我们目前有一个基于 2 个 Windows Server 2000 服务器的 Active Directory 系统。我们想用基于 Server 2012 R2 Essentials 的 AD/文件服务器替换它。
由于我们无法简单地将 2012 系统作为 AD 服务器添加到旧系统,因此我们计划按以下方式进行操作。这是最好的方法吗?我们应该注意什么?
S1 = Server 2000 主域控制器。
S2 = Server 2000 辅助域控制器。
T1 = 临时 Server 2008 系统。
F1 = 最终 Server 2012 系统。
- 将 S1 更新到 2008 兼容,使用 adprep(forestprep 和 domainprep)允许 2008 DC 加入域。(完成)。
- 启动临时 2008 服务器 – 完成 (T1)。
- 将 T1 提升至 DC – 完成。
- 使 T1 成为主服务器。
- 降级所有其他现有 DC(S1 和 S2)。
- 将森林升级到 2003/2008 功能级别。
- 将 F1 提升至 DC。
- 使 F1 成为主控。
- 降级临时服务器 T1。
- 从域/存在中删除临时服务器 T1。
- 在 F1 上运行 2012 Essentials 安装向导。
这是否合理,或者有更好的方法吗?此外,我们是否应该注意什么,或者我们可以用来测试什么。
最后,我认为 2008 服务器在具有多台计算机的 AD 系统中运行的时间有 21 天的限制。此限制是从我们安装操作系统/将其添加到域时开始的,还是从我们首次将其设为 AD 服务器时开始的。
答案1
请注意,执行此操作后,您无法轻松地返回到功能级别,只能从备份还原。当我这样做时,我关闭了其中一个 DC,直到我 100% 确定当前功能级别上的一切正常。从 2003 到 2008 似乎是最危险的,因为一些旧程序可能会有问题。(我们没有遇到任何问题,但从我读到的内容来看,它所做的更改最多)
答案2
这些通常是操作系统和域项目。我没有任何 SBS 又名 Essentials 经验。
在开始之前和过程中进行备份,这样如果出现问题,您可以恢复到已知的良好状态。
FRS 在 2012 年不再存在。添加步骤 6B,将 Sysvol 复制从 NTFRS 迁移到 DFSRhttps://technet.microsoft.com/en-us/library/dd640019(v=ws.11).aspx
如果您的域控制器也是您的 DNS 服务器,则需要更新客户端上的 DNS 解析器地址。如果一切都是 DHCP,则比较容易;如果许多客户端都有静态地址,则比较难。无论哪种方式,您可能希望在开始之前将所有潜在的 DC 地址分配为解析器,然后在完成后删除已停用的地址。
说到这,你似乎一开始有 2 个 DC,最后只有 1 个。这绝不是一个好主意。始终有 2 个 DC 以实现冗余。
您是否有其他旧系统需要 DC 提供 DES 加密?您的 2008 和 2012 DC 将不再默认使用 DES。您可以重新启用它,但您不应该这样做,因为 DES 已被证明存在漏洞。
您计划在多长的时间范围内完成这项工作(几小时/几天/几周)?
我问这个问题的原因涉及到一些不太常谈论的 Kerberos 细节...
KRBTGT 帐户是一个用于签署域中所有 Kerberos 票证的特殊帐户。域功能级别的每次更改也会更改 KRBTGT 帐户上的密码。默认的 Kerberos 票证有效期为 10 小时。AD 存储该密码的当前值和以前的值,以防止更改期间服务中断。但如果该密码在 10 小时内更改超过一次,您将遇到无效 Kerberos 票证的问题。选项:
- 在 DFL 更改之间等待 10 小时
- 修改域策略以颁发具有更短有效期的 Kerberos 票证(https://technet.microsoft.com/en-us/library/dd277401.aspx)
如果您不等待或者不更改有效期,请做好准备,因为这些问题将需要重新启动和/或注销计算机和用户才能获得新票证。