locked
更新Windows 2000 Server Active Directory至Windows 2008 Server RRS feed

  • 問題

  • 本人打算將原有2台的Active Directory伺服器之其中一台轉移至新的伺服器上,
    但可能因新伺服器使用Windows 2008 Server作業系統,
    現在只能到訪舊伺服器讀取AD的資料, 未能作為一個獨立的AD伺服器, 更不能自動同步更新資料

    長遠是希望以新的Win2008伺服器, 完全取代一台舊的Win2000伺服器
    (被取代的舊Win2000伺服器將停止運作, 最終是以另一台Win2000 Server + 新的Win2008 Server 作為AD運作)
    敬希提供解決方法
    2010年5月19日 上午 12:33

解答

  • 可以参考:http://technet.microsoft.com/zh-cn/library/cc754670%28WS.10%29.aspx

    升级步骤:
    1、备份原来的的AD服务器,防止升级失败可以有恢复的备份;

    2、升级2000 AD Schema 林架构;  adprep.exe /forestprep

    3、升级2000 AD Schema 域架构;  adprep.exe /domainprep

    4、更新组策略对象权限;         adprep.exe /domainprep /gpprep

    5、更新AD对RODC只读域控器的支持; adprep.exe /rodcprep


    6、把新服务器(AD 2008)提升为额外域控制器;

    7、把FSMO主机角色传递给windows 2008 AD服务器;

    8、对原Windows 2000 AD主机进行降级;

    9、提升Windows 2008 AD 域功能级别;

    10、提升Windows 2008 AD 林功能级别;


    在IT的路上,You'll never walk alone
    • 已標示為解答 Tom Zhang – MSFTModerator 2010年5月27日 上午 03:09
    • 已取消標示為解答 Arlik 2010年6月17日 上午 12:17
    • 已標示為解答 Arlik 2011年4月15日 下午 02:56
    2010年5月24日 上午 08:57
  • 请参考 http://support.microsoft.com/kb/232070/zh-cn 产生该问题是因为在提升一个计算机为DC时,要修改它的UserAccountControl属性值,该值对定义该计算机为DC或者是普通成员服务 器很重要。在提升DC的时候大致过程如下:

    1、根据现有的域中的DC执行LDAP查找自己的计算机账号;
    2、更新UserAccountControl属性值,将该计算机重一个普通成员服务器变成DC;
    3、将计算机从目前的OU或者容器移动到domain controller OU中;
    4、开始复制架构、配置、域分区的数据到提升的DC上。

    有关该问题的更多信息,请您参考下面的链接:
    在复制域控制器的 Active Directory 升级过程中出现“拒绝访问”错误消息
    http://support.microsoft.com/kb/250874/zh-cn
    在IT的路上,You'll never walk alone
    • 已標示為解答 Arlik 2011年4月15日 下午 02:56
    2010年7月6日 上午 05:41

所有回覆

  • 可以参考:http://technet.microsoft.com/zh-cn/library/cc754670%28WS.10%29.aspx

    升级步骤:
    1、备份原来的的AD服务器,防止升级失败可以有恢复的备份;

    2、升级2000 AD Schema 林架构;  adprep.exe /forestprep

    3、升级2000 AD Schema 域架构;  adprep.exe /domainprep

    4、更新组策略对象权限;         adprep.exe /domainprep /gpprep

    5、更新AD对RODC只读域控器的支持; adprep.exe /rodcprep


    6、把新服务器(AD 2008)提升为额外域控制器;

    7、把FSMO主机角色传递给windows 2008 AD服务器;

    8、对原Windows 2000 AD主机进行降级;

    9、提升Windows 2008 AD 域功能级别;

    10、提升Windows 2008 AD 林功能级别;


    在IT的路上,You'll never walk alone
    • 已標示為解答 Tom Zhang – MSFTModerator 2010年5月27日 上午 03:09
    • 已取消標示為解答 Arlik 2010年6月17日 上午 12:17
    • 已標示為解答 Arlik 2011年4月15日 下午 02:56
    2010年5月24日 上午 08:57
  • 本人使用windows server 2008安裝光碟內的adprep32.exe

    成功執行了1~4的步驟

    但到5時

    本人直接在2008上執行Active Directory Domain Services Installation Wizard (dcpromo.exe)

    一直執行到複製domain資料, 卻出現

    The operation failed because: The Active Directory Domain Services Installation

    Wizard was unable to convert the computer account (2008的server名)$ to an Active

    Directory Domain Controller account. "Access is denied."

     

    但本人使用的, 是domain上的administrator帳號, 試用過其他的管理員帳號, 也是出現同樣的結果

    2010年6月14日 上午 01:23
  • 请参考 http://support.microsoft.com/kb/232070/zh-cn 产生该问题是因为在提升一个计算机为DC时,要修改它的UserAccountControl属性值,该值对定义该计算机为DC或者是普通成员服务 器很重要。在提升DC的时候大致过程如下:

    1、根据现有的域中的DC执行LDAP查找自己的计算机账号;
    2、更新UserAccountControl属性值,将该计算机重一个普通成员服务器变成DC;
    3、将计算机从目前的OU或者容器移动到domain controller OU中;
    4、开始复制架构、配置、域分区的数据到提升的DC上。

    有关该问题的更多信息,请您参考下面的链接:
    在复制域控制器的 Active Directory 升级过程中出现“拒绝访问”错误消息
    http://support.microsoft.com/kb/250874/zh-cn
    在IT的路上,You'll never walk alone
    • 已標示為解答 Arlik 2011年4月15日 下午 02:56
    2010年7月6日 上午 05:41
  • 請問可以提供更詳細的程序嗎?

    本人已經在現有的AD上

    手動的把新的WinSer2008, 內容中的"Member-Of"更變為"Domain Controllers"

    並放置在Domain Controllers的目錄下

    但是還是出現Access is denied的訊息

    2010年7月22日 上午 02:51
  • 但本人使用的, 是domain上的administrator帳號, 試用過其他的管理員帳號, 也是出現同樣的結果

    You need to be log on as Enterprise Admins to make changes to AD schema.
    2010年7月27日 上午 01:20