WindowsServer2003域升级到WindowsServer2012R2域

从2003域迁移到2008 R2域Windows server 2008 R2功能强大，其功能远远超过windowsserver 2003.伴随着时间的推移，windows server 2008 R2已经逐步在企业中搭建应用，可是基于旧管理平台的windows server 2003的怎么办？今天我们来看一下windows server 2003的活动目录是如何向windows server 2008中迁移的实验环境如下图：下面我们开始试验升级前,先在srv03上搭建Windows2003 DC （略）如在真实环境中操作，作业前，请先备份2003域控系统状态，在此不多说！！！一、将计算机srv5加入到域中首先将装有windows server 2008 R2的计算机srv5加入到windows server 2003域中，在srv5上操作打开网络设置，把DNS指向DNS服务器，在此我们指向srv03更改系统属性，把计算机加入到域中，如下图客户端加入域需要权限，因此加入域时需要输入域管理员账户和密码下图显示加入域成功，单击确定在加入域后重新启动计算机二、给windows server 2003活动目录升级（在srv03上操作）1、提升域功能级别单击开始——→程序→管理工具→AD用户和计算机，右击，选择提升域功能级别功能级别选择“windows server 2003”，单击提升2、提升林功能级别单击开始——→程序→管理工具→AD域和信任关系，右击AD域和信任关系，选择提升林功能级别选择“windows server 2003”，单击“提升”3、林准备在2003 域控srv03 上放入2008 R2 光盘，此光盘为D盘，CMD下进入D:\support\adprep 目录：输入adprep32.exe /forestprep 进行2003 Schema 林架构升级。

这里按 C 再按enter 确认继续，按其他键和enter 取消操作。

win2003域控制器升级迁移到win2008的详细步骤原 Domain Control情况如下：计算机名：IP地址： 192.168.2.31/24 （/24）操作系统： Windows Server 2003 Enterprise Edition SP1提供服务： Domain Control、DNS完成升级后，增加 Server2008为域控制器计算机名：IP地址： 192.168.2.31/24 （/24）操作系统： Windows Server 2008 R2 enterprise提供服务： Domain Control、DNSWin2003域添加Win2008域控制器1、安装Windows Server 2008服务器。

2、将win2008加入域whdg中3、对Forest（林）、 Domian（域）和RODC（域控制器）进行扩展。

在原 Windows Server 2003 域控制器上运行 Windows Server 2008的 ADPREP工具，该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下，复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。

注意：扩展操作在DC2003（域控制器）上进行操作。

开始－运行－CMD，进入D分区的ADPREP目录输入 adprep /forestprep 根据提示，选择”C “，并按下 Enter键继续。

（林拓展）完成 Forest扩展。

接下来的是 RODC 请输入：adprep /rodcprep。

完成 RODC的扩展之后，接下来进行的是 Domain的扩展。

输入：adprep /domainprep /gpprep现在，我们已经做好了将 Windows Server2008（计算机名 Server2008）提升为域控制器的准备工作。

现在，请以域administrator身份登录成员服务器 Server 2008。

win2003额外域控制器升级到主域控制器一．其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机(Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展Active Directory 林的架构或运行adprep /domainprep 命令。

★域命名主机(Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机(RID master) －RID 主机角色是域范围的角色，每个域一个。

此角色用于分配RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器(PDC emulator) －PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机(Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行adprep /forestprep 命令，以及更新跨域引用的对象的SID 属性和可分辨名称属性。

Active Directory 安装向导(Dcpromo.exe) 将这五种FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用Ntdsutil.exe 捕获FSMO 角色或将其转移到域控制器[url]/kb/255504/zh-cn[/url]2.域控制器降级失败后如何删除Active Directory 中的数据[url]/kb/216498/[/url]3.域控制器降级失败后如何删除Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)[url]/kb/216498/zh-cn[/url]四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.。

windowsserver2012IIS权限问题
最近将公司部分系统（IIS运⾏）从2003迁移到了2012,迁移之后功能运⾏正常，但是业务系统中的附件⽆法下载了，下载时报错system.io.__error。

查看后台代码，为new System.IO.FileStream(filepath, FileMode.Open)报错。

进⼀步测试发现新上传的⽂件可以下载，只有从旧服务器中复制过来的⽂件⽆法下载。

分析可能是权限问题。

分别查看新旧上传⽂件，发现⽂件属性中安全⼀栏，新上传的⽂件对defaultAppPool有读写和执⾏权限.想给之前的⽂件也加上，却发现系统中根本找不到这个⽤户名。

⽹上找了⼀圈，都是说IIS将⽤户映射到IUSER上，只需要对IIS要读取的⽂件夹赋予IUSER读写权限即可。

但是经我的测试，在⽂件夹属性-安全-编辑-添加，这⾥加上IUSER的权限后，仍然⽆法读取。

试验⼏个⼩时，发现最后的解决办法：
⽂件夹属性中，安全⼀栏，不是直接赋予IUSER读写权限，⽽是在“有关特殊权限或⾼级设置，请单击⾼级”，这⾥，点击“⾼级”，在弹出
的“⾼级安全设置中“添加IUSER的读写权限。

方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机 角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的 FSMO 角色。

这五个 FSMO 角色是：●架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

●域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

●结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

●相对 ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。

任何时刻，在域中只能有一个域控制器充当 RID 主机。

●PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机，或者如果包含 Microsoft Windows NT 备份域控制器，则 PDC 模拟器主机充当 Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。

使用 MMC 管理单元工具来转移 FSMO 角色。

根据您要转移的 FSMO 角色，可以使用以下三个 MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

我单位原来的网络是Windows Server 2008 R2，网络中的服务器都是Windows Server 2008 R2，工作站主要是Windows 7，也有部分的Windows XP。

现在Windows Server 2012已经发布，近期将会把网络升级到Windows Server 2012。

在本节中介绍从Windows Server 2008 R2的Active Directory服务器升级到Windows Server 2012的内容，主要步骤是。

运行Windows Server 2012的ADPREP工具更新升级安装Windows Server 2012。

将网络中其他成员服务器升级到Windows Server 2012。

提升域功能级别到Windows Server 2012.下面介绍主要的步骤及过程（在Windows Server 2008 R2图形界面安装）。

（1）当前的Active Directory域控制器是Windows Server 2008 R2，如图1所示。

图1 当前域控制器是Windows Server 2008 R2（2）准备Windows Server 2012安装光盘，进入命令提示窗口，从安装光盘的support\adprep 文件夹，执行adprep /forestprep，先升级林架构（如图2所示），然后执行adprep/domainprep更新全域信息（如图3所示）。

图2 升级林架构图3 更新全域信息（3）然后运行Windows Server 2012安装程序，如图4所示。

图4 运行安装程序（4）在“获取Windows安装程序的重要更新”对话框，选择“不，谢谢”，如图5所示。

因为我的网络中有WSUS，平常都是使用WSUS更新的。

图5 不获得更新（5）在“选择要安装的操作系统”，选择要安装的操作系统，在此选择“Windows Server 2012 Datacenter（带有GUI的服务器）”，如图6所示。

Windows server 2003 R2的AD升级至Windows Server 2012的操作过程操作步骤：1、首先准备Windows server 2003 R2，Windows server 2008 R2 ，Windows server 2012各一台。

其中Windows server 2003 R2为域控制器，域名为。

三台如Windows server 2012上的操作2、把Windows server 2012加入域，在Windows server 2012上打开资源管理器，右键点击计算机->属性。

在计算机属性界面上选择“高级系统设置”，在系统属性下选择“计算机名”选项，点击“更改”，按下图所示输入域名把计算机加入域。

3、服务器重启后，打开“服务器管理器”，点击“添加角色和功能”。

点击下一步4、选择基于角色或功能安装5、由于这个实验只用了一台2012服务器，因此默认选择下一步。

6、选择添加AD域服务，同时添加所需功能。

7.根据提示操作点击下一步8、点击安装。

9、返回服务器管理器，点击AD DS如下图所示操作来将2012提升为域控的操作。

10、出现AD域服务配置向导，默认即可，点击下一步。

11、报错，提示当前林级别为Windows2000。

出现这个提示需要提升Windows server 2003系统的林功能级别。

Windows server2003上的操作12、在AD域和信任关系中，右键点击提升域功能级别。

选Windows server 2003模式。

13、再到AD域和信任关系下右键点击提升林功能级别。

15、改成windows server 2003模式并确认。

14、提升功能级别结束后，继续返回Windows Server2012进行下一步，但是依然报错，提示域内找不到运行windows server 2008、2008r2、2012的域控制器。

15、根据以上信息，windows server2003到windows server2012的升级未能一步到位，还得架设一台Windows server2008 R2域控制器。

1.0 案例描述将windows server 2003域无缝迁移到windows server 2012 r2 ad ds域服务环境中，同时迁移”集成区域DNS 服务”。

迁移成功后的windows server 2012 r2域控制器作为网络中的”首选dns服务器”,原windows server 2003域控制器脱域后作为独立服务器使用。

IP：192.168.10.XGW：192.168.10.254DNS：192.168.10.7DNS：192.168.10.11DNS：192.168.10.12windows server 2003 enterprise with sp2：CRMEVOL_CN.isowindows server 2008 enterprise r2 with sp1：SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_ChnSimp_w_SP1_MLF_X17-22560.ISOwindows server 2012 r2 datacenter：cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso老的环境：dc01 192.168.10.5/24 windows server 2003 ee with sp2 删除dc02 192.168.10.6/24 windows server 2003 ee with sp2 删除dns01（+dc）192.168.10.7/24 windows server 2003 ee with sp2 删除domain name：test.local新的环境：dc03 （+dns）192.168.10.11/24 windows server 2008 r2 ee with sp1 删除（过渡）dc04（+dns）192.168.10.12/24 windows server 2012 r2 datacenter 保留dc01 （+dns）192.168.10.5/24 windows server 2012 r2 datacenter 保留dc02 （+dns）192.168.10.6/24 windows server 2012 r2 datacenter 保留1.1 安装dns组件控制面板------添加或删除程序-------添加/删除windows组件，选中网络服务------详细信息勾选域名系统（DNS），确定下一步，直至安装完成1.2 配置dns服务器1.2.1正向区域DNS------DNS01------正向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域输入区域名称创建区域文件动态更新------允许非安全和安全动态更新向导完成习惯修改名称服务器修改起始授权机构------主服务器1.2.2反向区域DNS------DNS01------反向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域反向查找区域------网络ID：192.168.10区域文件动态更新------允许非安全和安全动态更新向导完成修改名称服务器修改起始授权机构------主服务器1.3 配置windows 2003 dc服务器1.3.1配置第一台dc开始------运行------dcpromo欢迎使用ad向导------下一步操作系统兼容性------下一步域控制类型------新域的域控制器选择在新林中的域输入新域的DNS全名netbios域名数据库和日志文件文件夹------下一步共享的系统卷------下一步DNS注册诊断------下一步权限------下一步目录服务还原模式的管理员密码------下一步摘要信息------下一步开始安装，直至完成在dns管理器中已出现相应信息1.3.2配置第二台dc 配置如上，可参考1.3.1选择现有域的额外域控制器网络凭据------输入相关信息------下一步选择额外的域控制器------下一步摘要信息------下一步------直至安装结束在dns管理器中已出现相应信息1.4 检查fsmo角色位置在windows server 2003 dc服务器上安装windows support tools X:\ SUPPORT\TOOLS\suptools.msi在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置dsquery server –hasfsmo schemadsquery server –hasfsmo namedsquery server –hasfsmo pdcdsquery server –hasfsmo infrdsquery server –hasfsmo rid在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置netdom query fsmo在dc01服务器上输入net accounts显示信息是主域控制器在dc02服务器上输入net accounts显示信息是额外域控制器1.5 提升win2k3活动目录域功能级别登录到dc01服务器上，进行提升域功能级别操作当前域功能级别是windows 2000 混合模式，需要更改成windows server 2003域功能级别已更改成windows server 20031.6 提升win2k3活动目录林功能级别登录到dc01服务器上，进行提升林功能级别操作目前林功能级别是windows 2000更改林功能级别为windows 20031.7 dns服务器配置dc把dns01服务器配置成dc服务器，操作步骤如上，最后成为额外域控服务器+dns服务器AD用户和计算机-------domain controllers容器中显示如下DNS管理器中信息如下1.8 配置windows 2012 r2 dc服务器添加角色和功能选择角色组件AD域服务和DNS服务器开始安装直至结束组件安装完成，需要配置AD DS通过向导配置------选择将域控制器添加到现有域，输入域名和更改账户凭据提示域内找不到运行Windows2008、2008R2、2012的域控制器。

1.0 案例描述将windows server 2003域无缝迁移到windows server 2012 r2 ad ds域服务环境中,同时迁移”集成区域DNS 服务”。

迁移成功后的windows server 2012 r2域控制器作为网络中的”首选dns服务器”,原windows server 2003域控制器脱域后作为独立服务器使用。

IP:192.168.10.XGW:192.168.10.254DNS:192.168.10.7DNS:192.168.10.11DNS:192.168.10.12windows server 2003 enterprise with sp2:CRMEVOL_CN.isowindows server 2008 enterprise r2 with sp1:SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_ChnSimp_w_SP1_ MLF_X17-22560.ISOwindows server 2012 r2 datacenter:cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso老的环境:dc01 192.168.10.5/24 windows server 2003 ee with sp2 删除dc02 192.168.10.6/24 windows server 2003 ee with sp2 删除dns01(+dc192.168.10.7/24 windows server 2003 ee with sp2 删除domain name:test.local新的环境:dc03 (+dns192.168.10.11/24 windows server 2008 r2 ee with sp1 删除(过渡dc04(+dns192.168.10.12/24 windows server 2012 r2 datacenter 保留dc01 (+dns192.168.10.5/24 windows server 2012 r2 datacenter 保留dc02 (+dns192.168.10.6/24 windows server 2012 r2 datacenter 保留1.1 安装dns组件控制面板------添加或删除程序-------添加/删除windows组件,选中网络服务------详细信息勾选域名系统(DNS,确定下一步,直至安装完成1.2 配置dns服务器1.2.1正向区域DNS------DNS01------正向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域输入区域名称创建区域文件动态更新------允许非安全和安全动态更新向导完成习惯修改名称服务器修改起始授权机构------主服务器1.2.2反向区域DNS------DNS01------反向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域反向查找区域------网络ID:192.168.10区域文件动态更新------允许非安全和安全动态更新向导完成修改名称服务器修改起始授权机构------主服务器1.3 配置windows 2003 dc服务器1.3.1配置第一台dc 开始------运行------dcpromo欢迎使用ad向导------下一步操作系统兼容性------下一步域控制类型------新域的域控制器选择在新林中的域输入新域的DNS全名netbios域名数据库和日志文件文件夹 ------下一步共享的系统卷 ------下一步DNS 注册诊断 ------下一步权限 ------下一步目录服务还原模式的管理员密码 ------下一步摘要信息 ------下一步开始安装,直至完成在 dns 管理器中已出现相应信息1.3.2配置第二台 dc配置如上,可参考1.3.1选择现有域的额外域控制器网络凭据 ------输入相关信息 ------下一步选择额外的域控制器 ------下一步摘要信息 ------下一步 ------直至安装结束在 dns 管理器中已出现相应信息1.4 检查 fsmo 角色位置在 windows server 2003 dc服务器上安装 windows support tools X:\ SUPPORT\TOOLS\suptools.msi在 windows server 2003 dc服务器上输入以下命令,检查 fsmo 角色位置 dsquery server – hasfsmo schemadsquery server – hasfsmo namedsquery server – hasfsmo pdcdsquery server – hasfsmo infrdsquery server – hasfsmo rid在 windows server 2003 dc服务器上输入以下命令,检查 fsmo 角色位置 netdom query fsmo在 dc01服务器上输入 net accounts 显示信息是主域控制器在 dc02服务器上输入 net accounts显示信息是额外域控制器1.5 提升 win2k3活动目录域功能级别登录到 dc01服务器上,进行提升域功能级别操作当前域功能级别是windows 2000 混合模式,需要更改成windows server 2003域功能级别已更改成windows server 20031.6 提升win2k3活动目录林功能级别登录到dc01服务器上,进行提升林功能级别操作目前林功能级别是windows 2000更改林功能级别为windows 20031.7 dns服务器配置dc把dns01服务器配置成dc服务器,操作步骤如上,最后成为额外域控服务器+dns 服务器AD用户和计算机-------domain controllers容器中显示如下DNS管理器中信息如下1.8 配置windows 2012 r2 dc服务器添加角色和功能选择角色组件AD域服务和DNS服务器开始安装直至结束。

使用域管理员用户登录2003服务器（例如：Test\administrator）在”AD用户和计算机”，选中域右键选择提升域功能级别，模式为2003模式在”AD域和信任关系”，提升林功能级别使用administrator登录2012服务器首先将计算机设置静态IP，且dns设置为2003服务器IP将2012服务器加入2003域中，成为成员计算机随后重启计算机，此时可在2003服务器中用户和计算机中的computer中看到已加入域的2012服务器2012服务器重启，使用域管理员进行登录（例如：Test\administrator）在2012服务器中添加角色及功能下一步，下一步，下一步，添加角色为域服务下一步，下一步，下一步，进入检测环节，进行安装，安装完成将2012域角色升级为域控制器选择加入现有域配置还原密码，最好单独记录下来下一步，下一步，指定从2003的服务器进行复制下一步，下一步，下一步，检查先决条件无问题，直接进行安装，自动重启，此时可在2003服务器”AD用户和计算机”中的domain controllers中看到2012服务器。

2012服务器重启后，使用域管理员进行登录（例如：Test\administrator）将2012安装盘挂载到服务器进入安装盘中的XXX:\support\adprep目录Shift+右键打开cmd运行adprep.exe /forestprep，按提示输入C+回车继续运行adprep.exe /domainprep 更新域信息运行adprep.exe/domainprep /gpprep 更新策略组运行adprep.exe /rodcprep 更新对RODC只读域控器的支持2012服务器管理器中选择：”AD用户和计算机”管理打开”AD用户和计算机”，选择要操作的域右键进行操作主机修改RID更改：由2003变更为2012PDC更改：由2003变更为2012基础结构更改：由2003变更为2012打开”“AD域和信任关系””，选择要操作的域右键进行操作主机修改更改域名操作主机：由2003变更为2012调出命令行工具，输入：regsvr32 schmmgmt.dll 调出命令行工具，输入：mmc 使用控制台调整添加管理单元：AD架构调整目录服务器为2012服务器修改操作主机更改架构主机：由2003变更为2012清退2003服务器所担任的角色打开AD站点和服务编辑2003服务器编录角色刷新确认2003的角色由GC变为DC在命令行窗口，输入netdom query fsmo 看到域的角色都已经更改为了2012服务器再”AD用户和计算机”中尝试提示下域功能级别到windows server 2012，提示域内有windows server 2003版本的域控存在最后进行2003退域操作在2003上把dns解析设置为2012主机的IP在server2003上使用Dcpromo命令退域下一步，下一步，等待数据传输，服务卸载，完成控制器降级，成为域成员计算机，重启。

一、降域1.点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”。

2. 如果不成功，则单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval强制降级，我们的服务器属于强制降级操作3. 单击“确定”。

4. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

5. 如果您要删除的计算机是全局编录服务器，请单击消息窗口中的“确定”。

6. 在“删除Active Directory”页中，确保已清除“这个服务器是域中的最后一个域控制器”复选框，然后单击“下一步”。

7. 在“网络凭据”页中，键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称，然后单击“下一步”。

8. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

9. 在“摘要”页上，单击“下一步”。

10. 重启计算机，降域成功。

二、升域1.点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:2.操作形态兼容性模板：这里是一个兼容性的要求，直接点击“下一步”:3.域控制器类型：在这里有新域的域控制器和现有域的额外域控制器两个选项，由于这是新建的第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:4.创建一个新域：有创建一个新的在新林中的域、在现有域树中的子域、在现有的林中的域树三个选项，因为是第一台域控，所以选择“在新林中的域”，点击下一步5.新的域名：在这里我们要指定一个域名，我在这里指定的是，输入新建域的域名，我们将新的域起名为，点击下一步BIOS域名：TARADIO，点击下一步7.数据库和日志文件文件夹：在这里要指定Active Directory数据库和日志的存放位置，采取默认，点击下一步8.共享的系统卷：c:\WAIDOWS\SYSVOL, 点击下一步9.DNS注册诊断：这里有三个选项，第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

域功能级别域功能级别是指在计算机科学中，对于在单个域名下注册和管理主机和服务的特定权限级别的划分。

根据域功能级别的不同，用户的权限以及对资源的访问权限也会有所不同。

下面将就域功能级别进行详细的解析。

域功能级别主要分为以下几个级别：混合模式、Windows2000 版本兼容、Windows Server 2003、Windows Server 2008和 Windows Server 2012。

混合模式是指在早期版本的Windows 操作系统中使用的级别，它允许旧版本的 Windows 操作系统如 Windows NT 4.0 与当前的 Windows 操作系统如 Windows Server 2012 共存。

在混合模式下，用户可以使用早期版本的 Windows 操作系统所支持的功能与特性，但同时也限制了一些高级功能的使用。

Windows 2000 版本兼容级别是将混合模式扩展到新版本的Windows 系统中，并允许较早版本的 Windows 系统与Windows 2000 Server 相兼容。

这个级别的域功能级别已经被废弃，并不适用于当前的 Windows Server 版本。

Windows Server 2003 是一种比较常见的域功能级别，它提供了更多的功能和特性，包括 Active Directory 的改进和增强。

在 Windows Server 2003 功能级别下，用户可以享受到更高级的安全性和管理功能，并且可以使用 Windows Server 2003 中引入的新功能，如群组策略管理和改进的用户权限管理。

Windows Server 2008 提供了更高级的域功能级别，它引入了一些先进的特性和功能，如通过逻辑控制的密码策略、强制Kerberos 加密和跟踪安全事件等。

此级别下的用户可以享受到更高级的安全性和管理功能，并且允许使用 Windows Server 2008 中引入的新功能。

Windows Server 2003升级为域服务器目前，Windows Server系统被企业广范采用，对于一些微型企业也许并不需要对Windows 网络进行管理，但对于中大型企业来说，管理是不可缺少的。

人数不多的小型企业，则建议采用对等网的工作模式，而如果是几十台或更多客户端，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处。

相信本文的读者都处于一个较大的公司网络里，所以这次我们来谈谈如何把一台成员服务器提升为域控，来统一管理我们的网络。

一、环境服务器:Windows Server 2003机器名:domain ServerIP:192.168.10.1子网掩码:255.255.255.0DNS:192.168.10.1客户机：Windows XP二、添加域名服务如果在安装Windows Server 2003过程中，没有选择DNS组件，默认情况下是不被安装的，我们就需要手动去添加它。

这里我们需要用到Windows Server 2003的安装光盘。

添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:选中“网络服务”:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

2003域—>2008域迁移Windows server 2008功能强大，其功能远远超过windowsserver 2003.伴随着时间的推移，windows server 2008已经逐步在企业中搭建应用，可是基于旧管理平台的windows server 2003的怎么办？今天我们来看一下windows server 2003的活动目录是如何向windows server 2008中迁移的实验环境如下图：下面我们开始试验一、将计算机beijing加入到域中首先将装有windows server 2008的计算机beijing加入到windows server 2003域中，在beijing上操作打开网络设置，把DNS指向DNS服务器，在此我们指向istanbul更改系统属性，把计算机加入到域中，如下图客户端加入域需要权限，因此加入域时需要输入域管理员账户和密码下图显示加入域成功，单击确定在加入域后重新启动计算机二、给windows server 2003活动目录升级（在istanbul上操作）1、提升域功能级别单击开始——程序——管理工具——AD用户和计算机，右击“”，选择“提升域功能级别”功能级别选择“windows server 2003”，单击提升2、提升林功能级别单击开始——程序——管理工具——AD域和信任关系，右击“AD域和信任关系”，选择“提升林功能级别”选择“windows server 2003”，单击“提升”3、林准备首先把windows server 2008的系统盘放入到光驱中，打开命令提示符对话框，输入d:-------- cd sources----------cd adprep--------adprep/forestprep然后按C键---------按回车键4、域准备在林准备完成后紧接着输入adprep /domainprep，进行域准备为了看清楚把windows server 2003的AD迁移到2008中，我特意建了两个用户，如下图三、在windows server 2008上搭建AD服务（在beijing上操作）单击服务器管理器----------角色----------添加角色勾选“AD域服务”，单击下一步单击下一步安装完AD域服务后在运行下输入dcpromo命令进行升域单击下一步选择“向现有域添加域控制器”，单击下一步输入域名，单击“设置”，然后输入域管理员账号和密码单击下一步单击是单击下一步DNS服务器和全局编录选择默认，单击下一步选择“是，该计算机将使用动态的IP地址”单击“是”，单击下一步输入AD数据库文件夹存储路径，在此为实验，因此我们选择默认，单击下一步输入目录还原模式密码系统开始配置AD域服务，我们勾选上“完成后重新启动”AD域服务安装完成后会自动重启计算机四、将windows server 2003 上的操作主机转移到windows server 2008（在beijing上操作）此时操作主机的五个角色还在 windows server 2003上，因此我们需要把它转移到windows server 2008上。

额外域控制升级为主域控制器一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exch ange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

如何将活动目录从Server 2003升级到Server 2008升级活动目录到新系统中有必要吗？微软对每个版本WINDOWS SERVER的技术支持都有时间期限，过了期限之后将得不到及时的补丁更新和支持，这也让升级成为势在必行的工作。

本文就将为您详解将活动目录从WINDOWS SERVER 2003升级到WINDOWS SERVER 2008的过程。

记住，在升级之前务必对整个活动做一个全备份。

这样在升级失败的情况下，我们还可以将用备份文件将环境还原到之前的正常状态。

我们需要准备一台新的服务器来安装WINDOWS SERVER 2008操作系统。

1.首先需要确认升级过程中采用的域账户必须具备相应的权限，该账户必须是属于Schema Admins、Enterprise Admins和Domain Admins组的成员。

2.要将运行WINDOWS SERVER 2008的域控制器添加到原WINDOWS SERVER 2003活动目录中，首先要更新原AD架构。

将WINDOWS SERVER 2008系统安装光盘插入光驱，将\sources\adprep 文件夹的内容复制到架构主机上的Adprep 文件夹，然后在该文件夹下运行命令：adprep /forestprep如果运行成功，命令行会提示“Adprep 成功更新了全林性的信息”。

3.如果你需要部署只读域控制器（RODC），那么你需要运行以下命令来准备架构：Adprep /rodcprep同样地，运行完成之后系统会给出结果信息。

4.同理，还要准备相应的域，运行命令：adprep /domainprep /gpprep5.在做好以上准备工作之后，我们就可以开始安装额外域控制器了。

来到新安装的WINDOWS SERVER 2008服务器上，和以往版本一样，运行DCPROMO来将服务器提升为域控制器。

这个过程需要等待很长时间。

然后会出现以下窗口：点击NEXT继续，继续NEXT,这里，因为我们是将其作为额外域控制器加入到现有的域中，所以选择向现有域中添加新域控，然后点击next继续，输入你的域名，然后继续，选择所在域及要安装的目标站点，继续，一般情况下，同时将此域控制器作为DNS服务器和全球编录服务器，将这两项选中，然后继续，选择活动目录数据库、日志文件及SYSVOL所在目录，然后继续，输入还原密码，再确认摘要中所有设置没有问题后，选择继续开始安装活动目录，安装完成后需要重启服务器。