場景
客戶老環境為,一台使用電腦主機搭建的AD window server 2003 域控(單域環境)
目的
遷移主機上雲(雲專線私網環境),為了能成功升級到2016,無感升級。
思路
1、經查閱資料,2003AD無法直接升級到2016,需要中間系統做跳板;
2、流程為:2003->2008->2012->2016;
3、本文只介紹2003->2008,后需思路是一樣的;
4、從用主域控增加額外域的方式將數據復制過來,然后提升額外域控為主,將原主降級,依次循環到2016;
步驟
1、首先給2003安裝Ntdsutil工具(方便查看域控權限)
將window server 2003安裝CD插入CD-ROM或DVD-ROM驅動器中(當然也可以將iso安裝包解壓點擊安裝),選擇“開始”,選擇“運行”,鍵入“drivr_letter:\Support\Tools\suptools.msi”,然后回車。若要啟動Ntdsutil,請選擇“開始”,選擇“運行”,在“打開”框中鍵入Ntdsutil,然后回車。
注意:若要訪問可用命令列表,請鍵入 ?,然后回車。
2、為sever 2003 做域控擴展操作(為了適應高版本)
我實測使用的是2012鏡像做的擴展,其實都無所謂,高版本兼容低版本;
在客戶本地環境安裝2012server,加入2003域控中,安裝AD域,安裝完成之后,接下來我們將要進行AD的擴展了,這里注意的是win2003是32位系統,不能使用64位的命令執行域擴展命令,於是我將Windows Server 2012的光盤加載到Win2012服務器上,並用命令定位到adprep 目錄下,將命令提示符轉到D盤的support/adprep目錄,升級2003 AD Schema 林架構;
輸入adprep.exe /forestprep
提示我們要保證林架構和域架構為windows server 2003以上版本,於是切換到win2003服務器,進行林架構和域架構的提升。在ad域和信任關系中,右鍵域名,提升域功能級別為windows server 2003模式。
在右鍵選擇域和信任關系,選擇提升林功能級別為windows server 2003
返回到win2012,繼續進行林架構擴展adprep.exe /forestprep,按C繼續,等待擴展完成。
升級2003 AD Schema 域架構; adprep.exe /domainprep
更新組策略對象權限;adprep.exe /domainprep /gpprep
更新AD對RODC只讀域控器的支持; adprep.exe /rodcprep
至此AD的林和域架構升級成功。
注意:2012AD林和架構是兼容2008.
3、開始安裝2008AD域控,加入2003成為額外域控
以域administrator身份登錄成員服務器 Server 2008。 開始 -運行 -dcpromo
出現”歡迎使用Active Directory 域服務安裝向導“,在該向導中,我們選中” 使用高級模式“,點擊” 下一步“。
在” Active Directory 域服務安裝向導“中,我們選中”現有林“中的”向現有域添加域控制器“,並點擊“下一步”
點擊“下一步> ”繼續(加入2003域控后默認域名自動鍵入)
選擇域,點擊“ Next> ”繼續
選擇站點,點擊“ Next> ”繼續
“ 其它域控制器選項”,以這個選項中,默認的 選項為“ DNS 服務器“和” 全局編錄“ ,而” 只讀域控制器(RODC)“,則為不可選,點擊“ Next> ”繼續
如果您在剛剛開始的時候,還未為 Server2008配置靜態的 IP地址話,在這里您將會遇到以下提示,請選擇 “ 否,將靜態IP地址分配給所有物理網絡適配器。“ 項來為該成員服務器配置靜態 IP。
正在檢查 DNS配置。 選擇“ 是“繼續
默認選項,從現有的域控制器上接收更新數據。點擊“ Next> ”繼續
點擊“ Next> ”繼續
點擊“ Next> ”繼續
設置目錄服務還原模式密碼。 (這里設置為18-show)
點擊“ Next> ”開始提升 Server 2008為域控制器。
安裝過程圖:
完成之后,重啟系統,要等待30分鍾左右,AD目錄和DNS才會同步過來(實測)。
4、5大權限轉移(圖形化)
首先要進行的是對架構主機角色的轉移,在這之前,必須使用 regsvr32 schmmgmt.dll來注冊 Active Directory 架構 。以便利用 MMC工具來添加 Schema管理控制台。
開始 -運行 -MMC,打開微軟管理控制台。這里要添加 Activer Directory架構 管理控制台。如下圖。
右鍵單擊“ Active Directory 架構 “根部,並且選擇 “ 連接到架構操作主機“
選擇“更改 Active Directory 域控制器”
選取要更改的域控制器 jxqserver1.jxq.com ,點擊 OK,繼續。
再次右鍵單擊“ Active Directory 架構 “根部,並且選擇 “ 操作主機“在對話框中,點擊“ 更改“,系統會提示您” 你確定要更改操作主機 “點擊” 是 ”繼續
系統提示架構主機角色的已成功轉移到 jxqserver1.jxq.com 。
接下來的工作,就是分別將RID、PDC、Infrastructure主機角色轉移到 jxqserver1.jxq.com。打開 Active Directory 用戶和計算機
右鍵 jxq.com根部,選擇“ 操作主機“,依次將RID、PDC、Infrastructure主機角色轉移到 jxqserver1.jxq.com
將域命名主機,轉移到 jxqserver1.jxq.com上,打開
,完成域命名主機的轉移。
最后取消 jxqserver.jxq.com的 GC角色,打開 Active Directory站點和服務,依次選中 Site – Default First Site Name – Server – JXQSERVER – ,右鍵單擊 NTDS Setting,選擇屬性,然后將 全局編錄 前面的勾去掉,只何留 jxqserver1為 GC。
最后確定一下各種主機角色的狀態,在運行里輸入 cmd進行命令提示行,輸入 netdom query fsmo
至此 jxqserver遷移到 jxqserver1完畢。
通過命令的方式來奪取權限(命令):
1、cmd進入dos頁面
2、查看原有域控5大角色,在哪台域控上
c:\users\administrator>netdom query fsmo
3、回到主機操作頁面,鍵入ntdsutil,查看幫助信息
c:\users\administrator>ntdsutil
ntdsutil:?
4、進入管理ntds角色所有者令牌
ntdsutil:roles
5、連接到特定的域控制器(即需要提示的額外域控)
fsmo maintenance:connections 回車
server connections:connect to server newDC(額外域控)
連接后,退出回到rolesmos
server connections:q
fsmo maintenance:
6、轉移架構主機
fsmo maintenance:Transfer schema master
彈出提示確認頁面,點擊“是”
7、轉移RID主機
fsmo maintenance:Transfer RID master
彈出提示確認頁面,點擊“是”
8、轉移PDC主機
fsmo maintenance:Transfer PDC
彈出提示確認頁面,點擊“是”
9、轉移域命名主機
fsmo maintenance:Transfer infrastructure master
彈出提示確認頁面,點擊“是”
9、轉移結構主機
fsmo maintenance:Transfer domain naming master
彈出提示確認頁面,點擊“是”
10、驗證結果
c:\users\administrator>netdom query fsmo
隨后,檢查無誤后,將win2003降級。
隨后依次類推。
參考文檔:https://blog.51cto.com/itnet119/309566
https://blog.51cto.com/yuntcloud/1405716
https://www.cnblogs.com/qzqdy/p/9508976.html