场景
客户老环境为,一台使用电脑主机搭建的AD window server 2003 域控(单域环境)
目的
迁移主机上云(云专线私网环境),为了能成功升级到2016,无感升级。
思路
1、经查阅资料,2003AD无法直接升级到2016,需要中间系统做跳板;
2、流程为:2003->2008->2012->2016;
3、本文只介绍2003->2008,后需思路是一样的;
4、从用主域控增加额外域的方式将数据复制过来,然后提升额外域控为主,将原主降级,依次循环到2016;
步骤
1、首先给2003安装Ntdsutil工具(方便查看域控权限)
将window server 2003安装CD插入CD-ROM或DVD-ROM驱动器中(当然也可以将iso安装包解压点击安装),选择“开始”,选择“运行”,键入“drivr_letter:\Support\Tools\suptools.msi”,然后回车。若要启动Ntdsutil,请选择“开始”,选择“运行”,在“打开”框中键入Ntdsutil,然后回车。
注意:若要访问可用命令列表,请键入 ?,然后回车。
2、为sever 2003 做域控扩展操作(为了适应高版本)
我实测使用的是2012镜像做的扩展,其实都无所谓,高版本兼容低版本;
在客户本地环境安装2012server,加入2003域控中,安装AD域,安装完成之后,接下来我们将要进行AD的扩展了,这里注意的是win2003是32位系统,不能使用64位的命令执行域扩展命令,于是我将Windows Server 2012的光盘加载到Win2012服务器上,并用命令定位到adprep 目录下,将命令提示符转到D盘的support/adprep目录,升级2003 AD Schema 林架构;
输入adprep.exe /forestprep
提示我们要保证林架构和域架构为windows server 2003以上版本,于是切换到win2003服务器,进行林架构和域架构的提升。在ad域和信任关系中,右键域名,提升域功能级别为windows server 2003模式。
在右键选择域和信任关系,选择提升林功能级别为windows server 2003
返回到win2012,继续进行林架构扩展adprep.exe /forestprep,按C继续,等待扩展完成。
升级2003 AD Schema 域架构; adprep.exe /domainprep
更新组策略对象权限;adprep.exe /domainprep /gpprep
更新AD对RODC只读域控器的支持; adprep.exe /rodcprep
至此AD的林和域架构升级成功。
注意:2012AD林和架构是兼容2008.
3、开始安装2008AD域控,加入2003成为额外域控
以域administrator身份登录成员服务器 Server 2008。 开始 -运行 -dcpromo
出现”欢迎使用Active Directory 域服务安装向导“,在该向导中,我们选中” 使用高级模式“,点击” 下一步“。
在” Active Directory 域服务安装向导“中,我们选中”现有林“中的”向现有域添加域控制器“,并点击“下一步”
点击“下一步> ”继续(加入2003域控后默认域名自动键入)
选择域,点击“ Next> ”继续
选择站点,点击“ Next> ”继续
“ 其它域控制器选项”,以这个选项中,默认的 选项为“ DNS 服务器“和” 全局编录“ ,而” 只读域控制器(RODC)“,则为不可选,点击“ Next> ”继续
如果您在刚刚开始的时候,还未为 Server2008配置静态的 IP地址话,在这里您将会遇到以下提示,请选择 “ 否,将静态IP地址分配给所有物理网络适配器。“ 项来为该成员服务器配置静态 IP。
正在检查 DNS配置。 选择“ 是“继续
默认选项,从现有的域控制器上接收更新数据。点击“ Next> ”继续
点击“ Next> ”继续
点击“ Next> ”继续
设置目录服务还原模式密码。 (这里设置为18-show)
点击“ Next> ”开始提升 Server 2008为域控制器。
安装过程图:
完成之后,重启系统,要等待30分钟左右,AD目录和DNS才会同步过来(实测)。
4、5大权限转移(图形化)
首先要进行的是对架构主机角色的转移,在这之前,必须使用 regsvr32 schmmgmt.dll来注册 Active Directory 架构 。以便利用 MMC工具来添加 Schema管理控制台。
开始 -运行 -MMC,打开微软管理控制台。这里要添加 Activer Directory架构 管理控制台。如下图。
右键单击“ Active Directory 架构 “根部,并且选择 “ 连接到架构操作主机“
选择“更改 Active Directory 域控制器”
选取要更改的域控制器 jxqserver1.jxq.com ,点击 OK,继续。
再次右键单击“ Active Directory 架构 “根部,并且选择 “ 操作主机“在对话框中,点击“ 更改“,系统会提示您” 你确定要更改操作主机 “点击” 是 ”继续
系统提示架构主机角色的已成功转移到 jxqserver1.jxq.com 。
接下来的工作,就是分别将RID、PDC、Infrastructure主机角色转移到 jxqserver1.jxq.com。打开 Active Directory 用户和计算机
右键 jxq.com根部,选择“ 操作主机“,依次将RID、PDC、Infrastructure主机角色转移到 jxqserver1.jxq.com
将域命名主机,转移到 jxqserver1.jxq.com上,打开
,完成域命名主机的转移。
最后取消 jxqserver.jxq.com的 GC角色,打开 Active Directory站点和服务,依次选中 Site – Default First Site Name – Server – JXQSERVER – ,右键单击 NTDS Setting,选择属性,然后将 全局编录 前面的勾去掉,只何留 jxqserver1为 GC。
最后确定一下各种主机角色的状态,在运行里输入 cmd进行命令提示行,输入 netdom query fsmo
至此 jxqserver迁移到 jxqserver1完毕。
通过命令的方式来夺取权限(命令):
1、cmd进入dos页面
2、查看原有域控5大角色,在哪台域控上
c:\users\administrator>netdom query fsmo
3、回到主机操作页面,键入ntdsutil,查看帮助信息
c:\users\administrator>ntdsutil
ntdsutil:?
4、进入管理ntds角色所有者令牌
ntdsutil:roles
5、连接到特定的域控制器(即需要提示的额外域控)
fsmo maintenance:connections 回车
server connections:connect to server newDC(额外域控)
连接后,退出回到rolesmos
server connections:q
fsmo maintenance:
6、转移架构主机
fsmo maintenance:Transfer schema master
弹出提示确认页面,点击“是”
7、转移RID主机
fsmo maintenance:Transfer RID master
弹出提示确认页面,点击“是”
8、转移PDC主机
fsmo maintenance:Transfer PDC
弹出提示确认页面,点击“是”
9、转移域命名主机
fsmo maintenance:Transfer infrastructure master
弹出提示确认页面,点击“是”
9、转移结构主机
fsmo maintenance:Transfer domain naming master
弹出提示确认页面,点击“是”
10、验证结果
c:\users\administrator>netdom query fsmo
随后,检查无误后,将win2003降级。
随后依次类推。
参考文档:https://blog.51cto.com/itnet119/309566
https://blog.51cto.com/yuntcloud/1405716
https://www.cnblogs.com/qzqdy/p/9508976.html