域控2016升级2022,域控同步、迁移、强制迁移、DHCP热备
一、前言:
为什么要升级服务器操作系统?
这就要说到windows操作系统的生命周期,windows生命周期内有以下几个关键节点:主流支持、扩展支持、超出支持终止日期
主流支持期内,所有用户都可获得功能更新和安全更新;扩展支持期内,所有用户都可获得安全更新;超出支持终止日期的三年内,付费参与扩展安全更新 (ESU) 计划可以获得安全更新;超出支持终止日期的三年后,所有更新全部中止。
如:windows2016操作系统,主流支持结束于2022年1月11日,扩展支持将于2027年1月11日结束,届时,只有ESU付费用户才能继续获取三年的安全更新。
而windows2022 LTSC操作系统,作为长期支持版,将获得十年安全更新,因此在当下再次部署系统,建议购买并使用windows2022LTSC。
为什么安全更新这么重要?
官网引用:修补程序更新是使用一小段软件代码更新现有软件以修复应用程序中任何安全性或功能性问题的过程。补丁更新至关重要,需要持续监控以保护您的企业网络免遭破坏。这以及补丁更新为何对保持业务安全至关重要的多种原因。Microsoft的补丁程序更新包括几种补丁程序,其中包括关键补丁程序更新,安全补丁程序更新,汇总,功能包,定义更新和Service Pack。
实验目的:
1、确认2022是否能成为2016辅域,DNS、域信息是否同步。
2、确认2022是否能与2016交换主域角色。
3、主域崩溃时辅域能否强制升级为主域。
4、DHCP备份还原和热备。
二、创建主域、创建辅域、信息同步
测试主机名分别为win2016(AD1)、win2022(AD2)、win10(test),IP为AD1 192.168.200.1 AD2 192.168.200.2 test自动获取。
1、2016安装域控
AD1创建主域
林和域的功能级别均为2016
主域搭建完成
2、2022安装辅域
添加到现有域
注意,2022的林和域的功能级别也是2016,成为辅域其实不会有任何问题。
3、查看域控状态
使用netdom query fsmo命令查看当前主域控
4、信息同步
在AD1上新建DNS记录,新建组策略,新建用户组织和用户
十几秒后,在AD2查询到上述记录,同步正常
三、主域控迁移、角色互换
在AD1执行命令,将域控五大角色交给AD2,注意要在powershell里执行
注意:这里用命令交换角色是因为命令简单,在图形界面下需要点N多地方,很麻烦的。
Move-ADDirectoryServerOperationMasterRole -Identity AD2 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster -force
查看当前主域控,已经成为AD2
查看当前域复制状态
repadmin /showrepl
手动进行复制
repadmin /syncall
强制同步
repadmin /syncall /force
查看某台域控的活动目录复制状态
repadmin /showrepl servername
查看某台域控的复制队列
repadmin /queue servername
查看域控复制状态总结
repadmin /replsummary
域控检查命令,可查看域控当前有无异常
dcdiag
四、主域崩溃、强制迁移
将AD2断网,模拟主域崩溃,配置AD1强行夺取主域控权限
确认当前主域控为AD2,我们使用Ntdsutil进行域控操作,再次查看主域控为AD1
注意:强制夺取主域权限后,通过AD站点与服务或Ntdsutil删除旧域控,旧域控请勿再次接入域网络,务必重装系统。
Ntdsutil
Roles
Connections
Connect to Server ad1.9sb.org
Quit
Seize infrastructure master
Seize naming master
Seize PDC
Seize RID master
Seize schema master
五、DHCP备份还原、热备
DHCP不是域控的一部分,但可以安装在域控上,并提供高可用性
1、备份还原
2、热备
在AD1中增加服务器授权(AD3为原AD2服务器,已重装系统重新加域)
配置故障转移
配置AD3为伙伴服务器
可配置为负载均衡和热备,DHCP配置会自动同步到AD3
客户端测试
若AD3断网,则AD1继续提供服务
六、总结
爽!太爽啦!