因为公司现有生产环境还在使用windows server 2008 R2,考虑到版本太老和后续可能遇到的兼容性问题,再加上微软已经停止了对windows server 2008的支持,于是着手升级现有环境到windows server 2019。
升级AD主要有两种方法,第一种是添加一台windows 2019 的服务器并加入现有域中,并将角色升级为域控制器。然后迁移FSMO角色,使其成为PDC 第二种是直接本地升级,但是2008 R2 不能直接升级到2019,升级步骤为2008R2 -2012R2 -2019 相对来说第一种的方式比较安全和高效,只需要切换以下PDC就可以了,而第二种方法由于要升级两次,中间会有很多系统兼容性的错误,有中间出现问题回退也比较麻烦。官方也不建议把域控制器的操作系统就地升级为2019,所以本教程采取第一种方式升级。
生产环境
角色 | IP | name | 系统版本 |
---|---|---|---|
PDC | 192.168.0.7 | DC | 2008R2 |
BDC | 192.168.0.8 | DC_backup | 2008R2 |
- 林和域的功能级别为 windows 2003,计划添加两台windows server 2019并将域控制器迁移至2019,逐步弃用两台windows server 2008
升级环节
在对AD域环境作任何更改之前,请检查或者做以下的几点(很重要,该过程建议每次更改前都运行一次):
- 检查所有的域控制器能够正常工作(在每台域控制器上运行Dcdiag /v,如果运行结果没有任何报错信息,域控就是正常工作的)。
- 检查AD复制是否正常,在每台域控制器上运行repadmin /showrepl和repadmin /replsum,如果运行结果没有任何报错信息,AD复制就是正常工作的)。
- 备份所有的域控制器;
如果要添加Windows Server 2019域控制器的最低要求是Windows Server 2008功能级别。该域还必须使用DFS-R作为复制SYSVOL的引擎。
具体步骤
- 备份现有2008 R2 DC(FSMO角色持有者)的系统状态,以便进行灾难恢复考虑(头铁的可以省掉这一步)
- 安装windows server 2019,加域成为当前域中的成员服务器
- 新的server 2019添加AD DS和DNS角色,然后提升为域控制器 (建议域控也是DNS服务器和GC)
- 按照上面的方法检查域控制器和AD复制是否正常
- 将所有操作主机角色(FSMO)从旧的Windows 2008 R2 DC传输到新的Windows 2019 DC
- 如果在旧的2008 域控制器上还有其他角色,根据需要迁移这些角色,如:DHCP服务
- 把旧的2008域控制器降级为成员服务器
- 根据需要提升林域功能级别
- 使用DHCP服务器使所有客户端配置指向新服务器的DNS
升级准备
提升域功能级别
- 在Active Directory 用户和计算机变更域级别为windows 2008 R2
- 在Active Directory 域和信任关系变更林级别为windows 2008 R2
升级FRS为DFS复制
- 确保所有域控在线(虽然不在线的可以单独升级,但是增加复杂度……),最好在PDC进行所有操作,PDC可以链接到所有域控,使用以下命令检查域控在线和复制情况
Repadmin.exe /replsummary * /bysrc /bydest /sort:failures
或者repadmin /ReplSum
- 运行以下命令将域控复制状态从START变更为PREPARED
dfsrmig /SetGlobalState 1
- 运行以下命令检查所有域控迁移状态是否全部变更
dfsrmig /getglobalstate
dfsrmig /getglobalstate
- 这一步需要耐性等待,个把小时是正常的,可以每隔15分钟重复运行以上命令查看状态,另外看看仍然没有变更过来的域控中的DFS相关日志,有些分站点域控其实已经变更了,但是在PDC运行命令检查的时候,状态信息并没有即时的复制过来,谨慎起见,还是等待,知道没有一个域控返回不正常状态,然后执行下一步;运行以下命令将域控复制状态从PREPARED变更为REDIRECTED
- 运行以下命令检查所有域控迁移状态是否全部变更
dfsrmig /getglobalstate
dfsrmig /GetMigrationState
- 耐心,同上···运行以下命令将域控复制状态从REDIRECTED变更为ELIMINATED
- 运行以下命令检查所有域控迁移状态是否全部变更
dfsrmig /getglobalstate
dfsrmig /GetMigrationState
- 耐心,同上·····
代码语言:txt复制- 完成后,会发现FRS文件复制服务停止了,DFS处于运行状态。
代码语言:txt复制- 最终,运行 `repadmin /ReplSum`继续检查复制状态,你可能看到如下图所示:
- 进行DFS同步时遇到了如下故障:
此域控制器上的一个或多个gpo的sysvol权限与基线域控制器上的权限不一致
- 解决方法 找到“组策略对象”,右边选中“委派”---右下角“高级”--“高级”--“还原默认值” 参考 GPO 的权限不一致
域环境检查
使用以下命令和工具检查
Dcdiag /v /c /d /e /s:DCName > c:dcdiag.log
DCName替换成对应的域控制器名称Repadmin /showrepl dc* /verbose /all /intersite > c:repl.log
dc*
是DC的起始名称的占位符,如果它们都开始相同(如果存在多个DC)- 运行BPA检查是否存在任何潜在问题
安装server 2019
- 全新安装windows server 2019,升级补丁至最新,加域
- 安装AD DS和DNS角色
- 升级server 2019为域控制器
迁移FSMO
执行该过程之前,请重复上面域环境检查步骤
- 等待DFS拷贝完成,可以在事件查看确认DFS拷贝完成,可以执行
Dcdiag /v /c /d /e /s:DCName > c:dcdiag.log
检查AD - 运行
netdom query fsmo
查看角色主机,此时应该在2008PDC上
- 在windows 2019 以管理员身份运行powershell,执行
Move-ADDirectoryServerOperationMasterRole -Identity DC.xxx.com -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster
迁移5个角色服务器,这里把域名 DC.xxx.com
替换成windows server 2019的FQND完全域名
- 运行
netdom query fsmo
查看角色主机,此时已经迁移到windows server 2019上
到此,整个升级迁移过程已经完成,现在可以使用DHCP服务器把客户端的IP信息指向新的DC服务器,建议保持四台新旧DC同时运行一段时间,并随时检查一切是否运行正常. > > 然后,让两台旧DC关机离线一周,观察是否一切运行正常。 > > 最后降级退域删除旧DC。
迁移DHCP服务
请挪步
windows server 2008 DHCP服务器迁移server 2019 DHCP并开启故障转移高可用
公司DHCP服务器一直是安装在域控上,之前做了域控迁移后,需要把DHCP服务同步迁移到server 2019,具体...
降级并删除旧DC
- 目前旧DC正在停机观察中,后续补上旧DC降级过程
参考文档
整个升级迁移过程中使用到的参考链接
升级SYSVOL的复制方式
Step-by-Step guide to migrate active directory FSMO roles from windows server 2012 R2 to windows server 2016
AD migration to Windows Server 2016 (microsoft.com)
windows server 2012 AD域控制器直接升级到windows server 2019 (microsoft.com)
Active Directory域服务的最佳实践分析工具(https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd391875(v=ws.10))
Active Directory Migration from Server 2008 to Server 2019
域控迁移
直接将活动目录从 Windows 服务器 2008 R2 迁移到 Windows 服务器 2019 - 微软问答 (microsoft.com)