下图实验环境为2003域环境,dc.contoso.com是一台域控制器,同时也是DNS服务器,企业根证书服务器,操作系统为Windows Server 2003 R2
exsvr.contoso.com为Exchange 2010服务器,迁移完成后可以用测试邮件收发是否正常
dc01未加入域,是一台安装了Windows Server 2008 R2操作系统的服务器,本次实验的目的是要将2003域控制器上的所有服务迁移到这台2008 R2上
名称
ip地址
操作系统
身份
角色
dc.contoso.com
192.168.1.200
windows server 2003 R2
域控制器
DC、DNS、CA
exsvr.contoso.com
192.168.1.201
windows server 2008 R2
域成员
CAS、HUB、MAILBOX
dc01
192.168.1.220
windows server 2008 R2
未加入域
2003域控制器的相关配置
2008 R2服务器的相关配置
由于dc01是一台2008 R2的服务器,在将dc01这台服务器提升为额外的域控制器之前,必须先在2003域控制器上进行架构的扩展,否则会报如下错误
1.架构扩展
准备林
在2003域控制器上插入2008 R2光盘,从命令提示符进入到support\adprep目录
运行 adprep /forestprep
准备域
运行 adprep /domainprep
2.将dc01提升为额外的域控制器
由于本域中不会用到只读域控制器,在架构扩展的时候没有运行 adprep /rodcprep,这里弹出了提示,直接点【是】,进行下一步
勾选【全局编目】
重启之后检查OU、用户是否复制完成
打开DNS管理器检查区域复制是否完成
3.角色转移
在dc01上运行 netdom query fsmo 查看角色
可以看到5个主要角色全部在dc.contoso.com这台域控制器上,现再要将他们全部转移到dc01上
运行ntdsutil,可用?查看帮助列表
输入roles
输入connections
输入connect to domain contoso.com 绑定到一台域控制器上
输入q,返回上一步
输入transfer infrastructure master 转移结构主机角色
按同样的方法输入transfer naming master 转移命名主机角色
transfer pdc 转PDC角色
transfer rid master 转移RID主机角色
transfer schema master 转移架构主机角色
全部完成后再次输入netdom query fsmo 查看角色
可以看到已经全部转移到dc01上了
4.将dc01提升为全局编录服务器
打开AD站点和服务,确认【dc01】【NTDS Setting】【常规】里【全局编录】前的小勾是勾上的,我在之前提升额外域控制器时已经勾上了
下一步来确认全局编录服务器是否开始工作
从【运行】输入【LDP】,打开LDAP连接工具
确认 isGlobalCatalogReady 的属性值为 TRUE
确认3268,3269两端口开启
5.迁移CA
在dc.contoso.com也就是2003这台域控制器上打开证书服务管理器
备份CA
选择备份到d:\CAbackup目录
设置密码
导出注册表
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration导出为d:\CAreg.reg文件
将CABackup目录和CAreg.reg文件复制到dc01的D盘里
卸载证书服务
运行dcpromo将dc.contoso.com降级为成员服务器,降级完成后就可以关机了,这台2003服务器我们也用不到了
在dc01上打开AD用户和计算机,删除之前已经降级2003域控制器的一些残留项
打开AD用户和计算机,删除计算机账号
打开AD站点和服务,找到【Servers】下的dc,将其删除
来到DC01上,添加AD证书服务角色
选择【企业】
选择【根 CA】
选择【使用现有私钥】【选择一个证书并使用其关联私钥】
单击【导入】,选择d:\CABackup目录下的私钥,输入密码后确认
证书服务安装完成后,打开证书服务管理器,还原CA
需要停止证书服务
定位到d:\CAbackup
输入密码
CA还原向导完成后会问要不要启动证书服务,这里由于注册表还未导入,我先选择【否】
打开注册表管理器,导入d:\CAreg.reg
启动证书服务
6.修改dc01域控制器的名称和ip
此步主要是为了方便客户端不作修改就能够正常访问域控制器
2003域环境时的域控制器名称为dc.contoso.com,ip地址为192.168.1.200
迁移到2008域后,域控制器的名称为dc01.contoso.com,ip地址为192.168.1.220
运行netdom computername dc01.contoso.com /add:dc.contoso.com 添加一个FQDN名称
完成后可以运行netdom computername dc01.contoso.com /enumerate 查看添加的名称
运行netdom computername dc01.contoso.com /makeprimary:dc.contoso.com 将dc.contoso.com提升为主要名称
完成后要重启计算机
重启后再次运行netdom computername dc.contoso.com /enumerate
可以看到 dc.contoso.com 已经是主要名称了
运行netdom computername dc.contoso.com /remove:dc01.contoso.com 将之前的名称删除
到这里我们已经将域控制器重命名为dc.contoso.com,下一步是修改ip地址,域控制器修改ip地址的详细方法参照http://wenku.baidu.com/view/6ffe7238376baf1ffc4fad36.html
运行net stop netlogon 停止netlogon服务
将ip地址修改为192.168.1.200
运行ipconfig /flushdns 刷新DNS缓存
运行net start netlogon 启动netlogon服务
运行ipconfig /registerdns 重新注册DNS纪录
域控制器和ip地址修改完成后,来验证一下
看来都没有问题,最后来验证一下邮件的收发吧
全篇结束!