windows server 2012r2 升級2022請益

server hyper-v

Jamese 2023-04-19 17:02:34 ‧ 4390 瀏覽

分享至

目前有一台Server上OS為2012R2，運行Hyper-V，
上面有一台VM為公司AD(一樣為2012R2)，
想問一下Hyper-V Host這台是否直接升級即可，
還是有其他方式較適合呢?
謝謝。

看更多先前的討論...收起先前的討論...

alien663 iT邦研究生 4 級 ‧ 2023-04-19 17:24:39 檢舉

直接進步10年，你也是很勇....
比較保守的方式，是不要一次跨這麼多版本，中間隔個2016

望空 iT邦新手 2 級 ‧ 2023-04-19 17:25:00 檢舉

跨太多版本建議重建一台2022後資料移轉進去，AD也可以透過五大角色移轉方式至新的2022

望空 iT邦新手 2 級 ‧ 2023-04-19 17:26:57 檢舉

如果AD堅持要hyperV，則是在2022新機起來之後，起新機的hyperV，在hyperV上面裝新的AD，再作角色移轉即可，不建議跨太多版本做升級

player iT邦大師 1 級 ‧ 2023-04-20 15:03:24 檢舉

建議先備份
預防萬一
不論你想不想升級

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

Ray

iT邦大神 1 級 ‧ 2023-04-19 22:05:58

最佳解答

雖然 OS 本身可以做到 In-place upgrade (原機升級), 不巧的是, Hyper-V 和 AD 這兩個服務, 都不建議用 In-place upgrade, 最好是改用 Migration (異機遷移) 來做.

從以下這張表可知, Server 2012R2 to 2022 的 OS, 是連 Upgrade Path 都不相容了:
https://learn.microsoft.com/en-us/windows-server/get-started/upgrade-overview

所以你連 OS In-place upgrade 的機會都沒有.

回到 Migration 作業, 建議這樣做:

採購一台新機
安裝 Windows Server 2022
安裝 Hyper-V 2022 服務
在 2022 Hyper-V 裡面安裝一台 Server 2022 VM
確認舊的 2012 DC VM 裡面 Functional level 升級到至少是 2012R2 以上
將 2022 VM 加入舊的 2012 DC 內成為 Memeber Server
將 2022 VM Promote 成一台 DC
等待 24hr 後, 用 dcdiag 確認複寫成功且無任何 Error (有錯誤要修正或再等)
將 FSMO 五大角色從 2012 DC 轉移到 2022 DC
等待 24hr 後, 用 dcdiag 確認複寫成功且無任何 Error (有錯誤要修正或再等)
將所有用戶端的 DNS 改指向 2022 DC VM
找一台新安裝的 PC 測試:加入 AD/變更 AD 使用者密碼/以及 GPO 套用都正常
將 2012 DC Demote 成 Memeber Server
將 2012 VM 退網域
刪除 2012 VM
將舊的 Server 2012 實體主機關機下架
等待 61 天後, 在 DC 用 dcdiag 確認沒有出現任何錯誤
將 2022 DC 的 Forest/Domain Functional Level 都提高到 2022 版本
舊機可以賣掉/報廢, 或者重新安裝 Server 2022 當作備用機 (假設授權足夠的話)

回應 10
分享
檢舉

看更多先前的回應...收起先前的回應...

望空 iT邦新手 2 級 ‧ 2023-04-20 10:08:26 檢舉

我家2012->2022也是這樣做，真的比慢慢升級上去安全多了，只是如果本身NAS以AD做LDAP，要重新綁...(QNAP需要)

Jamese iT邦新手 5 級 ‧ 2023-04-20 10:56:58 檢舉

想問一下，為什麼是等待61天呢，謝謝您。

Ray iT邦大神 1 級 ‧ 2023-04-20 11:15:00 檢舉

想問一下，為什麼是等待61天呢，謝謝您。

抱歉, 我記到舊版的時間了, 新版改成 180 天, 所以建議在第 181 天做 dcdiag 檢測:
https://windowstechno.com/how-can-i-check-the-tombstone-lifetime-of-my-active-directory-forest/
(原文就不改了, 讓大家記得這個錯誤)

這是為了挺過 AD 裡面內建的 Tombstone Lifetime, 因為有些潛藏的問題, 必須等超過 Lifetime, 過期了之後, 才會真正跑出來咬你一口....因此至少等一個 Tombstone Lifetime 週期過之後, 確認沒有出現問題, 才能真的斷定整套 AD 沒有問題.

望空 iT邦新手 2 級 ‧ 2023-04-20 13:04:17 檢舉

raytracy大那我心臟比較大顆直接停了舊的AD...

Jamese iT邦新手 5 級 ‧ 2023-04-20 16:10:53 檢舉

raytracy了解，謝謝您。

hsiang11 iT邦好手 1 級 ‧ 2023-04-20 23:06:02 檢舉

那意思說180天後檢測有錯誤，就必須把舊機開機，再把五大腳色轉移回去，再重頭操作一遍?
這等待時間還真漫長

Wayne iT邦新手 2 級 ‧ 2023-04-21 06:44:03 檢舉

我也好奇如果真的出問題了，我應該把停機的舊AD重新拉回去嗎? 我是從2012->2019, 不過我上上禮拜已經把domain functional level生到2016了 orz

Ray iT邦大神 1 級 ‧ 2023-04-21 10:31:23 檢舉

新 AD 上線之後, 你其實沒有機會把舊版 AD 再併回來, 因為:

新 AD 每天跑, 她裡面的 ADSI 物件持續在異動, 舊版停機沒有跟著動, 併回來的時候, 她如果把新的(有問題的)抄回去, 這樣是不是反而把原本舊的(沒問題的)那份物件給覆蓋掉了?
每台 DC 都會有一個自己的 USN 流水號, 這個 USN 在每次異動物件就會往前滾動; 新 DC 的 USN 已經往前滾很多次了, 舊 DC 的 USN 因為沒跟著滾, 所以停在舊版號, 當兩者一併起來, AD 不會允許 USN 落後的 DC 把資料回寫到 USN 較新的 DC 去.

所以有問題怎麼辦? 你只能在最新的 AD 環境中設法修復. 不要把舊機併回來, 一來併了沒用, 二來她也不會讓你併.

Q:那我留著舊機要幹嘛?

這是萬一, 你自己修不好新的 AD, 需要向外買顧問服務的時候, 顧問專家進來, 她必須要先知道: 你原本沒問題的舊況長甚麼樣子? 這時候, 你可以將舊機在一個隔離的環境中開起來, 讓專家進去查看 NTDS 資料庫和 ADSI 物件, 比對新舊物件之後, 再以手工調整的方式, 把新的環境修好.

Q:那我能不能用備份方式保存?

當然可以, 不過, 萬一需要還原, 你能馬上變出一個一模一樣的硬體來還原嗎?