從 Windows 2003 到 Windows 2016 的 Active Directory 遷移
我繼承了一個舊的基於 Windows 2003 的 Active Directory 安裝,我的任務是將它升級到現代標準。我已經使用下面的計劃在我的實驗室中進行了各種(成功的)測試,但我真的想要來自該領域其他專家的現實檢查/最佳實踐建議。
**目前狀態:**在 Windows 2003 安裝上執行的單標籤、Windows-2000 混合模式 Active Directory 域。DNS 組件正在執行不安全的動態更新。
**目標狀態:**在 Windows 2016 安裝上遷移到 Windows 2012R2 級別的域(注意:Windows 2012R2 的目標級別,而不是 2016,是由於我的客戶有其他 Windows 2012R2 伺服器)。遷移應以破壞性最小的方式進行;無論如何,由於我將在周末工作,因此可以接受短暫的服務中斷。
**警告:**雖然單標籤域已被棄用,但我確實需要保持原樣執行。我評估了域重命名和/或域遷移到新名稱,但對於我的客戶來說,它們似乎太過分了。
我的計劃:
- 安裝新的 Windows 2016 伺服器並將其作為簡單成員添加到目前域
- 將目前的林/域功能級別提升到 Windows 2003
- 將新的 Windows 2016 伺服器提升為域控制器(具有全域目錄)角色
- 降級舊伺服器(通過
dcpromo
)- 在新的 Windows 2016 伺服器上,使用“Active Directory 站點和服務”從降級操作中刪除任何最終剩餘
- 在新的 Windows 2016 上,使用“DNS 管理器”將 DNS 動態更新類型更改為“僅安全”
- 將林/域功能級別提升到 Windows 2012R2
- 更改舊伺服器的原始 IP 地址(例如:從 192.168.1.1 更改為 192.168.1.2)
- 更改新伺服器的 IP 地址以匹配舊域控制器(例如:從 192.168.1.10 到 192.168.1.1)。*注意:*由於目前的 DHCP 設置和網關防火牆/VPN 規則,我打算這樣做
- 從 FSR 遷移到 DFSR(參見此處和此處)
- 在分支機構上安裝另一台 Windows 2016 伺服器,將其添加為新的域控制器(帶有全域目錄)。
問題:
- 我錯過了一些重要的東西?
- 我交換舊/新伺服器的 IP 地址以最小化防火牆/VPN/DHCP 更改的想法是一個好主意,還是應該避免這種情況?
- 我應該注意什麼?
更新:經過多次討論和測試,我說服了我的客戶進行域名重命名。根據微軟的建議,我已經通過該
rendom
實用程序完成了它,並且一切都很順利(幸運的是,它沒有任何內部部署的 Exchange 伺服器)。
雖然不推薦使用單標籤域,但我確實需要保持它按原樣執行。我評估了域重命名和/或域遷移到新名稱,但它們似乎對我的客戶要求太多。
正確的事情有時是最難的。IMO,您繼續使用和支持 SLD 是在傷害您的客戶。做“正確”的事情並執行域重命名或遷移到新域。
在新的 Windows 2016 伺服器上,使用“Active Directory 站點和服務”從降級操作中刪除任何最終剩餘
附帶說明,當我遷移 2003/2008 時,我總是必須清理遺留在 DNS 的控制台中,舊的 DC 始終仍列在 NS 的欄位中。
確切地說;
第二個注意事項,我會確保他們也不使用 WINS。請仔細檢查以確定是否需要啟動它,它在那些年很流行。
對於域重命名,我不建議這樣做,這是一項艱鉅的任務,如果執行了錯誤的步驟,可能會留下許多錯誤。