Windows DC域控由server08r2升级至server2016测试

测试环境

原DC：
csctest.com
CSCDC01 192.168.100.1 server08r2
CSCDC02 192.168.100.2 server08r2

要求：

原两台旧主机均更换为新硬件设备
更换新设备后保持DC名称、IP不变

思路：
使用同名、同IP机器替换的方法来逐台替换掉原有机器

一、前期准备

准备两台新物理机，一台临时机，均安装server2016系统

二、将临时机加入域，并提升为域控

1. 设置临时机信息：CSCDC03 192.168.100.3

（过程略）

2. 临时机加域，重启

（过程略）

3. 为临时机安装AD域、DNS服务

Step1
查询域计算机信息，当前临时机CSCDC03为普通成员机

Step2
依次打开：开始→windows管理工具→服务器管理器→添加角色和功能

Step3
下一步

Step4
选择默认的“基于角色或基于功能的安装”，下一步

Step5
选择默认的“从服务器池中选择服务器”，下一步

Step6
勾选“AD域服务”、“DNS服务”

Step7
选择“添加功能”，下一步

Step8
默认功能选择，下一步

Step9
下一步

Step10
勾选重启，点击是，点击安装

Step11
等待安装完成
（可以在此界面选择导出配置设置，以备后查）

安装完成后，点击关闭

4. 将临时机提升为域控

Step1
使用域AD账号登陆临时机CSCDC03
使用的账号需要具有“企业管理员组”、“架构管理员组”的权限

依次打开：开始→windows管理工具→服务器管理器→最上面通知图标
点击“将此服务器提升为域控制器”

Step2
使用默认设置，将域控添加至现有域，下一步

Step3
使用默认设置，并输入目录还原密码，下一步

如何重置DSRM目录还原密码？
https://www.cnblogs.com/caishuaichao/p/12766676.html

Step4
忽略DNS委派警告，继续下一步

Step5
使用默认设置，下一步

Step6
使用默认设置，下一步

Step7
使用默认设置，下一步

Step8
检查配置信息，确认无误后下一步

Step9
等待先决条件检查
检查最后一项“所有先决条件检查都成功通过......”为绿色按钮，确认信息无误后点击安装

等待系统安装升级
安装完成后，系统会自动重启

刷新域控信息，检查临时服务器已成为域控

Step10 检查DNS设置
打开DNS管理服务

找到当前服务器，右键属性

调整接口设置
选择指定网卡IP（如果有多个网卡IP则选择实际在用的）

调整转发器设置
域环境里，内网客户端的DNS服务器必须是域服务器的IP地址，但是域服务器上的DNS服务，默认只能解析本地域名，要解析外网的域名，则必须在此处指定外部的DNS服务器，比如114.114.114.114，或者是自己公司对外AD负载均衡地址

监视设置
可以使用监视功能测试连通性，勾选“简单查询”和“递归查询”，再点击“立即测试”，多点几次，每次都是秒通过，才表示没问题，否则需要排查故障

三、转移五大角色至临时机

1. 检查当前五大角色的所在主机

使用域AD账户登陆临时域控CSCDC03，命令行执行netdom query fsmo，角色在CSCDC02上

2. 转移“RID、PDC、基础结构”

Step1
依次查找：开始→windows管理工具→AD用户和计算机

Step2
找到当前域，右键，操作主机

Step3
依次在RID、PDC、基础结构三个选项卡中点击“更改”，将三个角色依次转移至临时机CSCDC03

三个角色转移成功

3. 转移“架构主机”

Step1
以管理员身份运行“regsvr32 schmmgmt”进行注册

Step2
运行MMC程序打开控制台

Step3
通过控制台的“文件，添加/删除管理单元”界面添加AD架构功能

Step4
更改当前连接至临时机
选中AD架构，右键，更改AD域控制器

选择CSCDC03，确定

点击确定，忽略警告信息

Step5
在临时机的架构链接上点击右键，操作主机

Step6
转移角色，点击更改，是，关闭

4. 转移“域命名主机”

Step1
依次查找：开始→windows管理工具→AD域和信任关系

Step2
在AD域和信任关系上，右键，操作主机

Step3
转移角色，依次点击更改，是，关闭

命令行执行netdom query fsmo，现在五大角色全部转移至临时机CSCDC03

强制夺取五大角色
特殊情况下，角色所在的主域控DC故障，无法正常使用，此时需要将该主DC关机并脱离网络，然后使用辅DC强制夺取五大角色
使用ntdsutil工具转移角色
Transfer传送，是在原主AD正常的情况下，传送5大角色到辅助AD，适合用于AD升级。
Seize夺取，即在主AD已经挂了的情况下，使用辅助AD强制夺取5大角色。
具体参考：https://www.cnblogs.com/liulj0713/p/10282263.html

四、将第一台旧主机降级并退域

CSCDC01降级

server08系统，使用dcpromo命令降级
或者使用服务器管理器，角色，右侧“删除角色”功能

开始，运行，dcpromo

下一步，确定

使用默认设置不勾选，下一步

输入本地计算机内置administrator管理员帐户的密码，下一步

检查摘要信息，下一步

等待域控降级，完成后自动重启

重启后，登录临时机，刷新域控信息，发现第一台旧域控CSCDC01变为普通成员机

CSCDC01退域

（过程略）

在DC管理控制台中手动删除CSCDC01的元数据

CSCDC01释放所占用的IP地址，关机

（过程略）

五、将第一台新主机加域并提升为域控

为第一台新主机安装server2016系统，设置为原第一台旧主机所使用的机器名CSCDC01、IP192.168.100.1
将第一台新主机加域并提升为域控
（过程略，参照前面临时机加域提升域控的操作）

六、将第二台旧主机降级并退域

（过程略，参照上面第一台旧主机退域降级过程）

七、将第二台新主机加域并提升为域控

（过程略）

八、转移五大角色至第一台新主机

（过程略）

九、将server2016系统临时机降级并退域

域降级参考：windows域降级

server2016降级不同于server08，无法使用dcpromo命令，接口如下：

开始，windows管理工具，服务器管理器，管理，删除角色和功能

反勾选相关功能，点击删除功能

在弹出的界面上选择“将此域控制器降级”

勾选继续删除，下一步

输入本地计算机内置administrator管理员帐户的密码，下一步

点击降级

降级后系统自动重启，降级完成

如何强制删除域控制器
个别域控制器可能存在系统崩溃或其他异常情况，导致该域控服务器无法正常连接至AD，此时需要从AD中强制删除该异常域控制器
参考：https://blog.51cto.com/gaowenlong/2061623
备注：删除域控操作所使用的账户，应具有“Domain Admins”、“Schema Admins”两个域权限组的权限

十、提升域级别

查看当前域级别

域环境检查

以管理员身份打开cmd，分别在两台域控上执行命令：Dcdiag /v /c /d /e /s:CSCDC0x > c:\dcdiag.log
（CSCDC0x为所在域控的名称）

执行完成后，分别查看dcdiag.log文件以检查是否在最近时间存在错误信息
以管理员身份打开cmd，分别在两台域控上执行命令：Repadmin /showrepl CSCDC* /verbose /all /intersite > c:\repl.log
执行完成后，分别查看repl.log文件以检查是否在最近时间存在错误信息
依次打开开始→windows管理器→服务器管理器→左侧找到AD DS→右侧拉到中间部分找到最佳实践分析程序→任务→启动BPA扫描