WindowsServer2003域升级到WindowsServer2012R2域

从2003域迁移到2008 R2域Windows server 2008 R2功能强大，其功能远远超过windowsserver 2003.伴随着时间的推移，windows server 2008 R2已经逐步在企业中搭建应用，可是基于旧管理平台的windows server 2003的怎么办？今天我们来看一下windows server 2003的活动目录是如何向windows server 2008中迁移的实验环境如下图：下面我们开始试验升级前,先在srv03上搭建Windows2003 DC （略）如在真实环境中操作，作业前，请先备份2003域控系统状态，在此不多说！！！一、将计算机srv5加入到域中首先将装有windows server 2008 R2的计算机srv5加入到windows server 2003域中，在srv5上操作打开网络设置，把DNS指向DNS服务器，在此我们指向srv03更改系统属性，把计算机加入到域中，如下图客户端加入域需要权限，因此加入域时需要输入域管理员账户和密码下图显示加入域成功，单击确定在加入域后重新启动计算机二、给windows server 2003活动目录升级（在srv03上操作）1、提升域功能级别单击开始——→程序→管理工具→AD用户和计算机，右击，选择提升域功能级别功能级别选择“windows server 2003”，单击提升2、提升林功能级别单击开始——→程序→管理工具→AD域和信任关系，右击AD域和信任关系，选择提升林功能级别选择“windows server 2003”，单击“提升”3、林准备在2003 域控srv03 上放入2008 R2 光盘，此光盘为D盘，CMD下进入D:\support\adprep 目录：输入adprep32.exe /forestprep 进行2003 Schema 林架构升级。

这里按 C 再按enter 确认继续，按其他键和enter 取消操作。

win2003域控制器升级迁移到win2008的详细步骤原 Domain Control情况如下：计算机名：IP地址： 192.168.2.31/24 （/24）操作系统： Windows Server 2003 Enterprise Edition SP1提供服务： Domain Control、DNS完成升级后，增加 Server2008为域控制器计算机名：IP地址： 192.168.2.31/24 （/24）操作系统： Windows Server 2008 R2 enterprise提供服务： Domain Control、DNSWin2003域添加Win2008域控制器1、安装Windows Server 2008服务器。

2、将win2008加入域whdg中3、对Forest（林）、 Domian（域）和RODC（域控制器）进行扩展。

在原 Windows Server 2003 域控制器上运行 Windows Server 2008的 ADPREP工具，该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下，复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。

注意：扩展操作在DC2003（域控制器）上进行操作。

开始－运行－CMD，进入D分区的ADPREP目录输入 adprep /forestprep 根据提示，选择”C “，并按下 Enter键继续。

（林拓展）完成 Forest扩展。

接下来的是 RODC 请输入：adprep /rodcprep。

完成 RODC的扩展之后，接下来进行的是 Domain的扩展。

输入：adprep /domainprep /gpprep现在，我们已经做好了将 Windows Server2008（计算机名 Server2008）提升为域控制器的准备工作。

现在，请以域administrator身份登录成员服务器 Server 2008。

win2003额外域控制器升级到主域控制器一．其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机(Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展Active Directory 林的架构或运行adprep /domainprep 命令。

★域命名主机(Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机(RID master) －RID 主机角色是域范围的角色，每个域一个。

此角色用于分配RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器(PDC emulator) －PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机(Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行adprep /forestprep 命令，以及更新跨域引用的对象的SID 属性和可分辨名称属性。

Active Directory 安装向导(Dcpromo.exe) 将这五种FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用Ntdsutil.exe 捕获FSMO 角色或将其转移到域控制器[url]/kb/255504/zh-cn[/url]2.域控制器降级失败后如何删除Active Directory 中的数据[url]/kb/216498/[/url]3.域控制器降级失败后如何删除Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)[url]/kb/216498/zh-cn[/url]四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.。

windowsserver2012IIS权限问题
最近将公司部分系统（IIS运⾏）从2003迁移到了2012,迁移之后功能运⾏正常，但是业务系统中的附件⽆法下载了，下载时报错system.io.__error。

查看后台代码，为new System.IO.FileStream(filepath, FileMode.Open)报错。

进⼀步测试发现新上传的⽂件可以下载，只有从旧服务器中复制过来的⽂件⽆法下载。

分析可能是权限问题。

分别查看新旧上传⽂件，发现⽂件属性中安全⼀栏，新上传的⽂件对defaultAppPool有读写和执⾏权限.想给之前的⽂件也加上，却发现系统中根本找不到这个⽤户名。

⽹上找了⼀圈，都是说IIS将⽤户映射到IUSER上，只需要对IIS要读取的⽂件夹赋予IUSER读写权限即可。

但是经我的测试，在⽂件夹属性-安全-编辑-添加，这⾥加上IUSER的权限后，仍然⽆法读取。

试验⼏个⼩时，发现最后的解决办法：
⽂件夹属性中，安全⼀栏，不是直接赋予IUSER读写权限，⽽是在“有关特殊权限或⾼级设置，请单击⾼级”，这⾥，点击“⾼级”，在弹出
的“⾼级安全设置中“添加IUSER的读写权限。

方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机 角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的 FSMO 角色。

这五个 FSMO 角色是：●架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

●域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

●结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

●相对 ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。

任何时刻，在域中只能有一个域控制器充当 RID 主机。

●PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机，或者如果包含 Microsoft Windows NT 备份域控制器，则 PDC 模拟器主机充当 Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。

使用 MMC 管理单元工具来转移 FSMO 角色。

根据您要转移的 FSMO 角色，可以使用以下三个 MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

我单位原来的网络是Windows Server 2008 R2，网络中的服务器都是Windows Server 2008 R2，工作站主要是Windows 7，也有部分的Windows XP。

现在Windows Server 2012已经发布，近期将会把网络升级到Windows Server 2012。

在本节中介绍从Windows Server 2008 R2的Active Directory服务器升级到Windows Server 2012的内容，主要步骤是。

运行Windows Server 2012的ADPREP工具更新升级安装Windows Server 2012。

将网络中其他成员服务器升级到Windows Server 2012。

提升域功能级别到Windows Server 2012.下面介绍主要的步骤及过程（在Windows Server 2008 R2图形界面安装）。

（1）当前的Active Directory域控制器是Windows Server 2008 R2，如图1所示。

图1 当前域控制器是Windows Server 2008 R2（2）准备Windows Server 2012安装光盘，进入命令提示窗口，从安装光盘的support\adprep 文件夹，执行adprep /forestprep，先升级林架构（如图2所示），然后执行adprep/domainprep更新全域信息（如图3所示）。

图2 升级林架构图3 更新全域信息（3）然后运行Windows Server 2012安装程序，如图4所示。

图4 运行安装程序（4）在“获取Windows安装程序的重要更新”对话框，选择“不，谢谢”，如图5所示。

因为我的网络中有WSUS，平常都是使用WSUS更新的。

图5 不获得更新（5）在“选择要安装的操作系统”，选择要安装的操作系统，在此选择“Windows Server 2012 Datacenter（带有GUI的服务器）”，如图6所示。

Windows server 2003 R2的AD升级至Windows Server 2012的操作过程操作步骤：1、首先准备Windows server 2003 R2，Windows server 2008 R2 ，Windows server 2012各一台。

其中Windows server 2003 R2为域控制器，域名为。

三台如Windows server 2012上的操作2、把Windows server 2012加入域，在Windows server 2012上打开资源管理器，右键点击计算机->属性。

在计算机属性界面上选择“高级系统设置”，在系统属性下选择“计算机名”选项，点击“更改”，按下图所示输入域名把计算机加入域。

3、服务器重启后，打开“服务器管理器”，点击“添加角色和功能”。

点击下一步4、选择基于角色或功能安装5、由于这个实验只用了一台2012服务器，因此默认选择下一步。

6、选择添加AD域服务，同时添加所需功能。

7.根据提示操作点击下一步8、点击安装。

9、返回服务器管理器，点击AD DS如下图所示操作来将2012提升为域控的操作。

10、出现AD域服务配置向导，默认即可，点击下一步。

11、报错，提示当前林级别为Windows2000。

出现这个提示需要提升Windows server 2003系统的林功能级别。

Windows server2003上的操作12、在AD域和信任关系中，右键点击提升域功能级别。

选Windows server 2003模式。

13、再到AD域和信任关系下右键点击提升林功能级别。

15、改成windows server 2003模式并确认。

14、提升功能级别结束后，继续返回Windows Server2012进行下一步，但是依然报错，提示域内找不到运行windows server 2008、2008r2、2012的域控制器。

15、根据以上信息，windows server2003到windows server2012的升级未能一步到位，还得架设一台Windows server2008 R2域控制器。