我们目前有一个基于2台Windows Server 2000服务器的Active Directory系统。 我们想用基于Server 2012 R2 Essentials的AD /文件服务器replace它。
由于我们不能简单地将2012系统作为AD服务器添加到旧系统,因此我们计划按照以下方式进行。 这是最好的方法,有什么我们应该注意的。
S1 = Server 2000主域控制器。
S2 = Server 2000辅助域控制器。
T1 = Temporary Server 2008系统。
F1 = Final Server 2012系统。
这看起来是否合理,还是有更好的办法。 另外,还有什么东西我们应该注意,或者我们可以用它来testing事物。
最后,我相信2008年的服务器可以在多台机器的AD系统中运行21天。 当我们安装操作系统/将它添加到一个域,或者当我们第一次把它作为AD服务器时,这个限制是否开始。
请注意,这样做后,您不能轻易地在function级别回落,只能从备份还原。 当我这样做的时候,我closures了一个DC,直到我100%确定在当前的function水平上一切都很好。 从2003年到2008年,这似乎是最危险的,因为一些旧的计划可能有问题。 (我们没有,但是从我读的这个变化最大)
这些通常是操作系统和域项目。 我没有任何SBS又名精华的经验。
在开始和前进之前进行备份,如果事情中断,您可以恢复到已知的良好状态。
FRS在2012年不再存在。添加步骤6B将Sysvol复制从NTFRS迁移到DFSR https://technet.microsoft.com/zh-cn/library/dd640019(v=ws.11).aspx
如果您的域控制器也是您的DNS服务器,您将需要更新客户端上的DNSparsing器地址。 如果一切都是DHCP,更容易,如果许多客户端有静态地址,则更难。 无论哪种方式,您可能都希望在开始之前将所有可能的DC地址分配为parsing器,然后在完成时删除已取消的地址。
说起来,你似乎是从2 DC开始,只有1结束。从来不是一个好主意。 总是有2 DC的冗余。
你有没有其他老系统可以提供DCencryption的function? 2008年和2012年的DC将不再使用DES。 你可以把它重新打开,但是你不应该这样做,因为DES已经被certificate是脆弱的。
你打算做什么样的时间跨度(小时/天/星期)?
我所要求的原因进入了一些不太经常谈到Kerberos的细节…
KRBTGT帐户是用于签署域中所有Kerberos票据的特殊帐户。 域function级别的每个更改也会更改KRBTGT帐户上的密码。 默认的Kerberos票证寿命是10个小时。 AD存储该密码的当前和以前的值,以防止更改期间的服务中断。 但是如果密码在10个小时内多次更改,您将遇到无效Kerberos票证的问题。 选项:
如果您不等待或不改变使用期限,请为需要重新启动和/或注销计算机和用户获取新票证的问题做好准备。