我没有创造这个环境/混乱——只是试图“修复”它。
目前网络中唯一的 DC 是 2000 服务器。刚刚购买了两台 2016 服务器,准备安装/配置。我知道我目前无法将 2016 服务器加入域,因为它们不会加入 2000。那么,我升级/更换 DC 的最佳选择是什么?这是一个 20 个办公室环境,总共约有 175 个用户。DC 只有 DC、AD 和 DNS,没有 DHCP,没有 FS,没有其他应用程序。
- 我是否真的愿意费力安装 2003 或 2008 服务器,以便将 2000 过渡到 2016 可以与之通信的服务器?如果是这样,最好的步骤是什么?
- 我是否只需在网络外从头构建 2016 个服务器,就像一个新的网络一样,手动输入用户和 DNS 信息(如果这是更简单的选择,则不必担心时间),然后拔下 2000 个服务器并插入 2016 个服务器?
- 如果我选择后者,那么我是否需要让每台 PC 再次加入域?或者,如果我手动将设备/用户信息输入到新服务器中,他们是否只会进行身份验证?
- 我可以从 2000 服务器导出任何内容并将其恢复/导入到 2016 服务器吗?
我在网上搜索过,但找不到这个场景。任何想法都非常感谢。尝试为用户群提供最轻松的过渡,特别是因为他们分布在许多远程办公室。
在其他地点增加 DC 是未来的一个问题。
答案1
如果目标是让用户使用起来最方便,那么粗略的步骤如下:
- 安装 2008 DC 并与现有的 2000 DC 进行复制
- 将 FSMO 移至新的 2008 DC
- 淘汰老款 2000 DC
- 将 AD 的功能级别提升至 2008
此时,您已准备好引入 2016 DC。
这大的您的第二点的问题是创建新域会强制您的用户和计算机使用所有新的 AD 帐户。请注意,创建具有完全相同名称的帐户不会授予相同的权限,因为这一切都基于 SID。
因此,在这种情况下,您需要重新加入所有 PC,所有用户都需要重置密码,对于超过少量 (<5) 个用户和计算机的任何事情来说,这听起来都是一个巨大的损失。如果您的某个用户碰巧在客户端加密了文件,这也依赖于 AD SID,而清除 AD 将清除对文件的访问权限。
作为奖励,2008 DC 可以作为您的辅助 DC(始终有 2 个 DC),因此您现在只需要安装 1 个新的 2016 DC。这将足够稳定,让您继续使用下一个版本,直到 2020 年 2008 支持结束。如果到目前为止 2000 对网络来说已经足够好,那么将 AD 迁移到 2016 似乎不会带来巨大的好处。
答案2
我会考虑采用分阶段升级方法,将 Server 2008 DC 引入现有域,然后迁移所有 FSMO 角色。以下文章是将域升级到 2008 或 2008 R2 的指南
https://technet.microsoft.com/en-us/library/cc731188(v=ws.10).aspx
到达那里后,您可以添加 2016 DC 并重复该过程。这样,所有用户、组和关键计算机都将遵循您的升级。
如果您创建一个全新的林,那么您可以使用 AD 迁移工具将对象从旧林迁移到新林:
https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
如果您使用此工具,则无需手动重新添加所有用户帐户等。