標籤:不能 admin 架構 dns 通過 active res service 承擔
前面的部落格中我談到了網路的基本概念和網路參考模型,今天我們來談企業中常用的技術,Windows AD 域,今天我的筆記將重點講解Windows AD 域的升級和遷移方法,通過3個小實驗進行配置,真實環境可能和虛擬機器上的有些差異,請注意。(部分內容參考博友王哥哥哥哥和51CTO論壇上的一些資料,進行配置驗證)如有錯誤,請各位博友批評指正。
實驗一:Windows server 2003AD 升級到Windows servers2008AD
環境:1台Windows server 2003 域控,網域名稱 Benet.com
系統:1台 Windows server 2003,1台Windows server 2008 R2
地址:win 03 IP :192.168.1.253 DNS:192.168.1.253
Win 08 IP :192.168.1.254 DNS:192.168.1.253
步驟:
1.使用win 03 搭建根域,Benet.com ;並將win 08 加入域中
2.使用win 08 作為額外域控
(錯誤原因為win 03 必須升級架構才能相容win 08.)
2.1 運行 regsvr 32 schmmgmt.dll 命令安裝架構管理工具。
運行MMC命令,開啟控制台
2.2添加08 ISO 鏡像,擴充架構
win 03讀取到鏡像
2.3 輸入d 跳轉到光碟片所在分區D,繼續輸入cd support\adprep 命令進入adprep目錄。
2.4 輸入adprep32.exe /forestprep 命令升級林架構,出現adprep警告(運行adprep前確認林中所有域控都升級到Windows 2000 service pack 4 (sp4)或更高版本)按C繼續。
運行adprep32.exe /domainprep 擴充域結構(注意,要先擴充AD林,才能擴充AD域。)
運行adprep32.exe /domainprep /gpprep ,更新群組策略。
運行adprep32.exe /rodcprep, 更新AD對RODC的支援。
注意:32位版本運行adprep32.exe,64位版本運行adprep.exe
2.5 win 08成功配置成為額外域控
3.域的層級為2003 無法提升。
4.更改win 08 的DNS地址,指向自身。
5.將FSMO角色轉移到win 08
在win 08上安裝架構主機工具
5.1 使用netdom query fsmo 命令查看當前5個主機角色所在的伺服器。
5.2 使用ntdsutil命令串連到將要成為主域控的伺服器上。(佔用主機角色)
5.3 使用transfer infrastructure master 轉移結構主機。
5.4 後面分別使用Transfer naming master,Transfer PDC,
TransferRID master, Transfer Schema Master轉移其他主機。
5.5 win 03的FSMO角色全部轉移到了win 08
6.將win 03降級為普通成員伺服器
7.提升AD域/林功能層級為win 08 R2
8.刪除win 03殘留資料
至此,Windows server 2003AD 升級到Windows servers2008AD。驗證低層級的域無法加入進階別域 ,進階別的域相容低層級的域。驗證成功。
實驗二:Windows server 2003AD 升級到Windows servers2012AD
看到網上有許多關於Windows server 2003AD 升級到Windows servers2012AD都需要使用Windows server 2008 作為遷移升級的跳板,感覺太過麻煩,有沒有簡單一點的方法呢,通過我的筆記你將有所收穫。
環境:1台Windows server 2003 域控,網域名稱 Benet.com
系統:1台 Windows server 2003,1台Windows server 2012 R2
地址:win 03 IP :192.168.1.253 DNS:192.168.1.253
Win 12 IP :192.168.1.254 DNS:192.168.1.253
步驟:(和上篇實驗類似)
1.將win 12加入域中
2.安裝AD角色管理工具
3.將Windows Server 2012的光碟片掛載到Win12伺服器上, 通過Win12伺服器做AD的擴充。(在Win03的伺服器上2012 的adprep工具是不能使用的,為了防止意外發生,我重新裝載了1個2012 ISO。)
4.為了避免錯誤最好使用網域系統管理員登入和把03的域為提升03(預設為Windows server 2000 純模式)
5.用命令定位到adprep 目錄下,嘗試通過adprep.exe /forestprep 進行擴充
6.開啟win12服務管理員定位到AD DS 服務介面―點開服務部署後配置---將此伺服器提升為網域控制站
指定要從哪台域控複製資訊。當前環境只有一台Win03 網域控制站,所以選擇win03
7.win 12成功配置成為額外域控
8. 將提升win12為主域控
9.至此,我們的遷移已經完成,過程中無需藉助Windows Server 2008。
如果不需要win 03做域控,則使用dcpromo降級。
10.升級完成,win 03 降為成員伺服器。
注意:在這裡糾正一個錯誤,Windows server 2003 AD升級2012需要2008做中轉的原因如下:(借用博友dufei 觀點)
AD DS 升級,微軟推薦的是使用是Windows Server 2008 作為過渡,如所示:
需要不需要Windows Server 2008做中介,主要取決於是否在後續環境中使用唯讀網域控制站,如果不需要的話,則直接升級Windows 2012,是沒有問題的,如果需要的話,那就需要使用Win2008過渡一下。另外一點,因為Windows Server 2012中所提示的準備工具adprep.exe只支援64系統下運行,但如果源DC是32位系統,則沒有辦法完成,因此會用到Windows Server 2008中轉一下,但其實只要在源DC上放入Windows server 2008光碟片一樣可以直接執行,也就是說,只是藉助Windows server 2008的32位adprep.exe而已;為了防止意外發生,必須先對域進行備份。切記,出現意外,概不負責!另外,對域的健康狀態進行檢查,如,事件檢視器、repadm、dcdiag等工具,有問題則一切免談。
實驗三:Windows server 2008AD 升級到Windows servers2012AD
環境:1台Windows server 2008 R2域控,網域名稱 seven.com
系統:1台 Windows server 2008 R2,1台Windows server 2012 R2
地址:win 03 IP :192.168.3.253 DNS:192.168.3.253
Win 08 IP :192.168.3.254 DNS:192.168.3.253
步驟:(和上篇實驗類似)
1.卸載win 2012上的AD網域服務
如果一個網域控制站我們不需要了,那應該如何處理呢?如果我們讓這台網域控制站直接消失,那麼其他的網域控制站就無法得知這個訊息,每隔一段時間其他的網域控制站還會試圖和這個網域控制站進行 AD 複製,客戶機也有可能會把使用者名稱和口令送到這個不存在的網域控制站上進行驗證。因此,我們進行網域控制站卸載時,優先使用常規卸載,做到DNS中的SRV記錄自動更新,以及其他網域控制站中的訊息同步。
勾選“Active Directory 網域服務”,(註:這裡不是要真的刪除該角色,只是要調用降級功能而已,因為在網域控制站還沒降級的前提下,是無法刪除AD服務角色的),點擊“刪除功能”按鈕。
如果該網域控制站是最後一個網域控制站,則顯示以下卸載介面,勾選“域中的最後一個網域控制站”。
輸入降級後的本地管理員密碼
還可以在任務裡面刪除
刪除AD域成功
2.配置地址,加入seven域
3.配置成為額外域控(不需要升級架構)
通過前面2個實驗我們知道要把一台不同版本的Server加入域或升級,都要為其準備林架構。為 Windows Server 2012 R2 準備林架構的步驟:
4.遷移FSMO到win 12
Win+x 開啟命令提示字元查看當前FSMO角色
運用命令開啟開啟架構主機管理工具和控制台
前面轉移主機角色都是用命令操作的,下面將使用映像化介面轉移主機。
轉移域範圍主機
轉移林範圍主機
遷移FSMO到win 12完成
5.對Win 08 進行降級,降為成員伺服器。
6.Windows server 2008AD 成功升級到Windows servers2012AD
總結:通過前面3個實驗,我們知道了Windows AD域升級的話,1是提升域和林的層級;
(08以後版本不用)2是配置額外域控;3是插入ISO鏡像,轉移FSMO(能轉移不要佔用);
4是把原域控降級為成員伺服器;5是提升域或林功能層級,配置完成。
注意:若是要原域控升級的話,只能轉移FSMO完成後,安裝ISO鏡像,在全域編錄同步過來。
附錄:關於FSMO的理論知識。
操作主機(承擔不同角色的網域控制站)
1.概念:
Windows NT4.0(單主複製)
PDC:修改AD資料庫 BDC:讀取AD資料庫
Windows server 2000 以後(多主複製)
所有DC都可以修改AD資料庫內容,被修改的內容都會複製到其他DC
在Windows域中,網域控制站的作用不取決於它是網路中的第幾台網域控制站,而取決於FSMO(flexible single master operation ,靈活單一主機操作)這五種角色在網路中的分布情況。
2.角色:
林範圍,架構主機(schema master)和網域命名主機(domain naming master),每個林中角色必須唯一。
架構主機:用於控制AD整個林中所有對象和屬性定義。架構是可以擴充的,如部署exchange伺服器和升級網域控等,架構主機是基於目錄林的,在整個林中只能有一台架構主機。
要擴充架構必須具有schema admins 組許可權才可以,預設情況下,網域系統管理員具有schema admins 組許可權。
網域命名主機:控制林中域的添加或刪除,可以防止林中的網域名稱重複,整個林中只能有一個網域命名主機。
域範圍,主網域控制站(PDC)模擬主機(emulator master). 相對ID(RID)主機和基礎架構(infrastructure)主機,每個域中角色必須唯一。
PDC模擬主機:負責域內時間同步(5min). 最小化密碼變化複製等待時間(5min)和對Windows 2000以前系統提供支援。
RID主機:將相對ID序列分配給域中每個網域控制站。每次當網域控制站建立使用者. 組或電腦對象時,它就給該對象指派一個唯一的安全ID(SID)。SID包含一個“域”SID(它與域中建立的所有SID相同)和一個RID(它對域中建立的每個SID都是唯一的)。
基礎架構主機:負責更新從它所在域中的對象到其他域中對象的引用。基礎架構主機將其資料與全域編錄的資料進行比較。
使用基礎架構主機需要注意:
如果基礎架構主機和全域編錄處於相同的網域控制站中,則基礎結構主機不會運行。基礎架構主機從不查看過時資料,也從不將任何更改複製到域中和其他網域控制站上。
如果域中所有網域控制站都存有全域編錄,則所有網域控制站都將擁有最新資料。
基礎架構主機還負責在重新命名或更改群組成員時更新“組到使用者”的引用。
3.轉移和佔用操作主機角色
轉移:承擔操作主機角色的域控和目標域控都聯機的情況下;承擔操作主機角色的域控需要降級;轉移操作主機角色的過程可逆。
佔用:承擔操作主機角色的域控出現故障並在短期內無法恢複,無法轉移。
注意:可以轉移時不要佔用,轉移比操作更安全。
架構主機. 網域命名主機. RID主機角色被佔用以後,永遠不要將原來扮演的角色的網域控制站在串連到網路上。
今天就講到這裡,如有錯誤,請指正,謝謝。
Windows AD域升級方法
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
