从去年的WindowsServer2012发布到上个月WindowsServer2012R2的发布,微软加快了WindowsServer2012的推进脚步。虽然目前在生产环境中上2012的可能比较少或者短期内不会考虑升级,但是做为一个技术人员还是必要跟得上技术更新的脚步。学如逆水行舟,不进则退。不要等到公司上2012的时候在去学,这时候就晚了,有点“书到用时方恨少”感慨。在WindowsServer2012中AD也是有很大一部分更新和功能改进,比如:dcpromo命令的弃用、AD回收站等,这些新功能还是能给AD的管理维护带来很多便利的。更多AD的新功能请参考Technet:http://technet.microsoft.com/zh-cn/library/hh831477.aspx.分享我在实验环境将ActiveDirectory分别从WindowsServer2003和WindowsServer2008R2升级到WindowsServer2012的方法。
上篇介绍2003的AD升级到2012的方法,下篇介绍2008R2升级到2012的方法。
上篇:WindowsServer2003升级到WindowsServer2012
之前在网上或者论坛看到的大部分是说AD从2003升级到2012需要用2008来过渡一下,但是经过我的测试完全不需要用2008进行过渡,AD可以直接从2003升级(迁移)到2012。下面是我的升级(迁移)过程分享。
1.实验环境介绍
DC01:WindowsServer2003R2SP2,林根域,宿主5个操作主机角色。安装有AD和DNS角色。
DC02:WindowsServer2012,成员服务器,全新安装
Client01:Windows7,IP为DHCP获取。
2.如果是在生产环境进行升级(迁移),强烈建议先对DC进行备份操作,以防出现失败。由于是实验演示,所以略过此步或对虚拟机做快照。
3.登录到DC02,并设置DC02的IP,把DNS一个指向到DC01,一个指向到自己。
4.将DC02加入域。其实这一步如果是做实验也可以省略,但是我们还是按标准的流程来操作。
5.将DC02提升为额外域控制器。如前面所说,2012已经弃用了dcpromo这个命令。所以我们需要在服务器管理器中安装“ActiveDirectory域服务”。
6.等待服务安装完成后,选择“将此服务器提升为域控制器”。
7.选择”将域控制器添加到现有域“,由于提升前DC02加域了,所以域名和凭据都自动填写当前域和当前登录的用户凭据。如果是没加域进行提升的话,需要手动输入域名,并点击”更改“输入域管理员的用户凭据,然后点击”下一步“。
8.看到提示如图所示错误提示。需要将当前域的林功能级别提升到WindowsServer2003。
9.登陆到DC01,先提升域功能级别才能提升林功能级别。打开”ActiveDirectory域和信任关系“,右击”Lab.com“,选择”提升域功能级别“。林功能基本选择”WindowsServer2003“,然后点”提升“。
10.提升林功能级别,右击”ActiveDirectory域和信任关系“,然后按图示操作即可。
11.完成林功能级别的提升后,切换到DC02,在刚刚错误提示的界面保持默认勾选DNS和全局编录,再点击”下一步“,已经没有了刚刚的错误提示,但是会有一个警告信息。由于实验环境中没有可写的2008DC,所以警告只是提示无法安装RODC。由于我们不是要安装RODC,可以忽略此警告。输入目录还原模式密码后点”下一步“,后面的步骤保持默认,直接“下一步”最后“安装”即可。
注:可以看到2012的向导中会自动对域和林的架构进行扩展,无需事先在2003的服务器上使用adprep进行扩展。以及后面的先决条件检查,这是2012的一个功能改进,提升域控制器的操作会更加高效。
12.等待安装完成重启后,使用域管理员登陆到DC02,打开CMD命令提示符,输入:netdomqueryfsmo查询操作主机所在的服务器,可以看到5个操作主机角色都在DC01上。然后依次输入:ntdsutil—>roles—>connections—>connecttoserverdc02—>quit,使用上面命令连接绑定到DC02。
13.输入?可以查看相关的命令帮助信息。使用Transferinfrastructuremaster、Transfernamingmaster、TransferPDC、TransferRIDmaster、Transferschemamaster分别传输5个操作主机角色到DC02。
14.完成了5个角色传输到DC02后,推出ntdsutil工具,再次使用netdomqueryfsmo查询5个角色是否已经成功传输到DC02.
15.完成了上述操作后,如果需要体验2012中AD的更多新功能或环境中不需要2003的DC了,可以将DC01进行降级为成员服务器。在DC01上,设置DNS指向到DC02的IP:192.168.1.11。然后在运行中输入:dcpromo,在向导中可以看到提示环境中必需要还要有其他全局编录服务器可用。
16.直接”下一步“,千万不要勾选”这个服务器是域中最后一个域控制器“,然后输入一个本地管理员密码,连续两次“下一步”后就开始降级。
17.等待降级完成后重启后,DC01就是成员服务器了,可以另做他用。DomainControllers中已经没有DC01了。如果这个服务器需要重装系统,则退域后即可。
18.完成以上操作后,登陆到DC02,更改TCP/IP设置,将192.168.1.10从DNS中移除,并设置DC02的IP:192.168.1.11为首选DNS。
19.提升域和林功能级别。打开“ActiveDirectory管理中心”在图示位置将域和林功能级别提升到WindowsServer2012。如果环境中只有2012的域控制器,建议提升到2012,一些新功能才能使用。
20.如果环境中有DHCP服务器,也需更改为客户端分配的首选DNS服务器。打开DHCP管理器,分别在“作用域选项”和“服务器选项”中,双击“006DNS服务器”,删除旧的DNS服务器地址,然后添加192.168.1.11作为首选DNS服务器。
21.在Client01上验证设置是否生效。
22.使用ntdsutil查看是否还有DC01的信息。具体命令使用见图。
23.验证升级(迁移)是否成功。将DC01关闭,在DC02上打开AD用户和计算机、组策略管理器、DNS、AD管理中心等管理工具是否能正常使用。或者可以新建一个用户及设置一些测试策略,看客户端是否可以正常登录及应用到策略。
24.将Client01重启后,使用域用户看是否能正常登录。并在CMD命令提示符中输入:set查看当前登录的服务器。
至此已经成功完成ActiveDirectory从2003升级(迁移)到2012。将在下篇介绍ActiveDirectory从2008R2升级(迁移)到2012的方法,下篇地址:http://labixiaoniu.blog.51cto.com/695063/1319719。
总结:2003和XP一样作为一个经典的操作系统,历经10多年很多公司任然再用。到2015年2003也要退役了,微软将停止支持,所以还是建议尽早进行升级。之前看别人的讨论都是需要用2008进行过渡,经过自己的实践其实是不需要的。还有就是养成良好的习惯,在升级(迁移)前一定要先做好备份,没有人敢确保升级过程是100%成功的。并在操作之前做好相关的升级步骤文档。
本文出自“蜡笔小牛”博客,请务必保留此出处http://labixiaoniu.blog.51cto.com/695063/1319715