前面的博客中我谈到了网络的基本概念和网络参考模型,今天我们来谈企业中常用的技术,Windows AD 域,今天我的笔记将重点讲解Windows AD 域的升级和迁移方法,通过3个小实验进行配置,真实环境可能和虚拟机上的有些差异,请注意。(部分内容参考博友王哥哥哥哥和51CTO论坛上的一些资料,进行配置验证)如有错误,请各位博友批评指正。

实验一:Windows server 2003AD 升级到Windows servers2008AD

环境:1台Windows server 2003 域控,域名 Benet.com

系统:1台 Windows server 2003,1台Windows server 2008 R2

地址:win 03  IP :192.168.1.253   DNS:192.168.1.253

Win 08  IP :192.168.1.254   DNS:192.168.1.253

步骤:

1.使用win 03 搭建根域,Benet.com ;并将win 08 加入域中

2.使用win 08 作为额外域控

(错误原因为win 03 必须升级架构才能兼容win 08.)

2.1 运行 regsvr 32 schmmgmt.dll 命令安装架构管理工具。

运行MMC命令,打开控制台

2.2添加08 ISO 镜像,扩展架构

win 03读取到镜像

2.3 输入d 跳转到光盘所在分区D,继续输入cd support\adprep 命令进入adprep目录。

2.4 输入adprep32.exe /forestprep 命令升级林架构,出现adprep警告(运行adprep前确认林中所有域控都升级到Windows 2000 service pack 4 (sp4)或更高版本)按C继续。

运行adprep32.exe /domainprep 扩展域结构(注意,要先扩展AD林,才能扩展AD域。)

运行adprep32.exe /domainprep /gpprep ,更新组策略。

运行adprep32.exe /rodcprep, 更新AD对RODC的支持。

注意:32位版本运行adprep32.exe,64位版本运行adprep.exe

2.5 win 08成功配置成为额外域控

3.域的级别为2003 无法提升。

4.更改win 08 的DNS地址,指向自身。

5.将FSMO角色转移到win 08

在win 08上安装架构主机工具

5.1  使用netdom query fsmo 命令查看当前5个主机角色所在的服务器。

5.2  使用ntdsutil命令连接到将要成为主域控的服务器上。(占用主机角色)

5.3  使用transfer infrastructure master 转移结构主机。

5.4  后面分别使用Transfer naming master,Transfer PDC,

TransferRID master, Transfer Schema Master转移其他主机。

5.5 win 03的FSMO角色全部转移到了win 08

6.将win 03降级为普通成员服务器

7.提升AD域/林功能级别为win 08 R2

8.删除win 03残留数据

至此,Windows server 2003AD 升级到Windows servers2008AD。验证低级别的域无法加入高级别域 ,高级别的域兼容低级别的域。验证成功。

实验二:Windows server 2003AD 升级到Windows servers2012AD

看到网上有许多关于Windows server 2003AD 升级到Windows servers2012AD都需要使用Windows server 2008 作为迁移升级的跳板,感觉太过麻烦,有没有简单一点的方法呢,通过我的笔记你将有所收获。

环境:1台Windows server 2003 域控,域名 Benet.com

系统:1台 Windows server 2003,1台Windows server 2012 R2

地址:win 03  IP :192.168.1.253   DNS:192.168.1.253

Win 12  IP :192.168.1.254   DNS:192.168.1.253

步骤:(和上篇实验类似)

1.将win 12加入域中

2.安装AD角色管理工具

3.将Windows Server 2012的光盘挂载到Win12服务器上, 通过Win12服务器做AD的扩展。(在Win03的服务器上2012 的adprep工具是不能使用的,为了防止意外发生,我重新装载了1个2012 ISO。)

4.为了避免错误最好使用域管理员登录和把03的域为提升03(默认为Windows server 2000 纯模式)

5.用命令定位到adprep 目录下,尝试通过adprep.exe /forestprep 进行扩展

6.打开win12服务管理器定位到AD DS 服务界面―点开服务部署后配置---将此服务器提升为域控制器

指定要从哪台域控复制信息。当前环境只有一台Win03 域控制器,所以选择win03

7.win 12成功配置成为额外域控

8. 将提升win12为主域控

9.至此,我们的迁移已经完成,过程中无需借助Windows Server 2008。

如果不需要win 03做域控,则使用dcpromo降级。

10.升级完成,win 03 降为成员服务器。

注意:在这里纠正一个错误,Windows server 2003 AD升级2012需要2008做中转的原因如下:(借用博友dufei 观点)

AD DS 升级,微软推荐的是使用是Windows Server 2008 作为过渡,如下图所示:

需要不需要Windows Server 2008做中介,主要取决于是否在后续环境中使用只读域控制器,如果不需要的话,则直接升级Windows 2012,是没有问题的,如果需要的话,那就需要使用Win2008过渡一下。另外一点,因为Windows Server 2012中所提示的准备工具adprep.exe只支持64系统下运行,但如果源DC是32位系统,则没有办法完成,因此会用到Windows Server 2008中转一下,但其实只要在源DC上放入Windows server 2008光盘一样可以直接执行,也就是说,只是借助Windows server 2008的32位adprep.exe而已;为了防止意外发生,必须先对域进行备份。切记,出现意外,概不负责!另外,对域的健康状态进行检查,如,事件查看器、repadm、dcdiag等工具,有问题则一切免谈。

实验三:Windows server 2008AD 升级到Windows servers2012AD

环境:1台Windows server 2008 R2域控,域名 seven.com

系统:1台 Windows server 2008 R2,1台Windows server 2012 R2

地址:win 03  IP :192.168.3.253   DNS:192.168.3.253

Win 08  IP :192.168.3.254   DNS:192.168.3.253

步骤:(和上篇实验类似)

1.卸载win 2012上的AD域服务

如果一个域控制器我们不需要了,那应该如何处理呢?如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进行 AD 复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证。因此,我们进行域控制器卸载时,优先使用常规卸载,做到DNS中的SRV记录自动更新,以及其他域控制器中的消息同步。

勾选“Active Directory 域服务”,(注:这里不是要真的删除该角色,只是要调用降级功能而已,因为在域控制器还没降级的前提下,是无法删除AD服务角色的),点击“删除功能”按钮。

如果该域控制器是最后一个域控制器,则显示以下卸载界面,勾选“域中的最后一个域控制器”。

输入降级后的本地管理员密码

还可以在任务里面删除

删除AD域成功

2.配置地址,加入seven域

3.配置成为额外域控(不需要升级架构)

通过前面2个实验我们知道要把一台不同版本的Server加入域或升级,都要为其准备林架构。为 Windows Server 2012 R2 准备林架构的步骤:

  1. 以 Enterprise Admins、Schema Admins 和 Domain Admins 组成员身份登录到架构主机。
  2. 将 Windows Server 2012 R2 DVD 插入到 CD 或 DVD 驱动器。将 \support\adprep 文件夹的内容复制到架构主机上的 Adprep 文件夹。
  3. 打开命令提示符,然后将目录更改到 Adprep 文件夹。
  4. 在命令提示符下,键入以下内容,然后按 Enter:adprep /forestprep /forest

4.迁移FSMO到win 12

Win+x 打开命令提示符查看当前FSMO角色

运用命令打开打开架构主机管理工具和控制台

前面转移主机角色都是用命令操作的,下面将使用图像化界面转移主机。

转移域范围主机

转移林范围主机

迁移FSMO到win 12完成

5.对Win 08 进行降级,降为成员服务器。

6.Windows server 2008AD 成功升级到Windows servers2012AD

总结:通过前面3个实验,我们知道了Windows AD域升级的话,1是提升域和林的级别;

(08以后版本不用)2是配置额外域控;3是插入ISO镜像,转移FSMO(能转移不要占用);

4是把原域控降级为成员服务器;5是提升域或林功能级别,配置完成。

注意:若是要原域控升级的话,只能转移FSMO完成后,安装ISO镜像,在全局编录同步过来。

附录:关于FSMO的理论知识。

操作主机(承担不同角色的域控制器)

1.概念:

Windows NT4.0(单主复制)

PDC:修改AD数据库   BDC:读取AD数据库

Windows server 2000 以后(多主复制)

所有DC都可以修改AD数据库内容,被修改的内容都会复制到其他DC

在Windows域中,域控制器的作用不取决于它是网络中的第几台域控制器,而取决于FSMO(flexible single master operation ,灵活单一主机操作)这五种角色在网络中的分布情况。

2.角色:

林范围,架构主机(schema master)和域命名主机(domain naming master),每个林中角色必须唯一。

架构主机:用于控制AD整个林中所有对象和属性定义。架构是可以扩展的,如部署exchange服务器和升级域控等,架构主机是基于目录林的,在整个林中只能有一台架构主机。

要扩展架构必须具有schema admins 组权限才可以,默认情况下,域管理员具有schema admins 组权限。

域命名主机:控制林中域的添加或删除,可以防止林中的域名重复,整个林中只能有一个域命名主机。

域范围,主域控制器(PDC)仿真主机(emulator master). 相对ID(RID)主机和基础架构(infrastructure)主机,每个域中角色必须唯一。

PDC仿真主机:负责域内时间同步(5min). 最小化密码变化复制等待时间(5min)和对Windows 2000以前系统提供支持。

RID主机:将相对ID序列分配给域中每个域控制器。每次当域控制器创建用户. 组或计算机对象时,它就给该对象指派一个唯一的安全ID(SID)。SID包含一个“域”SID(它与域中创建的所有SID相同)和一个RID(它对域中创建的每个SID都是唯一的)。

基础架构主机:负责更新从它所在域中的对象到其他域中对象的引用。基础架构主机将其数据与全局编录的数据进行比较。

使用基础架构主机需要注意:

如果基础架构主机和全局编录处于相同的域控制器中,则基础结构主机不会运行。基础架构主机从不查看过时数据,也从不将任何更改复制到域中和其他域控制器上。

如果域中所有域控制器都存有全局编录,则所有域控制器都将拥有最新数据。

基础架构主机还负责在重命名或更改组成员时更新“组到用户”的引用。

3.转移和占用操作主机角色

转移:承担操作主机角色的域控和目标域控都联机的情况下;承担操作主机角色的域控需要降级;转移操作主机角色的过程可逆。

占用:承担操作主机角色的域控出现故障并在短期内无法恢复,无法转移。

注意:可以转移时不要占用,转移比操作更安全。

架构主机. 域命名主机. RID主机角色被占用以后,永远不要将原来扮演的角色的域控制器在连接到网络上。

今天就讲到这里,如有错误,请指正,谢谢。

Windows AD域升级方的更多相关文章

  1. Windows AD域管理软件是什么?

    Windows AD域管理软件是什么? ADManager Plus是一个简单易用的Windows AD域管理工具,帮助域管理员简化日常的管理工作.通过直观友好的操作界面,可以执行复杂的管理操作,比如 ...

  2. 获取和验证Windows AD域的用户信息

    1.获取windows AD域用户信息,首先需要有一个ad域管理员权限的账号,用这个账号连接ad域,获取所有域用户信息 用LdapContext,它继承自DirContext public Objec ...

  3. windows AD域安装及必要设置

    一.安装AD域 运行dcpromo命令,安装AD域. 步骤: 1.win+R 2.dcpromo 图例: 百度百科关于“dcpromo”解释: dcpromo命令是一个“开关”命令.如果Windows ...

  4. Windows AD域管理软件

  5. SharePoint 2010中重置windows 活动目录(AD)域用户密码的WebPart(免费下载)

    由于SharePoint 2013推出不久,并非所有的企业都会升级到SharePoint 2013的,毕竟升级不是打打补丁这么简单,更多的企业还是使用Sharepoint 2010版本的,因此本人自行 ...

  6. SharePoint 2013中修改windows 活动目录(AD)域用户密码的WebPart(免费下载)

    前段时间工作很忙,好久没更新博客了,趁国庆休假期间,整理了两个之前积累很实用的企业集成组件,并在真正的大型项目中经受住了考验:.Net版SAP RFC适配器组件和SharePoint 2013修改AD ...

  7. C# Webform中读取Windows AD/LDAP域用户清单

    直接上干货,核心代码如下,读取出来相应的用户清单到DataTable中.需要其它字段可以自己增加,别忘了引用using System.DirectoryServices. #region privat ...

  8. freeradius整合AD域作anyconncet认证服务器

    一.服务器要求 Radius服务器:centos6.6.hostname.selinux  disabled.stop iptables AD域服务器:Windows Server 2008 R2 E ...

  9. Python实现AD域认证

    Python 通过ldap进行ad域账号的校验. 首先需要安装python-ldap的模块 http://www.python-ldap.org/. 在这里用的是windows系统,当然比较容易,下载 ...

随机推荐

  1. 页面输入的数据格式转换类:BaseAction(经常使用于Struts框架中)

    在我们接收页面传来的数据时,这些数据都是以String类型接收的,所以要进行数据格式转换,这时候就能够统一为它们进行转换,并且在处理这些数据的类中能够继承ActionSupport类,然后让每个接收数 ...

  2. Android 编程之入门开发目录管理器开发文件事件操作-2

    上一篇博客,我们已经得到了目录列表,我们须要对文件列表子项加入事件,比方我们点击的是文件.就运行 打开操作,点击的是目录运行打开目录操作,遍历文件清单.以此类推直到最后一个是文件位置,关于文件 与目录 ...

  3. 蓝牙核心技术概述(五):蓝牙协议规范(irOBEX、BNEP、AVDTP、AVCTP)

    关键词:蓝牙核心技术协议  irDA BNEP  AVDTP AVCTP 作者:xubin341719(欢迎转载,请注明作者,请尊重版权,谢谢! )欢迎指正错误,共同学习.共同进步!! 下载链接:Bl ...

  4. json文件_ajax

    html源码代码: <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://w ...

  5. Unity For Android Cardboard App ( 1 ):基础入门

    作者: ericzwhuang 前言 目前Google官方推出的VR设备有DayDream(2016年推出)和Cardboard(2014年推出)两种. Daydream是消费级VR解决方案,提供了手 ...

  6. SSM学习(二)mybatis和spring的集成

    上一篇文章大概搭建了一下ssm的框架,其实还是不完整,我们往项目中添加了spring和mybatis的配置文件,还差一个spring mvc的配置文件,在resource中在新建一个Applicati ...

  7. 自学Zabbix3.5-监控项item

    itemItems是从主机里面获取的所有数据.通常情况下item为监控项,一般网络设备.服务器加入了zabbix监控,就需要监控它的cpu负载,那么实现这个方法的东西就叫item. 1. item构成 ...

  8. vue.js使用webpack发布,部署到服务器上之后在浏览器中可以查看到vue文件源码

    webpack+vue 2.0打包发布之后,将发布的文件部署到服务器中之后,浏览器中访问的时候会出现一个webpack文件夹,里边会显示vue文件源码 如果不想让vue源文件显示出来,可以在confi ...

  9. HTTPS加密流程超详解(一)前期准备

    0.前言 前一阵子想写一个HTTPS的嗅探工具,之前只是大致了解SSL/TLS协议的加密流程,真正上起手来一步一步分析发现还是有点复杂的,于是我参考了wireshark的源码以及各种RFC,弄清楚了S ...

  10. Material使用02 图标MdIconModule、矢量图作为图标使用及改进

    1 MdIconModule模块的使用 1.1 在需要用到的模块中引入Material图标模块 import { BrowserModule } from '@angular/platform-bro ...