下圖實驗環境爲2003域環境,dc.contoso.com是一臺域控制器,同時也是DNS服務器,企業根證書服務器,操作系統爲Windows Server 2003 R2
exsvr.contoso.com爲Exchange 2010服務器,遷移完成後可以用測試郵件收發是否正常
dc01未加入域,是一臺安裝了Windows Server 2008 R2操作系統的服務器,本次實驗的目的是要將2003域控制器上的所有服務遷移到這臺2008 R2上
名稱
|
ip地址
|
操作系統
|
身份
|
角色
|
dc.contoso.com | 192.168.1.200 | windows server 2003 R2 | 域控制器 | DC、DNS、CA |
exsvr.contoso.com | 192.168.1.201 | windows server 2008 R2 | 域成員 | CAS、HUB、MAILBOX |
dc01 | 192.168.1.220 | windows server 2008 R2 | 未加入域 |
|
|
|
|
|
2003域控制器的相關配置
2008 R2服務器的相關配置
由於dc01是一臺2008 R2的服務器,在將dc01這臺服務器提升爲額外的域控制器之前,必須先在2003域控制器上進行架構的擴展,否則會報如下錯誤
1.架構擴展
準備林
在2003域控制器上插入2008 R2光盤,從命令提示符進入到support\adprep目錄
運行 adprep /forestprep
準備域
運行 adprep /domainprep
2.將dc01提升爲額外的域控制器
由於本域中不會用到只讀域控制器,在架構擴展的時候沒有運行 adprep /rodcprep,這裏彈出了提示,直接點【是】,進行下一步
勾選【全局編目】
重啓之後檢查OU、用戶是否複製完成
打開DNS管理器檢查區域複製是否完成
3.角色轉移
在dc01上運行 netdom query fsmo 查看角色
可以看到5個主要角色全部在dc.contoso.com這臺域控制器上,現再要將他們全部轉移到dc01上
運行ntdsutil,可用?查看幫助列表
輸入roles
輸入connections
輸入connect to domain contoso.com 綁定到一臺域控制器上
輸入q,返回上一步
輸入transfer infrastructure master 轉移結構主機角色
按同樣的方法輸入transfer naming master 轉移命名主機角色
transfer pdc 轉PDC角色
transfer rid master 轉移RID主機角色
transfer schema master 轉移架構主機角色
全部完成後再次輸入netdom query fsmo 查看角色
可以看到已經全部轉移到dc01上了
4.將dc01提升爲全局編錄服務器
打開AD站點和服務,確認【dc01】【NTDS Setting】【常規】裏【全局編錄】前的小勾是勾上的,我在之前提升額外域控制器時已經勾上了
下一步來確認全局編錄服務器是否開始工作
從【運行】輸入【LDP】,打開LDAP連接工具
確認 isGlobalCatalogReady 的屬性值爲 TRUE
確認3268,3269兩端口開啓
5.遷移CA
在dc.contoso.com也就是2003這臺域控制器上打開證書服務管理器
備份CA
選擇備份到d:\CAbackup目錄
設置密碼
導出註冊表
展開HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration導出爲d:\CAreg.reg文件
將CABackup目錄和CAreg.reg文件複製到dc01的D盤裏
卸載證書服務
運行dcpromo將dc.contoso.com降級爲成員服務器,降級完成後就可以關機了,這臺2003服務器我們也用不到了
在dc01上打開AD用戶和計算機,刪除之前已經降級2003域控制器的一些殘留項
打開AD用戶和計算機,刪除計算機賬號
打開AD站點和服務,找到【Servers】下的dc,將其刪除
來到DC01上,添加AD證書服務角色
選擇【企業】
選擇【根 CA】
選擇【使用現有私鑰】【選擇一個證書並使用其關聯私鑰】
單擊【導入】,選擇d:\CABackup目錄下的私鑰,輸入密碼後確認
證書服務安裝完成後,打開證書服務管理器,還原CA
需要停止證書服務
定位到d:\CAbackup
輸入密碼
CA還原嚮導完成後會問要不要啓動證書服務,這裏由於註冊表還未導入,我先選擇【否】
打開註冊表管理器,導入d:\CAreg.reg
啓動證書服務
6.修改dc01域控制器的名稱和ip
此步主要是爲了方便客戶端不作修改就能夠正常訪問域控制器
2003域環境時的域控制器名稱爲dc.contoso.com,ip地址爲192.168.1.200
遷移到2008域後,域控制器的名稱爲dc01.contoso.com,ip地址爲192.168.1.220
首先修改域控制器名稱,Windwos Server 2008 R2 域控制器重命名詳細方法可參照http://hi.baidu.com/tianshanju1987/item/664dd327684afc3195f62b53
運行netdom computername dc01.contoso.com /add:dc.contoso.com 添加一個FQDN名稱
完成後可以運行netdom computername dc01.contoso.com /enumerate 查看添加的名稱
運行netdom computername dc01.contoso.com /makeprimary:dc.contoso.com 將dc.contoso.com提升爲主要名稱
完成後要重啓計算機
重啓後再次運行netdom computername dc.contoso.com /enumerate
可以看到 dc.contoso.com 已經是主要名稱了
運行netdom computername dc.contoso.com /remove:dc01.contoso.com 將之前的名稱刪除
到這裏我們已經將域控制器重命名爲dc.contoso.com,下一步是修改ip地址,域控制器修改ip地址的詳細方法參照http://wenku.baidu.com/view/6ffe7238376baf1ffc4fad36.html
運行net stop netlogon 停止netlogon服務
將ip地址修改爲192.168.1.200
運行ipconfig /flushdns 刷新DNS緩存
運行net start netlogon 啓動netlogon服務
運行ipconfig /registerdns 重新註冊DNS紀錄
域控制器和ip地址修改完成後,來驗證一下
看來都沒有問題,最後來驗證一下郵件的收發吧
全篇結束!