tel*_*e00 5 active-directory migration windows-sbs-2011 windows-server-2012-r2
我们有一台现有的 SBS2011 服务器,并希望迁移到新的 2012 R2 服务器。理想情况下,我们希望在新域中执行此操作 - 1. 我们希望重新组织 OU 以删除名为“SBS”的内容(即所有用户不在用户中,他们在 SBSUsers 中,等等。 ..) 和 2. 我们希望使用更符合最佳实践的域名(subdomain.ourdomain.com 而不是 name.local)。
我正在尝试找出进行此迁移的最佳方法。我读过的大多数内容都说迁移是通过将新 DC 添加到现有域、提升它、让所有内容同步,然后降级旧域。然而,这并没有解决我们的任何一个问题:命名或重组。
我还考虑过一些跨森林的事情,但据我所知,您需要 ADMT(2012 年不支持),或者可能需要付费工具(不太可能,因为我们是非营利组织并且预算很少为了这)。
最后,我可以导出用户并导入它们,但这似乎涉及用户、计算机、组等的不同步骤……而且我担心它的网格效果如何。此外,据我所知,如果没有上述工具之一(甚至可能没有!),如果不让所有用户重置密码,我仍然无法做到这一点。
Exchange 在这里不是一个变量(我不认为!),因为我们正在将其迁移到 Office 365,并且为了简单起见,暂时不添加 SSO,直到对其他所有内容进行排序。
我是否缺少一个选项可以让我们满足我们的所有标准 - 能够更改域名并保持标准 OU 布局而不是 SBS,不购买昂贵的第三方工具,并且对用户帐户/密码没有影响?
Exchange 2007 和更新版本阻止您执行域重命名。既然你说你要放弃内部部署的 Exchange,这不是一个因素。这为我认为比任何类型的新森林或域的创建都容易得多的过程打开了大门:
完成迁移到 Office 365 并从 SBS 2011 环境中删除 Exchange。
将临时 DC 添加到您现有的域并将 AD(和所有 FSMO 角色)从 SBS 服务器迁移,在此过程中将 SBS 服务器降级回域成员。(在此之后,您将有 21 天的时间来完成迁移。)
执行域重命名。
添加您的永久 W2K12 R2 DC 并降级/删除临时 DC。
根据您的喜好重命名/移动 AD 中的 OU(GPO 等)。
将任何其他功能从 SBS 机器迁移出来并停用它。
临时 DC 并不是绝对必要的,但我可能会这样做(因为我很迷信)。域重命名听起来很困难,但如果没有 Exchange,它实际上非常简单。如果您完全担心在隔离网络上使用虚拟机模拟您的环境并尝试一下(最好使用从您的生产网络“收获”并放置到虚拟环境中的 AD 的真实副本)。
在执行此操作时,您也将不得不放弃 SBS 2011 安装程序创建的默认证书颁发机构。停用企业 CA也不是那么难,假设您实际上没有将其用于任何目的。(如果是,那么无论您采用何种迁移策略,您都需要担心这一点。)
完成所有操作后,您将拥有一个漂亮闪亮的新域名,您的 OU 将看起来像您想要的样子,所有用户密码都将完好无损,并且所有域成员计算机都将拥有完整的域信任。
正确规划、测试和执行生产域重命名和迁移只需几个小时即可完成。(显然,当你真正做真正的事情时,你花在预先计划和测试上的时间会带来巨大的回报。)
(我还会导出反映旧 SBS 机器导出的共享的新 W2K12R2 机器上的共享,并将 SBS 机器作为DNS 别名添加到新服务器。然后现有的快捷方式、UNC 等将“只需在迁移后工作”。)
编辑:
我不知道为什么人们对域名重命名如此谨慎。你需要计划它并有条不紊地执行它,但这对我来说是无痛的。我已经完成了三个生产域重命名并且没有问题(除了需要更改的嵌入式设备中使用的长期被遗忘的 FQDN)。两种环境有 Exchange 2003,一种没有。一个有一个 DC,另外两个有多个 DC。我在虚拟机中模拟了前两个(具有 Exchange 的环境),但第三个我只是在没有模拟的生产网络上运行(因为它非常简单——单个 DC,没有 Exchange)。
这是上面的要点“执行域重命名”,分解为多个步骤。
就微软的文章而言,我更喜欢:How Domain Rename Works 这篇文章包含了很多多余的背景知识,但基本步骤都在那里。
对于具有单个 DC 的单个域林,该过程非常轻松:
停用任何企业 CA 根。
为新域名创建一个新的 AD 集成 DNS 区域。
将林功能级别设置为 Windows 2003 或更高版本。
运行rendom /list以生成林描述文件 ( Domainlist.xml)。
编辑该Domainlist.xml文件以反映新的 DNS 和 NetBIOS 域名。
运行rendom /showforest,它Domainlist.xml以“友好”的方式显示文件,并查看输出以确保您进行了正确的编辑。
运行rendom /upload命令将新域名安装到 Active Directory 中。此时不会发生重命名——您只是为重命名准备 AD。在多 DC 环境中,这将启动将重命名指令复制到所有 DC。
运行该rendom /prepare命令以验证是否已准备好重命名。在多 DC 环境中,此命令检查每个 DC 以确保它们都已收到重命名指令。直到所有 DC 都复制了重命名指令后,才能开始重命名。(更改几乎同时发生在所有 AD 数据库副本上是必要的。)执行后,rendom /prepare您无法将任何新域添加到林中或将 DC 添加到域中,直到您执行为止rendom /clean(见下文)。
运行rendom /execute命令执行重命名。这将指示 DC 执行重命名。每个 DC 将其 AD 数据库切换到单用户维护模式,执行重命名,然后重新启动回到正常操作状态。
所有 DC 完成重命名后,使用适当的旧域名和新域名执行“Gpfixup”,将旧域名的任何引用更新为组策略对象中的新名称。
更改每个 DC 上的主 DNS 后缀,因为它们不会自动更改。我不知道为什么微软没有自动进行这些更改,但他们没有。进行此更改后再次重新启动 DC。
重新启动所有域成员计算机两次。这不必立即完成(我将域保持在这种状态几个星期)。域成员计算机将“检测”已执行域重命名并在这两次重新启动期间自动更新自身。
重新启动所有域成员计算机两次后,执行rendom /clean命令以清除 AD 中的重命名指令并将域返回到正常运行状态。
将任何非域成员记录迁移出 AD 后,从 AD 中删除旧域的 DNS 区域。
就像我说的——单个域、单个 DC 环境很简单,因为您不必担心域重命名指令的复制或能够联系所有 DC。
至于副作用:
您确实需要意识到域 DFS 根名称会发生变化。如果您有来自域 DFS 路径的组策略软件安装,您将看到软件的重新安装(因为组策略客户端会认为未安装该软件)。
如果您/clean太早加入域(在所有成员计算机都重新启动两次之前),您可能会遇到需要手动断开并重新加入域的计算机的状态。
在更大的环境中,当新的 DNS 区域填充时,您会看到复制流量增加。
| 归档时间: |
|
| 查看次数: |
12778 次 |
| 最近记录: |