把Windows2008R2域服務(wù)升級和遷移到WindowsServer2012R2上

1、把Windows2008R2域月艮務(wù)升級和遷移至IWindowsServer2012R2上（一）windowsServer2012R2中增加了不少功能，在AD角色中就增加了如下新特性:WorkplaceJoin:支持設(shè)備在不加入域的情況下，通過第二因子認(rèn)證和單點登錄通過web應(yīng)用代理訪問內(nèi)部應(yīng)用：外部設(shè)備可以直接通過WeW用代理來訪問內(nèi)部應(yīng)用和服務(wù),如：ADFSApplications。通過規(guī)則以決定訪問ADFSS源的用戶權(quán)限，權(quán)限有三種：允許所有用戶訪問、輸入憑據(jù)訪問、拒絕用戶訪問遷移工作可以有多種方式，常見的就是在不同設(shè)備上進(jìn)行遷移，這樣安全可靠。還有一種是就地升級的遷移，這種方式只限于能

2、直接升級到WindowsServer2012R2的系統(tǒng)，升級前做好系統(tǒng)備份工作。1.新安裝一臺Windowsserver2012R2服務(wù)器，打開添加角色和功能對話框。3.在服務(wù)器選擇頁面，點擊下一步4.在服務(wù)器角色頁面，選擇AD域服務(wù)角色，點擊下一步5.在功能頁面，點擊下一步7.點擊下一步8.勾選“如果需要，自動重新啟動服務(wù)器”，點擊安裝9.安裝完成后點擊“將此服務(wù)器升級為域控制器”10.在部署配置頁面，選擇將域控制器添加到現(xiàn)有域，具體配置如圖所示，點擊下一步11.輸入目錄還原密碼，然后點擊下一步12.點擊下一步14.在路徑頁面，點擊下一步15.點擊下16.點擊下一步17.先決條件檢查通過后，

3、點擊安裝18.安裝完成后，點擊關(guān)閉19.在AD管理中心中看到，windowsserver2012R2服務(wù)器已經(jīng)成為域控制器*ActiveDirectory傳理中心bjdemo（本地）DomainControllers1»I*q內(nèi)口鵬4DomainCmrtrellAn.（7>,sisfa口M；*vu*rnsjrto,HlMM20UIJ*»-301nMi9s“MS113CMO一但«4XMWJ-唆事Ww*式¥ hogr*" Hli-yttwnOwwlflCbiiIiifllii.imTF«tamUwnMwimf»M0時事;怩

4、*EHtm殳RiffmwWtR：14苣M：劭內(nèi)腐1回1AffeUtWndon.J91JKJ,X，/.net；人lJ(二)將域的五個角色轉(zhuǎn)移到Windowsserver2012R2AD域環(huán)境中的五大主機角色在WinServer多主機復(fù)制環(huán)境中，任何域控制器理論上都可以更改ActiveDirectory中的任何對象。但實際上并非如此，某些AD功能不允許在多臺DC上完成，否則可能會造成AD數(shù)據(jù)庫一致性錯誤，這些特殊的功能稱為“靈活單一主機操作”，常用FSM也表示，擁有這些特殊功能執(zhí)行能力的主機被稱為FSMQt色主機。在WinAD域中，F(xiàn)SMOt五種角色，分成兩大類:森林級別(在整個林中只能有一臺DC

5、擁有訪問主機角色)1:架構(gòu)主機(SchemaMaster)2：域命令主機(DomainNamingMaster)域級別(在域中只有一臺DC擁有該角色3: PDCWH器(PDCEmulator)4: RID主機(RIDMaster)5:基礎(chǔ)架構(gòu)主機(InfrastructureMaster)1:架構(gòu)主機控制活動目錄整個林中所有對象和屬性的定義，具有架構(gòu)主機角色的DC是可以更新目錄架構(gòu)的唯一DC。這些架構(gòu)更新會從架構(gòu)主機復(fù)制到目錄林中的所有其它域控制器中。架構(gòu)主機是基于目錄林的，整個目錄林中只有一個架構(gòu)主機。2:域命令主機向目錄林中添加新域。從目錄林中刪除現(xiàn)有的域添加或刪除描述外部目錄的交叉引用對

6、象3:PDC1擬器向后兼容低級客戶端和服務(wù)器，擔(dān)任NT系統(tǒng)中PDQt色時間同步服務(wù)源，作為本域權(quán)威時間服務(wù)器，為本域中其它DC以及客戶機提供時間同步服務(wù),林中根域的PDC模擬器又為其它域PDC模擬器提供時間同步！密碼最終驗證服務(wù)器，當(dāng)一用戶在本地DC登錄，而本地DC驗證本地用戶輸入密碼無效時，本地DC會查詢PDC真擬器，詢問密碼是否正確。首選的組策略存放位置，組策略對象（GPO）由兩部分構(gòu)成：GPTKGPC其中GPC#放在AD數(shù)據(jù)庫中，GP世認(rèn)存放PDC®擬器在windowssysvolsysvol<domainname>目錄下，然后通過DFS復(fù)制到本域其它DC中。nam

7、e域主機瀏覽器,提供通過網(wǎng)上鄰居查看域環(huán)境中所有主機的功能4:主機角色：RID主機Win環(huán)境中，所有的安全主體都有SID,SID由域SID+序列號組合而成，后者稱為“相對ID"（RelativeID,RID）,在Win環(huán)境中，由于任何DC都可以創(chuàng)建安全主體，為保證整個域中每個DC所創(chuàng)建的安全主體對應(yīng)的SID在整個域范圍唯一性，設(shè)立該主機角色，負(fù)責(zé)向其它DC分配RID池（默認(rèn)一次性分配500個），所有非RID主機在創(chuàng)建安全實體時，都從分配給的RID池中分配RID,以彳證SID不會發(fā)生沖突！當(dāng)非RID主機中分配的RID池使用到80%寸,會繼續(xù)RID主機，申請分配下一個RID地址池！5:基

8、礎(chǔ)架構(gòu)主機基礎(chǔ)結(jié)構(gòu)主機的作用是負(fù)責(zé)對跨域?qū)ο笠眠M(jìn)行更新，以確保所有域間操作對象的一致性?；A(chǔ)架構(gòu)主機工作機制是定期會對沒有保存在本機的引用對象信息，而對于GC來說，會保存當(dāng)前林中所有對象信息。如果基礎(chǔ)架構(gòu)主機與GC在同一臺機，基礎(chǔ)架構(gòu)主機就不會更新到任何對象。所以在多域情況下，強烈建議不要將基礎(chǔ)架構(gòu)主機設(shè)為GC接下來就開始介紹如何利用ntdsutil.exe工具遷移五個主機角色1 .在windowsserver2012R2域控制器上，以管理員身份打開Powershell,并且輸入ntdsutil.exe2 .輸入Rolesiirirudow4FOWFSlMll眼軌環(huán)有«?)?f&#

9、187;L3MicfosaftCcrpcrftion.保管斫有包利f節(jié)t;MrsersMjrninistrator<ttJl?t«O>ntd»ut>4,tKtC;Windcn*isyitswJ2ntdsul.i1.exrJRoltifsrnorsiratmiKP：一3.輸入connection凄S二WdwlcywsPowerSfriellrtindcRMSiPowerS-hel1|ih儀所右cel2013HidCdrporati保甯斯有釵"LPSCiUsers-Acfministrator.BJE3EFO>ntdsvltiI.exe匚：Wi

10、ndcrnys<tcal2ntuLi1.e;Rol，玄Mm-tintcnrari*:connectiofkserverconnecticnss,4.輸入connecttoserverwin2012R2(注：新的域控名稱)Corp&ratHntcKutilH&IekXULertVAdmftisnrjitor.njml!windou5£ysitn!¥2ntdiati'Pfiwt?traintcFrd»-*cc：Ucw*nv匚ttens>erv(rciiincXiQns;tQmcttt摩宏到win?D12r?.H引電Wird吟fP&a

11、mp;erShsI：5.輸入quit返回上層命令99：WindowsfnwcrShcllhindDMPcwer&liel/銀肺有<C)?013UicrospftCerpQr«ion,圖簾淅百枚利.P5C：U5er5*drtiini5tritor.5JDE«O*titdiuti1.rxcC：Xnyindon4£ytt«ml2rtdsLiti1.cut:Beltsfsft*ofii'interbaflc#:cairwctioa»servertorinKtins：connectt。serverir»2Q1Z2源定到*i

12、n201?r2.用本要索的閑產(chǎn)的挑證甚有fein?012r2.servercenneetions;qui-t7.輸入transferinfrastructuremaster,遷移基礎(chǔ)架構(gòu)主機角色，點擊是-CM113士.£獷。£味網(wǎng)行本rDPI(%LHlibNdtEir-L.L%IXEJEMlI.t%、產(chǎn)F.lf-,"：k)£'-CWMWTO&S#teiAg«Xh-OCf£MO.CM-StPVtr«nCIMMmJ1力Fir1,r12rudu士由1it肺貯i，CN*511CSpf*濫&rf"i6

13、1rsMKdnddBmfik豪癰電戶的憑福通尊M20n七erwercfvicctionfi"qi，tSC：W&er$,xAdHUMtr»tor.BJIMh(0>ntduitll.exe!srir>dofc5tpffJ?ntd4uti1.thRoVtrwi?rccriVKctionsfconccttoservermin?012r2f&ve)aHG貯亡wnEwrErjjrtsferrtaviMvJifiCerMiawM$nm掏-CKfcNiTOSSrtrifMjv.CNaDCOE*iO|NaServers普1g-Ch»NlDSettirig

14、i-l'i，1M2012R2.CN-SEirvei笈鼾有COJ0I3MicrosoftcorponticHi.保理所有出利L揖但博安認(rèn)巧清jI，仔mm主"rmMMm2r*:A3Dtiori|OC"bjdei*a*pckcmfrifIguratinntijdeiro.（施z逸,回總足.MA:WifvJwmPoxSheli1&,C»n*PC|>jd*wcDC-comianp箕-bideircK-ccmrieri.OC6m/!g.OCEMi8.輸入transferPDC,遷移PDC機角色，點擊是產(chǎn)。ECMII(Ci2013MicrofcSrpQut

15、iQn.保航所有投中33r：U"翳UMi(1"t"。日J(rèn)OftSKT*fltdutil.EX4*kwiradamXsyctesSJn.(tfcutil.ests*nrl包氐sinofHdimt.iErini.rice：CQTEEt+g、ciiv«rtS4His:cio-nncttoi<rv«rinJCIUrJ修率到win2Q12r2門車簟索的用戶的憑證在潴EnZCUNR.彳廿小ronnecri«n$:quit手mGtmoLDCU：1ran5fcrmining3Mt廠3-2科如遭詢震片推珥3Ktbesetinfl?XN«

16、iXDsrruer?!acw»Defnuitr-irsts-itfl-mir*iCMsiTrf'!；B<H*c&nfiauraticmtDCrbj«J?sMs,occ電生蛇CNMICSMtMgW.EWlM2OL2R2FCk-Octj.uU-fTCW-SSdurAti6rKDtb)diH-CwH7DSte,CiMDt(JEMCl-CK-JD二鵬E2$j£M=KDEk、M=引構(gòu)C-hTP%SrtlirHJ-iCH-OCECMOjClMmotnAlnienaince:irafiifrinfraiirut>tt"toinl012r2,

17、h如it/美匕作雨<kKfOSeETENmCMMOJlH|宓主機CH=WTD55ettinflsBCh-WIMJ-OLDTChNTD53/ttiriqCh!DCOfKlBC;工口儀NTQ3n中山區(qū)酬陽-aHlCNNTDSSettings4di】NK)I2*2rmirwintmance;trflnfrrp'dcN=5ites,CNijmmationBM=4ideCN-Conf1rhri承，j/V1IX'»<miCNrCorifigur.IJg-rtn.£HC51f1"!i.tflOrt；bl-1>1IK1口-UN-WTfi£

18、;iFWj!fcpCM-OTDfHDCMcrrBCFl-OeFsiult-FiritSite-hxn-Thronfigurat貨檔一<M=MTIK,C*tWl»r2012R.2,CM=S-#一一上一一”-一-*上一i«如唾»,：>.'-lA-hEf'rv'j、e，iff-鏟*.&e【ii»w*1l：ikn«,但一e-八一仁三y“，ywr4!$MOF!111cb0JfliPIHl4PC_*CQ®settinjii工NIL?£H=s手昱u】t-F1P£t-SiteUaufia

19、B»*S5iratianrix=bid«ws(x=|&trn-b(f*rpdc卷若！*心”產(chǎn)爾次市定S件E院構(gòu)-CMHTFDSSettings.CIMXUM>ICN-S<fiier£rCMri|hefdUiH-Firit-s4tc-hiarCKCWaC-Orstiflur«tionBOC»«tojifDC*C«r命名正機HCht-wrftS5Mdm1N2Q*2R22N*5C：廣收E*5*63uilF"“，5壯片N»cKM4腫KQnffqu也口61.曜-bjOmil*DC-CH-NTDS

20、.ettiingih.Ck-WIMZOLZRJ：PC»-erwars,-Dwtau11-Firstte-hawPCM-SiteipcMEConfiguration,DCidbjdenerDCz(Jridcm尹川mistringtpCk*DTMMOc*r«srvrtjulr=rlrtsitri卜上廿,匚"rCtwifTijui/iJwirDCLbjdFHKJrOCyMhJSttg-<W-kT(K;缶昆Eqri(|4EM=.工ftJ.EMh邑亡LE于工F<：H-3faLi】E-F】r4E-Ci量也-Nimtf.£A=，EWE1sxzH奶F，曲/馬

21、，iAi'i.K匕bjiMiri*SBC-f*gzintEeirKe：t-rLTiFerr-i-dk一碇,LNsSlles,LN=CWf1QliFatifliriiMfiylte»icnnfiquLNEibn產(chǎn)Naw1«Jd躋C=MTOS仆*3CNum»F,EHOHULlI膜黑麟，B«煙衿-Cl餐心主機irjLiri<mi1CK：b-jdtrmjiXrocCNCflifiWiK-l?jdcoCNEMM孔rjJT內(nèi)吁Gult-Fifq：-3七穴，1'個.|：H.1ng.C1MHisR£01Jli2pCN»S<

22、rvcris|C>t4«fAM1t-HWt-Si«-Huetruin>wbzftnce:七卻必瞳務(wù)修黜|RID回七r-rt,tn<e；trjuivferinJOUi-rE增克此CNTH?Settings；cmmtdj-bsetting's,七局XTM5eCtingsxeiMX的fi0門t*on.oc,iKrctoBCli«ConfiguratlM.DCablcInra.DC.,it。KXsClmFf典mEi.OCisbjch*&110cPDC-CWHTDSSCI?R?«!CN-MTDiset11r*gsPIrfOlJft

23、?/構(gòu)CKICSSettingsXN-wImSOIS10 .輸入transferschemamaster,遷移架構(gòu)主機角色，點擊是11 .輸入Netdomqueryfsmo,查看角色轉(zhuǎn)移情況nUtrHtor*8JDEH0>UJsFsMidninietrat&ik.BJDEPioneedfrquei*yFft*w構(gòu)主機UIN2012R2.hjdtho.cdhwsoftfindous2013nicrosoft所。保留所有權(quán)利名王機HINZ912R2,II1N23L2R2.Itjdenu.con池管理器WIH2ei2R2.bJdcnP.CQR主機UlN012ft2.bjaeno.cot

24、h成功完成.管理員:C;Windowss-ystern32cmd.exe（三）降級windowsserver2008R2域控級別，刪除上面域服務(wù)，然后windowsserver2012R2上提升域功能級別。1.首先我們登陸到windowsserver2008R2上（源域控服務(wù)器），運行dcpromo。2.彈出域服務(wù)安裝向?qū)?，點擊下一步Directory域JR務(wù)x|J此外復(fù)機黑是ActiveDirectory閾空制器中同傳用r鶻攘碾毒服務(wù)器上的小山以由皿蠲有關(guān)配奈"Dinctor爐臟雕符的注細(xì)隹息|下一步黨”取消彈3.彈出警告，點擊確定©IActiveDirectory技解務(wù)

25、安攀向?qū)g迎使用ActiveDirectory域獴務(wù)安裝茴導(dǎo)此計算愚IhmoMy域控制署分可使用章茴翩海毒服務(wù)器上的4cDirtctry上赫AetinSiraetery展庵努安裝向?qū)戶前8用之Ct詈*II于域務(wù),用F服意地錄Ct芳dssAE飛=可褊矗ai制口確息.Mi錄&器中全局編Active可訪問其他蠲定5.在刪除DN峻派頁面，點擊下一步6.輸入新的管理員密碼，然后點擊下一步7,在摘要頁面點擊下一步8.卸載完成后，回到windowsserver2012R2域控制器上，然后打開AD管理中心，在任務(wù)欄中點擊“提升林功能級別”。瞳Oirvdor.ActiveDirectory管理中心*b

26、jdemo體地）（«*adbiMnhlMiDvRhJT<sn£ai-nwforup_MM!如SrFWflMd.網(wǎng)BQvMk片摩即b>UiTPMMwtK*tffN*v*msan*CT-MAWW*if鹿QuOtfeIpiKCOjteUjHlV1liii/gf,g接下來用同樣方法，提升域功能級別，到這里，域升級的工作步驟就差不多了，接下來就是在工作中驗證新遷移的域有沒有存在身份驗證問題，所以建議在域遷移升級后，不要急于刪掉原來的域控制器，等確保無誤后，再刪除域控?？梢陨壍竭@些版本W(wǎng)indowsServer2012R2Standard或WindowsServer201

27、2R2DatacenterWindowsServer2012R2DatacenterWindowsServer2012R2StandardWindowsServer2012R2Standard或WindowsServer2012R2DatacenterWindowsServer2012R2DatacenterWindowsServer2012R2Standard（四）利用就地升級的方式升級域控制器到windowsserver2012R2卜表列出了支持就地升級的路徑:可以將運行WindowsServer200864位版本或WindowsServer2008R2的域控制器升級至ijWindowsServer2012R2。運行WindowsServer2003或WindowsServer200832位版本的域控制器則無法升級。若要替換它們，請在域中安裝運行WindowsServer2012R2的域控制器，然后刪除運行WindowsServer2003的域控制器。如果運行下列版本帶有SP2的WindowsServer2008Standard或帶有SP2的WindowsServer2008Enterprise帶有SP2的WindowsServer2008DatacenterWindowsWebServer2008帶有SP1的WindowsS