如何转移活动目录到Windows Server2008 R2

可能你现在正在使用Windows Server 2003 (R2) 或者 Windows Server2008的域控制器,而且希望把这些服务转移到Windows Server 2008 R2域控制器以便于使用新功能。

而你也同时希望把这些老化的Windows Server 2003 (R2) 或者 Windows Server2008域控制器用R2的域控制器取代,从而是你的活动目录运行的更加流畅。

转换活动目录是迁移活动目录最常见的方式,本文将用一种一个结构合理,平衡的和彻底的方式帮助你完成这个工作。

迁移的途径

有三种不同的方式更新你的Windows Server 2003 (R2) / 2008活动目录环境到Windows Server 2008 R2

• 本地升级

只要符合以下要求,03R2和08都可以本地升级为08R2:

——03系统至少打了补丁包 SP2

——标准版系统可以升级为企业版或标准版

——企业版只能升级为企业版

——数据中心版只能升级为数据中心版

——基金会版(08独有)只能升级为基金会版

——服务器核心安装包只能升级为服务器核心安装包

• 过渡

迁移的方式意味着添加08R2域控制器到你现有的活动目录环境中。在你成功地移动FSMO角色之后,就可以很轻松地降级以前的域控制器,并把它们从域甚至是系统中完全清理出去

对于那些从2000的域功能等级中发展出来的活动目录来说,过渡是一件很普通的事情。
 
• 重组

第三种从03R2或者08升级到08R2的方法是重组你的活动目录环境。这需要你把原有的全部资源从原来的环境(比如03)统统转移到一个全新的环境中去(08R2)。像ADMT(活动目录迁移工具)这些东西在这个过程中是非常重要的。
    
转换的理由

我认为转换时相对于另外两种方式更中庸的方法:

• 重组意味着破坏原有的结构,将资料填充于新的活动目录

• 本地升级意味着你必须使用同样的硬件而且路径也被严格限制

• 而转换的过程, 你可以保留现有的活动目录布局,内容,组 策略和模式,这些会转移到一台新机器上,那台机器如果没有意外,可以再继续工作3-5年。

在以下条件下,转换是很好的选择:

• 尽力修正AD使得他尽量完美

• 你的服务器开始老话

• 本地升级出现故障,产生不必要的产物 (比如说,服务核,企业级域控制器)

• 你需要一个机会在一个新的位置或卷里去设置你的AD文件.

如果一切顺利,你的同事可能根本不知道发生过什么。!下限是你需要确切地知道你在做什么;因为偏差的发展异常迅速,这也就是我写这篇文章的原因。
 

转换的步骤

向08R2转移域控制器的步骤如下:

预备工作

避免简单错误

这里有一篇由专家所写的关于微软基础知识的文章Common Mistakes When Upgrading a Windows 2000 Domain To a Windows 2003 Domain,值得读两遍,其中大部分内容也适用于过渡到08 R2 的过程 .

设置你服务器的生命周期

对于域控制器来说,要在你的网络点上连续工作5年左右可不普通.  我相信你会把这些牢牢记住,如果你要选购一台服务器的话. 你需要小心设置分区和卷;活动目录也应该在不同的分区上,如果你想开始工作。WIN服务器目录可以帮助你挑选一个轻松运行08R2的系统.

检查准备工作

微软为你准备了扫描系统的工具以便于确认他是否可以顺利运行08R2,驱动器是否可用(微软更新和安装盘都要检查)以及在设置08R2过程中会发生什么问题.我强烈建议使用这个工具检查你的电脑: MAP,微软评估和规划解决方案加速器的简称。

制定64位机的转换计划

因为08R2只能在64位机上工作,你必须确认活动目录的各个方面都已经转化完成. MAP 工具不可能为你决定任何事情,你需要在 反病毒,备份,灾备,控制调节,系统管理,时间同步,以及各种资源(VAMT/ MAK / KMS)等方面自己处理.

核升级过程

08 R2的活动目录域控制器对与现有的活动目录功能块做了很大的调整. 比如说, NT 4.0 的兼容性加密在08R2的域控制器默认状态时关闭. 详情请见《关于他们是否属于故障考虑和决定》these considerations and determine whether they are show stoppers in your environment.

备份

把域控制器上所有的资源,只要你能保存,全部做备份.

文档

确切地知道你所迁移的内容非常重要。.当事情发展方向有误时,你需要有返回原点的的能力. 这也是在要求目录服务还原模式(DSRM) 保存有服务账户的密码和安全认证,那些东西是不会再任何其他地方出现的. 在多重域控制器,多重域,多重林和多重虚拟站点中,做一个表来包含每个域的相关信息   是很明智的,这些域来自FSMO角色,全局编录的位 置,域成员,网站会员,复制拓扑结构,路由表,IP地址等.

交流

当一切结束, 你的同事很可能什么都没发觉,但是最好还是跟他们打声招呼,说明下你做了什么。当然也要和终端用户做下交流,你会重新架构其基础设施的核心. 这应该会让同事明白你确实做了很多,也会让问题快速地被转述出去——当然问我意见,我觉得两者都很酷…

调整你的AD环境

在你开始08R2域控制器设置进入现有的AD环境之前,还有一些必要的准备工作.

微软提供两种工具来帮助你完成准备工作. 你可以根据实际情况来选择任意一种:

adprep.exe适用于64位直接升级;adprep32.exe适用于32位 二次升级
 
然后在现有AD环境中,在新域控制器上运行以下的命令,

Command 域控制器
adprep.exe /forestprep
adprep32.exe /forestprep  Schema Master
adprep.exe /domainprep
adprep32.exe /domainprep  Infrastructure Master
adprep.exe /domainprep /gpprep
adprep32.exe /domainprep /gpprep  Infrastructure Master
adprep.exe /rodcprep *
adprep32.exe /rodcprep Domain Naming Master

当你做好准备之后一定要确认进度。一旦失败,其影响力可以波及时间查询器,解释你就需要检查adprep.log 文件.

整个域控制器的复制需要足够的时间。某些具体过程可能需要几个小时来完成。当你认为所编的变化参数都已复制完成,就需要使用 repadmin 工具来检查并选择性地处理AD复制任务。 下面这行命令可以告知你格格域控制器的架构版本:

repadmin /showattr * "cn=schema,cn=configuration,dc=domain,dc=tld" /atts:objectVersion

当所有的DC都返回参数47后,你就可以进行下边的步骤了。

安装第一个Windows Server 2008 R2 DC

你已经准备好开始安装Windows Server 2008 R2到一台新机器上,并在处理AD时准备让他成为制定域的成员了。但是更新包,备份还有反恶意软件基础设置都很花时间,能不能让他们 自行智能处理呢?

当你的AD准备完毕,复制进程也一切顺利,你就可以安装第一份08域控制器并且使用 dcpromo.exe来把08设置进入域控制器。.

在运行dcpromo.exe 的时候,一定要确保原来的DC中有为你所转换的AD域保留了一个空的DC。并为目录服务还原模式(DSRM)设定一个密码.

提示:

(DSRM)的密码要特别记住.

因为每个AD的DC都保存了一份AD的信息,比如 用户,所用计算机,the NETLOGON and SYSVOL共享等等,你的08R2 DC在你重启并完成向导后对于事业是开放的。.

安装其他的DC

继续安装其他的08R2DC就很简单了买回来,做认证,运行程序然后调节——完成了。真的就没什么特别的了,你做过一遍后,就自然很熟练了。

如果你认为DC的安装时一件繁琐的工作,你就应该想到《使用应答文件在DC中设施服务条款》当 DC需要本地设置又有限连接或带宽的限制时,你可能又会需要研究《从媒体安装》的可能性.
       
检查安装,复制和更新的必须条件

检查日志以发现问题是最好的练习,因为推广过程中随时会发生,专门负责审议的logs包括:

• dcpromo.log

所有关于创建和迁移AD, SYSVOL树的事件,还有安装,修改和删除关键服务的事件

• dcpromoui.log

根据图形界面角度变化所引发的事件

当然还有事件浏览器
 
总结

把Active Directory转移到Windows Server 2008 R2就像运行adprep.exe或者adprep32.exe,或者安装Window Server 2008域控制器一样容易。这可能就是在有一个Active Directory的森林里有一个独立的域控制器。

一定在一个较大的环境中检查,就好像在商店里摆着的一个DC,一个AD域 然后再他的林里有个AD环境。在更大的环境中,必须检查、确认你所做的事情正在顺利安装。