转移域控角色的两种方式

域控服务器迁移步骤假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20第一步：主域迁移之前的备份：1. 备份主域服务器的系统状态2. 备份主域服务器的系统镜像3. 备份额外域服务器的系统状态4. 备份额外域服务器的系统镜像第二步：主域控制迁移：1.在主域控服务器（192.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入：netdom query fsmo查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。

2.将域控角色转移到备份域服务器（192.168.1.20)在主域控服务器（192.168.1.10）执行以下命令：2.1 进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server 192.168.1.20 （连接到额外域控制器）提示绑定成功后，输入q退出。

2.2 依次输入以下命令：Transfer domain naming masterTransfer infrastructure masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。

2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入：netdom query fsmo再次查看域控制器的5个角色是不是都在192.168.1.20上面。

3. 转移全局编录：3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。

win2003+exchange2003同域迁移到win2008r2+exchange2010目的是将原来部署在win2003上的exchange2003服务器中的用户和邮件全部迁移到新建立的win2008r2服务器上的exchange2010中。

按照安装win2008r2---加入域---取代原来的win2003域控---IIS---证书服务器---证书认证---部署exchange2010---迁移用户的步骤执行。

旧服务器已经运行了3年，因为近期陆续出现严重错误，最后决定进行迁移。

决定首先使用Acronis Backup & Recovery 10 Server for Windows将旧服务器整体制作成为一个vm虚拟机并运行，然后再在虚拟机环境下安装一个win2008r2新服务器加入旧服务器域，迁移域控后删除旧服务器的域控，在新服务器中部署IIS、证书服务器、exchange2010，然后将所有用户和邮箱迁移到新服务器中，删除旧服务器的exchange2003，最后用Acronis Backup & Recovery 10 Server for Windows将建成的新服务器win2008r2+exchange2010制作成映像文件，裸机还原到一个新硬盘上，将硬盘安装到真实服务器，投入使用。

部署环境：旧服务器：omoserver，win2003sp2，本身为域控AD（），已经部署有exchange2003，ip 地址为192.168.1.91管理员administrator 密码omoxxxx0）新服务器：omoserver2，win2008r2，将成为新域控AD（），最后准备部署exchange2010,ip 地址为192.168.1.61管理员administrator 密码xitongguanliyuanxxxx0）部署环境为vmware7虚拟机。

安装过程中的存档都是指虚拟机快照。

域控迁移方法Migrating domain controllers can be a challenging task for any organization. 域控迁移可能对任何组织来说都是一个具有挑战性的任务。

There are several methods that can be used to migrate domain controllers while minimizing the impact on users and maintaining a stable network environment. 有几种方法可以用来迁移域控制器，同时最大限度地减少对用户的影响，并保持稳定的网络环境。

One of the most common methods is to add new domain controllers to the existing domain, which allows for a gradual transfer of services and roles. 最常见的方法之一是向现有域添加新的域控制器，这样可以逐步转移服务和角色。

This approach ensures that there is no disruption to the network, as both old and new domain controllers can coexist during the migration process. 这种方法可以确保网络没有中断，因为在迁移过程中旧的和新的域控制器都可以共存。

Another method for domain controller migration is to use the Active Directory Migration Tool (ADMT) provided by Microsoft. 域控制器迁移的另一种方法是使用微软提供的Active Directory迁移工具（ADMT）。

AD2003升级到AD2008测试报告一、升级目的：Windows Server 2008 R2 是Microsoft 比较新的Windows Server 操作系统，其旨在帮助组织降低运营成本和提高生产效率，提供对整个企业资源的增强的管理控制。

其设计目的是通过降低电源消耗和减少管理费用，提供更高的能源效率和性能。

它还有助于提高分支机构的效率和新的远程体验。

二、测试环境：计算机名：test2003adIp Address ：192.168.0.1操作系统：windows 2003 Enterprise Edition r2提供服务：AD、DNS角色：主域控计算机名：test2008adIp Address ：192.168.0.2操作系统：windows 2008 Enterprise Edition r2提供服务：AD、DNS角色：辅域控计算机名：ex2010Ip Address ：192.168.0.6操作系统：windows 2008 Enterprise Edition r2提供服务：Exchange2010角色：邮件服务三、拓扑结构：四、升级步骤：1、备份win2003AD 服务器，防止升级失败可以有恢复的备份;2、升级2003 AD Schema 林架构; adprep32.exe /forestprep3、升级2003 AD Schema 域架构; adprep32.exe /domainprep4、更新组策略对象权限; adprep32.exe /domainprep /gpprep5、更新AD 对RODC 只读域控器的支持; adprep32.exe /rodcprep6、把win2008服务器提升为额外域控制器;7、把FSMO 主机角色传递给windows 2008 AD服务器;8、对原Windows 2003 AD 主机进行降级;9、提升Windows 2008 AD 域功能级别;10、提升Windows 2008 AD 林功能级别;五、实施过程：1、在使用域管理员登录的新服务器(win2008AD)中，运行---cmd---输入netdom query fsmo，检查fmso。

把Windows 2008 R2域服务升级和迁移到Windows Server 2012 R2上• (一)windows Server 2012 R2 中增加了不少功能，在AD角色中就增加了如下新特性：Workplace Join：支持设备在不加入域的情况下，通过第二因子认证和单点登录通过web应用代理访问内部应用:外部设备可以直接通过Web应用代理来访问内部应用和服务，如：ADFS、Applications。

通过规则以决定访问ADFS资源的用户权限，权限有三种：允许所有用户访问、输入凭据访问、拒绝用户访问迁移工作可以有多种方式，常见的就是在不同设备上进行迁移，这样安全可靠。

还有一种是就地升级的迁移，这种方式只限于能直接升级到Windows Server 2012 R2 的系统，升级前做好系统备份工作。

1.新安装一台Windows server 2012 R2服务器，打开添加角色和功能对话框。

2.在安装类型页面点击下一步3.在服务器选择页面，点击下一步4.在服务器角色页面，选择AD域服务角色，点击下一步5.在功能页面，点击下一步7.点击下一步8.勾选“如果需要，自动重新启动服务器”，点击安装9.安装完成后点击“将此服务器升级为域控制器”10.在部署配置页面，选择将域控制器添加到现有域，具体配置如图所示，点击下一步11.输入目录还原密码，然后点击下一步12.点击下一步13.复制自选择主域控制器，然后点击下一步14.在路径页面，点击下一步15.点击下一步16.点击下一步17.先决条件检查通过后，点击安装18.安装完成后，点击关闭19.在AD管理中心中看到，windows server 2012 R2 服务器已经成为域控制器。

（二）将域的五个角色转移到Windows server 2012 R2AD域环境中的五大主机角色在Win Server多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。

ADDS概述统一管理用户、计算机、网络资源授权（Authorization）ADDS 由物理组件和逻辑组件物理组件：1、数据存储：NTDS.DITA、AD数据库：AD对象B、日志文件：ADDB改变数据C、S/SVOL文件夹：组策略相关的数据2、域控制器3、全局编录服务器（GC）：提供信息资源的查找，GC数据库存储在DC中4、只读域控制器（RODC）：DC不一定是GC，但是GC一定是DCExchange中的通讯簿是从GC中来a)只读不可写b)只做入站复制，不做出战复制c)只能在2008和2008 R2中实现d)域功能级别必须在2003或者以上才能实施RODCe)认证缓存f)RODC不做任何用户名和密码的身份验证但是通过认证缓存保存用户信息到RODC中g)角色分离逻辑组件：1、分区2、架构：ADSI编辑器3、域4、域树由一个或多个域组成5、林6、站点进行数据库的复制7、组织单元（OUS）应用组策略AD架构：在一个林中架构是唯一的AD是一种网络架构，来进行统一管理，和工作组对立A域信任B域1.B可以访问A资源2.A是信任域，B是受信任域3.A是资源域，B是账户域4.A传出信任，B传入信任5.A外传，B内传信任的传递性（只能从上到下）信任的类型：1、父子信任2、林信任3、根域信任4、快捷方式信任5、外部信任6、领域信任（和非Windows系统之间的信任）UPN就是电子邮件账户在林中是唯一的站点：一、域控制器安装方法：1.在服务器管理器上面添加角色ADDS————〉运行dcpromo2.直接在开始运行里面输入dcpromo有标准模式和高级模式（创建子域、额外域控、第二个域树时使用dcpromo /adv）两种模式二、应答文件Cmd——〉dcpromo /unattend：”C:\应答文件”三、验证安装1、services2、检查DNS3、事件查看器4、DCdiag /v5、net share查看netlogon和sysvol有没有共享备份ADDS数据库信息1、netsutil2、activate instance ntds3、ifm4、create full（RODC）C：\NDTS离线加域命令：DJOIN条件：1、必须是ws2008R2的DC+win7的Client2、创建的计算机名称和即将要加域的计算机名称必须一致修改域控的计算机名称Netdom来实现修改域控制器的计算机名称dom computername （oldname）/add：newnamedom computername （oldname）/makeprimary：newname3.重启域控dom computername （newname）/remove：oldname5.做相关DNS名称的修改RODC的安装方式有2种1、委派安装----创建预安装RODC，然后再server执行安装在cmd中运行dcpromo.Exe /UseExistingAccount：attach2、直接在server上安装创建子域创建林中第二个域树为这个域树选择适当的DNS架构1、能够通过DNS找到林中的域命名主机2、不同的DNSA、使用条件转发B、辅助区域作用：保证让一个域内的用户和计算机能够找到另外一个域内的用户和计算机（包括DC）创建林中的第二个域树，一定得是用高级安装创建模式Dcpromo /adv修改GC是在ADDS的站点和服务中修改2008 R2中有活动目录管理中心Client来管理ADUC操作主机一共有五种：林级别：架构主机域命名主机架构主机和域命名主机每个林内只有一台域级别：PDC模拟器RID主机基础结构主机PDC主DCBDC辅DCFSMO操作主机操作主机Netdom query fsmo架构主机（Schema）Regsvr32 schmmgmt.dll——〉MMC——〉添加删除管理单元——〉添加AD架构、域命名主机作用：添加删除域查找域命名主机：右键AD域和信任关系——〉域命名主机RID主机颁发RID主机给域内所有DC查找RID主机：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉RID主机PDC仿真器主机为2000之前的旧客户机更新密码最小化用户的密码跟新延迟同步域中域控制器的时间基础结构主机角色查找：管理工具——〉活动目录——〉ADUC——〉右键域名操作主机——〉基础结构主机转移DC角色有两种方式：1、图形化界面2、命令行界面传送角色Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit ——〉transfer夺取角色：命令行：Ntdsutil——〉roles——〉connections——〉connections to server ——〉quit ——〉Seize PDC如何将WS2003的DC迁移到WS2008R21、备份系统NTbackup2、考虑应用服务3、功能级别要2003或者以上4、扩展AD架构成为2008R2（需要插入WS2008R2的光盘）5、扩展步骤：1）cmd命令进入光盘的盘符然后cd \support\adprep然后运行adprep /forestprep（准备林）如果win2003是32位系统运行adprep32 /forestprep2）之后按C+Enter继续3）adprep /domainprep（准备域）《如果2003是32位系统则adprep后都要加32》4）adprep /rodcprep（准备RODC）6、将WS2008R2的工作组计算机变成额外域控运行dcpromo7、等待2台DC的所有信息都同步8、角色转移（将2003DC的角色转移到2008R2上）——〉将2008R2的域控变成主域控9、微软建议最好保证03DC和08R2DC一起运行一个月左右的时间10、将2003DC降级—dcpromoDcpromo /forceremoval 强制降级11、修改DNS1）DNS地址保留原有的2）DNS地址使用最新的配置域名服务支持活动目录服务LADP是对象信息查找ADDS对象的类型1、用户账户2、计算机账户3、组账户4、InetOrgPerson5、组织单位6、打印机7、共享文件夹用户登录域计算机的方式：1、UPN登录，整个林内这个名称是唯一的。

活动⽬录5种操作主机⾓⾊转移详解如何将server 2008 R2作为server 2003域中的额外域控 ?⼀、迁移前的准备如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中，⾸先需要更新Active Directory的架构，并且该更新需要在架构主机上进⾏操作，同时进⾏操作的域⽤户需要时Enterprise Admins、Schema Admins 和Domain Admins组的成员才可以。

1、更新林架构在server A中插⼊Windows server 2008 R2 的安装光盘，导航到\support\adprep⽬录下，运⾏adprep32.exe /forestprep，在警告窗⼝中键⼊C，确认所有windows 2000域控制器都是sp4或更⾼版本，即开始⾃动更新⽬录林架构。

2、更新域架构在相同⽬录下，运⾏adprep /domainprep，活动⽬录森令就为加⼊windows server 2008 R2域控制器做好了准备。

注意：如果当前域的功能级别⾮Windows 2000纯模式以上，将会出现如下提⽰：此时只要在Active Directory 域和信任关系中，将功能级别提升到Windows 2000纯模式即可。

3、更新AD对RODC只读域控制器的⽀持，adprep32.exe /rodcprep;⼆、在林中加⼊Windows server 2008 R2的域控制器1、安装AD DS⾓⾊Windows server 2008 R2使⽤⼀个基于⾓⾊的模型。

所以，要使⽤⼀个Windows 2008服务器成为⼀个域控制器，需要先添加Active Directory Domain services⾓⾊。

打开【服务器管理器】，选择【⾓⾊】节点，点击【添加⾓⾊】，选中【Active Directory域服务】，在弹出的向导中，点击【添加必需的功能】，添加.NET Framwork 3.5.1功能。