iT邦幫忙

0

IT新手, 想根據公司現有AD server (2003) 由零在server 2016 重新建立AD, 求意見 (28/11更新)

  • 分享至 

  • xImage

28/11更新

近來有很多其他工作, AD移轉的測試也拖到了現在才再開始
在檢查後, 因為本來的DC很多東西都沒有裝, exchange(都上O365雲了), DHCP都沒有
GPO問過經理也說沒什麼特別的, 不要也可以
於是就照著之前師兄給的資料+網上一些教學直接就由2003上了2008, 然後再在2008上了2016
過程很順利, 5大角色都很順利移轉到新的server

整個過程也是在virtual環境做的, 我用standalone converter把2003正副DC轉到了另一個空的VM host, 再在該host新建了2008和2016 sevrer各2部, 再跟著教學一部一部的把5大角色移到2016, 結果很順利。測試後2016也是運作正常。

這時問題來了, 我把測試的2016正副DC export作OVF後, 再把其import到另一個新的VM Host作測試, 發現5大角色認不到, DNS像是沒問題, 但AD倒是不見了出了這樣的error

https://ithelp.ithome.com.tw/upload/images/20191128/20120341reaqHCJMqf.jpg

我目前在網絡上尋找解決方法, 但暫時找不到
有沒有師兄知道問題出在那了呢? 先謝謝


悄況有點複雜, 標題很難概括所以希望各位大大能明白

簡單說些情況,其實我個人剛入職現公司不久, 屬於infrastucture team, 之前都是做簡單Support, 技術底子并不好. 所以AD還是DC什麼的只懂皮毛。

而我的公司正在使用的AD server的OS是server 2003, 想轉移到2016

我在網上翻了一些文章和視頻關於如何從2003直接轉移整個server到2016, 不過中間出了不少error(我是用工具把現用2個AD複製到另一個VM host試的)每次的error都不同, 上網看了不少文章, 我底子太差也沒有頭緒問題在那, 基本上都看不明白

而且看網上文章基本上都不建議直接由2003轉移到2016, 因為大多會有問題
但如果由2003-2008-2012-2016這樣升上去太費時間, 而且要是中間任何一步出了問題也自問沒有能力去解決

所以想直接在2016直接根據現有的兩台2003 AD (一主一副)重新建一個, 全部資料都根據現有的兩部AD server來設定, 這樣我想我會對整個AD架構更了解, 也不會把原有AD的一點小問題帶到新的AD

想問問各位師兄我這種做法會否有問題, 或有什麼需要注意?
或許有沒有師兄有相關文章可以推薦? 針對我的問題真的找不太到相關文章...

非常感謝

看更多先前的討論...收起先前的討論...
不明
【**此則訊息已被站方移除**】
其實公司上頭不錯, 也說過出事他會先頂住, 也有對現承諾
不過關於AD這方面暫時沒有人主理, 我也才剛進來3個月, 就讓我試試看
CalvinKuo iT邦大師 7 級 ‧ 2019-10-16 13:48:30 檢舉
沒有Exchange的DC,一切都好辦... (請Google)
升不上去很多問題,有可能前人的問題沒處理好。
既然都可以P2V,先解決2003AD加入2016DC問題,樹系等級要求2003,網域內不能有Win2000電腦,會登入不進去。若可將五大角色轉移到2016,再將2003DC退掉。建議搞懂AD五大角色,MIS除了安裝、轉移也要會維護阿...
參考版內榮大網頁:
https://blog.pmail.idv.tw/?p=16962
我建議假如 2003 ad 活著,那在2003的ad 加入 2008 的dc,然後把五大腳色轉到2008,接著如果用戶端都正常的登入存取檔案,ad資訊同步也沒有問題dns dhcp mail ca 所有跟 ad 扯上邊的服務都正常,那再把 2003 降級,接著2008 把域等級提升到 2008,接下來上 2016 ,一樣的方式處理,最後重灌一台新的2016,拿取五大腳色之後把用不到的dc全部降級,大略就這樣,如果你域名要一樣,那只能這麼做,ad 相同網段最好不要有一樣的域名,有可能會發生奇怪的錯誤,而且不同域名,到時候使用者的設定檔還要轉一次,數量少可以這麼幹(人少檔案少的話 )
人多檔案多在過渡期你就等著被砍劈吧
CalvinKuo
對不起我說得不夠清楚, 我是V2V, 現在用的2台AD都是VM來的, 我只是整台VM export出黎然後import到別的VM host, IP也都用一樣的, 只是VM Network是另一個, 保証不會影響到現在的AD
我由2003升2016時能用2016加進2003的網域, error是把server升級做DC時才出現的, 不過本人基礎太差, 沒能力解決, 師兄們實在太熱情啦, 給了我很多資訊, 我要先慢慢消化一下再作決定, 先謝謝你^^
窮嘶發發發
嗯, 我是先打算在VM做測試看結果如何然後考慮正式時要怎麼作
公司人多應該也不會讓我一個新人這樣搞
而且做之前都會咨詢一下經理, 頭盔還是要先帶好...
卡位,最近公司也在評估升級的計畫(2008 R2 -> 2016)
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
補覺鳴詩
iT邦高手 1 級 ‧ 2019-10-16 11:23:00

重建問題是底下的設備
有 200 台電腦那你要轉 200 次?

server 2012 R2 可以支援到 2003 的網域控制站
所以你只要先從 2003 -> 2012R2 -> 2016 即可

中文的圖文教學
https://www.netadmin.com.tw/netadmin/zh-tw/feature/5C9DC6F3CC7D4C7A9A30BDB3A784EF28?page=5

看更多先前的回應...收起先前的回應...

嗯我沒有打算要改網域名字, 這樣應該可以讓新舊AD無縫交接, 而不影響底下設備吧? 不知道我的概念有沒有錯。
不過先感謝你分享可以2003先到2012R2, 我立馬試一下, 謝謝你

harrytsai iT邦新手 1 級 ‧ 2019-10-16 12:20:37 檢舉

2003到2012 要看這篇https://www.netadmin.com.tw/netadmin/zh-tw/technology/A14140A7E0274F279351D0002AA16EBC

a0070089
NO! 不是這樣的
你底下的設備需要重新加退網域

harrytsai
謝謝你

補覺鳴詩
好的, 明白了
幸好公司不算大, 也就二三十人, 應該還好

zero iT邦好手 1 級 ‧ 2019-10-16 14:44:21 檢舉

升級網域控制站,只要沒有重新建立網域,底下的電腦就不需要重新加退網域,如果要重新加退網域那還何必升級,直接砍掉重建就好了。

harrytsai iT邦新手 1 級 ‧ 2019-10-16 15:26:49 檢舉

使用者沒有必要退出網域,我以前2003升級到2008,就照一般的操作方式,先裝一台2008在join到2003網域,然後再把2003的網域移轉到2008上面在降級2003,但是到2012時另外一台2003也要降級,還要提升樹系到2008,不太會有問題。

我個人建議
你在 LAB 2003 跳 2016 出問題是絕對的
因為微軟就很明確告訴你,"不行"
這些資訊可以上官網查相容性就可以知道

你如果打算直接新建網域控制站,在你不熟的情況下
有些問題可能不會馬上出現,屆時你要復原也很難
身為工程師這樣做也很不合理,被 user 、上級電爆機會很大

而用升級的方式
轉移是可以階段性完成的
比如說
第一階 加入一台 2012R2 控制站,並取代 AD1
有問題就把 AD1 換回來,這動作改 IP 而已
過 1~2 周甚至到數月都沒問題,就可以把 2003 降級
開始升到 2016
相對保險的多

aaron3399 iT邦好手 1 級 ‧ 2019-10-16 19:55:26 檢舉

我以前是2003直接跳2012, 過程也是很緊張, 結果是沒問題的.....

補覺鳴詩
感謝師兄, 說得真的很詳細
應該過幾天要再來討教一下

0
mathewkl
iT邦高手 1 級 ‧ 2019-10-16 12:40:08

因為你是接手的,所以你要先查清AD裡面開了三小功能,而不是直接做
那年頭伺服器能多工就多工,除了AD/DHCP/DNS外可能還開了SMB共享或裝了一些東西

查清然後紀錄,再來規劃,哪個階段要做什麼然後「該怎麼做」,有甚麼風險
確認全部功能都能移轉或者有可行的替代方案
風險才能達到最小,而不是炸鍋頂著全公司的壓力修復以及移轉

看更多先前的回應...收起先前的回應...

當然不會直接做啦, 出了什麼事我可解決不了呀/images/emoticon/emoticon04.gif
現在是先用VM在試, 有問題我再問, 謝啦

hsiang11 iT邦好手 1 級 ‧ 2019-10-16 17:43:06 檢舉

mathewkl說的對 先查清有開了三小功能
AD建起來之後像SMB共享都會有綁原AD的帳號
複雜性不是重建就好那麼簡單
尤其公司人多要全體加退網域人力也要充足
不然很難短時間應付爆發出來的問題

froce iT邦大師 1 級 ‧ 2019-10-17 07:02:21 檢舉

還有GPO問題,重新建你要確定GPO一定弄得回來,升級才是最好的方法

嗯, 基本上所有師兄都建議我是做轉移/升級, 我已經根據師兄們給我的資料開始了升級, 至少目前還算順利 (手頭還有一些工作要清清)
我有有進展再在這個post update一下, 謝啦

0
zza6312
iT邦新手 2 級 ‧ 2019-10-17 08:18:42

基本上很少人會將2003直接就地升級,
除非你常作,你很熟,已是高手等級,
因為如果你失敗了,事情會更複雜,
一般來說是建一台新的AD,
例如你建一台 Windows 2008 AD,
接著把原來這台 AD 應該要負責的工作移轉到新的 AD上,
也就是上面 窮嘶發發發 大大提的五大角色移轉步驟,
移轉完畢,測試一下從其它電腦登入AD能不能成功,
如果成功,原來的 2003 AD 就可以退了!

第二階段是把AD移到 2016 的步驟,
先將 AD 的功能等級提升至 2012,
接著按上面步驟建一台 Windows 2016 AD,
重複著五大角色移轉的步驟,
將AD的責任移轉至 Windows 2016 上!
測試登入沒問題就大功告成!

如果你要整個重建也就是把2003 AD 直接打掉,
建一台全新的 2016 AD,然後把所有電腦改加到這個新AD,
那麼這會有很大的問題,
原因是所有物件新的AD上的SID有可能會不同,
如果有些AP是綁SID的(ex:Exchange Server...等),
那這些AP的服務可能起不來!

不好意思, 自推一下

不好意思, 自推一下

不好意思, 自推一下

我要發表回答

立即登入回答