AD網域升級問題(憑證服務)

active directory windows server 2019 windows 2008 ca upgrade

z22344566 2021-01-27 22:36:51 ‧ 3607 瀏覽

分享至

大家好，目前要將 server2008 中的 2003AD升級，FRS 轉換DFSR 已完成，
網域功能等級與樹系都升級到2008，已經建立好一台2019SEVER做好AD抄寫，五大腳色也已經移轉到2019SERVER上了。
但我在2019server上要做網域功能升級的動作時出現error，訊息如下:

因為這個網域含有Active Directory網域控制站未執行適當的windows版本，所以無法提高網域功能等級。

我想是因為舊的網域還沒有降級，才會出現這個訊息，那我在舊AD上執行 : dcpromo /forceremoval 卻出現了下面訊息:

您必須先移除Active Directory憑證服務，才能安裝或移除Active Directory網域服務。關於移除Active Directory憑證服務的後續影響，請參閱.....

那我從這篇文章中看到要刪除憑證
https://docs.microsoft.com/zh-TW/troubleshoot/windows-server/identity/delete-enterprise-windows-certificate-authority

我想請問憑證刪除後，我就能執行dcpromo /forceremoval讓AD正常降級了嗎?
那我刪除憑證後對USER端會有什麼影響?
或是我需要將原本的憑證匯出，匯入到2019server上嗎，這個方法是可行的嗎?

以上問題，與做法，如有錯誤或需要修正的地方，請大家多指導了，謝謝大家。