将域控制器升级到较新版本的 Windows 服务器
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
本文提供有关 Windows Server 中Active Directory 域服务的背景信息,并介绍了从早期版本的 Windows Server) 升级域控制器 (DC 的过程。
先决条件
升级域的建议方法是将新服务器升级到运行较新版本的 Windows 服务器的 DC,并根据需要降级旧 DC。 此方法最好升级现有 DC 的操作系统,这也称为就地升级。
在将服务器升级到运行较新版本的 Windows 服务器的 DC 之前,请遵循以下常规步骤:
验证目标服务器是否满足 系统要求。
验证应用程序兼容性。
查看有关迁移到较新版本的 Windows 服务器的建议。
验证安全设置。
从计划运行安装的计算机上检查与目标服务器的连接性。
检查 Active Directory 中必要的灵活单一主操作 (FSMO) 角色的可用性。 对于以下方案,此步骤是必需的:
- 若要安装运行现有域和林中最新Windows服务器版本的第一个 DC,运行安装的计算机需要连接到:
- 要运行的
adprep /forestprep架构母版。 - 要运行的
adprep /domainprep基础结构主机。
- 要运行的
- 若要在已扩展林架构的域中安装第一个 DC,只需连接到 基础结构主机。
- 若要在现有林中安装或删除域,需要连接到 域命名主机。
- 任何 DC 安装也需要连接到 RID 主机。
- 如果要在现有林中安装第一个只读 DC,则需要连接到每个应用程序目录分区(也称为非域命名上下文)的 基础结构主 节点。
若要了解哪些服务器或服务器具有哪些 FSMO 角色,请使用属于域管理员组成员的帐户在提升的 PowerShell 会话中运行以下命令:
Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator Get-ADForest | FL DomainNamingMaster, SchemaMaster- 若要安装运行现有域和林中最新Windows服务器版本的第一个 DC,运行安装的计算机需要连接到:
安装操作和所需的管理级别
下表汇总了安装操作和完成这些步骤的权限要求。
| 安装操作 | 凭据要求 |
|---|---|
| 安装新林。 | 目标服务器上的本地管理员 |
| 在现有林中安装新域。 | Enterprise管理员 |
| 在现有域中安装另一个 DC。 | 域管理员 |
运行 adprep /forestprep。 |
架构管理员、企业管理员和域管理员 |
运行 adprep /domainprep。 |
域管理员 |
adprep /domainprep /gpprep.运行 |
域管理员 |
运行 adprep /rodcprep。 |
Enterprise管理员 |
支持的就地升级路径
仅支持 64 位版本升级。 有关支持的升级路径的详细信息,请参阅支持的升级路径。
Adprep - forestprep 和 domainprep
若要就地升级现有 DC,必须手动运行 adprep /forestprep 和 adprep /domainprep 手动。 对于每个较新版本的 Windows 服务器,只需在林中运行Adprep /forestprep一次。 在每个域中运行Adprep /domainprep一次,在其中为每个较新版本的 Windows 服务器升级 DC。
如果要将新服务器提升到 DC,则无需手动运行这些命令行工具。 它们已集成到 PowerShell 中,并服务器管理器体验。
有关运行 adprep 的详细信息,请参阅“运行 Adprep”。
功能级别功能和要求
Windows Server 2019 或更高版本需要至少Windows Server 2008 林功能级别。 Windows Server 2016至少需要 Windows Server 2003 林功能级别。 如果林包含运行较旧林功能级别的 DC,则阻止安装。 必须删除这些 DC,并将林功能级别提升为受支持的版本,然后才能将较新的 Windows 服务器 DC 添加到林中。 有关支持的功能级别的详细信息,请参阅 林和域功能级别。
注意
自Windows Server 2016以来,尚未添加新林或域功能级别。 更高版本的操作系统版本可用于域控制器。 它们使用Windows Server 2016作为最新的功能级别。
回滚功能级别
将林功能级别设置为特定值后,无法回滚或降低林功能级别,但有以下例外:
- 如果要从 Windows Server 2012 R2 林功能级别升级,则可以回滚到 Windows Server 2012 R2。
- 如果要从 Windows Server 2008 R2 林功能级别升级,则可以回滚到 Windows Server 2008 R2。
将域功能级别设置为特定值后,无法回滚或降低域功能级别,但有以下例外:
- 将域功能级别提升为Windows Server 2016并且林功能级别Windows Server 2012或更低时,可以选择将域功能级别滚动回 Windows Server 2012 或 Windows Server 2012 R2。
有关每个功能级别可用的功能的详细信息,请参阅 林和域功能级别。
Active Directory 域服务互操作性
以下Windows操作系统不支持Active Directory 域服务:
- Windows MultiPoint Server
- Windows Server Essentials
不能在运行以下服务器角色或角色服务的服务器上安装Active Directory 域服务:
- Microsoft Hyper-V Server
- 远程桌面连接代理
管理 Windows 服务器
使用远程服务器管理工具Windows 10或更高版本来管理运行Windows服务器的域控制器和其他服务器。 可以在运行Windows 10或更高版本的计算机上运行Windows服务器远程服务器管理工具。
使用较新版本的 Windows 服务器添加新的域控制器
以下示例演示如何将 Contoso 林从以前版本的 Windows Server 升级到更高版本。
将新的Windows服务器加入林。 出现提示时重启。
使用域管理员帐户登录到新的 Windows 服务器。
在服务器管理器的“添加角色和功能”下,在新Windows服务器上安装Active Directory 域服务。 此操作会自动在早期版本林和域上运行 adprep。
在服务器管理器中,选择黄色三角形。 从下拉列表中选择“ 将服务器提升到域控制器”。
在 “部署配置 ”屏幕上,选择“ 将新域添加到现有林 ”,然后选择“ 下一步”。
在 域控制器选项 屏幕上,输入 目录服务还原模式 (DSRM) 密码,然后选择 “下一步”。
对于其余屏幕,请选择“ 下一步”。
在 “先决条件检查 ”屏幕上,选择“ 安装”。 重启完成后,再次登录。
在早期版本的 Windows 服务器上,在 服务器管理器“工具”下,在“工具”下,选择“Active Directory 模块”进行Windows PowerShell。
在 PowerShell 窗口中,使用
Move-ADDirectoryServerOperationMasterRolecmdlet 移动 FSMO 角色。 可以输入每个操作主角色的名称,或使用数字来指定角色。 有关详细信息,请参阅 Move-ADDirectoryServerOperationMasterRole。Move-ADDirectoryServerOperationMasterRole -Identity "DC-W2K16" -OperationMasterRole 0,1,2,3,4
若要验证角色是否已移动,请转到新的Windows服务器。 在服务器管理器的“工具”下,选择用于Windows PowerShell的 Active Directory 模块。
Get-ADDomain使用 cmdletGet-ADForest查看 FSMO 角色持有者。
降级并删除之前Windows服务器 DC。 有关如何降级 DC 的信息,请参阅 降级域控制器和域。
将服务器降级并删除后,可以将林功能和域功能级别提升到最新版本的 Windows Server。