Active Directory 从 Windows 2003 迁移到 Windows 2016

Question

我继承了旧的基于 Windows 2003 的 Active Directory 安装，我的任务是将其升级到现代标准。我已经使用下面的计划在我的实验室中进行了各种（成功的）测试，但我真的想要来自该领域其他专家的现实检查/最佳实践建议。

当前状态：在 Windows 2003 安装上运行的单标签、Windows-2000 混合模式 Active Directory 域。DNS 组件正在使用不安全的动态更新运行。

目标状态：迁移到 Windows 2016 安装上的 Windows 2012R2 级别域（注意：Windows 2012R2 的目标级别，而不是 2016，是由于我的客户拥有其他 Windows 2012R2 服务器）。迁移应以破坏性最小的方式进行；无论如何，由于我将在周末进行处理，因此可以接受短暂的服务中断。

注意事项：虽然单标签域已被弃用，但我确实需要让它保持原样运行。我评估了域重命名和/或域迁移到新名称，但他们对我的客户的要求似乎太多了。

我的计划：

• 安装新的 Windows 2016 服务器并将其作为简单成员添加到当前域
• 将当前的林/域功能级别提升到 Windows 2003
• 将新的 Windows 2016 服务器提升为域控制器（具有全局编录）角色
• 降级旧服务器（通过dcpromo）
• 在新的 Windows 2016 服务器上，使用“Active Directory 站点和服务”从降级操作中删除任何最终剩余物
• 在新的 Windows 2016 上，使用“DNS Manager”将 DNS 动态更新类型更改为“仅安全”
• 将林/域功能级别提升到 Windows 2012R2
• 更改旧服务器的原始 IP 地址（例如：从 192.168.1.1 到 192.168.1.2）
• 更改新服务器的 IP 地址以匹配旧域控制器（例如：从 192.168.1.10 到 192.168.1.1）。注意：由于当前的 DHCP 设置和网关防火墙/VPN 规则，我打算这样做
• 从 FSR 迁移到 DFSR（参见此处和此处）
• 在分支机构上安装另一台 Windows 2016 服务器，将其添加为新的域控制器（具有全局目录）。

问题：

• 我错过了什么重要的东西？
• 我交换旧/新服务器的 IP 地址以最小化防火墙/VPN/DHCP 更改的想法是一个好的想法，还是应该避免这种情况？
• 我应该注意什么？

更新：经过多次讨论和测试，我说服我的客户去重命名域。我已经rendom按照 Microsoft 的建议通过该实用程序完成了它，并且一切顺利（幸运的是，它没有任何内部部署的 Exchange 服务器）。

Answer 1

虽然单标签域已被弃用，但我确实需要保持它按原样运行。我评估了域名重命名和/或域名迁移到新名称，但对于我的客户来说，这些要求似乎太多了。

正确的事情有时是最难的。IMO，您继续使用和支持 SLD 是在伤害您的客户。做“正确”的事情并执行域重命名或迁移到新域。