如何升级域控，2016-2022

简介：#

本来有两个域控，DC1，DC2，这两天折腾WDS，今天误操作，恢复了DC2的一个快照。开始出错了。

终端提示“工作站和主域间的信任关系失败”，这是因为终端会自动分别连接不同的域控，以达到负载均衡的目的。

赶紧关了DC2，就恢复正常了 。但是一个域控风险太大了，还得部署辅助域控制器，什么只读域控制器就算了，没那条件。

删除旧域控#

DC2关机，操作DC1。

清理 AD DS 服务器元数据 | Microsoft Learn

使用 Active Directory 用户和计算机清理服务器元数据#

1. 打开“Active Directory 用户和计算机”。
2. 如果已确定复制合作伙伴以准备此过程，并且未连接到要清理其元数据的已删除域控制器的复制合作伙伴，请右键单击“Active Directory 用户和计算机”节点，然后单击“更改域控制器”。 单击要从中删除元数据的域控制器的名称，然后单击“确定”。
3. 展开强制删除的域控制器的域，然后单击“域控制器”。
4. 在详细信息窗格中，右键单击要清理其元数据的域控制器的计算机对象，然后单击“删除”。
5. 在“Active Directory 域服务对话框中，确认显示要删除的域控制器的名称，然后单击“是”以确认删除计算机对象。
6. 在“删除域控制器”对话框中，选择“此域控制器永久脱机，不能再使用 Active Directory 域服务安装向导 (DCPROMO) 降级”，然后单击“删除”。
7. 如果域控制器是全局目录服务器，请在“删除域控制器”对话框中，单击“是”继续删除。
8. 如果域控制器当前拥有一个或多个操作主机角色，请单击“确定”将一个或多个角色移动到显示的域控制器。 无法更改此域控制器。 如果要将角色移动到其他域控制器，则必须在完成服务器元数据清理过程后移动该角色。

直接这么操作就行了。简单有效，以前还删除元数据。

安装新域控#

安装windows server 2022，加入域，配置为域控制器。

根据环境，安装lds(ldap)，dhcp，dns，ca……等服务。

我也要考虑一下，CA以后是不是放两个DC上，负载很小。比wds（磁盘读取），ras（VPN网络转换）负载小多了。

略

 

转移五大角色#

检查主域控#

随便操作DC1、DC2。

netdom query fsmo

五大角色，均在DC1。

转移角色#

操作DC1，

转移角色得主人交出去啊，所以操作DC1，强制夺取控制权是主人不在线的时候才可以，强制夺权后，被夺权的最好销毁，不然就可能和我这一样了，信任失败，我可不 想尝试这个。

其实这篇博文就这点干货，shell脚本转移五大角色，比GUI方便多了。

#PowerShell
Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster -force

注意修改红色的服务器名。

就把人家图拿来吧。

 

再次检查主域控#

随便操作DC1、DC2。

netdom query fsmo

五大角色均在DC2。

经验教训#

至此，升级2022就完成了。稳定3天，再去升级DC1。

上一次装DC2，也忘记是什么原因了，那会儿还在部署实施过程，已经加域20多台电脑，也是出错了，不信任，导致20多台电脑重新加域，重新建立信任关系，然后装了DC2，搞坏一个直接Kill掉，重装一下。

这次又搞坏了，趁机升级2022吧。平时加域还偶有DNS报错，把DC1也升级2022吧，再把五大角色交回DC1，不交也没事，单一般我是不操作DC1，操作DC2，也就让DC1做主域控。

已经做了双域控制器，PVE的快照还是删了吧，那玩意本来就是安装调试时用的，后期误操作就成我这样了。安装调试完成，测试3天，删除快照。

主要参考#

域控小实验，2016升级2022，域控同步、迁移、强制迁移、DHCP热备-腾讯云开发者社区-腾讯云 (tencent.com)