每天一点点,学习一点点!
AD升级,需要做哪些工作,在我之前的文章里面已经写出来了,感兴趣的可以去看看哈!
那么AD升级完成后,也就是我们将一台高版本的域控部署起来之后,需要干那些事情呢?
我只是按照我的经验来说明,欢迎大家拍砖哈!
检查域控的状态:
首先要做的事情,就是检查域控的状态是否正常,能够正常地提供服务。我们需要使用dcdiag命令,来进行一次全面的检查,确保所有检查项都是通过测试的。
当然,对于才开始安装的系统,像日志检查啊,组策略复制啊这些,都有可能报错而不通过,直接忽略即可。因为dcdiag只是一个程序(死板)。
检查DNS记录:
一台域控,能不能正常地提供服务,能不能够被客户端找到,都需要在DNS里面有相应的记录。比如是否是DC啊,是否是GC啊,是否提供ldap服务啊,是否提供kerberos服务啊等等,都需要找到这台新的域控信息,才行的。
域控复制
我们也要确保这台域控,能够同其他域内的域控制器相互通信,正常复制才行,可以使用
readmin /syncall来检查。如果复制结果通过,说明ok哈。
常用组件功能检查
AD日常管理中,常用组件功能不外乎以下几个:
- AD用户和计算机能够正常打开,且能够查看所有的信息;
- 在新的域控上进行用户,计算机,ou,group的增删改,能够同步到其它域控制器;
- 检查系统日志,没有明显报错;
- 能够正常打开AD域和信任关系;
- 能够正常打开AD域站点和服务;
客户端访问
让客户端访问这台新的域控,尝试进行认证,确保能够认证成功;
应用访问
让应用访问的ldap地址修改到新域控制器,能够正常对接和访问;
角色迁移:
如果在域控上还部署有DHCP、CA、DNS等,都需要进行迁移。需要注意的是,DNS有些区域,不会自动同步的,需要手动新建!
域控降级
旧的域控,如何降级呢?网上的方法,都是通过图形界面,添加删除角色哪里,取消勾选AD域服务来实现。
但是这样子会报错,看起来很不爽!
报错的原因很简单,因为你没有先降级域控制器。此刻你可以点一下“将此域控制器降级”,然后一堆操作搞定问题。
其实何必这么麻烦呢,一条powershell命令就搞定了!:
Uninstall-ADDSDomainController -DemoteOperationMasterRole –RemoveApplicationPartition
域控降级成功之后,再去图形界面卸载AD域服务就不会报错啦!或者还是直接使用命令来卸载AD域服务吧!
Uninstall-WindowsFeature AD-Domain-Services -IncludeManagementTools
升级林域功能级别
我们把旧的域控,全部降级完成后,可以考虑提升林域功能级别,怎么做呢?很简单,用两条powershell命令即可:
Set-ADForestMode –identity yourdomain.com –ForestMode Windows2016Forest
Set-ADDomainMode –identity yourdomain.com –DomainMode Windows2016Domain
命令相信我就不用再做过多解释了吧?
上面就是我想分享给大家的心得体会,感谢阅读!
