本文档将向您展示如何成功迁移 Microsoft Windows 环境 2000 o Microsoft Windows 2003 到 Microsoft Windows 2008. 作为 Active Directory 的迁移 2000 或 2003 自 2008. Active Directory 将迁移到此新版本的新域控制器. 旧域控制器将消失. 因此，您需要一台新服务器来安装 Windows 2008, 使其成为域控制器, 将角色传递给它，然后取消提升旧域控制器. 最后，域和林的功能级别将提升为“Windows 2008”. 要遵循的正确步骤将是:

检查域控制器的状态 – 这里, (推荐但非强制性)
准备 Active Directory – 这里,
加入现有 Active Directory – 这里,
迁移角色 – 这里,
取消提升旧域控制器 – 这里,
提高功能水平 – 这里,

眼睛, 在开始之前，我们必须考虑到我们必须有备份, 域控制器和 Active Directory，以防出现问题. 我们还必须考虑将 Active Directory 更新为 2008:

– 当前域不必为 'Mixed Mode', 如果不是 'Native Mode'’ 或“Windows” 2003 服务器’
– 检查 HCL (硬件兼容性列表) 新域控制器, 受 MS Windows 支持 2008 – 这里.
– 基于 Windows 的域控制器 2000 他们必须安装 SP4. 在 Windows 的情况下 2003 拥有 SP1.

检查域控制器的状态,

不错, 首先要做的是 在 Active Directory 迁移之前执行是为了验证 AD 是否正常工作. 我们必须对 AD 进行良好的配置, Active Directory 站点和服务, 验证副本是否正常工作, 也就是说，GPO 从一个站点复制到另一个站点, 从一个域控制器到另一个域控制器, 脚本在 Sysvol 中复制… 我们在 Active Directory 中没有过时的对象（如不存在的旧域控制器）的污垢… 要使迁移正确, 我们必须检查所有这些, 为此，Microsoft 为我们提供了某些可以帮助我们的工具. 除了总是有用的 事件查看器 没有错误.

例如, 我们有 DCDIAG. 此实用程序将帮助我们对域控制器进行诊断. 此命令行工具分析林中一个或所有域控制器的状态，并报告任何问题，以便更轻松地解决问题. 阅读更多, 访问 Microsoft 网站 – 这里. 在映像的示例中，在域控制器上运行命令, 在我的情况下，在主文件中，我会将文本输出重定向到 TXT 文本文件:
dcdiag.exe > FICHERO_DE_LOG

当我们打开生成的 LOG 文件时，我们将得到如下文本:

---

域控制器诊断

执行初始设置:
已完成收集初始信息.

测试服务器: HXXXXXXXIHXXXXXXX1
开始测试: 连接
……………………. HXXXXXXX1 通过测试连接

测试服务器: HXXXXXXXIHXXXXXXX1
开始测试: 复制
[复制检查,HXXXXXXX1] 最近的复制尝试失败:
从 AXXXXX1 到 HXXXXXXX1
命名上下文: CN=架构,CN=配置,DC=XXXXXXX,DC=es
复制生成错误 (1722):
RPC 服务器不可用.
故障发生在 2008-07-15 07:38.25.
上一次成功发生在 2008-07-01 18:51.20.
91 自上次成功以来已发生故障.
[AXXXX01] DsBind() 失败，出现错误 1722,
RPC 服务器不可用。.
源保持关闭状态. 请检查机器.
[复制检查,HXXXXXXX1] 最近的复制尝试失败:
从 MXXXX01 到 HXXXXXXX1
命名上下文: CN=架构,CN=配置,DC=XXXXXXX,DC=es
复制生成错误 (1722):
RPC 服务器不可用.
故障发生在 2008-07-15 07:38.48.
上一次成功发生在 2008-07-01 18:51.20.

---

眼睛, 它给我带来错误, 我们得亲眼看看, 但在我的情况下，错误是因为我正在执行 pilot，并且我将此域控制器放在另一个隔离的域控制器旁边, 对于我们关心的域 40 域控制器，但我的网络上没有它们，因为这是为了制作此文档. 所以没问题. 😉

更多, 我们有 REPADMIN, 使用此命令，我们将看到 Active Directory 副本的状态. 执行与复制相关的任务, 包括, 管理和修改复制拓扑, 强制复制事件, 并显示复制元数据和更新的向量. 阅读更多, 访问 Microsoft 网站 – 这里.

关键是要验证站点之间和域控制器之间的副本是否正确, 为此，我们按以下格式运行 REPADMIN:

repadmin.exe /showreps > FICHERO_DE_LOG

这将是我的 Active Directory 的一个示例, 我知道他完全被我上面所说的话腐蚀了, 我缺少一些 38 我网络上的域控制器:

---

HXXXXXXXIHXXXXXXX1
DSA 选项 : IS_GC
objectGuid : C35F9D05-C11B-4F10-BFC0-022218FE3C31
调用 ID: 65编号 DE4042-EFE6-4619-B3C5-11B5FBBCB264F

==== 入站邻居 ======================================

CN=架构,CN=配置,DC=XXXXXXX,DC=es
通过 RPC UXXXXXXIAXXXXX1
objectGuid: C14AA802-564C-4667-AA8A-D610AA5C4CD0
上次尝试@ 2008-07-15 07:41.05 失败, 结果 1722:
RPC 服务器不可用.
上次成功@ 2008-07-01 18:51.21.
91 连续失败(s).
通过 RPC CXXXXXNAXXXXX1
objectGuid: D14300DE-A51A-4E8D-A770-DC44B7F029AB
上次尝试@ 2008-07-15 07:41.51 失败, 结果 1722:
RPC 服务器不可用.
上次成功@ 2008-07-01 18:51.21.

---

其他, 我们有 GPOTOOL. 此工具或实用程序用于检查我们在 Active Directory 中的每个策略的状态, 我们可能会遇到复制失败，并在具有不同配置的不同站点中拥有相同的 GPO. 此工具将检查它们的状态.

有问题的命令执行如下:

gpotool.exe > FICHERO_DE_LOG

这将是我的 GPOTool LOG 文件的示例: 验证 DC…

---

可用 DC:
hXXXXXXX1.XXXXXXX.es
搜索策略…
发现 167 政策
============================================================
政策 {02506编号： CA9-82F2-4B58-8E6D-1B0B49F81801}
策略正常
============================================================
政策 {03A44330-75E1-4A8C-8C08-B574E0FCF63C}
策略正常
============================================================
政策 {05000318-0434-43CE-9C6A-60A07B1EEDE8}
策略正常
============================================================
政策 {05编号 B4D52D-CA72-4BC4-9DC2-99D184E8F963}
策略正常
============================================================
政策 {07F58F8E-356A-4CD5-AE37-3461EE2849D4}
策略正常
============================================================
政策 {0959942F-21A2-4FF0-B84C-1A3748E24815}
策略正常
============================================================
政策 {097AB751-C12A-4A42-B8BE-26B54190FB12}
策略正常
============================================================
政策 {09BCAA04-49D8-4434-87ED-820DC2753E1F}
策略正常
============================================================
…
============================================================
政策 {FF00FDCE-229C-4EFA-B442-4CADE83A49EA}
策略正常

策略 OK

---

准备 Active Directory,

验证我们拥有正确的 Active Directory 后, 我们必须准备我们的 Active Directory 以支持 Microsoft Windows 的域控制器 2008 操作系统. 为此，我们必须执行以下命令并检查它们是否正确结束且没有错误.

首先, 在具有 Schema Master 角色且具有 Enterprise Administrator 权限的用户的服务器上, Schema Administrator 和 Domain Administrator 将运行:

ADPprep /forestprep

要继续，请单击 “C”, 但我们会考虑到所有域控制器至少都是 Windows 2000 SP4,

… 等待几分钟，让 Active Directory 的林更新我们 (在上面的示例中，它将从版本 13 什么是森林 2000, 到版本 44 什么是森林 2008)…

还行, 我们检查它是否正确结束.

现在, 如果我们对 Active Directory 感兴趣，则必须做好准备，以便能够使用读取域控制器, 此命令是可选的. 它将在具有“Domain Naming Master”角色的服务器上运行’ 或具有域管理员权限级别的 RID. 该命令将为:

ADPREP /罗德普雷普

我们等待命令完成并检查是否一切都已正确完成.

现在我们准备域，并将参数 [好消息] 准备策略或 GPO. 此命令将在具有 Domain Administrator 权限的 Infrastructure Master 中执行:

adprep /domainprep /gpprep

我们等待命令完全执行并且结果正确.

我们必须考虑到，如果我们的 Active Directory 很大，并且我们拥有具有不同复制时间的不同站点, 我们将留出时间在命令之间复制 Active Directory. 大约 15 每个命令之间的分钟数.

加入现有 Active Directory,

一旦我们将 Active Directory 更新到 Windows 版本 2008 我们已经能够使用此版本的 Windows 创建域控制器. 所以现在我们安装 Windows 2008 在遵循此过程的任何服务器上 – 这里. 我们会将您提升为当前域中的域控制器.

在服务器上 2008 新安装, 我们将使用命令“dcpromo’ 在 “执行” 从“开始”菜单. 我们接受.

… 我们等待您准备 Active Directory 域服务安装向导…

启动安装向导以创建或加入域, “以后”,

我们会仔细阅读，如果我们没有 Windows NT 客户端 4.0 或非 Microsoft SMB, 继续, “以后”,

我们必须选择选项 “现有林” 和 “将域控制器添加到现有域”, “以后”,

我们指示要作为域控制器加入的域的名称, 我们指示具有加入域权限的凭据，以及 “以后”,

选择我们将加入的域, “以后”,

它向我们展示了当前域已配置的站点, 我们必须指出此域控制器属于哪个站点 & “以后”,

作为附加选项，我们将为此控制器创建全局目录, 因为如果我们要删除旧的域控制器, 我们需要具有 CG 角色的服务器. 由于用户必须有一个服务器来验证他们的登录. “以后”,

我们必须选择保存活动目录数据库的位置, 以及数据库、它的日志文件和 Sysvol 文件夹的位置, 您的默认路径为: C:WindowsNTDS 和 C:WindowsSYSVOL. 如果我们更改它们，将提高此域控制器的性能, 如果电量很大, “以后”,

不错, 现在，如果我们需要以还原模式进入计算机，则必须指示管理员用户的密码 (重新启动时按 F8), “以后”,

我们现在检查提升此服务器的准备情况摘要, “以后”,

… 我们等待您将所有对象复制到此服务器，并将此服务器配置为 Active Directory 中的其他域控制器…

不错, 安装 AD 服务后，单击 “结束”,

我们必须重新启动此服务器, 点击 “立即重启”,

迁移角色,

一旦我们拥有了第一个带有 Windows 的域控制器 2008, 我们要做的就是将 Active Directory 的所有角色传递给他，从而从旧服务器中删除功能并能够替换它们. 它可以通过两种方式完成, 中介 GUI, 或通过 命令. 还有第三种方法，如果 Active Directory 无法正常工作，我们将强制转移功能 – 这里. 然后我们将使用 GUI 来做:

修改角色, 我们转到 “Active Directory 用户和计算机” 我们要将角色迁移到的服务器, 如果可能, 否则, 我们从控制台连接到所需的服务器，如下所示: 关于域, 右键单击 “更改域控制器… “

选择我们要将角色传递到的域控制器并接受.

不错, 现在让我们开始迁移角色, 为此, 关于右键单击域 > “运营大师…”

我们必须改变所有三个选项, 第一, 从 RID 选项卡, 它向我们显示哪个是当前的 RID 服务器，以及如果我们单击 “改变…”, 是.

确认, “是的”

“接受”.

我们检查角色是否已正确迁移，现在我们更改选项卡,

现在使用下一个选项卡, 的 “主域控制器”, 点击 “改变…”

“是的”,

“接受”,

我们已经将主域控制器迁移到了我们的 Windows DC 2008,

最后， “基础设施”, 点击 “改变…”,

发生这种情况是因为当前域控制器也是全局编录, 是不推荐的配置, 原则上，小型组织中不会发生任何事情, 但保持这种状态是不可取的, 所以稍后我们将更改此角色或进行另一个 DC GC, 确认, “是的”.

接受,

我们检查它是否为 true，并且角色已经迁移. 关闭,

还行, 另一个角色, 现在是 Operations Master, 信封 “Active Directory 域和信任”, 我们必须做我们以前做过的事情, 验证此角色是否将应用于正确的服务器, 所以右键单击 “Active Directory 域和信任” > “更改 Active Directory 域控制器…”

选择我们要将角色传递到的域控制器并接受,

右键单击 “Active Directory 域和信任” 并选择 “运营大师…”,

还行, 告诉我们，我们将从旧服务器切换到 2008 这 “运营大师”, 我们给予 “改变…”,

确认, “是的”,

接受,

现在, 我们在其中一个旧域控制器上打开一个 MSDOS 窗口, 写 “regsvr32 schmmgmt.dll” 迁移 Schema Server, 当您给出 “进入” 我们将得到确认, 我们接受.

我说了什么, “接受”,

现在我们打开一个 MMC 控制台 (Microsoft 管理控制台) 从开始菜单的 “执行” 编写 'mmc’ 并接受.

点击 “文件” > “添加或删除加载项…”

点击 “加”,

在补码中，我们寻找 “Active Directory 架构” 并单击 “加” 然后 “关闭” 和 “接受”,

首先，我必须连接到要迁移此角色的服务器, 如故, 为此, 右键单击 “Active Directory 架构” 我们选择 “更改域控制器…”

我们键入要迁移到的服务器的名称并接受.

更改承载架构的服务器, 右键单击 “Active Directory 架构” 并选择 “运营大师…”

和以前一样, 向我们展示 的当前服务器 “架构主机”, 要将其从一个迁移到另一个，请单击 “改变…” 并接受.

我们确认我们想要更改它,

接受.

最后，检查其中一个 Windows 服务器 2008 启用了全局编录功能后，我们将从 “Active Directory 站点和服务”, 信封 “AD 站点和服务” > “网站” > 在任何域控制器上, 然后我们转到新服务器 “NTDS 设置” > 右键 > “性能”,

然后只需检查 “全球目录” 并接受,

哦，好吧, 这不是一个角色, 但这是要记住的事情, 由于我们正在迁移所有内容, 我们必须考虑到我们还会将 DNS 服务从一台服务器迁移到另一台服务器, 在我们的域和反区区域上，我们必须标记 “允许区域传输” 将区域引入我们的新域控制器.

取消提升旧域控制器,

一旦我们将 Active Directory 的所有角色迁移到我们的 Windows 服务器 2008, 如果我们对 Windows 的新域控制器感兴趣，我们将继续删除过时的域控制器以替换它们 2008, 为此, 我们将彻底删除它们, 这是, with a dispromotion.

因此，在过时的服务器上，您应该使用命令 'dcpromo.exe’ 在 “执行” 从“开始”菜单.

在旧 DC 上运行 DCPROMO 时，我们会收到 Active Directory 安装向导, 我们必须点击 “下一个”,

请注意，此服务器是全局编录, 因此，如果我们想取消提升这一点，我们将考虑到网络上至少有一个其他服务器将是 Global Catalog, 如果我们不会遇到用户登录问题, 因为没有 GC 用户不会得到验证. 接受.

“以后”,

输入我们希望此计算机的本地管理员拥有的密码, “以后”,

检查所有步骤并单击 “以后” 取消提升此域控制器,

… 等待几分钟…

“结束”, 他起飞得很好,

我们现在必须重新启动此服务器才能使更改生效. 点击 “立即重启”,

提高性能水平,

一旦我们不再拥有作为 Windows 操作系统域控制器的服务器 2000 o Windows 2003 在我们的 Active Directory 中, 我们将能够提高 Forest 和 Domain 的功能水平, 有了这个，我们将实现以下优势:

域的功能级别	启用的功能	支持的域控制器操作系统
窗户 2000 本地	所有默认 Active Directory 功能和以下功能: • 为分发组和安全组启用通用组. • 组嵌套. • 已启用组转换, 使安全组和通讯组之间的转换成为可能. • 安全标识符历史记录 (SID （英文）).	窗户 2000 Windows 服务器 2003 Windows 服务器 2008
Windows 服务器 2003	所有默认 Active Directory 功能, Windows 域功能级别的所有功能 2000 以及以下特征: • Domain Management Tool 的可用性, netdom.exe, 准备域控制器重命名. • 更新登录时间戳. 属性 lastLogon时间戳 将使用用户或计算机的上次登录时间进行更新. 此属性在域内复制. • 设置属性的能力 用户密码 作为 inetOrgPerson 和 User 对象. • 重定向容器、用户和团队的能力. 默认情况下, 提供了两个熟悉的容器来托管计算机和用户/组帐户: 我的意思是, cn=计算机,<域根> 和 cn=用户,<域根>. 此功能允许您为这些账户定义一个已知的新位置. • 允许授权管理器将授权策略存储在 Active Directory 域服务中 (AD DS). • 包括受限委派，以便应用程序可以利用使用 Kerberos 身份验证协议的安全用户凭证委派. 可以将委派配置为仅允许在特定目标服务上. • 支持选择性身份验证, 这样就可以指定可信林中允许向可信林中的资源服务器进行身份验证的用户和组.	Windows 服务器 2003 Windows 服务器 2008
Windows 服务器 2008	所有默认 Active Directory 功能, 所有 Windows Server 域功能级别功能 2003 以及以下特征: • 支持分布式文件系统复制 (DFS 系列) 用于 SYSVOL, 提供更强大、更详细的 SYSVOL 内容复制. • 高级加密服务支持 (AES （英语） 128 和 256) 使用 Kerberos 协议. • 关于上次交互式登录, 显示用户上次成功交互式登录的时间, 启动它的工作站以及自上次登录以来失败的登录尝试次数. • 非常具体的密码策略, 允许您为域中的用户和全局安全组指定密码策略和账户锁定策略.	Windows 服务器 2008

井, 提高域的功能级别, 我们打开控制台 “Active Directory 域和信任” ，然后在 Domain（域）上右键单击 > “提高精通的功能等级…”

我们必须选择域的功能级别 “Windows 服务器 2008” 我们按 “提高”,

接受, 眼睛! 请记住，这将是不可逆的.

完善, 接受,

井, 提升森林的功能层次, 我们打开控制台 “Active Directory 域和信任” 和 “Active Directory 域和信任” 右键单击 > “提高森林的功能水平…”

我们必须选择森林的功能级别 “Windows 服务器 2008” 我们按 “提高”,

和以前一样, 我们接受并将考虑到这将是一个无法逆转的过程.

“接受” 我们已经在 Windows 功能级别拥有更新的 Active Directory 2008.

www.bujarra.com – 赫克托·埃雷罗 – NH*****@bu*****.c噢 – v 1.0