前面的博客中我谈到了网络的基本概念和网络参考模型,今天我们来谈企业中常用的技术,Windows AD 域,今天我的笔记将重点讲解Windows AD 域的升级和迁移方法,通过3个小实验进行配置,真实环境可能和虚拟机上的有些差异,请注意。(部分内容参考博友王哥哥哥哥和51CTO论坛上的一些资料,进行配置验证)如有错误,请各位博友批评指正。
实验一:Windows server 2003AD 升级到Windows servers2008AD
环境:1台Windows server 2003 域控,域名 Benet.com
系统:1台 Windows server 2003,1台Windows server 2008 R2
地址:win 03 IP :192.168.1.253 DNS:192.168.1.253
Win 08 IP :192.168.1.254 DNS:192.168.1.253
步骤:
1.使用win 03 搭建根域,Benet.com ;并将win 08 加入域中
2.使用win 08 作为额外域控
(错误原因为win 03 必须升级架构才能兼容win 08.)
2.1 运行 regsvr 32 schmmgmt.dll 命令安装架构管理工具。
运行MMC命令,打开控制台
2.2添加08 ISO 镜像,扩展架构
win 03读取到镜像
2.3 输入d 跳转到光盘所在分区D,继续输入cd support\adprep 命令进入adprep目录。
2.4 输入adprep32.exe /forestprep 命令升级林架构,出现adprep警告(运行adprep前确认林中所有域控都升级到Windows 2000 service pack 4 (sp4)或更高版本)按C继续。
运行adprep32.exe /domainprep 扩展域结构(注意,要先扩展AD林,才能扩展AD域。)
运行adprep32.exe /domainprep /gpprep ,更新组策略。
运行adprep32.exe /rodcprep, 更新AD对RODC的支持。
注意:32位版本运行adprep32.exe,64位版本运行adprep.exe
2.5 win 08成功配置成为额外域控
3.域的级别为2003 无法提升。
4.更改win 08 的DNS地址,指向自身。
5.将FSMO角色转移到win 08
在win 08上安装架构主机工具
5.1 使用netdom query fsmo 命令查看当前5个主机角色所在的服务器。
5.2 使用ntdsutil命令连接到将要成为主域控的服务器上。(占用主机角色)
5.3 使用transfer infrastructure master 转移结构主机。
5.4 后面分别使用Transfer naming master,Transfer PDC,
TransferRID master, Transfer Schema Master转移其他主机。
5.5 win 03的FSMO角色全部转移到了win 08
6.将win 03降级为普通成员服务器
7.提升AD域/林功能级别为win 08 R2
8.删除win 03残留数据
至此,Windows server 2003AD 升级到Windows servers2008AD。验证低级别的域无法加入高级别域 ,高级别的域兼容低级别的域。验证成功。
实验二:Windows server 2003AD 升级到Windows servers2012AD
看到网上有许多关于Windows server 2003AD 升级到Windows servers2012AD都需要使用Windows server 2008 作为迁移升级的跳板,感觉太过麻烦,有没有简单一点的方法呢,通过我的笔记你将有所收获。
环境:1台Windows server 2003 域控,域名 Benet.com
系统:1台 Windows server 2003,1台Windows server 2012 R2
地址:win 03 IP :192.168.1.253 DNS:192.168.1.253
Win 12 IP :192.168.1.254 DNS:192.168.1.253
步骤:(和上篇实验类似)
1.将win 12加入域中
2.安装AD角色管理工具
3.将Windows Server 2012的光盘挂载到Win12服务器上, 通过Win12服务器做AD的扩展。(在Win03的服务器上2012 的adprep工具是不能使用的,为了防止意外发生,我重新装载了1个2012 ISO。)
4.为了避免错误最好使用域管理员登录和把03的域为提升03(默认为Windows server 2000 纯模式)
5.用命令定位到adprep 目录下,尝试通过adprep.exe /forestprep 进行扩展
6.打开win12服务管理器定位到AD DS 服务界面―点开服务部署后配置---将此服务器提升为域控制器
指定要从哪台域控复制信息。当前环境只有一台Win03 域控制器,所以选择win03
7.win 12成功配置成为额外域控
8. 将提升win12为主域控
9.至此,我们的迁移已经完成,过程中无需借助Windows Server 2008。
如果不需要win 03做域控,则使用dcpromo降级。
10.升级完成,win 03 降为成员服务器。
注意:在这里纠正一个错误,Windows server 2003 AD升级2012需要2008做中转的原因如下:(借用博友dufei 观点)
AD DS 升级,微软推荐的是使用是Windows Server 2008 作为过渡,如下图所示:
需要不需要Windows Server 2008做中介,主要取决于是否在后续环境中使用只读域控制器,如果不需要的话,则直接升级Windows 2012,是没有问题的,如果需要的话,那就需要使用Win2008过渡一下。另外一点,因为Windows Server 2012中所提示的准备工具adprep.exe只支持64系统下运行,但如果源DC是32位系统,则没有办法完成,因此会用到Windows Server 2008中转一下,但其实只要在源DC上放入Windows server 2008光盘一样可以直接执行,也就是说,只是借助Windows server 2008的32位adprep.exe而已;为了防止意外发生,必须先对域进行备份。切记,出现意外,概不负责!另外,对域的健康状态进行检查,如,事件查看器、repadm、dcdiag等工具,有问题则一切免谈。
实验三:Windows server 2008AD 升级到Windows servers2012AD
环境:1台Windows server 2008 R2域控,域名 seven.com
系统:1台 Windows server 2008 R2,1台Windows server 2012 R2
地址:win 03 IP :192.168.3.253 DNS:192.168.3.253
Win 08 IP :192.168.3.254 DNS:192.168.3.253
步骤:(和上篇实验类似)
1.卸载win 2012上的AD域服务
如果一个域控制器我们不需要了,那应该如何处理呢?如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进行 AD 复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。因此,我们进行域控制器卸载时,优先使用常规卸载,做到DNS中的SRV记录自动更新,以及其他域控制器中的消息同步。
勾选“Active Directory 域服务”,(注:这里不是要真的删除该角色,只是要调用降级功能而已,因为在域控制器还没降级的前提下,是无法删除AD服务角色的),点击“删除功能”按钮。
如果该域控制器是最后一个域控制器,则显示以下卸载界面,勾选“域中的最后一个域控制器”。
输入降级后的本地管理员密码
还可以在任务里面删除
删除AD域成功
2.配置地址,加入seven域
3.配置成为额外域控(不需要升级架构)
通过前面2个实验我们知道要把一台不同版本的Server加入域或升级,都要为其准备林架构。为 Windows Server 2012 R2 准备林架构的步骤:
- 以 Enterprise Admins、Schema Admins 和 Domain Admins 组成员身份登录到架构主机。
- 将 Windows Server 2012 R2 DVD 插入到 CD 或 DVD 驱动器。将 \support\adprep 文件夹的内容复制到架构主机上的 Adprep 文件夹。
- 打开命令提示符,然后将目录更改到 Adprep 文件夹。
- 在命令提示符下,键入以下内容,然后按 Enter:adprep /forestprep /forest
4.迁移FSMO到win 12
Win+x 打开命令提示符查看当前FSMO角色
运用命令打开打开架构主机管理工具和控制台
前面转移主机角色都是用命令操作的,下面将使用图像化界面转移主机。
转移域范围主机
转移林范围主机
迁移FSMO到win 12完成
5.对Win 08 进行降级,降为成员服务器。
6.Windows server 2008AD 成功升级到Windows servers2012AD
总结:通过前面3个实验,我们知道了Windows AD域升级的话,1是提升域和林的级别;
(08以后版本不用)2是配置额外域控;3是插入ISO镜像,转移FSMO(能转移不要占用);
4是把原域控降级为成员服务器;5是提升域或林功能级别,配置完成。
注意:若是要原域控升级的话,只能转移FSMO完成后,安装ISO镜像,在全局编录同步过来。
附录:关于FSMO的理论知识。
操作主机(承担不同角色的域控制器)
1.概念:
Windows NT4.0(单主复制)
PDC:修改AD数据库 BDC:读取AD数据库
Windows server 2000 以后(多主复制)
所有DC都可以修改AD数据库内容,被修改的内容都会复制到其他DC
在Windows域中,域控制器的作用不取决于它是网络中的第几台域控制器,而取决于FSMO(flexible single master operation ,灵活单一主机操作)这五种角色在网络中的分布情况。
2.角色:
林范围,架构主机(schema master)和域命名主机(domain naming master),每个林中角色必须唯一。
架构主机:用于控制AD整个林中所有对象和属性定义。架构是可以扩展的,如部署exchange服务器和升级域控等,架构主机是基于目录林的,在整个林中只能有一台架构主机。
要扩展架构必须具有schema admins 组权限才可以,默认情况下,域管理员具有schema admins 组权限。
域命名主机:控制林中域的添加或删除,可以防止林中的域名重复,整个林中只能有一个域命名主机。
域范围,主域控制器(PDC)仿真主机(emulator master). 相对ID(RID)主机和基础架构(infrastructure)主机,每个域中角色必须唯一。
PDC仿真主机:负责域内时间同步(5min). 最小化密码变化复制等待时间(5min)和对Windows 2000以前系统提供支持。
RID主机:将相对ID序列分配给域中每个域控制器。每次当域控制器创建用户. 组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID包含一个“域”SID(它与域中创建的所有SID相同)和一个RID(它对域中创建的每个SID都是唯一的)。
基础架构主机:负责更新从它所在域中的对象到其他域中对象的引用。基础架构主机将其数据与全局编录的数据进行比较。
使用基础架构主机需要注意:
如果基础架构主机和全局编录处于相同的域控制器中,则基础结构主机不会运行。基础架构主机从不查看过时数据,也从不将任何更改复制到域中和其他域控制器上。
如果域中所有域控制器都存有全局编录,则所有域控制器都将拥有最新数据。
基础架构主机还负责在重命名或更改组成员时更新“组到用户”的引用。
3.转移和占用操作主机角色
转移:承担操作主机角色的域控和目标域控都联机的情况下;承担操作主机角色的域控需要降级;转移操作主机角色的过程可逆。
占用:承担操作主机角色的域控出现故障并在短期内无法恢复,无法转移。
注意:可以转移时不要占用,转移比操作更安全。
架构主机. 域命名主机. RID主机角色被占用以后,永远不要将原来扮演的角色的域控制器在连接到网络上。
今天就讲到这里,如有错误,请指正,谢谢。
原文地址:https://www.cnblogs.com/xq777/p/8279866.html