Windows 2003 AD升级到 Windows 2008 AD

从2003域迁移到2008 R2域Windows server 2008 R2功能强大，其功能远远超过windowsserver 2003.伴随着时间的推移，windows server 2008 R2已经逐步在企业中搭建应用，可是基于旧管理平台的windows server 2003的怎么办？今天我们来看一下windows server 2003的活动目录是如何向windows server 2008中迁移的实验环境如下图：下面我们开始试验升级前,先在srv03上搭建Windows2003 DC （略）如在真实环境中操作，作业前，请先备份2003域控系统状态，在此不多说！！！一、将计算机srv5加入到域中首先将装有windows server 2008 R2的计算机srv5加入到windows server 2003域中，在srv5上操作打开网络设置，把DNS指向DNS服务器，在此我们指向srv03更改系统属性，把计算机加入到域中，如下图客户端加入域需要权限，因此加入域时需要输入域管理员账户和密码下图显示加入域成功，单击确定在加入域后重新启动计算机二、给windows server 2003活动目录升级（在srv03上操作）1、提升域功能级别单击开始——→程序→管理工具→AD用户和计算机，右击，选择提升域功能级别功能级别选择“windows server 2003”，单击提升2、提升林功能级别单击开始——→程序→管理工具→AD域和信任关系，右击AD域和信任关系，选择提升林功能级别选择“windows server 2003”，单击“提升”3、林准备在2003 域控srv03 上放入2008 R2 光盘，此光盘为D盘，CMD下进入D:\support\adprep 目录：输入adprep32.exe /forestprep 进行2003 Schema 林架构升级。

这里按 C 再按enter 确认继续，按其他键和enter 取消操作。

win2003+exchange2003同域迁移到win2008r2+exchange2010目的是将原来部署在win2003上的exchange2003服务器中的用户和邮件全部迁移到新建立的win2008r2服务器上的exchange2010中。

按照安装win2008r2---加入域---取代原来的win2003域控---IIS---证书服务器---证书认证---部署exchange2010---迁移用户的步骤执行。

旧服务器已经运行了3年，因为近期陆续出现严重错误，最后决定进行迁移。

决定首先使用Acronis Backup & Recovery 10 Server for Windows将旧服务器整体制作成为一个vm虚拟机并运行，然后再在虚拟机环境下安装一个win2008r2新服务器加入旧服务器域，迁移域控后删除旧服务器的域控，在新服务器中部署IIS、证书服务器、exchange2010，然后将所有用户和邮箱迁移到新服务器中，删除旧服务器的exchange2003，最后用Acronis Backup & Recovery 10 Server for Windows将建成的新服务器win2008r2+exchange2010制作成映像文件，裸机还原到一个新硬盘上，将硬盘安装到真实服务器，投入使用。

部署环境：旧服务器：omoserver，win2003sp2，本身为域控AD（），已经部署有exchange2003，ip 地址为192.168.1.91管理员administrator 密码omoxxxx0）新服务器：omoserver2，win2008r2，将成为新域控AD（），最后准备部署exchange2010,ip 地址为192.168.1.61管理员administrator 密码xitongguanliyuanxxxx0）部署环境为vmware7虚拟机。

安装过程中的存档都是指虚拟机快照。

W i n d o w s S e r v e r2008安装A D部署一、AD安装说明：服务器上已安装LDAP后不能再安装AD域服务器;应为两者用的端口都是相同的在运行里输入”dcpromo”;启动AD域安装引导选择在“新林中新建域”输入你想要的域名选择域功能级别默认的2003即可选择“windowsserver2008”进行下一步安装在弹出的窗口中;系统会自动把DNS勾选;因为是域中的第一台域控制器;所以默认为全局录服务器..单击“下一步”这里我们选择“是”进行下一步安装选择数据库文件存放的位置;单击“下一步”这里要求软入还原模式密码;与2003不同;在2003中此步骤可跳过;不输入任务密码;但是在2008中这样是不可以的..这时系统会生成一个配置信息;我们可以选择导出;以用于在CORE模式的2008中部署DC..单机下一步;进行安装;安装完成后;会提示计算机进行重新启动..根据提示重启机器后;打开服务器管理-角色;给大家看看AD管理器吧：二、AD域证书安装可选说明：本步骤为可选项;如果在使用SSL加密连接AD域时必须在服务器上先安装AD域证书打开服务器管理界面;选中“角色”后;点击右侧界面中的“添加角色”在弹出的角色向导框中;将“ActiveDirectory证书服务”勾选上;并点击下一步继续点下一步继续点下一步默认只选择“证书颁发机构”即可继续点下一步默认选择“企业”在界面中选择“根证书”;继续点下一步继续点下一步默认选择“新建私钥”继续点下一步默认算法选择“SHA1”;长度为“2048”继续点下一步默认继续点下一步默认继续点下一步默认最后点击安装;开始安装证书安装完成后点击关闭;最后重启机器注意如果不重启机器证书不会生效;使用SSL 连接AD域时会连接失败重启后可以在服务器管理-角色下看到三、创建组织和用户并赋权限1.创建组织单位在服务器管理-角色-ActiveDirectory域服务下;选择域名test右键选择新建-组织单位；输入组织机构名称“111”点击确定后;创建组织机构名称2.在组织机构下创建用户组在弹出的组信息框中填写对应的组名称点确定后生成组3.在组织机构下创建用户在弹出的用户信息框中填写对应的用户名称点击下一步后;在弹出的密码框中输入用户密码点击下一步后再点击完成;创建用户成功4.给用户授权管理员权限选择中要授权的用户如：yuchen选择当前组织结构名称如：111右键选择“委派控制”在弹出的向导界面中点击下一步在弹出的用户或组中;将要赋予管理权限的用户添加进来;然后点击下一步在列表中勾选所有的管理员权限;点击下一步点击下一步后再点击完成;授权完成四、在控制台配置AD域在控制台中添加创建的AD域;具体配置如下：1.在系统配置-认证管理-LDAP认证源中添加配置的AD域说明：不加密端口为389加密端口为636需要AD证书管理用户和密码为之前创建并赋予权限的用户列如：yuchenAD域前要加@1.在系统配置-认证管理-LDAP认证源信息对应中配置AD域源的字段关系对应；注意：对应的名称大小写是区分的;必须按照图中的关系一一对应说明：配置好后同步用户试试;如果正常图0735李震16:12:26默认情况下：LDAP过滤条件中填写objectClass=user则只同步一级目录项目上使用基线版本进行域同步时;如果域的组织有多层;在LDAP过滤条件中增加：域用户同步如果同步一级用户：LDAP过滤条件为：objectClass=user域用户同步如果同步多级用户：。

如何从Win2003本地直接升级Win2008_R2————————————————————————————————作者：————————————————————————————————日期：2如何从Win2003本地直接升级Win2008 R2【升级先决条件】(1) 域控制器上的操作系统是Windows 2003 SP2或更高版本。

(2) 域控制器硬件超过Windows Server 2008 R2的要求并且所有软件都是Windows Server 2008 R2兼容，包括杀毒软件和驱动程序。

(3) 有足够的磁盘可用空间来执行操作系统和活动目录的升级。

特别要保证可用空间至少是活动目录数据库的两倍，外加安装操作系统所需的最少32GB空间。

(4) 当前域功能级别为Windows 2000 纯模式或Windows 2003.用户不能直接从Windows NT 4.0、Windows 2000 Mixed或Windows 2003过渡域控制器进行升级。

注意：该场景中，Server A同事负责处理DNS、DHCP，本地升级会将所有的DNS、DHCP组件升级到Windows Server 2008 R2版本。

3. Server A升级硬件兼容性根据微软最新发布的对于Windows Server 2008 R2的最小硬件配置要求：1.4GHz 64位处理器512MB 内存32GB 可用磁盘空间4. 检查Server A中应用程序兼容性如果发现安装在Windows Server 2003服务器上的某些关键应用程序在Windows Server 2008 R2不能正常工作，那么可以考虑删除或迁移到其他服务器中，以免造成迁移失败。

同时建议在Server A上安装所有当前重要更新和Service Pack。

除应用程序，Server A本身的操作系统版本也需要考虑。

下面列出了受支持与不受支持的升级方案：受支持的升级方案不受支持的升级方案不支持从下列操作系统升级到Windows Server 2008 R2：Windows(R) 95、Windows 98、Windows Millennium Edition、Windows XP、Windows Vista(R)、Windows Vista Starter 或Windows 7Windows NT(R) Server 4.0、Windows 2000 Server、Windows Server 2003 RTM、带有SP1 的Windows Server 2003、Windows Server 2003 Web、Windows Server 2008 R2 M3 或Windows Server 2008 R2 测试版用于基于Itanium 的系统的Windows Server 2003、Windows Server 2003 x64、用于基于Itanium 的系统的Windows Server 2008、用于基于Itanium 的系统的Windows Server 2008 R2不支持跨体系结构就地升级（例如从x86 升级到x64）。

WindowsAD域升级⽅法前⾯的博客中我谈到了⽹络的基本概念和⽹络参考模型，今天我们来谈企业中常⽤的技术，Windows AD 域，今天我的笔记将重点讲解Windows AD 域的升级和迁移⽅法，通过3个⼩实验进⾏配置，真实环境可能和虚拟机上的有些差异，请注意。

（部分内容参考博友王哥哥哥哥和51CTO论坛上的⼀些资料，进⾏配置验证）如有错误，请各位博友批评指正。

实验⼀：Windows server 2003AD 升级到Windows servers2008AD环境：1台Windows server 2003 域控，域名 系统：1台 Windows server 2003，1台Windows server 2008 R2地址：win 03 IP :192.168.1.253 DNS：192.168.1.253Win 08 IP :192.168.1.254 DNS：192.168.1.253步骤：1.使⽤win 03 搭建根域， ；并将win 08 加⼊域中2.使⽤win 08 作为额外域控（错误原因为win 03 必须升级架构才能兼容win 08.）2.1 运⾏ regsvr 32 schmmgmt.dll 命令安装架构管理⼯具。

运⾏MMC命令，打开控制台2.2添加08 ISO 镜像，扩展架构win 03读取到镜像2.3 输⼊d 跳转到光盘所在分区D，继续输⼊cd support\adprep 命令进⼊adprep⽬录。

2.4 输⼊adprep32.exe /forestprep 命令升级林架构,出现adprep警告（运⾏adprep前确认林中所有域控都升级到Windows 2000 service pack 4（sp4）或更⾼版本）按C继续。

运⾏adprep32.exe /domainprep 扩展域结构（注意，要先扩展AD林，才能扩展AD域。

）运⾏adprep32.exe /domainprep /gpprep ,更新组策略。

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下：ADC02 172.16.1.2/24EXS01 172.16.1.101/24ADC01172.16.1.1/24其中：：ADC01作为主域控制器，操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172.16.1.200/24。

ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2Exs01为的Mail服务器，操作系统为Windows Server 2003 SP2，Exchange 版本为2003TMG01为防火墙，加入到网域，操作系统为Windows Server 2008R2，Forefront TMG为2010Client为加入到此网域的客户端PC，由DHCP Server分配IP：Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003.备注：所有的Server均处在同一个网段172.16.1.x/24二、的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组， Terminal User为终端机用户组别，均没有Mail账号。

以上三组别均建立有相应的GPO限制其权限。

其他Users保持默认设定三、设定域信任关系：1、设定DNS转发器：在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS，同理，把域控制器ads01的DNS管理器把 的解析交给的DNS。

如下图：2、在“Active Directory 网域及信任”中设定双方网域的信任关系：四、利用ADMT工具把中没有Mail账号的User和组都迁移到域，步骤如下图：选择域和域控制器选择用户选择选项选择User选择OU密码迁移选项User转换选项迁移User的相关设定排除User对象选择如发生冲突应该怎样处理项至此，没有Mail账号的User迁移完毕。

随着2003R2即将到达支持周期，以及日益老化的服务器硬件，将服务器从2003R2迁移至2008R2势在必行Technet参考条目：站内推荐参考：当然，上面的仅仅是出于方便阅读者，给出一个操作的方向。

但是实际上由于情况的不同，不能完全照搬上面的操作。

以下我给出最常用的场景。

从而一步步引导大家如何结合官方指南来操作。

场景1单服务器运行Windows server 2003 R2.安装了AD、DNS、DHCP和证书颁发机构（CA）、CA web注册服务这种场景很多见。

虽然这违背了MS关于每个站点至少2DC的设计原则，不过这个的确可以运行的很好。

尤其在小规模的环境里。

那么怎么把这个单服务器迁移到windows 2008R2（也许还带SP1）呢？总体思路是这样的。

额外服务器辅助轮转迁移。

请确保原来的系统能够无错工作，不然迁移会让你抓狂。

另外在什么都没开始动前留个整机备份总是好的1 增加一个补充的win2008R2服务器，即辅助服务器，加入AD并运行DNS，等待AD和DNS复制完成，利用管理手段或者DHCP参数将用户指向辅助服务器。

此步确保了对外部用户的服务不会中断，同时也确保了基础结构服务的可靠性。

2 将原来的服务器上的证书颁发机构数据库等备份（请参考《Active Directory 证书服共享或者USB盘内待用。

3 目标服务器上安装Windows 服务器迁移工具，并注册到源2003服务器上（请参考《Windows Server 迁移工具的安装、访问和删除》此处注意R2SP1的迁移工具版本和R2不同，不能读取R2生成的迁移库文件，因此请严格按照目标服务器版本选择注册2003上需要.net framework2.0和powershell 1.0才能注册2008R2及以上的迁移工具4 源服务器使用迁移工具收集DHCP角色设定，后复制到共享或者USB盘内待用（句法请参考get-feature和export-smigserversetting的PowerShell帮助，里面有现成可以copy用的例句）5 去除DHCP服务器AD授权，源服务器卸载CA角色，然后dcpromo退DC，卸载DHCP、DNS角色，退域改名改IP或者关机（为了能让此服务器名称空出来给目标服务器用）有人问RollBack怎么办，整机备份就是为了Rollback。

AD2003升级到AD2008测试报告一、升级目的：Windows Server 2008 R2 是Microsoft 比较新的Windows Server 操作系统，其旨在帮助组织降低运营成本和提高生产效率，提供对整个企业资源的增强的管理控制。

其设计目的是通过降低电源消耗和减少管理费用，提供更高的能源效率和性能。

它还有助于提高分支机构的效率和新的远程体验。

二、测试环境：计算机名：test2003adIp Address ：192.168.0.1操作系统：windows 2003 Enterprise Edition r2提供服务：AD、DNS角色：主域控计算机名：test2008adIp Address ：192.168.0.2操作系统：windows 2008 Enterprise Edition r2提供服务：AD、DNS角色：辅域控计算机名：ex2010Ip Address ：192.168.0.6操作系统：windows 2008 Enterprise Edition r2提供服务：Exchange2010角色：邮件服务三、拓扑结构：四、升级步骤：1、备份win2003AD 服务器，防止升级失败可以有恢复的备份;2、升级2003 AD Schema 林架构; adprep32.exe /forestprep3、升级2003 AD Schema 域架构; adprep32.exe /domainprep4、更新组策略对象权限; adprep32.exe /domainprep /gpprep5、更新AD 对RODC 只读域控器的支持; adprep32.exe /rodcprep6、把win2008服务器提升为额外域控制器;7、把FSMO 主机角色传递给windows 2008 AD服务器;8、对原Windows 2003 AD 主机进行降级;9、提升Windows 2008 AD 域功能级别;10、提升Windows 2008 AD 林功能级别;五、实施过程：1、在使用域管理员登录的新服务器(win2008AD)中，运行---cmd---输入netdom query fsmo，检查fmso。

1.0 案例描述将windows server 2003域无缝迁移到windows server 2012 r2 ad ds域服务环境中，同时迁移”集成区域DNS 服务”。

迁移成功后的windows server 2012 r2域控制器作为网络中的”首选dns服务器”,原windows server 2003域控制器脱域后作为独立服务器使用。

IP：192.168.10.XGW：192.168.10.254DNS：192.168.10.7DNS：192.168.10.11DNS：192.168.10.12windows server 2003 enterprise with sp2：CRMEVOL_CN.isowindows server 2008 enterprise r2 with sp1：SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_ChnSimp_w_SP1_MLF_X17-22560.ISOwindows server 2012 r2 datacenter：cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso老的环境：dc01 192.168.10.5/24 windows server 2003 ee with sp2 删除dc02 192.168.10.6/24 windows server 2003 ee with sp2 删除dns01（+dc）192.168.10.7/24 windows server 2003 ee with sp2 删除domain name：test.local新的环境：dc03 （+dns）192.168.10.11/24 windows server 2008 r2 ee with sp1 删除（过渡）dc04（+dns）192.168.10.12/24 windows server 2012 r2 datacenter 保留dc01 （+dns）192.168.10.5/24 windows server 2012 r2 datacenter 保留dc02 （+dns）192.168.10.6/24 windows server 2012 r2 datacenter 保留1.1 安装dns组件控制面板------添加或删除程序-------添加/删除windows组件，选中网络服务------详细信息勾选域名系统（DNS），确定下一步，直至安装完成1.2 配置dns服务器1.2.1正向区域DNS------DNS01------正向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域输入区域名称创建区域文件动态更新------允许非安全和安全动态更新向导完成习惯修改名称服务器修改起始授权机构------主服务器1.2.2反向区域DNS------DNS01------反向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域反向查找区域------网络ID：192.168.10区域文件动态更新------允许非安全和安全动态更新向导完成修改名称服务器修改起始授权机构------主服务器1.3 配置windows 2003 dc服务器1.3.1配置第一台dc开始------运行------dcpromo欢迎使用ad向导------下一步操作系统兼容性------下一步域控制类型------新域的域控制器选择在新林中的域输入新域的DNS全名netbios域名数据库和日志文件文件夹------下一步共享的系统卷------下一步DNS注册诊断------下一步权限------下一步目录服务还原模式的管理员密码------下一步摘要信息------下一步开始安装，直至完成在dns管理器中已出现相应信息1.3.2配置第二台dc 配置如上，可参考1.3.1选择现有域的额外域控制器网络凭据------输入相关信息------下一步选择额外的域控制器------下一步摘要信息------下一步------直至安装结束在dns管理器中已出现相应信息1.4 检查fsmo角色位置在windows server 2003 dc服务器上安装windows support tools X:\ SUPPORT\TOOLS\suptools.msi在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置dsquery server –hasfsmo schemadsquery server –hasfsmo namedsquery server –hasfsmo pdcdsquery server –hasfsmo infrdsquery server –hasfsmo rid在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置netdom query fsmo在dc01服务器上输入net accounts显示信息是主域控制器在dc02服务器上输入net accounts显示信息是额外域控制器1.5 提升win2k3活动目录域功能级别登录到dc01服务器上，进行提升域功能级别操作当前域功能级别是windows 2000 混合模式，需要更改成windows server 2003域功能级别已更改成windows server 20031.6 提升win2k3活动目录林功能级别登录到dc01服务器上，进行提升林功能级别操作目前林功能级别是windows 2000更改林功能级别为windows 20031.7 dns服务器配置dc把dns01服务器配置成dc服务器，操作步骤如上，最后成为额外域控服务器+dns服务器AD用户和计算机-------domain controllers容器中显示如下DNS管理器中信息如下1.8 配置windows 2012 r2 dc服务器添加角色和功能选择角色组件AD域服务和DNS服务器开始安装直至结束组件安装完成，需要配置AD DS通过向导配置------选择将域控制器添加到现有域，输入域名和更改账户凭据提示域内找不到运行Windows2008、2008R2、2012的域控制器。

《活动目录管理及维护》单科结业测试
考试说明：
1. 考试形式为闭卷，考试时间为90分钟。

2. 考试内容包括15道选择题（30分）和1道机试题（70分），满分合计100分。

3. 请将选择题的答案写在答题纸上，机试题以电子形式提交实验报告。

一、选择题（共15题，每题2分）
能的原因是（）。

(选择一项)
a) 用户所使用的域用户帐户在AD中不存在
实现的操作是（）。

(选择二项)
a) 域的用户可以访问域的资源
二、机试题（共70分）
在两台安装有Windows Server 2008的虚拟机中完成如下任务，并提供电子版的实验报告（包含关键步骤、配置命令及验证结果的截图）。

1．部署Windows域，域中包含两台DC，DC01为域中第一台域控制器，DC02为额外域控制器。

域名为，林和域功能级别为Windows Server 2008。

（40分）2．按部门创建如下OU：人事部、行政部、财务部、产品部和销售部。

（10分）
3．在行政部OU中创建如下域用户帐户：zhangxiaoting、wangxiaowen和xiaxue，要求用户在第一次登录到域时更改密码。

（10分）
4．行政部OU下帐号，登录桌面背景，为提供的1.jpg图片。

（10分）。