019

В Windows Server 2019 мы представили возможности миграции между доменами кластера. Сценарии, как уже отмечалось, можно легко выполнить, так как потребность в перестроении отпала.

Перемещение кластера из одного домена — это прямой процесс, который можно выполнить с помощью двух командлетов PowerShell:

  • New-ClusterNameAccount — создает учетную запись имени кластера в Active Directory

  • Remove-ClusterNameAccount — удаляет учетные записи имен кластера из Active Directory

    Примечание.

    Командлет Remove-ClusterNameAccount может не выполняться успешно. Если возникла проблема, выполните действия для Windows Server 2016 и более ранних версий. Корпорация Майкрософт знает о проблеме.

Процесс состоит в том, чтобы изменить кластер с одного домена на рабочую группу и вернуться к новому домену. Необходимость уничтожения кластера, перестроения кластера или установки приложений не является обязательным. Например:

Анимация, демонстрирующая перенос кластера из предыдущего домена в новый домен.

Перенос кластера в новый домен

На следующих шагах кластер перемещается из домена Contoso.com в новый домен Fabrikam.com. Имя кластера — CLUSCLUS и роль файлового сервера с именем FS-CLUS.

  1. Создайте учетную запись локального администратора с одинаковым именем и паролем на всех серверах в кластере. Это может потребоваться для входа во время перемещения серверов между доменами.

  2. Войдите на первый сервер с помощью учетной записи пользователя домена или администратора, который имеет разрешения Active Directory на объект имени кластера (CNO), объекты виртуальных компьютеров (VCO), доступ к кластеру, и откройте PowerShell.

  3. Убедитесь, что все ресурсы сетевого имени кластера находятся в автономном состоянии и выполните следующую команду, чтобы удалить объекты Active Directory, которые может иметь кластер.

    Примечание.

    • Если вы не можете удалить объекты имен кластера с помощью -Cluster CLUSCLUS параметра, удалите -Cluster этот параметр или выполните -Cluster <Node Name>

    • Если вы не можете удалить объекты имен кластера с помощью -DeleteComputerObjects параметра, обновите разрешения объекта CNO, чтобы предоставить учетной записи VCO полный контроль над CNO заранее.

    Remove-ClusterNameAccount -Cluster CLUSCLUS -DeleteComputerObjects

  4. Используйте Пользователи и компьютеры Active Directory, чтобы убедиться, что компьютерные объекты CNO и VCO, связанные со всеми кластеризованными именами, были удалены.

    Примечание.

    Остановите службу кластера на всех серверах кластера и задайте тип запуска службы вручную, чтобы служба кластера не запускала при перезапуске серверов при изменении доменов.

    Stop-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Manual

  5. Измените членство в домене серверов на рабочую группу, перезапустите серверы, присоединитесь к новому домену и снова перезапустите серверы.

  6. После того как серверы находятся в новом домене, войдите на сервер с помощью учетной записи пользователя домена или администратора с разрешениями Active Directory на создание объектов, имеет доступ к кластеру и откройте PowerShell. Запустите службу кластера и задайте для нее значение "Автоматически".

    Start-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Automatic

  7. Переведите имя кластера и все остальные ресурсы сетевых имен кластера в рабочее состояние.

    Start-ClusterResource -Name "Cluster Name"

Start-ClusterResource -Name FS-CLUSCLUS

    Примечание.

    Если последующий вызов New-ClusterNameAccount завершается ошибкой, перед повторной попыткой переведите имя кластера и все другие ресурсы сетевых имен кластера в автономный режим.

  8. Измените кластер, чтобы он был частью нового домена с связанными объектами Active Directory. Следующая команда повторно создаёт именные объекты в Active Directory, и ресурсы сетевого имени должны быть в онлайн-состоянии:

    New-ClusterNameAccount -Name ClusterName -Domain NewDomainName.com -UpgradeVCOs

    Примечание.

    • Если у вас нет дополнительных групп с именами сетевых имен, таких как кластер Hyper-V только с виртуальными машинами, -UpgradeVCOs параметр не нужен.

    • Если объект виртуального компьютера (VCO) не создается при запуске New-ClusterNameAccount, пожалуйста, используйте функцию восстановления для ресурсов сетевого имени кластера в диспетчере отказоустойчивых кластеров.

  9. Используйте Пользователи и компьютеры Active Directory, чтобы проверить новый домен и убедиться, что были созданы связанные объекты компьютеров. Если они есть, подключите оставшиеся ресурсы в группах.

    Start-ClusterGroup -Name "Cluster Group"

Start-ClusterGroup -Name FS-CLUSCLUS

Известные проблемы

Если вы используете новую функцию свидетельства USB, вы не сможете добавить кластер в новый домен, поскольку тип свидетельства ресурсного файла должен использовать Kerberos для проверки подлинности. Измените значение свидетеля на нет перед добавлением кластера в домен. После завершения этого шага повторно создайте USB-свидетель. Появится сообщение об ошибке:

New-ClusternameAccount : Cluster name account cannot be created. This cluster contains a file share witness with invalid permissions for a cluster of type AdministrativeAccesssPoint ActiveDirectoryAndDns. To proceed, delete the file share witness. After this you can create the cluster name account and recreate the file share witness. The new file share witness will be automatically created with valid permissions.