從去年的WindowsServer2012發佈到上個月WindowsServer2012R2的發佈,微軟加快了WindowsServer2012的推進腳步。雖然目前在生產環境中上2012的可能比較少或者短期內不會考慮升級,但是做爲一個技術人員還是必要跟得上技術更新的腳步。學如逆水行舟,不進則退。不要等到公司上2012的時候在去學,這時候就晚了,有點“書到用時方恨少”感慨。在WindowsServer2012中AD也是有很大一部分更新和功能改進,比如:dcpromo命令的棄用、AD回收站等,這些新功能還是能給AD的管理維護帶來很多便利的。更多AD的新功能請參考Technet:http://technet.microsoft.com/zh-cn/library/hh831477.aspx.分享我在實驗環境將ActiveDirectory分別從WindowsServer2003和WindowsServer2008R2升級到WindowsServer2012的方法。
上篇介紹2003的AD升級到2012的方法,下篇介紹2008R2升級到2012的方法。
上篇:WindowsServer2003升級到WindowsServer2012
之前在網上或者論壇看到的大部分是說AD從2003升級到2012需要用2008來過渡一下,但是經過我的測試完全不需要用2008進行過渡,AD可以直接從2003升級(遷移)到2012。下面是我的升級(遷移)過程分享。
1.實驗環境介紹
DC01:WindowsServer2003R2SP2,林根域,宿主5個操作主機角色。安裝有AD和DNS角色。
DC02:WindowsServer2012,成員服務器,全新安裝
Client01:Windows7,IP爲DHCP獲取。
2.如果是在生產環境進行升級(遷移),強烈建議先對DC進行備份操作,以防出現失敗。由於是實驗演示,所以略過此步或對虛擬機做快照。
3.登錄到DC02,並設置DC02的IP,把DNS一個指向到DC01,一個指向到自己。
4.將DC02加入域。其實這一步如果是做實驗也可以省略,但是我們還是按標準的流程來操作。
5.將DC02提升爲額外域控制器。如前面所說,2012已經棄用了dcpromo這個命令。所以我們需要在服務器管理器中安裝“ActiveDirectory域服務”。
6.等待服務安裝完成後,選擇“將此服務器提升爲域控制器”。
7.選擇”將域控制器添加到現有域“,由於提升前DC02加域了,所以域名和憑據都自動填寫當前域和當前登錄的用戶憑據。如果是沒加域進行提升的話,需要手動輸入域名,並點擊”更改“輸入域管理員的用戶憑據,然後點擊”下一步“。
8.看到提示如圖所示錯誤提示。需要將當前域的林功能級別提升到WindowsServer2003。
9.登陸到DC01,先提升域功能級別才能提升林功能級別。打開”ActiveDirectory域和信任關係“,右擊”Lab.com“,選擇”提升域功能級別“。林功能基本選擇”WindowsServer2003“,然後點”提升“。
10.提升林功能級別,右擊”ActiveDirectory域和信任關係“,然後按圖示操作即可。
11.完成林功能級別的提升後,切換到DC02,在剛剛錯誤提示的界面保持默認勾選DNS和全局編錄,再點擊”下一步“,已經沒有了剛剛的錯誤提示,但是會有一個警告信息。由於實驗環境中沒有可寫的2008DC,所以警告只是提示無法安裝RODC。由於我們不是要安裝RODC,可以忽略此警告。輸入目錄還原模式密碼後點”下一步“,後面的步驟保持默認,直接“下一步”最後“安裝”即可。
注:可以看到2012的嚮導中會自動對域和林的架構進行擴展,無需事先在2003的服務器上使用adprep進行擴展。以及後面的先決條件檢查,這是2012的一個功能改進,提升域控制器的操作會更加高效。
12.等待安裝完成重啓後,使用域管理員登陸到DC02,打開CMD命令提示符,輸入:netdomqueryfsmo查詢操作主機所在的服務器,可以看到5個操作主機角色都在DC01上。然後依次輸入:ntdsutil—>roles—>connections—>connecttoserverdc02—>quit,使用上面命令連接綁定到DC02。
13.輸入?可以查看相關的命令幫助信息。使用Transferinfrastructuremaster、Transfernamingmaster、TransferPDC、TransferRIDmaster、Transferschemamaster分別傳輸5個操作主機角色到DC02。
14.完成了5個角色傳輸到DC02後,推出ntdsutil工具,再次使用netdomqueryfsmo查詢5個角色是否已經成功傳輸到DC02.
15.完成了上述操作後,如果需要體驗2012中AD的更多新功能或環境中不需要2003的DC了,可以將DC01進行降級爲成員服務器。在DC01上,設置DNS指向到DC02的IP:192.168.1.11。然後在運行中輸入:dcpromo,在嚮導中可以看到提示環境中必需要還要有其他全局編錄服務器可用。
16.直接”下一步“,千萬不要勾選”這個服務器是域中最後一個域控制器“,然後輸入一個本地管理員密碼,連續兩次“下一步”後就開始降級。
17.等待降級完成後重啓後,DC01就是成員服務器了,可以另做他用。DomainControllers中已經沒有DC01了。如果這個服務器需要重裝系統,則退域後即可。
18.完成以上操作後,登陸到DC02,更改TCP/IP設置,將192.168.1.10從DNS中移除,並設置DC02的IP:192.168.1.11爲首選DNS。
19.提升域和林功能級別。打開“ActiveDirectory管理中心”在圖示位置將域和林功能級別提升到WindowsServer2012。如果環境中只有2012的域控制器,建議提升到2012,一些新功能才能使用。
20.如果環境中有DHCP服務器,也需更改爲客戶端分配的首選DNS服務器。打開DHCP管理器,分別在“作用域選項”和“服務器選項”中,雙擊“006DNS服務器”,刪除舊的DNS服務器地址,然後添加192.168.1.11作爲首選DNS服務器。
21.在Client01上驗證設置是否生效。
22.使用ntdsutil查看是否還有DC01的信息。具體命令使用見圖。
23.驗證升級(遷移)是否成功。將DC01關閉,在DC02上打開AD用戶和計算機、組策略管理器、DNS、AD管理中心等管理工具是否能正常使用。或者可以新建一個用戶及設置一些測試策略,看客戶端是否可以正常登錄及應用到策略。
24.將Client01重啓後,使用域用戶看是否能正常登錄。並在CMD命令提示符中輸入:set查看當前登錄的服務器。
至此已經成功完成ActiveDirectory從2003升級(遷移)到2012。將在下篇介紹ActiveDirectory從2008R2升級(遷移)到2012的方法,下篇地址:http://labixiaoniu.blog.51cto.com/695063/1319719。
總結:2003和XP一樣作爲一個經典的操作系統,歷經10多年很多公司任然再用。到2015年2003也要退役了,微軟將停止支持,所以還是建議儘早進行升級。之前看別人的討論都是需要用2008進行過渡,經過自己的實踐其實是不需要的。還有就是養成良好的習慣,在升級(遷移)前一定要先做好備份,沒有人敢確保升級過程是100%成功的。並在操作之前做好相關的升級步驟文檔。
本文出自“蠟筆小牛”博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1319715