问题
2020年2月25日星期二 上午7:41
公司有一台老旧的主域控A(windows server 2008R2)想迁移到B(windows server 2012R2).有没有详细的迁移步骤?迁移的问题
1、主域控A迁移到B后,B的IP地址和主机名变更为A的主机名和IP地址,这样客户端是不是不需要退域重新加入?如果这个方法可行能否给一个步骤?
2、是否需要主域控A的目录服务还原模式(DSRM)密码?这个密码已经找不到了,如果需要那么有方法重置么?
3、看到一篇文章写的是需要先将主域控A升级为windows server 2012R2 ,然后才能进行操作么?
全部回复 (23)
2020年2月26日星期三 上午5:40 ✅已答复
尊敬的客户,您好!
感谢您在我们的TechNet论坛发帖。
关于您的问题,我们的回答如下,建议以下的操作在非工作时间操作,以免遇到问题有时间修复;如果需要的话,也可以提前在类;的测试环境中测试,确保一切正常,再在生产环境中操作。
问题一:公司有一台老旧的主域控A(windows server 2008R2)想迁移到B(windows server 2012R2).有没有详细的迁移步骤?迁移的问题
回答一:一般我们不建议就地升级操作系统,即将2008 R2操作系统升级为2012 R2。
那么我们强烈推荐的方法是将Windows server 2012R2添加到现有的域,然后升级成域控。另外如果想把一个2012 R2的域控制器加入现有的域中,这个域的域功能级别最低是Windows Server 2003。
通常,我们可以尝试下面的步骤:
1.在对AD环境做任何更改之前,我们需要检查所有的域控制器是否正常运行。所有的域控制器上面运行Dcdiag /v检查域控制器的健康状况。
如果一个域中有多个域控制器的话,我们还需要检查所有域控制器之间的复制是否正常,在每个域控制器上运行repadmin /showrepl 和 repadmin /replsum检查AD复制是否正常。
2.如果步骤1中的检查都是正常的,即运行以上的命令后没有收到任何的报错信息,我们将windows server 2012 R2这台服务器加入现有域。
3.一般加入AD DS,DNS 和GC角色,然后升级windows server 2012R2成域控。
4.重复第一步查看AD环境是否正常。
5.转移FSMO角色到新的域控,然后通过命令netdom query FSMO确认是否已经成功地把FSMO角色转移到新的2012 R2域控制器上了。
6.如果整个环境运行一段时间,观察没有任何问题,我们可以根据需要,降级旧的2008 R2域控(降级旧的2008 R2域控之前,需要检查所有客户端是否指向了这台旧的DNS服务器,有的话,请把客户端的DNS服务器转向其他的DNS服务器)。
7.根据需要和环境提升域和林功能级别(始终确保域功能级别等于或者高于林功能级别;确保所有的域控制器操作系统的级别等于或者高于域功能级别)。
具体详细的域控制器迁移步骤,您可以参考此链接中的详细步骤。我们只需要看Step-by-Step for Upgrading to Windows Server 2016这一部分以下的内容。
/en-us/windows-server/identity/ad-ds/deploy/upgrade-domain-controllers
问题二:主域控A迁移到B后,B的IP地址和主机名变更为A的主机名和IP地址,这样客户端是不是不需要退域重新加入?如果这个方法可行能否给一个步骤?
回答二:回答一中提供的添加新的DC,然后逐步将旧DC 降级的方法非常正确,这样对环境的影响也是最小的。
对于保持hostname和IP的需求,即我们想保持B域控制器的机器名字和IP地址与A域控制器的机器名字和IP地址一样的话,通常情况下:
情况一:
如果我们目前AD环境中只有一台域控制器(即主域控制器2008 R2),我们建议就使用回答一中的方法。
情况二:
如果我们目前AD环境中就已经有多台域控制器(至少两台),即一台主的域控制器2008 R2和另外的普通域控制器,尝试如下的操作:
1.检查这些现有域控制器的健康状态和复制状态,确保正常;
2.将FSMO从2008 R2转移到现有的其他的普通域控制器上,那么这时候现有域中的一台普通域控制器就成为主的域控制器了,使用netdom query fsmo 命令确认fsmo角色所在机器;
3.将这台非fsmo holder的机器(就是旧的主域控制器2008 R2)降级,并确认元数据被完全清除,然后把这台机器退域,即从域里移除;
4.将这台新机器2012 R2,设置成A对应的机器名字和IP地址,然后加入域并提升为域控制器 (步骤2中需要把旧的2008 R2机器从域里移除,原因是同一个域里不允许出现两台机器名字一样的机器);
5.确保B和环境中其他的域控制器可以正常工作(包括每一个域控制器和域控制器之间的AD复制都正常工作);
6.将fsmo角色转移至新的2012 R2域控制器,并再次确认所有域控制器的健康状态和复制状态。
提示:建议所有的域控制器也是DNS服务器和GC服务器。
问题三:是否需要主域控A的目录服务还原模式(DSRM)密码?这个密码已经找不到了,如果需要那么有方法重置么?
回答三:迁移域控制器和降级域控制器过程中不需要这个目录服务还原模式(DSRM)密码。
问题四:看到一篇文章写的是需要先将主域控A升级为windows server 2012R2 ,然后才能进行操作么?
回答四:请看回答一或者回答二。
希望以上的回复对您有帮助。如有任何问题,请随时联系我们。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月16日星期一 上午1:58 ✅已答复
尊敬的客户,您好!
感谢您的回复。
GC的数据存储在DC上。如果是GC的话,那么肯定是DC。GC不是单独的,它也是一台DC。
我们提升域控制器的时候,可以勾选GC,那么这台DC同时也是GC。一般来说,一个域环境中至少有一台GC。我们建议,所有的DC也作为GC。FSMO角色迁移也是在DC上面的,拥有FSMO角色的DC是主域控制器。一般来说,作为主域控制的计算机的设备性能应该要最好最稳定,以确保能够应付较重的负载并提供较高的可用性。
当前我们公司的环境是一个林一个域,建议可以将所有的DC作为GC。然后将FSMO角色迁移到一台性能较好的DC上面。如果我们不想将所有的DC作为GC的话,也是可以的,但是域中至少有一台GC。我们可以根据环境以及需求进行部署。
如有问题,请随时联系我们。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年2月27日星期四 上午9:05
嗯嗯 感谢了。如果我只是在windows server 2008R2进行主域控迁移,不变更hostname和IP就按照你回答一的方法处理么?
还有一个问题就是在主域控通过ps命令net group "Domain controllers"查询域控制器发现有6台,但实际上就5台,有一台F之前被强制下线了。怎么删除主域控上面F的域控信息呢 (找到了方法直接在ad用户和计算机删除,这个操作只是在主域控操作?由于时间很紧我直接在所有域控执行这个操作可以不?)?
2020年2月28日星期五 上午5:24
尊敬的客户,您好!
不用客气,感谢您的反馈。
回答一里面的处理方法是: Windows server 2012R2添加到现有的域,然后升级成域控。如果我们想不变更hostname和IP,可以参照问题二中的情况一和情况二。
根据您说的“如果我只是在windows server 2008R2进行主域控迁移”,我们是想就地升级吗,即将2008 R2操作系统升级为2012 R2?如之前所言,一般我们不建议就地升级操作系统,即将2008 R2操作系统升级为2012 R2。
域控F强制下线后,第一我们需要清理元数据。
第二,我们需要查看AD环境里面是否还有域控F的相关条目。如果有的话,我们需要删除。
比如:
1,查看AD 用户和计算机中Domain Controllers OU。
2,AD 站点和服务中与域控F相关的条目。
3,DNS 管理器中与域控F相关的DNS记录。
最后,我们可以运行DCdiag /v, repadmin /showrepl 和 repadmin /replsum确保环境一切正常并且没有域控F的相关条目。
更多的信息,我们可以参照一下链接中的文档:
/en-us/windows-server/identity/ad-ds/deploy/ad-ds-metadata-cleanup
希望以上的回复对您有帮助。如有任何问题,请随时联系我们。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月2日星期一 上午3:52
1、还是迁移到windows server 2008r2。因为现在服务器供应商提供了windows server 2008R2 ,暂时先不升级至2012;
2、我仔细看了这个文章, 发现这个清理是在下线的服务器F上面进行操作,而事实上F早就处理了,不过主域控还有F的信息,我用你给的命令监测都是报告F服务器的问题,那我直接在AD user and computer 里面的domain controllers直接删除这个下线的F可以么 ?;
3、我准备用windows server backup把原主域控A的C盘备份到F盘,但是提示要;式化F盘?可以不;式么?里面很多资料。
感谢!
2020年3月3日星期二 上午3:03
尊敬的客户,您好,
感谢您的回复。
1,关于问题1,我们现在是想用新的windows server 2008R2代替老旧的主域控A(windows server 2008R2)吗?
2,关于问题2,我们需要在AD users and computers里面的domain controllers删除这个下线的F。但是我们首先还需要执行元数据清理,确保AD环境里面所有关于这个下线的F的条目都被清理干净。然后需要进一步排查下是否清理干净。具体排错步骤如下:
1)查看AD 用户和计算机中Domain Controllers OU。
2)AD 站点和服务中与域控F相关的条目。
3)DNS 管理器中与域控F相关的DNS记录。
4)再次执行之前的命令,查看是否域控F已不存在。
下面的元数据清理是在一台好的DC上面操作的,我们可以尝试按照步骤进行元数据清理。
详细步骤,我们可以参考此文档以及下列图片:https://www.manageengine.com/products/active-directory-audit/kb/how-to/how-to-remove-a-domain-controller-that-no-longer-exists.html
3,关于问题3,如果不;式化的话,我们可以进行下一步操作吗?如果提示要;式化,而且必须;式化才能进行下一步的话,那就只能;式化了。这样的话,我们可以将F盘里面的资料拷贝到其他盘或者其他移动硬盘。
如有其他问题,请随时联系我们。
提示:此答案包含第三方网站的内容。 Microsoft对这些网站的内容不做任何陈述。 我们提供这些内容只是为了您的方便。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月3日星期二 上午6:36
1、问题1 是的;
2、我是用ntdsutil命令进行元数据删除,在连接服务器这一步(connect to server F)这个服务器名字是我想处理的服务器F么?不过选择这个名称有错误出现 。
错误如下:DsBindWithSpnExW 错误 0x6ba(RPC 服务器不可用。)
3、好的 我晚上备份的时候再试一下;
非常感谢哈!
(出现了一个问题,领导要求这周完成迁移,前两天系统中病毒了,我本打算清理后直接;式化重新安装系统。不过由于部署了一些服务就没法。我现在直接把主域控转移以后清理F可以么?)
2020年3月5日星期四 上午3:01
尊敬的客户,您好,
不用客气。感谢您的回复。
在连接服务器这一步,这个服务器名字不是服务器F。如果我们现在是在域控A上面操作的话,那么连接服务器就是域控A(connect to server A)。
另外您提到我们现在还是要迁移到Windows server 2008R2,冒昧问下,是老旧的主域控A(windows server 2008R2)现在有问题吗?如果没有问题的话,我们可能觉得迁移的意义不大。而且现在我们有2012,2012R2,2016,甚至2019的操作系统了,Windows server 2008R2的话,之后微软不再为其提供安全更新了。这个迁移还是要根据您的具体需求,我们提供此信息供您参考。
如有任何问题,请随时联系我们。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月5日星期四 上午7:01
老服务器太旧了,经常出问题,这个是要淘汰的。一开始准备说上2012R2,不过供货商给了2008R2公司不用额外购买2012R2就先用着后续再继续升级。还有就是我现在元数据清理是只需要在主域控进行操作还是要在所有现存的域控都进行元数据清理呢?
我在网上看到很多都是添加备份域然后通过抢夺方式进行迁移数据。。。 还是有点奇怪的
现在的主域控服务器A ,迁移到域控服务器B。域控服务器C
用netdom query fsmo突然发现结构主机不在主域控上面,在另外的域控C。。。
还有就是把这5大角色进行迁移到B就算是主域控迁移成功了?还是说需要将主域控降级,再将服务器B升级成DC才算成功呢?
2020年3月5日星期四 上午9:52
尊敬的客户,您好!
感谢您的回复。
如果太旧了并且经常出问题的话,我们可以根据需求迁移到新的服务器。元数据清理只需要选择相同域中的一台功能正常的DC上面操作就可以了。我们可以选择在主域控上面操作,也可以选择在其他域控上面。
关于您说的在网上看到很多都是添加备份域然后抢夺方式进行迁移数据,我们不是很明白您的意思。如果方便的话,您可以提供相关的资料,我们可以一起分析。
如果FSMO角色不在主域控上面,在另外的域控上,我们之前是操作过转移FSMO角色吗?如有任何问题,请随时联系我们。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月6日星期五 上午2:01
感谢回复哈,FSMO其中有一个角色不是在主域控,可以直接从C转到B不?操作还真不清楚,因为我也是才来这儿不是很清楚。C服务器应该是一台额外DC。
https://blog.csdn.net/jackhong520/article/details/79024730 我发现这上面的方法和你说的这个有点不一样。不知道是都可以操作还是怎么?因为时间太紧了没法在虚拟机中进行测试
2020年3月6日星期五 上午8:45
尊敬的客户,您好!
感谢您的回复。
首先我们需要进行域控迁移的操作(将新的服务器加域并且提升为域控),然后转移FSMO角色到新的域控上面。当主域控上的五大操作主机角色都转移到新的域控上,这时新的域控就成了真正意义上的主域控。详细的操作步骤,我们可以参考第一次回复中的回答一。
***“当运行netdom query fsmo时我们发现基础结构主机不在主域控上面,在另外的域控C上面,可以直接从C转到B吗?”***请问,域控B是新的Windows server 2008R2吗?如果是的话,我们已经成功将域控B加域并且升级成域控了吗?其他的四个角色还在主域控上面吗?
我们也看了您提供的文档,里面主要是介绍了FSMO角色以及如何转移和夺取FSMO。转移就是文档中说的传送:当主DC工作正常,但出于某些原因要将其上的FSMO角色主机传到其它额外DC上时可以使用“传送”方式。夺取的话就是文档中提到的抓取:当主DC工作出现严重故障,AD工作不正常时,如:操作系统故障且AD无法修复,亦或是硬件问题不能开机等原因,这时我们可以用“抓取”方式。
如果方便的话,您可以告诉我们您的具体疑惑,或者哪些地方不一样。这样的话,我们可以进一步为您解决问题。我们也很理解您的情况,也希望可以尽快为您解决问题。感谢您的理解和支持。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月6日星期五 下午12:00
B是新的域控准备用于做主域控。目前的情况是C上面还有一个结构角色,其余的角色还在现在的主域控A上面。
对了FSMO角色迁移后,是不是要进行全局编录的迁移?我看官方文档没有进行这一步,不过在有一篇文章里面提到了。https://blog.csdn.net/jamesdodo/article/details/81740645
昨晚我先将FSMO角色转移B 然后在B上面去掉全局编录,这样就变成了DC,勾上A和C的全局编录。不知道我的步骤是不是对的?
2020年3月9日星期一 上午2:36
尊敬的客户,您好,
感谢您的回复。
关于操作主机的放置优化,在之前的文档中也有说明,“不能把Infrastructure Master和GC放在同一台DC上”。由于基础结构操作主机与全局编录并不兼容,所以建议不要将基础结构操作主机放置到全局编录服务器上,但是下面的情况除外:
1,所有的域控制器都是“全局编录服务器”。
2,林中只有一个域。
为了便于管理,建议将域级别的RID操作主机,PDC模拟器操作主机,基础结构操作主机都放置到同一台DC上。
关于您说的全局编录的迁移,一般来说,我们建议所有的DC也作为全局编录服务器。在提升过程中,加域后将新的服务器提升为域控制器时,我们可以勾选GC,那么这台DC同时也是GC服务器。如果我们在提升域控的时候,有勾选的话,就不需要进行全局编录的迁移。如果没有勾选的话,我们可以按照文章里面提到的进行操作。
一般来说,域环境中至少有一台GC。按照您说的,是想将域控A和C作为全局编录。应该是没什么问题的,我们可以在操作完成后,在所有的域控制器上面运行Dcdiag /v检查域控制器的健康状况。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月10日星期二 上午11:04
感谢你的解答,DC和GC的区别是什么呢?有没有相关资料的。我查了很多不是很明白。谢谢!我觉得可能是这些没弄明白导致有点懵
还有一个问题就是我想咨询一些关于批处理的问题,不知道在哪儿提问呢?
2020年3月11日星期三 上午2:27
尊敬的客户,您好!
感谢您的回复。
DC (域控制器):Active Directory域服务(AD DS)的目录数据是存储在DC内的。一个域内可以有多台DC,每一台DC的地位几乎是平等的,它们各自存储着一份相同的AD DS数据库。当任何一台DC内数据有变动,如添加一个用户账户,此账户默认被建立在此DC的AD DS数据库中,之后会自动被复制到其他DC的AD DS数据库。多台DC可以提供容错功能,也就是即使一台DC故障了,仍然能够由其他DC来提供服务。
GC(全局编录):虽然在域树内的所有域共享一个AD DS数据库,但是其数据却分散在各个域内,而每一个域只存储该域本身的数据。为了让用户,应用程序能够快速找到位于其他域内的资源,因此在AD DS内设计了GC。一个林内的所有域树共享相同的GC。
GC的数据存储在DC内,这台DC可被称为GC服务器,它存储着林内所有域的AD DS数据库内的每一个对象,不过只存储对象的部分属性。
比如:一个林内有域A,域B,域C。GC位于域A内。那么DC存储这个域A“域目录分区”的完整数据。GC存储着其所在域目录分区的完整数据,即域A“域目录分区”的完整数据。另外GC还存储着域B“域目录分区”的部分数据,存储着域C“域目录分区”的部分数据。
常规DC内只会存储所属域内“域目录分区”的完整数据,但是GC还会存储林中所有其他域的“域目录分区”的对象的部分属性,让用户可以通过GC内的这些属性,很快速地找到位于其他域内的对象。
更多关于GC和域目录分区的信息,我们可以参考下面的文档:
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc728188(v=ws.10)?redirectedfrom=MSDN
https://docs.microsoft.com/en-us/windows/win32/ad/naming-contexts-and-partitions
关于批处理的问题,我们是否想通过脚本批量处理,如果是的话,我们可以去脚本论坛咨询下。下面是脚本论坛的链接:
https://social.technet.microsoft.com/Forums/en-US/home?forum=ITCG
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月13日星期五 上午6:24
尊敬的客户,您好!
请问我们的问题解决了吗?如有任何问题,请回复并告诉我们当前的情况,以便提供进一步的帮助。
感谢您的支持!
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月13日星期五 上午10:48
我把FSMO的角色都移到一台GC(A)上面,其余的域服务器都是GC那么这样可以么?还是说A必须是DC?目前公司的环境是一个林 一个域。如果是这样那么GC和DC没什么差别吧 。
不知道我的理解对不对?
2020年3月19日星期四 上午2:18
尊敬的客户,您好!
请问,我们的问题是否已经解决了?如果还有任何问题,请联系我们。
感谢您的支持!
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年3月19日星期四 上午7:59
感谢!其余暂时没有了。不知道有离线的MSDN关于服务器和ps的下载资源么?有的时候网络查找不是很方便
2020年3月19日星期四 上午9:41
尊敬的客户,您好!
不用客气,很高兴我们的问题已经解决。感谢您的支持。
此致,
Hannah Xiong
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
2020年6月8日星期一 上午8:22
在么?如何将DC添加为GC呢 ?我之前貌;在哪儿看到了,现在找不到了。
2020年6月9日星期二 上午6:34
非常好,我收藏了!