Windows Server 2003域控升级实施方案

1、域控升级实施方案2013年3月 目 录一域环境现状- 3 -1. 域控制器现状- 3 -2. 组策略问题- 3 -3. 域和林功能级别- 3 -4. ad用户信息- 3 -5. 域控问题- 3 -6. 事件查看器报错- 3 -二域控升级实施- 4 -1. 域控制器健康、策略检查及系统备份- 4 -2. 将损坏的域控制器残留的信息删除- 8 -3. 扩展林架构和域架构- 9 -4. 提升第一台域控制器- 11 -5. 转移fsmo五大角色- 11 -6. 提升第二台域控制器- 19 -7. 将2008提升为主域控制器- 20 -8. 提升第三台域控制器- 28 -三升级后域控状态- 29 -一

2、域环境现状1. 域控制器现状 园区网中共有三台windows server 2003域控制器，ip地址为：192.168.2.12（主域控）、192.168.2.101（辅域控）、192.168.3.200（辅域控），目前只有两台域控制器提供服务（192.168.2.12、192.168.2.101），另一台域控制器（192.168.3.200）处于非工作状态，由于无法与其他域控制器共同提供服务，导致另外两台域控制器出现大量的日志报错信息。2. 组策略问题域控制器之间不能正常复制同步信息，导致组策略下发策略不正常。组策略规划不规范，默认域策略的修改、策略出现重叠、调用错误等问题，可能导致下发策

3、略失败或是无法生效。3. 域和林功能级别现有域的林功能级别和域功能级别为windows 2000，部分功能无法使用。4. ad用户信息域控制器中存在大量的残留用户和计算机信息，过多无用的信息同样会对域控制器产生大量的登陆失败或是验证失败的日志报错信息。5. 域控制器问题备份域控制器存在开启ipsec系统服务就会断网情况。6. 事件查看器报错 事件查看器中存在大量的错误登陆验证信息和域控同步错误信息。二 域控升级实施1. 域控制器健康、策略检查及系统备份a) 使用dcdiag /v命令进行域控制器的详细检查，查看是否存在严重性的复制错误。b) 查看站点之间的复制情况。c) 检查ad、dns服务和

4、相关的系统服务是否正常开启。d) 检查域控制器的端口开放情况，客户端是否可以正常连接到服务器的服务端口。e) 使用netstat -an查看域控制器的端口正常开放。f) 使用telnet测试域控制器必须开放的端口是否可以正常连接。例：telnet 192.168.1.1 88 （192.168.1.1为域控地址）g) 检查域控制器的共享目录是否正常，客户端是否可以访问活动目录所需共享。查看当前域控制器的共享文件夹是否存在，可以在命令提示符下使用net share命令查询。例：ipc$、netlogon、sysvol，其中netlogon和sysvol是域控制器必须的共享文件夹，不可以随意删除。

5、ipc$对于域控也是不可缺少的。h) 在此域控制器的客户端上访问当前域控制器的netlogon和sysvol共享文件夹,例：ipsysvol，正常可以直接访问。i) 检查域控制器上的事件日志存在严重影响的错误。查看方法：点击开始运行，输入eventvwr.msc打开事件日志查看。j) 查客户端用户和计算机可以正常登陆，测试域中的组策略可以正常下发在客户端使用，但存在错误。k) 查域控制器可以正常重启，启动后可以正常提供登陆服务。l) 整体情况问题进行详细的检查和解决后，将现有域控制器重新启动，启动后使用ntbackup备份工具进行系统的备份，将备份保存到本地d盘。2. 将损坏的域控制器残留的信

6、息删除a) 在windows server 2003域控制器命令提示符下输入ntdsutil 命令进入ntdsutil 环境。b) 在提示符下输入metadata cleanup 命令，按enter 键进入metadata cleanup 命令执行环境，用来清理active directory 元数据的子命令是metadata cleanup准备清除已强制删除的域控制器上不再使用的active directory 元数据。c) 在metadata cleanup 提示符下输入connections 命令，按enter键进入connections 命令执行环境，connections(连接到要清

7、除元数据的对象)。d) 在server connections 提示符下输入connect to domain 命令，绑定连接到要清除元数据的那台降级了的域控制器的域名。e)再在server connections 提示符下输入quit，退回到上级的metadata cleanup 命令环境，正式对ibm02 服务器上的元数据进行清除工作。f) 接下来需要使用metadata cleanup 命令环境下。g) 在metadata cleanup 提示符下输入select operation target 命令，进入select operation target 命令操作环境，select op

8、eration target 子命令来定位要清理元数据的对象。要注意的是，对象的定位是遵循从大到小规则的。先查找清理对象所在的站点，再在站点中找到对应的windows server 2003活动目录强制降级域控制器处理域，最终在域中找到对应的服务器。h) 在select operation target 提示符下输入list sites 命令，查看当前网络中的所有站点，看要清理的对象在哪个站点上。显示只有一个站点，序号为0。i) 在select operation target 提示符下输入list domain in site 命令，查看各站中所有的域。记下对应域控制器所在的域序号，绑定为0

9、。输入select site 0。j) 在select operation target 提示符下输入select domain 0 命令，锁定对应的域。 k) 在select operation target 提示符下输入list server for domain in site 命令，查看上次锁定的域中的所有域控制器序号。本示例中有两台域控制器，要清理元数据的ibm02的序号为2。 l) 在select operation target 提示符下输入select server 2 命令，锁定要清理的服务器。 m) 在select operation target 提示符下输入quit 命

10、令，退出select operation target 定位命令环境，因为要清理元数据的服务器已最终锁windows server 2003 ad 活动目录强制降级域控制器处理。 n) 在metadata cleanup 提示符下输入remove selected server 命令，对锁定的服务器执行正式的元数据清理工作。清理时会弹出一个确认提示框，询问是否要进行删除操作，单击是按钮。这样就把不能通过正常删除操作的域控制器降级并在林中删除了相关的activedirectory 元数据。3. 扩展林架构和域架构a)将windows server 2008 r2的系统光盘文件拷贝到当前要升级的w

11、indows server 2003域控制器d盘中。cmd下进入d:supportadprep 目录(d为盘符)。输入 adprep32.exe /forestprep进行windows server 2003林架构升级。b) 输入adprep32.exe /domainprep /gpprep进行win 2003域架构升级。注：执行此命令时的域功能级别必须是windows server 2003，如不是执行就会报错，更改域功能后在进行架构升级。c) 输入adprep32.exe /rodcprep进行只读域控的扩展。4. 提升第一台域控制器将第一台使用vmware vsphere搭建的win

12、dows server 2008 r2添加为额外域控制器（ip地址为192.168.2.120），同步所有域控制器的用户和在组策略信息，检查事件日志没有出现错误日志。a) 使用dcpromo提升windows server 2008 r2为额外域控制器（ip地址为192.168.2.120）。b) 将windows server 2008 r2新域控制器的首选dns更改为127.0.0.1，备用dns更改地址为：192.168.2.12。c) 检查windows server 2003旧域控制器 “ad用户和计算机”中的“domain controllers”是否出现windows serve

13、r 2008 r2新域控制器。计算机名称ndomain3ip地址192.168.2.120服务器角色额外域控制器操作系统windows server 2008 r25. 转移fsmo五大角色将windows server 2003旧主域控制器（ip地址：192.168.2.12）的五大主机角色转移到windows server 2003旧辅助域控制器上（ip地址：192.168.2.101）。a) 开始运行输入regsvr32 schmmgmt.dll注册架构。b) 开始运行输入mmc，文件添加/删除管理单元。c) 连接架构主机的域控制器并更改操作主机。d) 连接rid、pdc、基础结构主机的

14、域控制器并更改操作主机。e) 连接域命名主机的域控制器并更改操作主机。6. 提升第二台域控制器将第二台曙光搭建的windows server 2008 r2添加为额外域控制器（ip地址为192.168.2.12），同步所有域控制器的用户和在组策略信息，检查事件日志没有出现错误日志。a) 使用dcpromo提升windows server 2008 r2为额外域控制器（ip地址为192.168.2.12）。b) 将windows server 2008 r2新域控制器的首选dns更改为127.0.0.1，备用dns更改地址为：192.168.2.101。c) 检查windows server 2

15、003旧域控制器 “ad用户和计算机”中的“domain controllers”是否出现windows server 2008 r2新域控制器。计算机名称ndomain1ip地址192.168.2.12服务器角色额外域控制器操作系统windows server 2008 r27. 将2008提升为主域控制器 将windows server 2003旧辅域控制器（ip地址：192.168.2.101）的五大主机角色转移到windows server 2008 r2新主域控制器上（ip地址：192.168.2.12）。a) 开始运行输入regsvr32 schmmgmt.dll注册架构。b) 开

16、始运行输入mmc，文件添加/删除管理单元。c) 连接架构主机的域控制器并更改操作主机。d) 连接rid、pdc、基础结构主机的域控制器并更改操作主机。e) 连接域命名主机的域控制器并更改操作主机。计算机名称ndomain1ip地址192.168.2.12服务器角色主域控制器操作系统windows server 2008 r28. 提升第三台域控制器将第三台曙光搭建的windows server 2008 r2添加为额外域控制器（ip地址为192.168.2.101），同步所有域控制器的用户和在组策略信息，检查事件日志没有出现错误日志。a) 使用dcpromo提升windows server 2

17、008 r2为额外域控制器（ip地址为192.168.2.101）。b) 将windows server 2008 r2新域控制器的首选dns更改为127.0.0.1,备用dns更改地址为：192.168.2.120。c) 检查windows server 2003旧域控制器 “ad用户和计算机”中的“domain controllers”是否出现windows server 2008 r2新域控制器。计算机名称ndomain2ip地址192.168.2.101服务器角色额外域控制器操作系统windows server 2008 r2三 升级后域控状态计算机名称ndomain1ndomain2ndomain3ip地址192.168.2.12192.16