如何升级域控,2016-2022
简介:
本来有两个域控,DC1,DC2,这两天折腾WDS,今天误操作,恢复了DC2的一个快照。开始出错了。
终端提示“工作站和主域间的信任关系失败”,这是因为终端会自动分别连接不同的域控,以达到负载均衡的目的。
赶紧关了DC2,就恢复正常了 。但是一个域控风险太大了,还得部署辅助域控制器,什么只读域控制器就算了,没那条件。
删除旧域控
DC2关机,操作DC1。
清理 AD DS 服务器元数据 | Microsoft Learn
使用 Active Directory 用户和计算机清理服务器元数据
- 打开“Active Directory 用户和计算机”。
- 如果已确定复制合作伙伴以准备此过程,并且未连接到要清理其元数据的已删除域控制器的复制合作伙伴,请右键单击“Active Directory 用户和计算机”节点,然后单击“更改域控制器”。 单击要从中删除元数据的域控制器的名称,然后单击“确定”。
- 展开强制删除的域控制器的域,然后单击“域控制器”。
- 在详细信息窗格中,右键单击要清理其元数据的域控制器的计算机对象,然后单击“删除”。
- 在“Active Directory 域服务对话框中,确认显示要删除的域控制器的名称,然后单击“是”以确认删除计算机对象。
- 在“删除域控制器”对话框中,选择“此域控制器永久脱机,不能再使用 Active Directory 域服务安装向导 (DCPROMO) 降级”,然后单击“删除”。
- 如果域控制器是全局目录服务器,请在“删除域控制器”对话框中,单击“是”继续删除。
- 如果域控制器当前拥有一个或多个操作主机角色,请单击“确定”将一个或多个角色移动到显示的域控制器。 无法更改此域控制器。 如果要将角色移动到其他域控制器,则必须在完成服务器元数据清理过程后移动该角色。
直接这么操作就行了。简单有效,以前还删除元数据。
安装新域控
安装windows server 2022,加入域,配置为域控制器。
根据环境,安装lds(ldap),dhcp,dns,ca……等服务。
我也要考虑一下,CA以后是不是放两个DC上,负载很小。比wds(磁盘读取),ras(VPN网络转换)负载小多了。
略
转移五大角色
检查主域控
随便操作DC1、DC2。
netdom query fsmo
五大角色,均在DC1。
转移角色
操作DC1,
转移角色得主人交出去啊,所以操作DC1,强制夺取控制权是主人不在线的时候才可以,强制夺权后,被夺权的最好销毁,不然就可能和我这一样了,信任失败,我可不 想尝试这个。
其实这篇博文就这点干货,shell脚本转移五大角色,比GUI方便多了。
#PowerShell
Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster -force
注意修改红色的服务器名。
就把人家图拿来吧。
再次检查主域控
随便操作DC1、DC2。
netdom query fsmo
五大角色均在DC2。
经验教训
至此,升级2022就完成了。稳定3天,再去升级DC1。
上一次装DC2,也忘记是什么原因了,那会儿还在部署实施过程,已经加域20多台电脑,也是出错了,不信任,导致20多台电脑重新加域,重新建立信任关系,然后装了DC2,搞坏一个直接Kill掉,重装一下。
这次又搞坏了,趁机升级2022吧。平时加域还偶有DNS报错,把DC1也升级2022吧,再把五大角色交回DC1,不交也没事,单一般我是不操作DC1,操作DC2,也就让DC1做主域控。
已经做了双域控制器,PVE的快照还是删了吧,那玩意本来就是安装调试时用的,后期误操作就成我这样了。安装调试完成,测试3天,删除快照。
主要参考
域控小实验,2016升级2022,域控同步、迁移、强制迁移、DHCP热备-腾讯云开发者社区-腾讯云 (tencent.com)
