据我所知,有两种方法可以将 AD 升级到较新的版本(比如从 2003/2008 升级到 2008R2):要么添加新的 DC,要么对现有 DC 进行就地升级,然后使用 ADMT 迁移到新的林/域。最新的选项可以保证您的架构干净,您可以重新开始,但这样做会更困难,并且可能会破坏环境。
我的问题是,除了标准 DCDIAG 之外,我该如何测试或检查什么才能确保无需域/林迁移的就地升级对我来说是可行的,并且升级后的环境不会带来任何来自旧环境的问题?除了需要合并名称和对旧 AD 架构的理论担忧之外,还有什么可以证明通过迁移到新域/林进行 AD 升级是合理的?
答案1
没有“常规”原因需要通过迁移到新域来升级您的域。如果您需要更改域名并且正在运行 Exchange(因此域重命名不可用),或者您实际上以某种无法修复的方式破坏了 AD,您可能会这样做。后者的可能性很小。我认为将架构更改回常规架构是一个潜在的有效原因,但它不会影响大多数域。
除非你知道您需要更改您的域名或模式,只需添加适当版本的新 DC、淘汰旧 DC,并根据需要升级您的功能级别。
答案2
如果这确实值得您花时间,请先进行测试,看看结果和工作量是否符合您的预期。迁移到新林并非一项简单的任务。
进行全新安装的一个驱动因素是现有目录经历了一段“非结构化演变”时期,其中的一些更改没有得到正确记录。
这个。这就像重构代码一样。
如果你当前的林是健康的(复制/目录服务日志中没有错误,dcdiag /e /i看起来很干净,而且您不知道存在问题,最好坚持使用现有的目录。
答案3
如何检查?备份几个生产域控制器,将其还原到生产 Active Directory 网络无法访问的测试环境(重要),执行更新(adprep 和 dcpromo),然后执行验证。这可能就像在笔记本上设置虚拟机一样简单。可以说,在进行生产升级之前,您最终还是需要有一个离线测试环境。
如果安装了某些东西来更新您想要删除的架构,您通常会意识到这一点,因为各种对象(用户/组/计算机/OU)上可能存在不再需要的属性。
选择全新安装的一个驱动因素是现有目录经历了一段“非结构化演变”,其中有一些更改没有得到正确记录。另一个驱动因素是,如果您不能冒更新出现任何问题的风险,并且无法撤消。
添加第一个上级域控制器时需要关注的一个方面是,如果您拥有大型目录和/或大量域,则每当您执行架构更新(使用 adprep /forestprep)时,所有全局编录分区都会重建。这可能需要很长时间。这也适用于其他大型架构更新,例如 Exchange。
如果您现有的域以 Windows 2003 开始,并且尚未启用严格复制,则应立即启用该功能,以显示目录中的任何虚假对象,这样它就不会与升级相关联。您可以在此处阅读更多相关信息:
启用严格复制一致性
http://technet.microsoft.com/en-us/library/cc784245%28v=ws.10%29.aspx
如果目录中有残留对象,启用严格可能会导致复制停止,因此需要在升级之前处理这些对象。如果出现大量此类对象,可能是时候考虑全新安装方法了。