Migração de domínio do cluster de failover

Este artigo fornece uma visão geral para mover clusters de failover do Windows Server de um domínio para outro.

Por que migrar entre domínios

Há vários cenários em que a migração de um cluster de um domínio para outro é necessária.

  • A empresa A se funde com a empresa B e deve mover todos os clusters para o domínio da empresa A
  • Os clusters são criados no datacenter principal e enviados para locais remotos
  • O cluster foi criado como um cluster de grupo de trabalho e agora precisa fazer parte de um domínio
  • O cluster foi criado como um cluster de domínio e agora precisa fazer parte de um grupo de trabalho
  • O cluster está sendo movido para uma área da empresa para outra e é um subdomínio diferente

A Microsoft não dá suporte aos administradores que tentam mover recursos de um domínio para outro se não há suporte para a operação de aplicativo subjacente. Por exemplo, a Microsoft não fornece suporte aos administradores que tentam mover um servidor do Microsoft Exchange de um domínio para outro.

Aviso

Recomendamos que você faça um backup completo de todo o armazenamento compartilhado no cluster antes de mover o cluster.

Windows Server 2016 e anterior

No Windows Server 2016 e anterior, o Serviço de cluster não tinha a capacidade de movimentação de um domínio para outro. Isso ocorria devido ao aumento da dependência do Active Directory Domain Services e dos nomes virtuais criados.

Opções

Para fazer essa movimentação, há duas opções.

A primeira opção envolve a destruição do cluster e a recompilação dele no novo domínio.

Animação das etapas para destruir um cluster, mover os nós para um novo domínio e recriar o cluster em um novo domínio.

Como mostra a animação, essa opção é destrutiva com as etapas sendo:

  1. Destrua o cluster.
  2. Altere a associação de domínio dos nós para o novo domínio.
  3. Recrie o Cluster como novo no domínio atualizado. Isso implicará a necessidade da recriação de todos os recursos.

A segunda opção é menos destrutiva, mas exige hardware adicional, pois um cluster precisará ser criado no novo domínio. Depois que o cluster estiver no novo domínio, execute o Assistente de Migração de Cluster para migrar os recursos. O Assistente de Migração de Cluster não migra dados, outra ferramenta é necessária, como o Serviço de Migração de Armazenamento, após o suporte ao cluster ser adicionado.

Animação das etapas para criar um novo cluster em um novo domínio usando o Assistente para Migração de Clusters, incluindo a desativação do cluster antigo.

Como mostra a animação, essa opção não é destrutiva, mas exige um hardware ou um nó do cluster existente diferente do que foi removido.

  1. Crie um cluster no novo domínio enquanto ainda tem o cluster antigo disponível.
  2. Use o Assistente de Migração de Cluster para migrar todos os recursos para o novo cluster. Lembrete: o Assistente de Migração de Cluster não copia dados, o que precisa ser feito separadamente.
  3. Desative ou destrua o cluster antigo.

Em ambas as opções, o novo cluster precisará ter todos os aplicativos com suporte a cluster instalados, os drivers atualizados e testes para garantir a funcionalidade. Se os dados também precisarem ser movidos, isso aumenta o tempo necessário para concluir esse processo.

Windows Server 2019

No Windows Server 2019, introduzimos funcionalidades de migração de domínio entre clusters. Os cenários, como mencionado anteriormente, podem ser facilmente realizados, pois não há mais necessidade de recompilar.

Mover um cluster de um domínio é um processo simples que pode ser realizado usando dois cmdlets do PowerShell:

  • New-ClusterNameAccount – cria uma Conta de Nome de Cluster no Active Directory

  • Remove-ClusterNameAccount – remove as Contas de Nome de Cluster do Active Directory

    Observação

    O cmdlet Remove-ClusterNameAccount pode não ser executado com êxito. Se você encontrar um problema, siga as etapas para o Windows Server 2016 e versões anteriores. A Microsoft está ciente do problema.

O processo usado é alterar o cluster de um domínio para um grupo de trabalho e voltar para o novo domínio. A necessidade de destruir um cluster, recompilar um cluster, instalar aplicativos não é um requisito. Por exemplo:

Animação que mostra como um cluster é migrado do domínio anterior para um novo domínio.

Como migrar um cluster para um novo domínio

Nas etapas a seguir, um cluster é movido do domínio Contoso.com para o novo domínio Fabrikam.com. O nome do cluster é CLUSCLUS e com uma função de servidor de arquivo chamada FS-CLUSCLUS.

  1. Crie uma conta Administrador local com o mesmo nome e senha em todos os servidores no cluster. Isso pode ser necessário para fazer logon enquanto os servidores são movidos entre os domínios.

  2. Inicie a sessão no primeiro servidor com uma conta de usuário ou de administrador de domínio que tenha permissões do Active Directory no CNO (Objeto Nomeado de Cluster) e no VCO (Objetos de Computador Virtual) e que tenha acesso ao cluster e abra o PowerShell.

  3. Verifique se todos os recursos de Nome de Rede de Cluster estão em um estado offline e execute o seguinte comando para remover os objetos do Active Directory que o cluster possa ter.

    Observação

    • Se não for possível excluir objetos de nome de cluster usando a opção -Cluster CLUSCLUS, remova a opção -Cluster ou execute -Cluster <Node Name>

    • Se não for possível excluir objetos de nome de cluster usando a opção -DeleteComputerObjects, atualize as permissões do objeto CNO para dar à conta VCO controle total do CNO com antecedência.

    Remove-ClusterNameAccount -Cluster CLUSCLUS -DeleteComputerObjects

  4. Use a opção Usuários e Computadores do Active Directory para ver se os objetos de computador CNO e VCO associados a todos os nomes em clusters foram removidos.

    Observação

    Interrompa o Serviço de cluster em todos os servidores no cluster e defina o tipo de inicialização do serviço como Manual para que o serviço de cluster não seja iniciado quando os servidores estiverem reiniciando durante a alteração de domínios.

    Stop-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Manual

  5. Altere a associação de domínio dos servidores para um grupo de trabalho, reinicie os servidores, ingresse os servidores no novo domínio e reinicie-os novamente.

  6. Depois que os servidores estiverem no novo domínio, inicie sessão em um servidor com uma conta de usuário ou de administrador do domínio que tenha permissões do Active Directory para criar objetos, tenha acesso ao Cluster e abra o PowerShell. Inicie o Serviço de Cluster e defina-o de novo como Automático.

    Start-Service -Name ClusSvc

Set-Service -Name ClusSvc -StartupType Automatic

  7. Leve o Nome do Cluster e todos os outros recursos de Nome de Rede de cluster para o estado online.

    Start-ClusterResource -Name "Cluster Name"

Start-ClusterResource -Name FS-CLUSCLUS

    Observação

    Se o New-ClusterNameAccount subsequente falhar, coloque o Nome do Cluster e todos os outros recursos de Nome de Rede do cluster em um estado offline antes de tentar novamente.

  8. Altere o cluster para ele fazer parte do novo domínio com objetos do Active Directory associados. O comando a seguir recria os objetos nomeados no Active Directory e os recursos de nome de rede devem estar em um estado online:

    New-ClusterNameAccount -Name ClusterName -Domain NewDomainName.com -UpgradeVCOs

    Observação

    • Se você não tiver grupos adicionais com nomes de rede, como um Cluster do Hyper-V com apenas máquinas virtuais, a opção de parâmetro -UpgradeVCOs não será necessária.

    • Se o VCO não for criado ao executar New-ClusterNameAccount, use a função Reparar nos recursos do Nome da Rede de Cluster no Gerenciador de Cluster de Failover.

  9. Use a opção Usuários e Computadores do Active Directory para verificar o novo domínio e ver se os objetos de computador associados foram criados. Nesse caso, coloque os recursos restantes nos grupos online.

    Start-ClusterGroup -Name "Cluster Group"

Start-ClusterGroup -Name FS-CLUSCLUS

Problemas conhecidos

Se você estiver usando o novo recurso de testemunha USB, não poderá adicionar o cluster ao novo domínio devido ao tipo de testemunha de compartilhamento de arquivos que deve usar o Kerberos para autenticação. Altere a testemunha para nenhuma antes de adicionar o cluster ao domínio. Depois de concluir esta etapa, recrie a testemunha USB. O erro que você verá é:

New-ClusternameAccount : Cluster name account cannot be created. This cluster contains a file share witness with invalid permissions for a cluster of type AdministrativeAccesssPoint ActiveDirectoryAndDns. To proceed, delete the file share witness. After this you can create the cluster name account and recreate the file share witness. The new file share witness will be automatically created with valid permissions.