Loading... > 因为公司现有生产环境还在使用windows server 2008 R2,考虑到版本太老和后续可能遇到的兼容性问题,再加上微软已经停止了对windows server 2008的支持,于是着手升级现有环境到windows server 2019。 <div class="tip inlineBlock info"> 升级AD主要有两种方法,第一种是添加一台windows 2019 的服务器并加入现有域中,并将角色升级为域控制器。然后迁移FSMO角色,使其成为PDC 第二种是直接本地升级,但是2008 R2 不能直接升级到2019,升级步骤为2008R2 -2012R2 -2019 相对来说第一种的方式比较安全和高效,只需要切换以下PDC就可以了,而第二种方法由于要升级两次,中间会有很多系统兼容性的错误,有中间出现问题回退也比较麻烦。官方也不建议把域控制器的操作系统就地升级为2019,所以本教程采取第一种方式升级。 </div> ### 生产环境 | 角色 | IP | name | 系统版本 | | ------ | ------------- | ----------- | ---------- | | PDC | 192.168.0.7 | DC | 2008R2 | | BDC | 192.168.0.8 | DC_backup | 2008R2 | - 林和域的功能级别为 windows 2003,计划添加两台windows server 2019并将域控制器迁移至2019,逐步弃用两台windows server 2008 ### 升级环节 > 在对AD域环境作任何更改之前,请检查或者做以下的几点(很重要,该过程建议每次更改前都运行一次): > > 1. 检查所有的域控制器能够正常工作(在每台域控制器上运行Dcdiag /v,如果运行结果没有任何报错信息,域控就是正常工作的)。 > 2. 检查AD复制是否正常,在每台域控制器上运行repadmin /showrepl和repadmin /replsum,如果运行结果没有任何报错信息,AD复制就是正常工作的)。 > 3. 备份所有的域控制器; <div class="tip inlineBlock info"> 如果要添加Windows Server 2019域控制器的最低要求是**Windows Server 2008功能级别。**该域还必须使用**DFS-R**作为复制SYSVOL的引擎。 </div> #### 具体步骤 1. 备份现有2008 R2 DC(FSMO角色持有者)的系统状态,以便进行灾难恢复考虑(头铁的可以省掉这一步) 2. 安装windows server 2019,加域成为当前域中的成员服务器 3. 新的server 2019添加AD DS和DNS角色,然后提升为域控制器 (建议域控也是DNS服务器和GC) 4. 按照上面的方法检查域控制器和AD复制是否正常 5. 将所有操作主机角色(FSMO)从旧的Windows 2008 R2 DC传输到新的Windows 2019 DC 6. 如果在旧的2008 域控制器上还有其他角色,根据需要迁移这些角色,如:DHCP服务 7. 把旧的2008域控制器降级为成员服务器 8. 根据需要提升林域功能级别 9. 使用DHCP服务器使所有客户端配置指向新服务器的DNS #### 升级准备 ##### 提升域功能级别 - 在Active Directory 用户和计算机变更域级别为windows 2008 R2 ![image-20210615111806575](https://img.wsczx.com/20210615111806.png) ![image-20210615111859953](https://img.wsczx.com/20210615111859.png) - 在Active Directory 域和信任关系变更林级别为windows 2008 R2 ![image-20210615112209671](https://img.wsczx.com/20210615112209.png) ![image-20210615112229610](https://img.wsczx.com/20210615112229.png) ##### 升级FRS为DFS复制 1. 确保所有域控在线(虽然不在线的可以单独升级,但是增加复杂度……),最好在PDC进行所有操作,PDC可以链接到所有域控,使用以下命令检查域控在线和复制情况 `Repadmin.exe /replsummary * /bysrc /bydest /sort:failures` 或者 `repadmin /ReplSum` 2. 运行以下命令将域控复制状态从START变更为PREPARED `dfsrmig /SetGlobalState 1` ![image](https://img.wsczx.com/20210615112602.png) 3. 运行以下命令检查所有域控迁移状态是否全部变更 `dfsrmig /getglobalstate` `dfsrmig /getglobalstate` ![image](https://img.wsczx.com/20210615112708.png) - 这一步需要耐性等待,个把小时是正常的,可以每隔15分钟重复运行以上命令查看状态,另外看看仍然没有变更过来的域控中的DFS相关日志,有些分站点域控其实已经变更了,但是在PDC运行命令检查的时候,状态信息并没有即时的复制过来,谨慎起见,还是等待,知道没有一个域控返回不正常状态,然后执行下一步; 4. 运行以下命令将域控复制状态从PREPARED变更为REDIRECTED `dfsrmig /SetGlobalState 2` ![image](https://img.wsczx.com/20210615112828.png) 5. 运行以下命令检查所有域控迁移状态是否全部变更 `dfsrmig /getglobalstate` `dfsrmig /GetMigrationState` ![image](https://img.wsczx.com/20210615112910.png) - 耐心,同上··· 6. 运行以下命令将域控复制状态从REDIRECTED变更为ELIMINATED `dfsrmig /SetGlobalState 3` <span style='color:red'>谨慎操作,执行该命令后,FRS将成为历史,不像之前的操作,此操作不可逆!</span> ![image](https://img.wsczx.com/20210615113015.png) 7. 运行以下命令检查所有域控迁移状态是否全部变更 `dfsrmig /getglobalstate` `dfsrmig /GetMigrationState` - 耐心,同上····· ![image](https://img.wsczx.com/20210615113103.png) - 完成后,会发现FRS文件复制服务停止了,DFS处于运行状态。 ![img](https://img.wsczx.com/20210615113126.png) - 最终,运行 `repadmin /ReplSum`继续检查复制状态,你可能看到如下图所示: ![image-20210615113330761](https://img.wsczx.com/20210615113330.png) - 进行DFS同步时遇到了如下故障: `此域控制器上的一个或多个gpo的sysvol权限与基线域控制器上的权限不一致` - 解决方法 找到“组策略对象”,右边选中“委派”---右下角“高级”--“高级”--“还原默认值” 参考[ GPO 的权限不一致](https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/group-policy/permissions-this-gpo-inconsistent) ![image-20210615132005146](https://img.wsczx.com/20210615132005.png) ![image-20210615132106787](https://img.wsczx.com/20210615132106.png) ##### 域环境检查 使用以下命令和工具检查 1. `Dcdiag /v /c /d /e /s:DCName > c:\dcdiag.log` DCName替换成对应的域控制器名称 2. `Repadmin /showrepl dc* /verbose /all /intersite > c:\repl.log` `dc*`是DC的起始名称的占位符,如果它们都开始相同(如果存在多个DC) 3. 运行BPA检查是否存在任何潜在问题 ![image-20210615113653822](https://img.wsczx.com/20210615113653.png) ##### 安装server 2019 1. 全新安装windows server 2019,升级补丁至最新,加域 2. 安装AD DS和DNS角色 3. 升级server 2019为域控制器 #### 迁移FSMO <div class="tip inlineBlock error"> 执行该过程之前,请重复上面**域环境检查**步骤 </div> 1. 等待DFS拷贝完成,可以在事件查看确认DFS拷贝完成,可以执行 `Dcdiag /v /c /d /e /s:DCName > c:\dcdiag.log`检查AD 2. 运行 `netdom query fsmo`查看角色主机,此时应该在2008PDC上 ![updc25](https://img.wsczx.com/20210615115700.png) 3. 在windows 2019 以管理员身份运行powershell,执行 `Move-ADDirectoryServerOperationMasterRole -Identity DC.xxx.com -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster` ![updc26](https://img.wsczx.com/20210615115724.png) 迁移5个角色服务器,这里把域名 `DC.xxx.com`替换成windows server 2019的FQND完全域名 4. 运行 `netdom query fsmo`查看角色主机,此时已经迁移到windows server 2019上 ![updc27](https://img.wsczx.com/20210615115746.png) > 到此,整个升级迁移过程已经完成,现在可以使用DHCP服务器把客户端的IP信息指向新的DC服务器,建议保持四台新旧DC同时运行一段时间,并随时检查一切是否运行正常. > > 然后,让两台旧DC关机离线一周,观察是否一切运行正常。 > > 最后降级退域删除旧DC。 #### 迁移DHCP服务 请挪步 <div class="preview"> <div class="post-inser post box-shadow-wrap-normal"> <a href="https://www.wsczx.com/199.html" target="_blank" class="post_inser_a no-external-link no-underline-link"> <div class="inner-image bg" style="background-image: url(https://img.wsczx.com/20210615130617.png);background-size: cover;"></div> <div class="inner-content" > <p class="inser-title">windows server 2008 DHCP服务器迁移server 2019 DHCP并开启故障转移高可用</p> <div class="inster-summary text-muted"> 公司DHCP服务器一直是安装在域控上,之前做了域控迁移后,需要把DHCP服务同步迁移到server 2019,具体... </div> </div> </a> <!-- .inner-content #####--> </div> <!-- .post-inser ####--> </div> #### 降级并删除旧DC - 目前旧DC正在停机观察中,后续补上旧DC降级过程 #### 参考文档 > 整个升级迁移过程中使用到的参考链接 [升级SYSVOL的复制方式](https://blog.51cto.com/chenyitai/561140) [Step-by-Step guide to migrate active directory FSMO roles from windows server 2012 R2 to windows server 2016 ](https://www.rebeladmin.com/2016/10/step-step-guide-migrate-active-directory-fsmo-roles-windows-server-2012-r2-windows-server-2016/) [AD migration to Windows Server 2016 (microsoft.com)](https://social.technet.microsoft.com/Forums/office/en-US/84365e3e-2c49-44e8-bc47-52dfb56f7f56/ad-migration-to-windows-server-2016?forum=winserverMigration) [windows server 2012 AD域控制器直接升级到windows server 2019 (microsoft.com)](https://social.technet.microsoft.com/Forums/zh-CN/4c623709-f030-4078-8a3e-0371791beeb6/windows-server-2012) [Active Directory域服务的最佳实践分析工具](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd391875(v=ws.10)) [Active Directory Migration from Server 2008 to Server 2019](https://www.blog.anupchhetri.com/?p=2496) [域控迁移 ](https://www.avemigdev.com/index.php/2020/04/10/%E5%9F%9F%E6%8E%A7%E8%BF%81%E7%A7%BB/) [直接将活动目录从 Windows 服务器 2008 R2 迁移到 Windows 服务器 2019 - 微软问答 (microsoft.com)](https://docs.microsoft.com/en-us/answers/questions/47425/is-it-possible-to-migrate-active-directory-from-wi.html) Last modification:June 14, 2022 © Allow specification reprint Support Appreciate the author AliPayWeChat Like 9 如果觉得我的文章对你有用,请随意赞赏
One comment
牛逼