使用新域添加新的活动目录

Question 1

我希望我听起来不要太粗鲁，但是您的客户应该聘请一个知道如何维护 Active Directory 的人。

您说“主要”和“次要”DC 之类的事情，这显示出您非常无知。AD 中没有“主要”和“次要”域控制器之类的东西。它是一个多主环境（不是“主动-主动”）。DC 上托管有 FSMO 角色，但它们不会影响复制或组策略传播（好吧，有一个角色会影响，但不是为了这个目的）。

我将解释一些非常高级的因素和基本说明，以便您能够稍微了解您所处的情况。

这里有两件事：增加域控制器的服务器操作版本，并执行域重命名。

让我们从简单的部分开始，即服务器和域升级。

域名是否健康？如果不健康，就不要开始。您/客户是否拥有 Microsoft 的 Premier Support 帐户？如果没有，不要继续. 使其成为一个条件。
要升级域控制器，您至少应该升级到 Server 2016。2012 R2 现已不再受主流支持。现在不要为此烦恼。对于域功能，它没有太大区别，但它有助于使用 Windows Hello 等新功能。最好的部分是它是在下面主流支持由 Microsoft。
客户端是否使用 DHCP 获取其网络地址？服务器如何获取其 DNS 设置？DHCP 还是 GPO？如果不是，并且域服务器或其他客户端具有硬编码的 DNS 客户端设置，您可能需要“回收”现有的 DC IP，以确保不会在客户端计算机上丢失 DNS。
域中是否有任何旧工作站？任何低于 Windows 7/Server 2008 R2 的工作站？如果有，那么您已经会遇到问题。是的，您可以升级域，但您需要制定一些安全策略。理想情况下，应先从域中删除所有旧成员机器。如果仍然有 2003 DC，那就太糟糕了。
是否有任何东西依赖匿名 LDAP 绑定来对 DC 执行 LDAP 查询？如果是，请修复它们。除非它已使用超过 25 年，否则 LDAP 客户端应该能够通过身份验证来执行 LDAP 查询。在任何此类应用程序修复之前，请勿继续（为其创建一个服务帐户以用于执行 LDAP - 它不需要任何特殊权限来进行正常查询）。
是否有任何帐户配置为使用仅 DES 加密？我不在乎 20 年前的 SAP 说明说了什么，它是错的（除非您的 SAP 有 20 年历史）。修复所有使用仅 DES 加密的帐户。有脚本可以找到它们。谷歌。
确定林和域功能级别。它必须至少为 2003 本机模式。如果不是，您将无法继续添加 2016 DC（再次强调，您应该这样做。没有争论。）我假设只有一个 AD 站点。查看事实就是如此。
在 DNS 中，所有区域是否都已集成 AD？如果 DC 上有任何主要区域不是AD 集成，然后继续转换它们。复制应到“此域/林中的所有 DNS 服务器”（两者都可以，域为默认）。
_msdcs 区域是单独的区域吗？还是它位于主域区域“下方”？如果它不是单独的区域，请将其移出。这有一套完整的程序。
DC 是否复制了任何辅助区域？如果有，则应记录它们 - 辅助区域配置是每个 DNS 服务器的。它们不存储在 AD 数据库中。同样，任何复制到外部辅助服务器的主要区域都应记录这些配置 - 再次强调，它们是每个 DNS 服务器的设置，而不是域范围的设置。
记录DNS 转发器对于每个 DC。这很关键。有些脚本会转储 DNS 配置 - 为每个 DC 运行它们，因为它们可能具有不同的配置。
记录 PDCE 模拟器 FSMO 角色持有者的 NTP（时间服务）配置。我强烈建议通过组策略配置 NTP。如果你谷歌搜索，就会找到指南。
构建离线实验室环境（您需要至少两台可以通过网络通信进行 BASIC 测试的机器），备份 Active Directory 并将其恢复到实验室中的一台计算机，使其成为新的 DC。然后将另一台实验室服务器提升为另一个 DC。检查复制是否有效。检查您是否可以将客户端计算机添加到实验室中的域并进行身份验证、添加新用户等。如果您不知道如何恢复 Active Directory 和重建域，您应该停止现在。
测试完 AD 恢复过程后，您就可以规划升级了。您应该知道是否存在极端的旧客户端（2008 R2/Windows 7 之前的版本），最好在升级之前制定计划以摆脱它们。如果客户不想制定淘汰旧机器的计划，那就放弃这份工作吧（因为您显然没有足够的经验来处理棘手客户的复杂情况）。
现在升级。如果你不理解以下任一步骤，停止现在不要继续。
这假设您需要回收 DC IP 地址以保持 DNS 客户端正常工作。如果您可以更改 DNS全部如果通过 GPO 或 DHCP 范围配置将域客户端（包括服务器）连接到 IP 地址，那么它就不那么重要了。我认为您应该保留至少一个现有 IP 地址“以防万一”（除非您必须在新网络上构建）。
我建议在周末或下班后进行任何 DCPromo 或 DC 重启。新 DC 的基础服务器构建可以随时进行。从 Microsoft 获取 AD 复制状态工具（免费下载）并将其安装在某处 - 可以是任何成员服务器/跳转箱。
构建将成为新 DC 的第一台 2016 服务器并将其加入域。现在使用任何 IP - DHCP 都可以。安装 DNS、AD DS、DFS 命名空间和 DFS 复制角色和功能。可能还有 WINS。考虑完全删除尚未安装的所有其他角色和功能。特别是删除 SMB1（因为您没有为任何旧客户端提供服务，你是？）
使用 2016 服务器执行 AD forestprep 和域准备。执行 DCpromo 时，Domain\forestprep 将自行运行，但最好单独执行此操作并确保域复制新架构且运行良好。这可以随时完成。
如果域/森林准备工作正常，请等待一夜，然后在早上检查复制/广告健康状况。
将 FSMO 角色转移到 2008 R2 服务器（如果它们尚未存在）
为 2003 域控制器分配一个新的临时 IP 地址。确保记下“旧”地址（用于在新 DC 上回收）。
在 2003 DC 上，更改网络适配器上的 DNS 客户端配置，以便 2008 R2 DC 为第一个，其旧 IP 为第二个，新 IP 为第三个，127.0.0.1 为最后一个。
将 IP 地址更改为 2003 DC 上的临时 IP 地址。重新启动它并确保 Netlogon 服务在 DNS 中的 _msdcs 命名空间中注册新 IP 的 SRV 记录。请注意，您的 DNS 客户端现在将仅解析一台服务器进行 DNS 查询。（这就是为什么这应该在下班后/周末完成的原因）
检查DCDIAG2003 DC 上的域复制和身份验证。查看 _msdcs 中是否有任何 SRV 记录仍指向 2003 DC 的旧 IP 地址。如果有，请删除它们。尽量不要删除新 IP！但如果您犯了错误，只需NETLOGON在 DC 上重新启动，它就会重新注册记录。运行 AD 复制状态工具并检查一切正常。如果一切正常，您可以添加第一个 2016 DC。
在新的 2016 服务器上，确保网络客户端 DNS 配置为指向 2008 R2 DC 的 DNS。使用旧的 2003 IP 地址将服务器 IP 地址更改为静态条目。重新启动服务器。然后，您可以 DCpromo 2016 域控制器。它应该是一个全局目录。大约半小时后，为了确保一切正常，请检查 SYSVOL 是否在服务器上共享，复制是否正常工作repadmin /replsum，是否没有错误DCDIAG，事件日志中没有严重错误，并且帐户正在向新 DC 进行身份验证。如果DCDIAG显示一些错误，请在一小时后再次检查。
在新的 2016 DC 上，一旦恢复正常，就更新服务器网络配置，以便其 DNS 设置首先为 2008 R2 DC，然后是其自己的 IP 地址，最后是 127.0.0.1。
在 DNS 服务器控制台中更新 DNS 转发器。确保重新创建所有辅助区域、辅助主服务器的配置以及从 2003 服务器 DNS 服务配置中提取的任何其他详细信息。
等待几天/周末，检查域中一切是否正常。运行 AD 复制状态工具。再做一次 AD 备份（无论如何，您每天都应该这样做 - 确保在 DC 升级期间不会覆盖相同的备份！）。
很重要- 确保新的 2016 DC 从域客户端获取 DNS 请求并为其提供服务。
等待一天/一夜并检查域中的一切是否正常。
构建下一个 2016 DC，安装与第一个相同的角色，然后将其加入域。首先将网络适配器 DNS 配置为指向另一个 2016 DC 的 DNS，然后是其自己的 IP，最后是 127.0.0.1。
为2008 R2 DC分配一个临时IP地址。
与 2003 服务器类似，在网络适配器上配置 2008 R2 DNS 客户端，首先指向 2016 服务器，其次是旧 IP，第三是临时 IP，最后是 127.0.0.1。将新 IP 地址分配给网络适配器并重新启动。确保 Netlogon 在 _msdcs 区域中为自己注册 SRV 记录。
在 2008 R2 服务器上进行所有检查，确保 SYSVOL 已共享，复制工作正常repadmin /replsum，DCDIAG 中没有错误，事件日志中没有严重错误，并且帐户正在进行身份验证。等待一夜以确保一切正常，然后在早上重新检查。
查看 _msdcs 区域中是否还有任何 SRV 记录仍指向 2003 年 DC 的旧 IP 地址。如果有，请将其删除。
在新的 2016 服务器上，确保网络客户端 DNS 配置为指向 2016 DC 的 DNS。将服务器 IP 地址更改为旧的 Server 2008 R2 地址。重新启动服务器。
然后再次 DCpromo 2016 域控制器 - 全局目录。大约半小时后，为了确保一切正常，请检查服务器上是否共享 SYSVOL，如果是，则复制是否正常工作repadmin /replsum，是否没有错误DCDIAG，事件日志中没有严重错误，并且帐户正在向新 DC 进行身份验证。如果DCDIAG显示一些错误，请在一小时后再次检查。
在新的 2016 DC 上，更新 DNS 服务器控制台中的 DNS 转发器。确保重新创建从 2008 R2 服务器 DNS 服务配置中提取的所有辅助区域、辅助主服务器和任何其他详细信息的配置。
一旦新的 DC 恢复正常，第二天，更新第一个 2016 DC 上的网络适配器，使新的 2016 DC 作为列表中的第一个 DNS 服务器，将其自己的 IP 作为下一个 DNS，最后为 127.0.0.1。运行 AD 复制状态工具以获得良好的效果。
现在您有 4 个 DC - 两个旧 DC 和两个新的 2016 服务器。新服务器使用旧 DC 以前的 IP 地址，因此 DNS 对客户端来说应该没问题。
将您的 FSMO 角色转移到 2016 DC 之一。确保DCDIAG并repadmin显示复制工作正常。如果您还没有费心通过 GPO 配置 PDCE NTP 服务，请立即在新的 PDCE 上修复它（只需执行 GPO）。
等待几天 - 到下个周末。备份！AD 复制状态工具。如果域是健康的，则降级 2003 DC 并将其从域中删除。如有必要，执行元数据清理。确保从 AD 站点和服务中删除 2003 DC（无论它出现在何处），并且从 _msdcs DNS 区域中删除所有 2003 DC SRV 记录。
再等几天 - 下个周末！备份。域健康。AD 复制状态工具。如果一切正常，请降级 2008 R2 DC 并将其从域中删除。如有必要，执行元数据清理。确保从 AD 站点和服务中删除 2008 R2 DC（无论它出现在何处），并且从 _msdcs DNS 区域中删除所有 2008 R2 DC SRV 记录。
现在您有两个 2016 DC 运行 2003 本机模式林和域。您还没有完成。执行域健康检查。AD 复制状态工具。
安排域和林功能级别升级，以及 SYSVOL 迁移到 DFSR。不要允许客户端推迟 DFL/FFL 升级。这是毫无意义的，并且会使域失去许多新 AD 功能的好处。以下是 FFL 和 DFL 指南。安全性方面最重要的变化发生在 2008/2012 年，其中 Kerberos 的 AES 加密类型可用，DES 加密类型被弃用。https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory- functional-levels。将 SYSVOL 迁移到 DFSR 没有影响 - 只是有点麻烦。
备份
您需要将 FRS SYSVOL 迁移到 DFSR。我帮您谷歌了一下，这是权威性指南。遵循它。https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/
一旦 SYSVOL 完成并且复制时没有错误，请继续执行 DFL/FFL。我希望您已经阅读了有关潜在安全方面的所有文档。如果您注意到我在开始时提出的警告（没有仅使用 DES 的帐户，没有匿名 LDAP 等），那么这应该不是什么大问题。阅读上面的指南。点击链接。然后继续按照文档末尾链接的步骤先执行 DFL，然后执行 FFL。检查 AD 健康状况！这些步骤的好处是，如果出现问题，很快就会很明显。致电微软如果有的话。不要乱来。

现在，虽然这些步骤看起来非常详细，但实际上并非如此。我还没有讨论 WINS，这是魔鬼的诅咒。我甚至懒得询问这个 AD 的大小。我希望它在一个站点中少于几千个用户。有了 2 个 DC，您就不可能再提供服务了。我还没有谈到这些对 Kerberos 加密的影响，以及环境中哪些您不知道的非域加入垃圾可能会使用 AD。

在我上一份工作中，我们发现用于管理整个网络的软件使用了一个不安全的 LDAP 配置，该配置指向一个单一的旧式 DC IP（甚至不是一个 DNS 名称），我们之所以发现这一点，是因为我们决定不需要回收该地址，并关闭了该特定的 DC（这是第二一个具有该地址的 IP 地址 - 他们应该在那之前修复他们的配置）。让我告诉你，当网络工程师无法维护公共安全组织的关键基础设施时，他们会非常焦躁，即使他们提前几个月被告知要修复使用这些协议的任何系统。（几年前，当旧的 DC 退役时！这就是为什么我不喜欢为没有执行主/辅助 DNS 的 DC 回收 IP 地址 - 它可以清除配置错误的系统）。

他们的变更控制和文档流程是怎样的？您将如何进行适当的测试？

测试 AD 备份和域恢复是开始的最低要求。没有测试看看您的应用程序是否能与新的 AD 安全性配合使用，其中一些是在您安装具有更高操作系统的新 DC 时引入的 - Server 2012 R2 是一个很大的变化。顺便说一句，这与 DFL/FFL 无关。它是 DC 操作系统。

我们甚至还没有进入新的域安全配置并更新 GPO 以反映当前的最佳实践（如果他们有 2003 DC，他们可能不会那么在意，除非这是试图修复问题……使用缺乏经验的技术人员）。例如摆脱 NTLMv1、SMB1 等。

企业在无法获得任何事物如果你搞砸了，可能需要几天时间？当然，前提是你有 Premier Support 的帮助。

我写下所有这些准细节，希望能够吓到你，从而让你建议他们聘请具有适当经验的人。

Answer

我希望我听起来不要太粗鲁，但是您的客户应该聘请一个知道如何维护 Active Directory 的人。

您说“主要”和“次要”DC 之类的事情，这显示出您非常无知。AD 中没有“主要”和“次要”域控制器之类的东西。它是一个多主环境（不是“主动-主动”）。DC 上托管有 FSMO 角色，但它们不会影响复制或组策略传播（好吧，有一个角色会影响，但不是为了这个目的）。

我将解释一些非常高级的因素和基本说明，以便您能够稍微了解您所处的情况。

这里有两件事：增加域控制器的服务器操作版本，并执行域重命名。

让我们从简单的部分开始，即服务器和域升级。

域名是否健康？如果不健康，就不要开始。您/客户是否拥有 Microsoft 的 Premier Support 帐户？如果没有，不要继续. 使其成为一个条件。
要升级域控制器，您至少应该升级到 Server 2016。2012 R2 现已不再受主流支持。现在不要为此烦恼。对于域功能，它没有太大区别，但它有助于使用 Windows Hello 等新功能。最好的部分是它是在下面主流支持由 Microsoft。
客户端是否使用 DHCP 获取其网络地址？服务器如何获取其 DNS 设置？DHCP 还是 GPO？如果不是，并且域服务器或其他客户端具有硬编码的 DNS 客户端设置，您可能需要“回收”现有的 DC IP，以确保不会在客户端计算机上丢失 DNS。
域中是否有任何旧工作站？任何低于 Windows 7/Server 2008 R2 的工作站？如果有，那么您已经会遇到问题。是的，您可以升级域，但您需要制定一些安全策略。理想情况下，应先从域中删除所有旧成员机器。如果仍然有 2003 DC，那就太糟糕了。
是否有任何东西依赖匿名 LDAP 绑定来对 DC 执行 LDAP 查询？如果是，请修复它们。除非它已使用超过 25 年，否则 LDAP 客户端应该能够通过身份验证来执行 LDAP 查询。在任何此类应用程序修复之前，请勿继续（为其创建一个服务帐户以用于执行 LDAP - 它不需要任何特殊权限来进行正常查询）。
是否有任何帐户配置为使用仅 DES 加密？我不在乎 20 年前的 SAP 说明说了什么，它是错的（除非您的 SAP 有 20 年历史）。修复所有使用仅 DES 加密的帐户。有脚本可以找到它们。谷歌。
确定林和域功能级别。它必须至少为 2003 本机模式。如果不是，您将无法继续添加 2016 DC（再次强调，您应该这样做。没有争论。）我假设只有一个 AD 站点。查看事实就是如此。
在 DNS 中，所有区域是否都已集成 AD？如果 DC 上有任何主要区域不是AD 集成，然后继续转换它们。复制应到“此域/林中的所有 DNS 服务器”（两者都可以，域为默认）。
_msdcs 区域是单独的区域吗？还是它位于主域区域“下方”？如果它不是单独的区域，请将其移出。这有一套完整的程序。
DC 是否复制了任何辅助区域？如果有，则应记录它们 - 辅助区域配置是每个 DNS 服务器的。它们不存储在 AD 数据库中。同样，任何复制到外部辅助服务器的主要区域都应记录这些配置 - 再次强调，它们是每个 DNS 服务器的设置，而不是域范围的设置。
记录DNS 转发器对于每个 DC。这很关键。有些脚本会转储 DNS 配置 - 为每个 DC 运行它们，因为它们可能具有不同的配置。
记录 PDCE 模拟器 FSMO 角色持有者的 NTP（时间服务）配置。我强烈建议通过组策略配置 NTP。如果你谷歌搜索，就会找到指南。
构建离线实验室环境（您需要至少两台可以通过网络通信进行 BASIC 测试的机器），备份 Active Directory 并将其恢复到实验室中的一台计算机，使其成为新的 DC。然后将另一台实验室服务器提升为另一个 DC。检查复制是否有效。检查您是否可以将客户端计算机添加到实验室中的域并进行身份验证、添加新用户等。如果您不知道如何恢复 Active Directory 和重建域，您应该停止现在。
测试完 AD 恢复过程后，您就可以规划升级了。您应该知道是否存在极端的旧客户端（2008 R2/Windows 7 之前的版本），最好在升级之前制定计划以摆脱它们。如果客户不想制定淘汰旧机器的计划，那就放弃这份工作吧（因为您显然没有足够的经验来处理棘手客户的复杂情况）。
现在升级。如果你不理解以下任一步骤，停止现在不要继续。
这假设您需要回收 DC IP 地址以保持 DNS 客户端正常工作。如果您可以更改 DNS全部如果通过 GPO 或 DHCP 范围配置将域客户端（包括服务器）连接到 IP 地址，那么它就不那么重要了。我认为您应该保留至少一个现有 IP 地址“以防万一”（除非您必须在新网络上构建）。
我建议在周末或下班后进行任何 DCPromo 或 DC 重启。新 DC 的基础服务器构建可以随时进行。从 Microsoft 获取 AD 复制状态工具（免费下载）并将其安装在某处 - 可以是任何成员服务器/跳转箱。
构建将成为新 DC 的第一台 2016 服务器并将其加入域。现在使用任何 IP - DHCP 都可以。安装 DNS、AD DS、DFS 命名空间和 DFS 复制角色和功能。可能还有 WINS。考虑完全删除尚未安装的所有其他角色和功能。特别是删除 SMB1（因为您没有为任何旧客户端提供服务，你是？）
使用 2016 服务器执行 AD forestprep 和域准备。执行 DCpromo 时，Domain\forestprep 将自行运行，但最好单独执行此操作并确保域复制新架构且运行良好。这可以随时完成。
如果域/森林准备工作正常，请等待一夜，然后在早上检查复制/广告健康状况。
将 FSMO 角色转移到 2008 R2 服务器（如果它们尚未存在）
为 2003 域控制器分配一个新的临时 IP 地址。确保记下“旧”地址（用于在新 DC 上回收）。
在 2003 DC 上，更改网络适配器上的 DNS 客户端配置，以便 2008 R2 DC 为第一个，其旧 IP 为第二个，新 IP 为第三个，127.0.0.1 为最后一个。
将 IP 地址更改为 2003 DC 上的临时 IP 地址。重新启动它并确保 Netlogon 服务在 DNS 中的 _msdcs 命名空间中注册新 IP 的 SRV 记录。请注意，您的 DNS 客户端现在将仅解析一台服务器进行 DNS 查询。（这就是为什么这应该在下班后/周末完成的原因）
检查DCDIAG2003 DC 上的域复制和身份验证。查看 _msdcs 中是否有任何 SRV 记录仍指向 2003 DC 的旧 IP 地址。如果有，请删除它们。尽量不要删除新 IP！但如果您犯了错误，只需NETLOGON在 DC 上重新启动，它就会重新注册记录。运行 AD 复制状态工具并检查一切正常。如果一切正常，您可以添加第一个 2016 DC。
在新的 2016 服务器上，确保网络客户端 DNS 配置为指向 2008 R2 DC 的 DNS。使用旧的 2003 IP 地址将服务器 IP 地址更改为静态条目。重新启动服务器。然后，您可以 DCpromo 2016 域控制器。它应该是一个全局目录。大约半小时后，为了确保一切正常，请检查 SYSVOL 是否在服务器上共享，复制是否正常工作repadmin /replsum，是否没有错误DCDIAG，事件日志中没有严重错误，并且帐户正在向新 DC 进行身份验证。如果DCDIAG显示一些错误，请在一小时后再次检查。
在新的 2016 DC 上，一旦恢复正常，就更新服务器网络配置，以便其 DNS 设置首先为 2008 R2 DC，然后是其自己的 IP 地址，最后是 127.0.0.1。
在 DNS 服务器控制台中更新 DNS 转发器。确保重新创建所有辅助区域、辅助主服务器的配置以及从 2003 服务器 DNS 服务配置中提取的任何其他详细信息。
等待几天/周末，检查域中一切是否正常。运行 AD 复制状态工具。再做一次 AD 备份（无论如何，您每天都应该这样做 - 确保在 DC 升级期间不会覆盖相同的备份！）。
很重要- 确保新的 2016 DC 从域客户端获取 DNS 请求并为其提供服务。
等待一天/一夜并检查域中的一切是否正常。
构建下一个 2016 DC，安装与第一个相同的角色，然后将其加入域。首先将网络适配器 DNS 配置为指向另一个 2016 DC 的 DNS，然后是其自己的 IP，最后是 127.0.0.1。
为2008 R2 DC分配一个临时IP地址。
与 2003 服务器类似，在网络适配器上配置 2008 R2 DNS 客户端，首先指向 2016 服务器，其次是旧 IP，第三是临时 IP，最后是 127.0.0.1。将新 IP 地址分配给网络适配器并重新启动。确保 Netlogon 在 _msdcs 区域中为自己注册 SRV 记录。
在 2008 R2 服务器上进行所有检查，确保 SYSVOL 已共享，复制工作正常repadmin /replsum，DCDIAG 中没有错误，事件日志中没有严重错误，并且帐户正在进行身份验证。等待一夜以确保一切正常，然后在早上重新检查。
查看 _msdcs 区域中是否还有任何 SRV 记录仍指向 2003 年 DC 的旧 IP 地址。如果有，请将其删除。
在新的 2016 服务器上，确保网络客户端 DNS 配置为指向 2016 DC 的 DNS。将服务器 IP 地址更改为旧的 Server 2008 R2 地址。重新启动服务器。
然后再次 DCpromo 2016 域控制器 - 全局目录。大约半小时后，为了确保一切正常，请检查服务器上是否共享 SYSVOL，如果是，则复制是否正常工作repadmin /replsum，是否没有错误DCDIAG，事件日志中没有严重错误，并且帐户正在向新 DC 进行身份验证。如果DCDIAG显示一些错误，请在一小时后再次检查。
在新的 2016 DC 上，更新 DNS 服务器控制台中的 DNS 转发器。确保重新创建从 2008 R2 服务器 DNS 服务配置中提取的所有辅助区域、辅助主服务器和任何其他详细信息的配置。
一旦新的 DC 恢复正常，第二天，更新第一个 2016 DC 上的网络适配器，使新的 2016 DC 作为列表中的第一个 DNS 服务器，将其自己的 IP 作为下一个 DNS，最后为 127.0.0.1。运行 AD 复制状态工具以获得良好的效果。
现在您有 4 个 DC - 两个旧 DC 和两个新的 2016 服务器。新服务器使用旧 DC 以前的 IP 地址，因此 DNS 对客户端来说应该没问题。
将您的 FSMO 角色转移到 2016 DC 之一。确保DCDIAG并repadmin显示复制工作正常。如果您还没有费心通过 GPO 配置 PDCE NTP 服务，请立即在新的 PDCE 上修复它（只需执行 GPO）。
等待几天 - 到下个周末。备份！AD 复制状态工具。如果域是健康的，则降级 2003 DC 并将其从域中删除。如有必要，执行元数据清理。确保从 AD 站点和服务中删除 2003 DC（无论它出现在何处），并且从 _msdcs DNS 区域中删除所有 2003 DC SRV 记录。
再等几天 - 下个周末！备份。域健康。AD 复制状态工具。如果一切正常，请降级 2008 R2 DC 并将其从域中删除。如有必要，执行元数据清理。确保从 AD 站点和服务中删除 2008 R2 DC（无论它出现在何处），并且从 _msdcs DNS 区域中删除所有 2008 R2 DC SRV 记录。
现在您有两个 2016 DC 运行 2003 本机模式林和域。您还没有完成。执行域健康检查。AD 复制状态工具。
安排域和林功能级别升级，以及 SYSVOL 迁移到 DFSR。不要允许客户端推迟 DFL/FFL 升级。这是毫无意义的，并且会使域失去许多新 AD 功能的好处。以下是 FFL 和 DFL 指南。安全性方面最重要的变化发生在 2008/2012 年，其中 Kerberos 的 AES 加密类型可用，DES 加密类型被弃用。https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/active-directory- functional-levels。将 SYSVOL 迁移到 DFSR 没有影响 - 只是有点麻烦。
备份
您需要将 FRS SYSVOL 迁移到 DFSR。我帮您谷歌了一下，这是权威性指南。遵循它。https://blogs.technet.microsoft.com/filecab/2014/06/25/streamlined-migration-of-frs-to-dfsr-sysvol/
一旦 SYSVOL 完成并且复制时没有错误，请继续执行 DFL/FFL。我希望您已经阅读了有关潜在安全方面的所有文档。如果您注意到我在开始时提出的警告（没有仅使用 DES 的帐户，没有匿名 LDAP 等），那么这应该不是什么大问题。阅读上面的指南。点击链接。然后继续按照文档末尾链接的步骤先执行 DFL，然后执行 FFL。检查 AD 健康状况！这些步骤的好处是，如果出现问题，很快就会很明显。致电微软如果有的话。不要乱来。

现在，虽然这些步骤看起来非常详细，但实际上并非如此。我还没有讨论 WINS，这是魔鬼的诅咒。我甚至懒得询问这个 AD 的大小。我希望它在一个站点中少于几千个用户。有了 2 个 DC，您就不可能再提供服务了。我还没有谈到这些对 Kerberos 加密的影响，以及环境中哪些您不知道的非域加入垃圾可能会使用 AD。

在我上一份工作中，我们发现用于管理整个网络的软件使用了一个不安全的 LDAP 配置，该配置指向一个单一的旧式 DC IP（甚至不是一个 DNS 名称），我们之所以发现这一点，是因为我们决定不需要回收该地址，并关闭了该特定的 DC（这是第二一个具有该地址的 IP 地址 - 他们应该在那之前修复他们的配置）。让我告诉你，当网络工程师无法维护公共安全组织的关键基础设施时，他们会非常焦躁，即使他们提前几个月被告知要修复使用这些协议的任何系统。（几年前，当旧的 DC 退役时！这就是为什么我不喜欢为没有执行主/辅助 DNS 的 DC 回收 IP 地址 - 它可以清除配置错误的系统）。

他们的变更控制和文档流程是怎样的？您将如何进行适当的测试？

测试 AD 备份和域恢复是开始的最低要求。没有测试看看您的应用程序是否能与新的 AD 安全性配合使用，其中一些是在您安装具有更高操作系统的新 DC 时引入的 - Server 2012 R2 是一个很大的变化。顺便说一句，这与 DFL/FFL 无关。它是 DC 操作系统。

我们甚至还没有进入新的域安全配置并更新 GPO 以反映当前的最佳实践（如果他们有 2003 DC，他们可能不会那么在意，除非这是试图修复问题……使用缺乏经验的技术人员）。例如摆脱 NTLMv1、SMB1 等。

企业在无法获得任何事物如果你搞砸了，可能需要几天时间？当然，前提是你有 Premier Support 的帮助。

我写下所有这些准细节，希望能够吓到你，从而让你建议他们聘请具有适当经验的人。

Question 2

对于域名重命名，为什么？

如果您在域中使用以下任何产品（也可能是 2016 版本），则不能。

Microsoft Exchange 2000 服务器 Microsoft Exchange 服务器 2007 Microsoft Exchange 服务器 2010 Microsoft Exchange 服务器 2013 Microsoft Internet 安全和加速 (ISA) 服务器 2004 Microsoft Live 通信服务器 2005 Microsoft Operations Manager 2005 Microsoft SharePoint 门户服务器 2003 Microsoft 系统管理服务器 (SMS) 2003 Microsoft Office 通信服务器 2007 Microsoft Office 通信服务器 2007 R2 Microsoft System Center Operations Manager 2007 SP1 Microsoft System Center Operations Manager 2007 R2 Microsoft Lync 服务器 2010 Microsoft Lync 服务器 2013

关联这里。

如果您没有任何 SCOM、SCCM、Exchange、Lync 或 Skype，或者您正在使用 O365 版本（我第一次想到 O365 在企业中的实际好处），那么执行此操作的程序是这里。祝你好运。

唯一的其他选择是迁移到新林。如果您正在使用本地 Exchange、SCCM、Skype 等，那么在迁移依赖于当前 AD 的用户、计算机、应用程序等之后，集成这些内容会很困难。

我从来没有接触过森林迁徙，但我已经做这件事20多年了。

Answer