从2003域升级到2008_R2域

win2003+exchange2003同域迁移到win2008r2+exchange2010

目的是将原来部署在win2003上的exchange2003服务器中的用户和邮件全部迁移到新建立的win2008r2服务器上的exchange2010中。

按照

安装win2008r2---加入域---取代原来的win2003域控---IIS---证书服务器---证书认证---部署exchange2010---迁移用户的步骤执行。

旧服务器已经运行了3年，因为近期陆续出现严重错误，最后决定进行迁移。决定首先使用Acronis Backup & Recovery 10 Server for Windows将旧服务器整体制作成为一个vm虚拟机并运行，然后再在虚拟机环境下安装一个win2008r2新服务器加入旧服务器域，迁移域控后删除旧服务器的域控，在新服务器中部署IIS、证书服务器、exchange2010，然后将所有用户和邮箱迁移到新服务器中，删除旧服务器的exchange2003，最后用Acronis Backup & Recovery 10 Server for Windows将建成的新服务器win2008r2+exchange2010制作成映像文件，裸机还原到一个新硬盘上，将硬盘安装到真实服务器，投入使用。

部署环境：

旧服务器：

omoserver，win2003sp2，本身为域控AD（），已经部署有exchange2003，ip 地址为192.168.1.91

管理员administrator 密码omoxxxx0）

提升域功能级别和林功能级别

提升域功能级别和林功能级别

一、概念

在Windows Server 2008 R2 AD DS域服务中的域和林功能，提供了一种可以在网络境中启用全域性功能或全林性功能的方法，不同的网络环境，则有不同的域功能和林功能级别。如果域或林中的所有域控制器运行的都是Windows Server 2008 R2,并且域和林功能级别设置为Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。如果域或林中有Windows Server 2000、Windows Server 2003或Windows Server 2008域控制器，则AD功能将受到限制。

二、域功能

域功能启用了可影响整个域以及仅影响该域的功能。在Windows Server 2008 R2 AD DS中，有四个可用的域功能级别：Windows 2000纯模式、Windows Server 2003（默认值）、Windows Server 2008、Windows Server 2008 R2.

下表列出了域功能级别及其相应支持的域控制器和该功能级别启用的功能。

三、林功能

林功能启用了林中所有域上的功能。在Windows Server 2008 R2操作系统中有四个可用的林功能级别：Windows 2000、Windows Server 2003（默认值）、Windows Server 2008和Windows Server 2008 R2。

下表列出了Windows Server 2008 R2操作系统中可用的林功能级别及相应支持的域控制器和启用的功能。

WindowsAD域升级⽅法

前⾯的博客中我谈到了⽹络的基本概念和⽹络参考模型，今天我们来谈企业中常⽤的技术，Windows AD 域，今天我的笔记将重点讲解Windows AD 域的升级和迁移⽅法，通过3个⼩实验进⾏配置，真实环境可能和虚拟机上的有些差异，请注意。（部分内容参考博友王哥哥哥哥和51CTO论坛上的⼀些资料，进⾏配置验证）如有错误，请各位博友批评指正。

实验⼀：Windows server 2003AD 升级到Windows servers2008AD

环境：1台Windows server 2003 域控，域名

系统：1台 Windows server 2003，1台Windows server 2008 R2

地址：win 03 IP :192.168.1.253 DNS：192.168.1.253

Win 08 IP :192.168.1.254 DNS：192.168.1.253

步骤：

1.使⽤win 03 搭建根域， ；并将win 08 加⼊域中

2.使⽤win 08 作为额外域控

（错误原因为win 03 必须升级架构才能兼容win 08.）

2.1 运⾏ regsvr 32 schmmgmt.dll 命令安装架构管理⼯具。

运⾏MMC命令，打开控制台

2.2添加08 ISO 镜像，扩展架构

win 03读取到镜像

2.3 输⼊d 跳转到光盘所在分区D，继续输⼊cd support\adprep 命令进⼊adprep⽬录。

2.4 输⼊adprep32.exe /forestprep 命令升级林架构,出现adprep警告（运⾏adprep前确认林中所有域控都升级到Windows 2000 service pack 4（sp4）或更⾼版本）按C继续。

经过测试，我们发现无法直接从Windows Server 2003域环境升级到Windows Server 2012域环境，中间必须使用Windwos Server 2008 作为过渡，并且在提升域控制器的方法上也做出了很多改变，下面我们就一一图解：

Windows2012上的操作

将W2012DE加到域中的操作一笔带过，如图所示，非常简单。

1、点击添加角色和功能

2、直接点击下一步

3、选择基于角色或功能安装。

4、由于这个实验只用了一台2012的服务器，因此在服务器池中只有一个。

5、选择添加AD域服务，同时添加所需功能。

6、根据提示操作，点击下一步。

7、安装过程很快，耐心等待。

8、你以为这样就完成了么？事实上根本不可能！

9、返回服务器管理器，点击ADDS→黄色条的”更多”，完成将2012提升为域控的操作。

10、点击图示的按钮。

11、出现ad域服务配置向导，默认即可（如果你也采用域管理员登陆的话。）

12、报错，提示当前林级别为Windows2000。出现这个提示需要提升Windows2003系统

的林功能级别。

Windows2003上的操作

14、返回Windows2003的机器上，在ad域和信任关系中，右键选择域名→提升域功能级别。

15、选成2003模式并确认。

16、再到域和信任关系下右键点击→选择提升林功能级别。

17、改成2003模式并确认

18、提升完毕，继续返回WindowsServer2012进行下一步，但是依然报错。提示域内找不到运行Windows2008、2008R2、2012的域控制器。

WindowsServer2003升级WinSer2008R2之实战演练

上文Windows Server 2003升级之环境准备为大家介绍了我们在升级2003之初我们的条件准备，包括备份系统C盘信息、系统状态信息及03上域架构的扩展操作，方便后续的升级操作正常进行，今天为大家补充的是有关升级操作中Server 2008 R2上的准备工作及服务器角色迁移等，方便大家升级操作过程中的参考与借鉴（本文紧接上文介绍，如有疑惑欢迎留言咨询，谢谢）：

四、域控升级:

4.1服务器加域:

1. 修改bjdcn的IP地址为10.0.0.254，并指定bjdc域DNS地址：

2. 在“系统属性”对话框中点击“更改”—打开计算属性，点击“更改设置—输入域名“”，点击确定：

3. 输入域管理员账户及密码，点击“确定”重启计算机

4.重启服务器确认加域成功：

4.2、安装AD服务器角色：

1. 打开”运行“输入”dcpromo“：

2. 在AD域服务安装向导界面，点击”下一步“

3. 操作系统兼容性提示，点击”下一步“继续：

4. 选择现有林—“向现有域添加域控制器”，点击”下一步“继续：

5. 输入域名bjdcxr，使用当前账户凭据，点击”下一步“：

6. 选择域，点击“下一步”：

7. 选择站点，点击“下一步”：

8. 勾选“DNS服务器”和“全局编录”，点击“下一步”：

9. 是否创建DNS委派，选择“是”，点击“下一步”继续：

10. 设置数据库、日志文件和SYSVOL存放位置，点击“下一步”继续：

11. 输入目录还原模式密码，点击“下一步”继续：

现在域假定为，现在域控制器为Windows 2003 R2 Enterprise，上面装有DNS和Active Directory。现要将域控器升级到Windows 2008版本。

现在域控版本：Windows 2003 R2 Enterprise SP2

FQDN:

IP:192.168.200.20

DNS:192.168.200.20

要升级到的服务器：Windows 2003 R2 Enterprise

FQDN:

IP:192.168.200.50

DNS:192.168.200.20 （未升级前指向现在的DNS服务器，升级完成后改为192.168.200.50，指向自己）

在DC03域控上新建一个用户，用于验证迁移后是否成功。

一、转移DNS至Windows 2008服务器。

1.安装Windows 2008 R2 Enterprise系统，步骤略。修改计算机名为DC008;

设定IP为：192.168.200.50。DNS为：192.168.200.20。

2.打开DC03域控的DNS管理器，运行里面输入“dnsmgmt.msc”，展开正

向查找区域，右击域“”选择属性。在属性对话框的最后一项“区域复制”，选中“允许区域复制——只允许到下列服务器”，填入DC008机器的IP地址192.168.200.50。点击添加、应用和确定。

3.登录DC008机器，安装DNS服务。

打开服务管理器——展开角色。在右这看到“添加角色”，点击之。出现“角色添加向导”，下一步，点选中“DNS服务器”，下一步——下一步——安装，出现安装成功，关闭对话框。

域升级与在现有域环境中安装域控制器

若现有网络环境为windows server 2003林，要将windows server 2008域控制加入到此环境，以下是可能的情况：

将现有的windows server 2003林升级。

在现有的windows server 2003林中添加一个windows server 2008域。

在现有的windows server 2003林中添加一台windows server 2008域控制器。

1、将现有windows server 2003林升级：

通过将windows server 2003域控制器升级为windows server 2008域控器的方式，来将域升级为windows server 2008域，但是必须事先在windows server 2003域内执行准备工作，否则在升级时会出现下图所示的错误，而且无法继续执行升级的工作。（本文是以升级安装windows server 2008 R2为例）

推荐步骤：

1）找出林内的架构主机与每一个域内的结构主机，林内第1台域控制器默认就是该林的架构主机，而域内第1台域控制器默认就是该域的结构主机，你可以使用以下方法找出这两台主机。

架构主机：先在运行中输个”regsvr32 schmmgmt.dll”，单击确定。然后在运行中输入MMC，在MMC控制台中添加“Active Directory架构”，右击Active Directory架构，选择“操作主机”，从图中可知目前扮演架构主机的域控制器是哪台主机了。

升级windows 2003域控制器到windows 2008 R2域控制器

测试报告

深圳市桑威科技有限公司

2014年4月

目录

1测试目的 (3)

2测试环境 (3)

3测试步骤 (3)

4测试结果 (5)

1测试目的

升级windows 2003域控制器到windows 2008 R2域控制器。2测试环境

3测试步骤

3打开CMD，输入dcpromo打开域服务器安装向导。

4选择‘向现有域添加域控制器’，就是添加额外的域控制器。

5检查DNS，DNS和GC 都选上。

6服务安装完成，服务器重启后，将2008 R2 的DNS改为自己。

7确认域信息、DNS信息都同步过来了。

8将客户端的DNS指向2008域控，测试2008域控是否正常工作。

1登录到2008 上，开始---运行，输入‘regsvr32 schmmgmt.dll’，回车。完成域控。

主

模拟主机、基础结

到1打开“服务器管理”“Actvie Directory用户和计算机”选择域，点鼠

标右键，选择“操作机”依次把这３个角色传递到server2008服务器。

完成

4测试结果2008域控可以正常工作。

如何将server 2008 R2作为server 2003域中

的额外域控

在服务器管理和网络设置领域，将Server 2008 R2作为Server 2003域中的额外域控是一项重要的任务。通过将Server 2008 R2添加到现有域控制器网络中，可以提高系统的性能、可靠性和安全性。本文将详细介绍如何实现这一目标，并提供适用的步骤和注意事项。

一、概述

将Server 2008 R2作为Server 2003域中的额外域控，意味着将Server 2008 R2服务器添加到现有的Server 2003域中，并将其配置为域控制器。这样一来，Server 2008 R2将共享域控制器的负载，并提供冗余和容错能力。同时，这也为Server 2003使用者提供了迁移到更新的操作系统的便利。

二、准备工作

在开始配置之前，需要确保已满足以下要求：

1. 现有域控制器运行的是Server 2003操作系统。

2. Server 2008 R2服务器已正确安装并连接到网络。

三、配置步骤

以下是将Server 2008 R2设置为Server 2003域的额外域控的步骤：

1. 登录到Server 2008 R2服务器，打开服务器管理器。

2. 在服务器管理器中，选择“角色”并点击“添加角色”。

3. 在“添加角色向导”中，选择“Active Directory 域服务”的角色，并

点击“下一步”。

4. 在角色服务选择页面，选择“域控制器”并点击“下一步”。

5. 在域设置页面，选择“将此服务器配置为域中的新域控制器”并点

域迁移方案

一、事前准备：

先分别建立两个位于不同林的域，内建Server若干，结构如下：

ADC02 172.16.1.2/24

EXS01 172.16.1.101/24

ADC01

172.16.1.1/24

其中：

：

ADC01作为主域控制器，操作系统为Windows Server 2008 R2,并安装有DHCP服务，作用域范围为172。16.1.100/24——172.16.1.200/24.

ADC02作为的辅助域控制器，操作系统为Windows Server 2008 R2

Exs01为的Mail服务器，操作系统为Windows Server 2003

SP2,Exchange 版本为2003

TMG01为防火墙，加入到Demo。com网域,操作系统为Windows Server 2008 R2，Forefront TMG为2010

Client为加入到此网域的客户端PC,由DHCP Server分配IP

:

Ad-cntse为Cntse。com的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2

Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003。

备注：所有的Server均处在同一个网段172。16。1。x/24

二、Demo。com的User结构：

如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组，Terminal User为终端机用户组别,均没有Mail 账号。以上三组别均建立有相应的GPO限制其权限.其他Users保持默认设定

Window 2003证书服务器迁移到Windows 2008 R2（1）

环境：

源服务器：Windows2003，域控制器，证书服务器

目标服务器：Windows2008 R2，域控制器。

备注：将源服务器证书服务器迁移到目标服务器上，要求更改目标服务器名称与源服务器名称不相同。

一、准备源服务器

1、源服务器安装补丁

源服务器安装windows2003 SP2补丁。

2、备份 CA 模板列表

（1）以域管理员身份登录到bj-ad-sms服务器.

（2）打开“证书颁发机构”管理单元。

（3）在控制台树中，展开“证书颁发机构”，并单击“证书模板”。

（4）通过抓取屏幕截图或将列表键入到文本文件中来记录证书模板的列表。

3、使用 Certutil.exe 记录 CA 模板列表

(1)使用本地管理凭据登录到 bj-ad-sms计算机。

(2)打开命令提示符窗口。

(3)键入certutil.exe -catemplates > catemplates.txt，并按Enter。

(4)验证 catemplates.txt 文件是否包含模板列表，并将catemplates.txt文件，拷贝到C：\windows\sysvol\sysvol

4、记录 CA 的签名算法和 CSP

（1）使用本地管理凭据登录到 bj-ad-sms。

（2）打开命令提示符窗口。

（3）（3）键入certutil.exe getreg ca\csp\* > csp.txt，并按Enter。

（3）打开csp文件，截图如下：

（4）记录原始的CA将AIA和CRL数据发布到HTTP URLs以及客户端在验证证书链和CRL 数据时可以访问HTTP URL，以便迁移后设置手动发布AIA和CRL数据带原始的web服务器或是添加一条DNS记录将指向原始的HTTP URL执行新的CA服务器的HTTP URL（这里源服务器和目标服务器的勾选项要一致）。例如：记录下图中ldap和http中的勾选项。

提升域功能级别和林功能级别

一、概念

在Windows Server 2008 R2 AD DS域服务中的域和林功能，提供了一种可以在网络境中启用全域性功能或全林性功能的方法，不同的网络环境，则有不同的域功能和林功能级别。

如果域或林中的所有域控制器运行的都是Windows Server 2008 R2,并且域和林功能级别设置为Windows Server 2008 R2,则所有全域性功能和全林性功能都可用。如果域或林中有Windows Server 2000、Windows Server 2003或Windows Server 2008域控制器，则AD功能将受到限制。

二、域功能

域功能启用了可影响整个域以及仅影响该域的功能。在Windows Server 2008 R2 AD DS中，有四个可用的域功能级别：Windows 2000纯模式、Windows Server 2003（默认值）、Windows Server 2008、Windows Server 2008 R2.

下表列出了域功能级别及其相应支持的域控制器和该功能级别启用的功能。

三、林功能

林功能启用了林中所有域上的功能。在Windows Server 2008 R2操作系统中有四个可用的林功能级别：Windows 2000、Windows Server 2003（默认值）、Windows Server 2008和Windows Server 2008 R2。

下表列出了Windows Server 2008 R2操作系统中可用的林功能级别及相应支持的域控制器和启用的功能。

将域控2003R2升级到2008R2

在测试的时候发现，将域从windows Server 2003 R2升级到win dows Server 2008 R2的过程中与其它的稍有不同。为此记录下来备忘，具体步骤就一一截图了。

1.在一台系统为2008R2的计算机DCenter上执行dcpromo

2.在向导中一路点下一步

3.来到安装什么类型域的时候，我们选择如图。

4.填入为哪个域安装一个额外域，并提供相应的认证信息。

5.如下显示了现域的情况

6.经过检查DNS和域的一些设置，发现架构的版本不对，需扩展才可正常进行

7.根据提示信息扩展架构，刚把光盘放进去就报错，说版本不对，也是。目前系统为2003 R2（32位），光盘上64位的，不理会错误，继续。

8.按提示输入命令执行扩展，结果说文件不适用于该系统，但2008 R2没有32位的该怎么办，还好，2008R2中带了一个32位版的a dprep32.exe

9.利用32位版的adprep进行扩展，这里加了一道，需输入C后回车继续。这样就省得有些人总是一路回车了。看看是什么再点！

10.扩展架构，执行中。扩展架构其实就是将schxx.ldf文件导入目录。它是分为多个文件进行的，可以理解为今天加了一个更新，明天又加。（它为什么不做个汇总呢？，更新一下就OK了。）

11. schxx.ldf文件如下，其实可以看到扩展架构做的就是添加或修改域数据结构，来满足新类别或新属性的需要。

12.扩展OK。可能还会提示扩展域的，根据实际提示进行操作即可。

13.提示扩展架构以便能安装只读域控，根据自己情况选择。命令都给了adprep32 /rodcprep

如何从Win2003本地直接升级Win2008 R2

今天，我们讨论下关于从Windows 2003本地直接升级到Windows Server 2008 R2的相关问题。

首先先看Contoso公司现在的架构拓扑图：如图1

此时，硬件配置过时的Server B已经被全新主流硬件配置的Server D所替代。但是，Server A仍然承担着FSMO这样重要的角色，根据IT部门的规划，也为了防止可能会出现的升级失败，在升级Server A之前，先将5种FSMO角色转移到Server D上。

小贴士：5种FSMO角色分别是：PDC主机、RID主机、域命名主机、架构主机、结构主机。它们是特定林范围内和特定域范围内中被林和域中的单个域控制器所拥有。其中，架构主机和域命名主机是目录林级的角色。因此，每个目录林都只有一个架构主机和一个域命名主机。RID 主机、PDC 主机和基础结构主机是域级角色。每个域都有其各自的 RID 主机、PDC 主机和结构主机

一、升级前准备

1. 转移5种操作主机角色

转移FSMO角色的方法有2种，一种是图形化操作，一种是使用NTDCUTIL命令行进行操作。这里介绍使用命令行方式的转移，关于图形化操作可参考微软KB：

/kb/324801/zh-cn

注意：Ntdsutil.exe 是一个为 Active Directory 提供管理设施的命令行工具。可使用 Ntdsutil.exe 执

行 Active Directory 的数据库维护，管理和控制单个主机操作，创建应用程序目录分区，以及删除由未

Windows Server 2008 R2 教程系列

一、域的迁移

实验环境：

一台windows 2003 DC 电脑名为：DC有用户数据，因公司更换服务器想升级到2008 R2电脑名为：JXDC。

实验步骤：

1、将新服务器2008 r2 装好，打好补丁。利用windows updata。

2、将2008 r2加入2003域中。

3、在2008中添加角色AD。

4、在2008中升级域控制器、出现以下错误。

原因是：高版本系统升DC的话，必须扩展林架构与域架构。

4、加到2003DC环境中。

5、使用命令：adprep (在要升域控的那台系统装的光盘中找到这个软件，最好把

目录拷下来，放在本地，这里的路径是：X:\support\adprep）。

首先用命令查看一下，AD五个角色是那台机器上，可在任何一台成员服务器使用命令：netdom query fsmo

显示为：

可以看到，五个角色都在2003 DC上。

7、将adprep 运行，可看到帮助信息。

8、

这是因为，版本不支持这个，我们只要使用adprep32 就行了，请看：

可以看到，有很多参数，其时我们只要根据他的顺序来执行就可以了：

1、执行扩展林架构：adprep32 /forestprep。

2、

3、大家看到出错了，原因是没有当前用户没有操作林架构schema的权限,那是因为我为了安全起见，把administratro用户从Schema admin 组中去除了，我们加进来看看。

4、我们点确定加进去了，注销一下，登录让他生效。

5、然后再执行adprep32 /forestprep 结果显示。