AD 從 SBS2011 遷移到 2012 R2 和新域
我們有一個現有的 SBS2011 伺服器,並希望遷移到新的 2012 R2 伺服器。理想情況下,我們希望在一個新域中執行此操作 - 1. 我們希望重組 OU 以刪除“SBS”命名的東西(即所有使用者都不在使用者中,他們在 SBSUsers 中,等等。 ..) 和 2. 我們希望使用更符合最佳實踐的域名(subdomain.ourdomain.com 而不是 name.local)。
我正在嘗試找出進行此遷移的最佳方法。我讀過的大多數內容都說通過將新 DC 添加到現有域、對其進行升級、讓所有內容同步,然後將舊 DC 降級來進行遷移。然而,這並沒有解決我們關注的任何一個問題:命名或重組。
我還考慮過一些跨森林的東西,但據我所知,您需要 ADMT(2012 年不支持),或者可能需要付費工具(不太可能,因為我們是非營利組織並且預算很少為了這)。
最後,我可以導出使用者並導入它們,但這似乎涉及使用者、電腦、組等的不同步驟……我擔心它會如何融合。此外,據我所知,如果沒有上述工具之一(甚至可能沒有!),如果不讓所有使用者重置密碼,我仍然無法做到這一點。
Exchange 在這裡不是一個變數(我不這麼認為!),因為我們正在將它遷移到 Office 365,為了簡單起見,暫時不添加 SSO,直到對其他所有內容進行排序。
是否有我遺漏的選項可以讓我們滿足所有標準 - 能夠更改域名並保持標準 OU 佈局而不是 SBS,不購買昂貴的第三方工具,並且對使用者帳戶/密碼沒有影響?
Exchange 2007 和更新版本阻止您執行域重命名。既然您說要放棄內部部署的 Exchange,那並不是一個因素。這為我認為比任何類型的新森林或域創建更容易的過程打開了大門:
- 完成向 Office 365 的遷移並從 SBS 2011 環境中刪除 Exchange。
- 將臨時 DC 添加到現有域並將 AD(和所有 FSMO 角色)從 SBS 伺服器遷移,在此過程中將 SBS 伺服器降級回域成員。(在此之後,您將有 21 天的時間來完成遷移。)
- 執行域重命名。
- 添加您的永久 W2K12 R2 DC 並降級/刪除臨時 DC。
- 根據您的喜好重命名/移動 AD 中的 OU(GPO 等)。
- 將任何其他功能從 SBS 電腦遷移並停用它。
臨時 DC 並不是絕對必要的,但我可能會這樣做(因為我很迷信)。域重命名聽起來很困難,但如果沒有 Exchange,它實際上非常簡單。如果您完全擔心使用隔離網路上的虛擬機模擬您的環境並嘗試一下(最好使用從生產網路“收穫”並放入虛擬環境中的 AD 的真實副本)。
您也將不得不放棄 SBS 2011 設置在執行此操作時創建的預設證書頒發機構。假設您實際上並沒有將它用於任何事情,那麼停用企業 CA也不是那麼難。(如果您是,那麼無論您採用何種遷移策略,都需要擔心這一點。)
全部完成後,您將擁有一個漂亮閃亮的新域名,您的 OU 看起來就像您想要的那樣,所有使用者密碼都將保持不變,並且所有域成員電腦都將擁有完整的域信任。
正確規劃、測試和執行生產域重命名和遷移只需幾個小時即可完成。(很明顯,當你真正做真實的事情時,你花在前期計劃和測試上的時間會帶來巨大的回報。)
(我還將在新的 W2K12R2 機器上導出反映舊 SBS 機器導出的共享的共享,並將 SBS 機器作為DNS 別名添加到新伺服器。然後現有的快捷方式、UNC 等將“只是工作”遷移後。)
編輯:
我不知道為什麼人們對域名重命名如此謹慎。您需要計劃並有條不紊地執行它,但這對我來說很輕鬆。我已經完成了三個生產域重命名並且沒有任何問題(除了需要更改的嵌入式設備中使用的長期被遺忘的 FQDN)。兩個環境有 Exchange 2003,一個沒有。一個有一個 DC,另外兩個有多個 DC。我在 VM 中模擬了前兩個(具有 Exchange 的環境),但第三個我只是在沒有 oa 模型的生產網路上執行(因為它非常簡單——單個 DC,沒有 Exchange)。
這是上面的要點,“執行域重命名”,分為幾個步驟。
關於微軟的文章,我更喜歡:Domain Rename Works 這篇文章包含很多多餘的背景,但基本步驟都在裡面。
對於具有單個 DC 的單個域林,該過程非常輕鬆:
- 停用任何企業 CA 根。
- 為新域名創建一個新的 AD 集成 DNS 區域。
- 將林功能級別設置為 Windows 2003 或更高版本。
- 執行
rendom /list
以生成林描述文件 (Domainlist.xml
)。- 編輯
Domainlist.xml
文件以反映新的 DNS 和 NetBIOS 域名。- 執行
rendom /showforest
,它以“友好”的方式顯示Domainlist.xml
文件,並查看輸出以確保您進行了正確的編輯。- 執行
rendom /upload
命令將新域名安裝到 Active Directory 中。此時不會發生重命名 - 您只是在為重命名准備 AD。在多 DC 環境中,這將啟動將重命名指令複製到所有 DC。- 執行
rendom /prepare
命令以驗證是否準備好重命名。在多 DC 環境中,此命令檢查每個 DC 以確保它們都已收到重命名指令。直到所有 DC 都複製了重命名指令後,才能開始重命名。(有必要幾乎同時對所有 AD 數據庫副本進行更改。)執行rendom /prepare
後,您無法將任何新域添加到林或域中,直到執行rendom /clean
(見下文)。- 執行
rendom /execute
命令以執行重命名。這指示 DC 執行重命名。每個 DC 將其 AD 數據庫切換到單使用者維護模式,執行重命名,然後重新啟動回到正常執行狀態。- 一旦所有 DC 完成重命名,使用適當的舊域名和新域名執行“Gpfixup”,以將對舊域名的任何引用更新為組策略對像中的新名稱。
- 更改每個 DC 上的主 DNS 後綴,因為它們不會自動更改。我不知道為什麼微軟沒有自動進行這些更改,但他們沒有。進行此更改後再次重新啟動 DC。
- 重新啟動所有域成員電腦兩次。這不必立即完成(我將域保持在這種狀態幾個星期)。域成員電腦將“檢測”到已執行域重命名,並在這兩次重新啟動期間自動更新自身。
- 重新啟動所有域成員電腦兩次後,執行
rendom /clean
命令以清除 AD 中的重命名指令並將域返回到正常執行狀態。- 從 AD 中遷移任何非域成員記錄後,從 AD 中刪除舊域的 DNS 區域。
就像我說的——單域、單 DC 環境很簡單,因為您不必擔心域重命名指令的複製或能夠聯繫所有 DC。
就副作用而言:
- 您確實需要認識到域 DFS 根名稱會發生變化。如果您有來自域 DFS 路徑的組策略軟體安裝,您將看到重新安裝軟體(因為組策略客戶端會認為該軟體未安裝)。
- 如果您
/clean
過早加入域(在所有成員電腦重新啟動兩次之前),您可能會遇到需要手動分離並重新加入域的電腦的狀態。- 在較大的環境中,您將看到複製流量增加,而新的 DNS 區域填充。