把Windows2008R2域服务升级和迁移到WindowsServer2012R2上

1、把Windows2008R2域月艮务升级和迁移至IWindowsServer2012R2上（一）windowsServer2012R2中增加了不少功能，在AD角色中就增加了如下新特性:WorkplaceJoin:支持设备在不加入域的情况下，通过第二因子认证和单点登录通过web应用代理访问内部应用：外部设备可以直接通过WeW用代理来访问内部应用和服务,如：ADFSApplications。通过规则以决定访问ADFSS源的用户权限，权限有三种：允许所有用户访问、输入凭据访问、拒绝用户访问迁移工作可以有多种方式，常见的就是在不同设备上进行迁移，这样安全可靠。还有一种是就地升级的迁移，这种方式只限于能

2、直接升级到WindowsServer2012R2的系统，升级前做好系统备份工作。1.新安装一台Windowsserver2012R2服务器，打开添加角色和功能对话框。3.在服务器选择页面，点击下一步4.在服务器角色页面，选择AD域服务角色，点击下一步5.在功能页面，点击下一步7.点击下一步8.勾选“如果需要，自动重新启动服务器”，点击安装9.安装完成后点击“将此服务器升级为域控制器”10.在部署配置页面，选择将域控制器添加到现有域，具体配置如图所示，点击下一步11.输入目录还原密码，然后点击下一步12.点击下一步14.在路径页面，点击下一步15.点击下16.点击下一步17.先决条件检查通过后，

3、点击安装18.安装完成后，点击关闭19.在AD管理中心中看到，windowsserver2012R2服务器已经成为域控制器*ActiveDirectory传理中心bjdemo（本地）DomainControllers1»I*q内口鹏4DomainCmrtrellAn.（7>,sisfa口M；*vu*rnsjrto,HlMM20UIJ*»-301nMi9s“MS113CMO一但«4XMWJ-唆事Ww*式¥ hogr*" Hli-yttwnOwwlflCbiiIiifllii.imTF«tamUwnMwimf»M0时事;怩

4、*EHtm殳RiffmwWtR：14苣M：劭内腐1回1AffeUtWndon.J91JKJ,X，/.net；人lJ(二)将域的五个角色转移到Windowsserver2012R2AD域环境中的五大主机角色在WinServer多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSM也表示，拥有这些特殊功能执行能力的主机被称为FSMQt色主机。在WinAD域中，FSMOt五种角色，分成两大类:森林级别(在整个林中只能有一台DC

5、拥有访问主机角色)1:架构主机(SchemaMaster)2：域命令主机(DomainNamingMaster)域级别(在域中只有一台DC拥有该角色3: PDCWH器(PDCEmulator)4: RID主机(RIDMaster)5:基础架构主机(InfrastructureMaster)1:架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。2:域命令主机向目录林中添加新域。从目录林中删除现有的域添加或删除描述外部目录的交叉引用对

6、象3:PDC1拟器向后兼容低级客户端和服务器，担任NT系统中PDQt色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务,林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步！密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC真拟器，询问密码是否正确。首选的组策略存放位置，组策略对象（GPO）由两部分构成：GPTKGPC其中GPC#放在AD数据库中，GP世认存放PDC®拟器在windowssysvolsysvol<domainname>目录下，然后通过DFS复制到本域其它DC中。nam

7、e域主机浏览器,提供通过网上邻居查看域环境中所有主机的功能4:主机角色：RID主机Win环境中，所有的安全主体都有SID,SID由域SID+序列号组合而成，后者称为“相对ID"（RelativeID,RID）,在Win环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池（默认一次性分配500个），所有非RID主机在创建安全实体时，都从分配给的RID池中分配RID,以彳证SID不会发生冲突！当非RID主机中分配的RID池使用到80%寸,会继续RID主机，申请分配下一个RID地址池！5:基

8、础架构主机基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC接下来就开始介绍如何利用ntdsutil.exe工具迁移五个主机角色1 .在windowsserver2012R2域控制器上，以管理员身份打开Powershell,并且输入ntdsutil.exe2 .输入Rolesiirirudow4FOWFSlMll眼轨环有«?)?f&#

9、187;L3MicfosaftCcrpcrftion.保管斫有包利f节t;MrsersMjrninistrator<ttJl?t«O>ntd»ut>4,tKtC;Windcn*isyitswJ2ntdsul.i1.exrJRoltifsrnorsiratmiKP：一3.输入connection凄S二WdwlcywsPowerSfriellrtindcRMSiPowerS-hel1|ih仪所右cel2013HidCdrporati保甯斯有钗"LPSCiUsers-Acfministrator.BJE3EFO>ntdsvltiI.exe匚：Wi

10、ndcrnys<tcal2ntuLi1.e;Rol，玄Mm-tintcnrari*:connectiofkserverconnecticnss,4.输入connecttoserverwin2012R2(注：新的域控名称)Corp&ratHntcKutilH&IekXULertVAdmftisnrjitor.njml!windou5£ysitn!¥2ntdiati'Pfiwt?traintcFrd»-*cc：Ucw*nv匚ttens>erv(rciiincXiQns;tQmcttt摩宏到win?D12r?.H引电Wird吟fP&a

11、mp;erShsI：5.输入quit返回上层命令99：WindowsfnwcrShcllhindDMPcwer&liel/银肺有<C)?013UicrospftCerpQr«ion,图帘淅百枚利.P5C：U5er5*drtiini5tritor.5JDE«O*titdiuti1.rxcC：Xnyindon4£ytt«ml2rtdsLiti1.cut:Beltsfsft*ofii'interbaflc#:cairwctioa»servertorinKtins：connectt。serverir»2Q1Z2源定到*i

12、n201?r2.用本要索的闲产的挑证甚有fein?012r2.servercenneetions;qui-t7.输入transferinfrastructuremaster,迁移基础架构主机角色，点击是-CM113士.£犷。£味网行本rDPI(%LHlibNdtEir-L.L%IXEJEMlI.t%、产F.lf-,"：k)£'-CWMWTO&S#teiAg«Xh-OCf£MO.CM-StPVtr«nCIMMmJ1力Fir1,r12rudu士由1it肺贮i，CN*511CSpf*滥&rf"i6

13、1rsMKdnddBmfik豪痈电户的凭福通尊M20n七erwercfvicctionfi"qi，tSC：W&er$,xAdHUMtr»tor.BJIMh(0>ntduitll.exe!srir>dofc5tpffJ?ntd4uti1.thRoVtrwi?rccriVKctionsfconccttoservermin?012r2f&ve)aHG贮亡wnEwrErjjrtsferrtaviMvJifiCerMiawM$nm掏-CKfcNiTOSSrtrifMjv.CNaDCOE*iO|NaServers普1g-Ch»NlDSettirig

14、i-l'i，1M2012R2.CN-SEirvei笈鼾有COJ0I3MicrosoftcorponticHi.保理所有出利L揖但博安认巧清jI，仔mm主"rmMMm2r*:A3Dtiori|OC"bjdei*a*pckcmfrifIguratinntijdeiro.（施z逸,回总足.MA:WifvJwmPoxSheli1&,C»n*PC|>jd*wcDC-comianp箕-bideircK-ccmrieri.OC6m/!g.OCEMi8.输入transferPDC,迁移PDC机角色，点击是产。ECMII(Ci2013MicrofcSrpQut

15、iQn.保航所有投中33r：U"翳UMi(1"t"。日JOftSKT*fltdutil.EX4*kwiradamXsyctesSJn.(tfcutil.ests*nrl包氐sinofHdimt.iErini.rice：CQTEEt+g、ciiv«rtS4His:cio-nncttoi<rv«rinJCIUrJ修率到win2Q12r2门车簟索的用户的凭证在潴EnZCUNR.彳廿小ronnecri«n$:quit手mGtmoLDCU：1ran5fcrmining3Mt厂3-2科如遭询震片推珥3Ktbesetinfl?XN«

16、iXDsrruer?!acw»Defnuitr-irsts-itfl-mir*iCMsiTrf'!；B<H*c&nfiauraticmtDCrbj«J?sMs,occ电生蛇CNMICSMtMgW.EWlM2OL2R2FCk-Octj.uU-fTCW-SSdurAti6rKDtb)diH-CwH7DSte,CiMDt(JEMCl-CK-JD二鹏E2$j£M=KDEk、M=引构C-hTP%SrtlirHJ-iCH-OCECMOjClMmotnAlnienaince:irafiifrinfraiirut>tt"toinl012r2,

17、h如it/美匕作雨<kKfOSeETENmCMMOJlH|宓主机CH=WTD55ettinflsBCh-WIMJ-OLDTChNTD53/ttiriqCh!DCOfKlBC;工口仪NTQ3n中山区酬阳-aHlCNNTDSSettings4di】NK)I2*2rmirwintmance;trflnfrrp'dcN=5ites,CNijmmationBM=4ideCN-Conf1rhri承，j/V1IX'»<miCNrCorifigur.IJg-rtn.£HC51f1"!i.tflOrt；bl-1>1IK1口-UN-WTfi£

18、;iFWj!fcpCM-OTDfHDCMcrrBCFl-OeFsiult-FiritSite-hxn-Thronfigurat货档一<M=MTIK,C*tWl»r2012R.2,CM=S-#一一上一一”-一-*上一i«如唾»,：>.'-lA-hEf'rv'j、e，iff-铲*.&e【ii»w*1l：ikn«,但一e-八一仁三y“，ywr4!$MOF!111cb0JfliPIHl4PC_*CQ®settinjii工NIL?£H=s手昱u】t-F1P£t-SiteUaufia

19、B»*S5iratianrix=bid«ws(x=|&trn-b(f*rpdc卷若！*心”产尔次市定S件E院构-CMHTFDSSettings.CIMXUM>ICN-S<fiier£rCMri|hefdUiH-Firit-s4tc-hiarCKCWaC-Orstiflur«tionBOC»«tojifDC*C«r命名正机HCht-wrftS5Mdm1N2Q*2R22N*5C：广收E*5*63uilF"“，5壮片N»cKM4肿KQnffqu也口61.曜-bjOmil*DC-CH-NTDS

20、.ettiingih.Ck-WIMZOLZRJ：PC»-erwars,-Dwtau11-Firstte-hawPCM-SiteipcMEConfiguration,DCidbjdenerDCz(Jridcm尹川mistringtpCk*DTMMOc*r«srvrtjulr=rlrtsitri卜上廿,匚"rCtwifTijui/iJwirDCLbjdFHKJrOCyMhJSttg-<W-kT(K;缶昆Eqri(|4EM=.工ftJ.EMh邑亡LE于工F<：H-3faLi】E-F】r4E-Ci量也-Nimtf.£A=，EWE1sxzH奶F，曲/马

21、，iAi'i.K匕bjiMiri*SBC-f*gzintEeirKe：t-rLTiFerr-i-dk一碇,LNsSlles,LN=CWf1QliFatifliriiMfiylte»icnnfiquLNEibn产Naw1«Jd跻C=MTOS仆*3CNum»F,EHOHULlI膜黑麟，B«烟衿-Cl餐心主机irjLiri<mi1CK：b-jdtrmjiXrocCNCflifiWiK-l?jdcoCNEMM孔rjJT内吁Gult-Fifq：-3七穴，1'个.|：H.1ng.C1MHisR£01Jli2pCN»S<

22、rvcris|C>t4«fAM1t-HWt-Si«-Huetruin>wbzftnce:七却必瞳务修黜|RID回七r-rt,tn<e；trjuivferinJOUi-rE增克此CNTH?Settings；cmmtdj-bsetting's,七局XTM5eCtingsxeiMX的fi0门t*on.oc,iKrctoBCli«ConfiguratlM.DCablcInra.DC.,it。KXsClmFf典mEi.OCisbjch*&110cPDC-CWHTDSSCI?R?«!CN-MTDiset11r*gsPIrfOlJft

23、?/构CKICSSettingsXN-wImSOIS10 .输入transferschemamaster,迁移架构主机角色，点击是11 .输入Netdomqueryfsmo,查看角色转移情况nUtrHtor*8JDEH0>UJsFsMidninietrat&ik.BJDEPioneedfrquei*yFft*w构主机UIN2012R2.hjdtho.cdhwsoftfindous2013nicrosoft所。保留所有权利名王机HINZ912R2,II1N23L2R2.Itjdenu.con池管理器WIH2ei2R2.bJdcnP.CQR主机UlN012ft2.bjaeno.cot

24、h成功完成.管理员:C;Windowss-ystern32cmd.exe（三）降级windowsserver2008R2域控级别，删除上面域服务，然后windowsserver2012R2上提升域功能级别。1.首先我们登陆到windowsserver2008R2上（源域控服务器），运行dcpromo。2.弹出域服务安装向导，点击下一步Directory域JR务x|J此外复机黑是ActiveDirectory阈空制器中同传用r鹘攘碾毒服务器上的小山以由皿蠲有关配奈"Dinctor炉脏雕符的注细隹息|下一步党”取消弹3.弹出警告，点击确定©IActiveDirectory技解务

25、安攀向导欢迎使用ActiveDirectory域獴务安装茴导此计算愚IhmoMy域控制署分可使用章茴翩海毒服务器上的4cDirtctry上赫AetinSiraetery展庵努安装向导F户前8用之Ct詈*II于域务,用F服意地录Ct芳dssAE飞=可褊矗ai制口确息.Mi录&器中全局编Active可访问其他蠲定5.在删除DN峻派页面，点击下一步6.输入新的管理员密码，然后点击下一步7,在摘要页面点击下一步8.卸载完成后，回到windowsserver2012R2域控制器上，然后打开AD管理中心，在任务栏中点击“提升林功能级别”。瞳Oirvdor.ActiveDirectory管理中心*b

26、jdemo体地）（«*adbiMnhlMiDvRhJT<sn£ai-nwforup_MM!如SrFWflMd.网BQvMk片摩即b>UiTPMMwtK*tffN*v*msan*CT-MAWW*if鹿QuOtfeIpiKCOjteUjHlV1liii/gf,g接下来用同样方法，提升域功能级别，到这里，域升级的工作步骤就差不多了，接下来就是在工作中验证新迁移的域有没有存在身份验证问题，所以建议在域迁移升级后，不要急于删掉原来的域控制器，等确保无误后，再删除域控。可以升级到这些版本WindowsServer2012R2Standard或WindowsServer201

27、2R2DatacenterWindowsServer2012R2DatacenterWindowsServer2012R2StandardWindowsServer2012R2Standard或WindowsServer2012R2DatacenterWindowsServer2012R2DatacenterWindowsServer2012R2Standard（四）利用就地升级的方式升级域控制器到windowsserver2012R2卜表列出了支持就地升级的路径:可以将运行WindowsServer200864位版本或WindowsServer2008R2的域控制器升级至ijWindowsServer2012R2。运行WindowsServer2003或WindowsServer200832位版本的域控制器则无法升级。若要替换它们，请在域中安装运行WindowsServer2012R2的域控制器，然后删除运行WindowsServer2003的域控制器。如果运行下列版本带有SP2的WindowsServer2008Standard或带有SP2的WindowsServer2008Enterprise带有SP2的WindowsServer2008DatacenterWindowsWebServer2008带有SP1的WindowsS