none
Windows Server 2003 DC 升級到 2012 較穩定的作法 RRS feed

  • 問題

  • 小弟有 3 台 DC,分別是 S01(第一台 DC),S02,S03 都是 Windows Server 2003 SP2,由於硬體老舊 (超過八年),有些風扇、網卡都已經故障。現在想把全部的 Server 換掉,並且升級成 Windows Server 2012 或 2008 R2,想請教一下大家,怎樣的做法最安全,也最穩定。

    先介紹一下我目前的環境:

    1. 舊的 DC:S01, S02, S03
    2. 要替換的 Server:N01, N02, N03
    3. 網域名稱:MyDomain
    4. Server 都是單純的 DC + DNS + WINS + Group Policy,沒有其他服務。
    5. 作業系統全部都是 Windows Server 2003 SP2
    6. AD 帳號約有 135 個,群組只有十來個
    7. 只有一個網域,一個 site
    8. 網域功能等級:Windows 2000 混合模式
    9. 樹系功能等級:Windows 2000
    10. Client 端全是 XP SP3,之後會全部升級成 Win7,有一台 Windows 2000 的 Member Server

    我的規劃步驟如下:

    1. 將『網域功能等級』及『樹系功能等級』升為『Windows Server 2003』
    2. 確認所有 DC (三台) 都成功複寫。
    3. N01 安裝 Windows Server 2012,並 promo 成 MyDomain 的 DC
    4. 確認所有 DC (四台) 都成功複寫。
    5. 手動將五大角色從 S01 轉移到 N01,並確認複寫狀況。
    6. 降級 S01 並退出網域。
    7. 降級 S02 及 S03 並退出網域。
    8. N02, N03 安裝 Windows Server 2012 並 promo 成 DC
    9. 確認所有 DC (三台) 都成功複寫。
    10. 完成!!!  

    基於上述,想請教幾個問題:

    1. 上述步驟是否可行?還請前輩指點。
    2. 當 DC 升級到 2012 之後,Client 的 XP 還可以登入網域嗎?
    3. 同上,Windows 2000 Server 是否還可以登入 2012 的網域?
    4. 2012 的 GPO 是否還可以管控 XP?例如:防火牆的設定。
    5. 舊的 DC 移除後,AD 裡還會存在 S01, S02, S03 的舊資料嗎?是否有需要利用 ntdsutil 這個指令去刪除舊 DC 的資料?

    以上,還請先進們不另指教,謝謝!




    • 已編輯 MisAdm 2013年9月23日 上午 03:19
    2013年9月23日 上午 03:17

解答

  • 1. 可行的, 是很標準的做法, 我會先把S01, S02, S03停機幾天看看有沒有異樣才開始把S01退出網域,

    如果域內Client機器使用非DHCP設置, 先確認已全部改為使用新的N01,N02,N03為DNS服務器

    2. Windows XP沒有問題, 最好先檢查全部都已更新到SP3

    3. 可以的, Windows Server 2000成員可以繼續登入

    4. 這個問題不能肯定, 某些GPO可以, 某些會有問題, 所以應該先測試清楚才把S01,02,03下線

    建議先安裝Group Policy Preference Client Side Extensions for Windows XP (KB943729)

    如果某些GPO極為重要而不能過渡, 可以續用舊有DC, 直到完全更新為Windows 7.

    5. 完整的dc demote會把metadata都清理好, 不過你也應該自行檢查, 還有DNS紀錄也需要查看有沒有清理掉


    邊幫助, 邊鍛鍊

    • 已提議為解答 Andy ChenModerator 2013年9月23日 下午 11:32
    • 已標示為解答 MisAdm 2013年9月24日 上午 06:53
    2013年9月23日 上午 05:11

所有回覆

  • 1. 可行的, 是很標準的做法, 我會先把S01, S02, S03停機幾天看看有沒有異樣才開始把S01退出網域,

    如果域內Client機器使用非DHCP設置, 先確認已全部改為使用新的N01,N02,N03為DNS服務器

    2. Windows XP沒有問題, 最好先檢查全部都已更新到SP3

    3. 可以的, Windows Server 2000成員可以繼續登入

    4. 這個問題不能肯定, 某些GPO可以, 某些會有問題, 所以應該先測試清楚才把S01,02,03下線

    建議先安裝Group Policy Preference Client Side Extensions for Windows XP (KB943729)

    如果某些GPO極為重要而不能過渡, 可以續用舊有DC, 直到完全更新為Windows 7.

    5. 完整的dc demote會把metadata都清理好, 不過你也應該自行檢查, 還有DNS紀錄也需要查看有沒有清理掉


    邊幫助, 邊鍛鍊

    • 已提議為解答 Andy ChenModerator 2013年9月23日 下午 11:32
    • 已標示為解答 MisAdm 2013年9月24日 上午 06:53
    2013年9月23日 上午 05:11
  • 非常感謝您的回覆,非常有幫助,謝謝!

    2013年9月24日 上午 06:53