域控2016升级2022,域控同步、迁移、强制迁移、DHCP热备

  活动目录

一、前言:
为什么要升级服务器操作系统?
这就要说到windows操作系统的生命周期,windows生命周期内有以下几个关键节点:主流支持、扩展支持、超出支持终止日期
主流支持期内,所有用户都可获得功能更新和安全更新;扩展支持期内,所有用户都可获得安全更新;超出支持终止日期的三年内,付费参与扩展安全更新 (ESU) 计划可以获得安全更新;超出支持终止日期的三年后,所有更新全部中止。
如:windows2016操作系统,主流支持结束于2022年1月11日,扩展支持将于2027年1月11日结束,届时,只有ESU付费用户才能继续获取三年的安全更新。
而windows2022 LTSC操作系统,作为长期支持版,将获得十年安全更新,因此在当下再次部署系统,建议购买并使用windows2022LTSC。

为什么安全更新这么重要?
官网引用:修补程序更新是使用一小段软件代码更新现有软件以修复应用程序中任何安全性或功能性问题的过程。补丁更新至关重要,需要持续监控以保护您的企业网络免遭破坏。这以及补丁更新为何对保持业务安全至关重要的多种原因。Microsoft的补丁程序更新包括几种补丁程序,其中包括关键补丁程序更新,安全补丁程序更新,汇总,功能包,定义更新和Service Pack。

实验目的:
1、确认2022是否能成为2016辅域,DNS、域信息是否同步。
2、确认2022是否能与2016交换主域角色。
3、主域崩溃时辅域能否强制升级为主域。
4、DHCP备份还原和热备。

二、创建主域、创建辅域、信息同步
测试主机名分别为win2016(AD1)、win2022(AD2)、win10(test),IP为AD1 192.168.200.1 AD2 192.168.200.2 test自动获取。

1、2016安装域控
QQ截图20220503205303.png

AD1创建主域
QQ截图20220503205641.png

林和域的功能级别均为2016
QQ截图20220503205828.png

主域搭建完成
QQ截图20220503210916.png

2、2022安装辅域
添加到现有域
注意,2022的林和域的功能级别也是2016,成为辅域其实不会有任何问题。
QQ截图20220503211103.png

3、查看域控状态
使用netdom query fsmo命令查看当前主域控
QQ截图20220503212131.png

4、信息同步
在AD1上新建DNS记录,新建组策略,新建用户组织和用户
QQ截图20220503212649.png

十几秒后,在AD2查询到上述记录,同步正常
QQ截图20220503212735.png

三、主域控迁移、角色互换
在AD1执行命令,将域控五大角色交给AD2,注意要在powershell里执行
注意:这里用命令交换角色是因为命令简单,在图形界面下需要点N多地方,很麻烦的。

Move-ADDirectoryServerOperationMasterRole -Identity AD2 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster -force

QQ截图20220503213044.png

查看当前主域控,已经成为AD2
QQ截图20220503213220.png

查看当前域复制状态

repadmin  /showrepl

QQ截图20220503214051.png

手动进行复制

repadmin  /syncall

QQ截图20220503214147.png

强制同步

repadmin  /syncall /force

查看某台域控的活动目录复制状态

repadmin /showrepl servername 

查看某台域控的复制队列

repadmin /queue servername

查看域控复制状态总结

repadmin /replsummary

域控检查命令,可查看域控当前有无异常

dcdiag

四、主域崩溃、强制迁移
将AD2断网,模拟主域崩溃,配置AD1强行夺取主域控权限
确认当前主域控为AD2,我们使用Ntdsutil进行域控操作,再次查看主域控为AD1
注意:强制夺取主域权限后,可通过服务器管理器 - AD站点与服务 - Default-first-site-name - server - 域控 - NTDS Setting删除旧域控,旧域控若可以修复请务必执行强制降级操作,若无法修复请重装系统。

Ntdsutil
Roles
Connections
Connect to Server ad1.9sb.org
Quit
Seize infrastructure master
Seize naming master
Seize PDC
Seize RID master  
Seize schema master

QQ截图20220503220803.png

QQ截图20220503220835.png

五、DHCP备份还原、热备
DHCP不是域控的一部分,但可以安装在域控上,并提供高可用性
1、备份还原
QQ截图20220503222835.png

2、热备
在AD1中增加服务器授权(AD3为原AD2服务器,已重装系统重新加域)
QQ截图20220503224602.png

QQ截图20220503224653.png

配置故障转移
QQ截图20220503224722.png

配置AD3为伙伴服务器
QQ截图20220503224756.png

可配置为负载均衡和热备,DHCP配置会自动同步到AD3
QQ截图20220503224857.png

客户端测试
QQ截图20220503225116.png

若AD3断网,则AD1继续提供服务
QQ截图20220503225254.png

六、总结
爽!太爽啦!
QQ图片20220503225441.jpg