我正试图找出进行此迁移的最佳方法.我读过的大多数内容都说通过将新DC添加到现有域,进行升级,让所有内容同步,然后降级旧域来进行迁移.但是,这并没有解决我们关注的任何问题:命名或重组.
我也想过可能是跨森林的东西,但我可以告诉你需要ADMT(2012年不支持),或者可能是付费工具(不是一个可能的选择,因为我们是一个非营利组织并且预算最少为了这).
最后,我可以导出用户并导入它们,但这似乎会涉及到用户,计算机,组等的不同步骤…而且我担心它会有多好.另外,据我所知,如果没有上述工具之一(甚至可能没有!),如果不让所有用户重置密码,我仍然无法做到.
Exchange不是变量(我不认为!),因为我们正在将其迁移到Office 365,并且为了简单起见,暂时不添加SSO,直到其他所有内容都被排序.
是否有一个我缺少的选项可以让我们满足所有标准 – 更改域名和保持标准OU布局而不是SBS,不购买昂贵的第三方工具,对用户帐户/密码没有影响的能力?
>完成迁移到Office 365并从SBS 2011环境中删除Exchange.
>将临时DC添加到现有域,并将AD(和所有FSMO角色)迁移远离SBS服务器,从而将SBS服务器降级为流程中的域成员. (在此之后,您将有21天时间完成迁移.)
>执行域重命名.
>添加永久性W2K12 R2 DC并降级/移除临时DC.
>根据自己的喜好重命名/移动AD中的OU(GPO等).
>从SBS计算机迁移任何其他功能并停用它.
临时DC不是绝对必要的,但我可能会这样做(因为我很迷信).域重命名听起来很难但没有Exchange它实际上非常简单.如果您有关心在孤立网络上使用虚拟机模拟您的环境并进行尝试(最好使用从生产网络“收集”并放入虚拟环境中的AD的真实副本).
在执行此操作时,您将不得不放弃SBS 2011安装程序创建的默认证书颁发机构. Decommissioning an Enterprise CA也不是那么难,假设你实际上并没有将它用于任何事情. (如果你是,那么无论你采取什么样的迁移策略,你都需要担心.)
当你完成所有工作后,你将拥有一个漂亮的新域名,你的OU看起来就像你想要的那样,所有用户密码都将完好无损,所有域成员计算机都将拥有完整的域信任.
正确计划,测试和执行生产域重命名和迁移可能只需要几个小时即可完成. (显然,当你真正做出真实的事情时,你花在预先计划和测试上的时间将会带来巨大的回报.)
(我还会在新的W2K12R2机器上导出股票,反映旧SBS机器输出的股票,我将SBS机器作为DNS alias添加到新服务器.然后现有的快捷方式,UNC等将“只是”工作“跟踪迁移.”
编辑:
我不知道为什么人们在域名重命名时会如此谨慎.你需要计划出来并有条不紊地执行它,但对我来说这一点都没有.我已经完成了三次生产域重命名并且没有问题(除了在需要更改的嵌入式设备中使用的长期遗忘的FQDN).有两个环境有Exchange 2003,有一个环境没有.一个有一个DC,另外两个有多个DC.我在虚拟机中模拟了前两个(具有Exchange的环境),但第三个我只是在生产网络上运行没有模型(因为它非常简单 – 单个DC,没有Exchange).
这是上面的要点,“执行域名重命名”,分解为步骤.
就微软文章而言,我更喜欢:How Domain Rename Works这篇文章包含了很多多余的背景,但基本步骤都在那里.
对于具有单个DC的单个域林,该过程非常轻松:
>停用任何企业CA根.
>为新域名创建新的AD集成DNS区域.
>将林功能级别设置为Windows 2003或更高版本.
>运行rendom / list以生成林描述文件(Domainlist.xml).
>编辑Domainlist.xml文件以反映新的DNS和NetBIOS域名.
>运行rendom / showforest,以“友好”的方式显示Domainlist.xml文件,并查看输出以确保您进行了正确的编辑.
>运行rendom / upload命令将新域名安装到Active Directory中.此时不会发生重命名 – 您只是为重命名准备AD.在多DC环境中,这将启动将重命名指令复制到所有DC.
>运行rendom / prepare命令以验证是否准备重命名.在多DC环境中,此命令检查每个DC以确保它们都已收到重命名指令.在所有DC都复制了重命名指令之后,才能开始重命名. (有必要几乎同时对所有AD数据库副本进行更改.)一旦执行rendom / prepare,在执行rendom / clean之前,无法将任何新域添加到林或DC到域(请参阅下文) ).
>运行rendom / execute命令执行重命名.这指示DC执行重命名.每个DC将其AD数据库切换到单用户维护模式,执行重命名,然后重新启动回到正常运行状态.
>所有DC完成重命名后,使用相应的旧域名和新域名执行‘Gpfixup’,以将对旧域名的任何引用更新为组策略对象中的新名称.
>更改每个DC because they don’t change automatically上的主DNS后缀.我不知道为什么Microsoft没有自动进行这些更改,但他们没有.进行此更改后,请再次重新启动DC.
>重新启动所有域成员计算机两次.这不必立即完成(我在这种状态下保持了几个星期的域名).域成员计算机将“检测”已执行域重命名,并在这两次重新启动期间自动更新.
>重新启动所有域成员计算机两次后,执行rendom / clean命令以清除AD中的重命名指令,并将域恢复到正常运行状态.
>从其中迁移任何非域成员记录后,从AD中删除旧域的DNS区域.
就像我说的 – 单个域,单个DC环境很简单,因为您不必担心域重命名指令的复制或能够联系所有DC.
副作用:
>您需要认识到域DFS根名称将发生变化.如果您有来自域DFS路径的组策略软件安装,您将看到重新安装软件(因为组策略客户端会认为未安装该软件).>如果您过早地清理域(在所有成员计算机重新启动两次之前),您可能会遇到需要手动取消加入并重新加入域的计算机的状态.>在较大的环境中,当新的DNS区域填充时,您将看到增加的复制流量.
