AD 从 SBS2011 迁移到 2012 R2 和新域

AD 从 SBS2011 迁移到 2012 R2 和新域

我们有一个现有的 SBS2011 服务器,想迁移到新的 2012 R2 服务器。理想情况下,我们希望在新域中执行此操作 - 1. 我们希望重新组织 OU 以删除以“SBS”命名的内容(即,所有用户都不在用户中,他们在 SBSUsers 中,等等...)2. 我们希望转到更符合最佳实践的域名(subdomain.ourdomain.com 而不是 name.local)。

我正在尝试找出进行此迁移的最佳方法。我读过的大多数文章都说,迁移的方法是将新 DC 添加到现有域,提升它,让所有内容同步,然后降级旧域。然而,这并不能解决我们对命名或重组的担忧。

我也考虑过跨森林的东西,但据我所知,你要么需要 ADMT(2012 年不支持),要么可能需要付费工具(不太可能,因为我们是非营利组织,而且预算很少)。

最后,我可以导出用户并导入他们,但这似乎需要针对用户、计算机、组等采取不同的步骤...我担心它们能否很好地融合在一起。另外,据我所知,如果没有上述工具之一(甚至可能没有!),我仍然无法在不让所有用户重置密码的情况下做到这一点。

由于我们正在将其迁移到 Office 365,因此 Exchange 在这里不是一个变量(我不这么认为!),并且为了简单起见,暂时不添加 SSO,直到所有其他问题都解决为止。

我缺少的是否有一个选项可以让我们满足所有标准 - 能够更改域名并保留标准 OU 布局而不是 SBS,不购买昂贵的第三方工具,并且对用户帐户/密码没有影响?

答案1

Exchange 2007 及更新版本阻止您执行域名重命名。既然您说要放弃本地 Exchange,那么这不是一个因素。我认为这为一个比创建任何类型的新林或域更简单的过程打开了大门:

  • 完成向 Office 365 的迁移并从 SBS 2011 环境中删除 Exchange。

  • 将临时 DC 添加到现有域并将 AD(以及所有 FSMO 角色)从 SBS 服务器迁移出去,在此过程中将 SBS 服务器降级回域成员。(此后,您将有 21 天的时间来完成迁移。)

  • 执行域重命名。

  • 添加您的永久 W2K12 R2 DC 并降级/删除临时 DC。

  • 根据您的喜好重命名/移动 AD 中的 OU(GPO 等)。

  • 将任何其他功能从 SBS 机器中迁移出去并退役它。

临时 DC 并非绝对必要,但我可能会这么做(因为我很迷信)。域重命名听起来很难,但如果没有 Exchange,它实际上非常简单。如果您对此很担心,请使用隔离网络上的虚拟机模拟您的环境并尝试一下(最好使用从您的生产网络“收集”并放入虚拟环境中的 AD 的真实副本)。

当您执行此操作时,您也必须放弃 SBS 2011 设置创建的默认证书颁发机构。停用企业 CA其实也不是那么难,假设你实际上没有用它做任何事情。(如果你用它做任何事情,那么无论你采取什么迁移策略,你都需要担心这一点。)

完成所有操作后,您将拥有一个漂亮闪亮的新域名,您的 OU 将看起来像您想要的那样,所有用户密码都将是完整的,并且所有域成员计算机都将具有完整的域信任。

经过适当的规划、测试和执行,生产域重命名和迁移可能只需要几个小时即可完成。(显然,您在前期规划和测试上所花费的时间将在实际操作时带来巨大的回报。)

(我还将在新的 W2K12R2 机器上导出反映旧 SBS 机器导出的共享的共享,并将 SBS 机器添加为DNS 别名到新服务器。然后,现有快捷方式、UNC 等将在迁移后“正常工作”。

编辑:

我不知道为什么人们在域名重命名方面如此谨慎。你需要制定计划并有条不紊地执行,但对我来说这很轻松。我已经进行了三次生产域名重命名,没有遇到任何问题(除了嵌入式设备中使用的早已被遗忘的 FQDN 需要更改)。两个环境有 Exchange 2003,一个没有。一个只有一个 DC,另外两个有多个 DC。我在虚拟机中模拟了前两个环境(有 Exchange 的环境),但第三个环境我只是在生产网络上运行,没有模拟(因为它非常简单——单个 DC,没有 Exchange)。

这是上面的要点“执行域重命名”,分为几个步骤。

就微软文章而言,我更喜欢:域名重命名的工作原理 本文包含很多多余的背景,但是基本步骤都在那里。

对于具有单个 DC 的单个域林,该过程非常简单:

  • 退役任何企业 CA 根。

  • 为新域名创建一个新的 AD 集成 DNS 区域。

  • 将林功能级别设置为 Windows 2003 或更高版本。

  • 运行rendom /list生成森林描述文件(Domainlist.xml)。

  • 编辑Domainlist.xml文件以反映新的 DNS 和 NetBIOS 域名。

  • 运行rendom /showforest,以“友好”的方式显示Domainlist.xml文件,并检查输出以确保您进行了正确的编辑。

  • 运行rendom /upload命令将新域名安装到 Active Directory 中。此时不会发生重命名 - 您只是在为重命名准备 AD。在多 DC 环境中,这将启动将重命名指令复制到所有 DC。

  • 运行rendom /prepare命令以验证重命名的准备情况。在多 DC 环境中,此命令检查每个 DC 以确保它们都已收到重命名指令。在所有 DC 都复制了重命名指令之前,无法开始重命名。(更改必须几乎同时发生在所有 AD 数据库副本上。)执行后,rendom /prepare您无法将任何新域添加到林中或将 DC 添加到域中,直到您执行为止rendom /clean(见下文)。

  • 运行rendom /execute命令以执行重命名。这将指示 DC 执行重命名。每个 DC 将把其 AD 数据库切换到单用户维护模式,执行重命名,然后重新启动回到正常运行状态。

  • 一旦所有 DC 都完成重命名,执行‘Gpfixup’使用适当的新旧域名来将组策略对象中对旧域名的任何引用更新为新名称。

  • 更改每个 DC 上的主 DNS 后缀因为它们不会自动改变。我不知道为什么微软没有自动进行这些更改,但他们确实没有。进行此更改后再次重新启动 DC。

  • 重新启动所有域成员计算机两次。这不必立即完成(我将域保持在此状态几周)。域成员计算机将“检测”已执行域重命名,并在两次重新启动期间自动更新。

  • 重新启动所有域成员计算机两次后,执行rendom /clean命令以清除 AD 中的重命名指令并将域返回到正常运行状态。

  • 将任何非域成员记录迁出后,从 AD 中删除旧域的 DNS 区域。

就像我说的 - 单域、单 DC 环境很简单,因为您不必担心域重命名指令的复制或能够联系所有 DC。

就副作用而言:

  • 您确实需要意识到域 DFS 根名称将会改变。如果您有来自域 DFS 路径的组策略软件安装,您将看到软件的重新安装(因为组策略客户端会认为该软件未安装)。

  • 如果您/clean过早加入域(在所有成员计算机重新启动两次之前),您可能会遇到需要手动脱离并重新加入域的机器的状态。

  • 在更大的环境中,当新的 DNS 区域填充时,您将看到复制流量的增加。

相关内容