AD域08到12重构升级案例

大家可能见多了AD域就地升级或者平推升级的文档，但是对于AD域重构国内写到的文章却很少，老王前阵子承接了一个这样的项目，觉得可以和大家分享一下。

那么什么叫重构呢，老王的理解重构就是舍弃现有的域环境，重新搭建新的域，并根据需要决定是否要迁移数据到新环境中。

我想到一个有意思的例子来解释下重构和其它升级的区别，我把AD域的升级比做一个更新房子装修的过程，大家可以自己去想一下对应的组件。

就地升级 : 不改变现有的房子，选择一个时间节点，小孩子出去玩耍或者上课的时候，把房子重新装修，更换新家具。

平推升级：在现有房子的基础上，新增新的家具，把旧家具里面装的衣服和书挪到新家具后，再改造升级旧家具，改造后继续使用。

重构升级：直接更换新的房子，使用全新的家具，把之前房子里面的所有用品搬进来继续使用。

不同的场景，不同版本间的升级，选择不同的升级方案，不论那种选择的目标都应以最好匹配需求，最少宕机时间，最少影响业务为准。

那么什么场景下会用到重构呢，有这样一种对景，企业里面之前曾经有过多位工程师，部署了不同的域控，但没有进行很好的记录维护，导致的一个问题就是环境里面的AD域架构混乱，明明用不到但是有很多台域控，你不知道那台域控宕机了会影响到那些业务，这样的架构如果不进行修正，IT部门很难展开后面基于AD域的管理工作。

老王遇到的就是这样一个项目，在项目中环境里面共有6台域控，但实际企业只有500用户使用，IT主管和新入职的员工只清楚其中两台域控，剩余的几台域控都是处于生死未卜的状态，这天它们主域控坏了，碰巧下班时间，他们老板找到我，希望能够改变一下这种现状，重新规划一个干净的域。

需求

1. 重新搭建2012AD域，两台物理机承载域控

2. 迁移保留旧域控上面的用户，组，OU
   

3. 迁移2008域控上面DHCP作用域信息至新域控

4. 搭建新环境后实现DHCP高可用

对于这种需求，这种场景下，老王觉得重构是完全没有问题的，因为牵扯的面积很小，重构意味着客户将得到一个全新可控的环境，是一劳永逸，长远解决问题的方法。

但并不一定所有场景都能适用重构，大家还是要结合实际场景，如果是一个很大规模的场景，原有域环境下涉及exchange，sharepoint等基于AD域的应用，就需要评估技术方面重构是否可行。

我们开始前做了一些梳理工作，在草纸上绘制升级流程图 升级后的基础架构图，将脑海里的架构落到纸上。

将环境里面除了两台域控之外的其它域控，从AD中彻底清理掉。

针对最后剩下的一台健康域控执行一次裸机备份

生产环境与测试环境不同的就是可能会遇到各种各样的问题，每一个操作兴许都会导致业务影响，所以在生产环境做事一定要头脑清晰，知道每一步该做什么，并永远保留一个最后的恢复底牌。

备份结束后，我们进行了信息收集

1. 在DHCP管理界面备份DHCP数据库，除了执行常规备份还拍照片将DHCP作用域设置进行记录下来

2. 使用csvde命令导出用户和组  csvde -f C:\ad.csv  -d "OU=XXX,DC=XXX,DC=com" 

3. 导出之后甲方IT针对列表中已经离职不需要迁移到新环境的用户进行整理删除

4. 由老王对CSV中不必要的列和对象进行删除，确保可以正常导入

5. 导出现有部门OU列表  ldifde -d "OU=XXX,DC=XXX,DC=com" -p subtree  -r "(objectClass=organizationalUnit)" -o“uSNCreated，uSNChanged，objectguid，whencreated，whenchanged” -f c:\exportou.ldf 

   【uSNCreated，uSNChanged，objectguid，whencreated，whenchanged为域内特有属性，导出时最好除外】

1. 记录现有两台域控DNS服务器转发器设置

2. 检查确认是否和其它NTP服务器同步，结果无，所有服务器客户端均和PDC同步

3. 确认组策略不需要迁移，文件服务器权限到新域后重新规划

接下来开始重构操作部分

1. 将原有主域控，删除域控角色，退域，加入工作组，重做Server2012R2系统（前面提到该单位原主域控已经坏掉，现在角色转移到辅助域控）

2. 更新补丁，进行安全设置，IP设置和以前保持一致

3. 安装全新域控角色，创建新林，新域，名称和之前保持一致。

4. 机器重启
   

5. 导入OU列表 ldifde -i -f c:\exportou.ldf 

6. 导入用户数据 csvde -i -f C:\ad.csv 

7. 导入后用户默认处于禁用，批量将用户启用，设置密码，下次登录时必须修改密码。

8. 安装DHCP角色，恢复数据库，我们实际做的时候发现超级作用域信息没有恢复过来，手动恢复了超级作用域信息。

9. 按照记录重新设置DNS服务器转发器内容
   

第一台做好之后，按照相同步骤操作现有最后一台域控，前面步骤相同，当第二台服务器也安装好DHCP角色后，在装好的第一台新域控上面直接配置DHCP故障转移即可，会自动将作用域信息同步给伙伴服务器，同样的因为同属一个新域，第一台域控设置好的DNS服务器转发器也会同步给第二台服务器。

后续工作验证迁移过来的用户，恢复DHCP，DNS工作，重新规划文件服务器权限，整个操作过程历时三个小时左右，晚上向来是我们IT Pro改变一切的时间：）

在过程中，大家不需要对用户，OU的导出感到过于的复杂，它们本身和域并没有过多的绑定关系，只是静态的数据罢了，导出，导入到任何一个全新的域都可以工作，就好像数据库里面的创建一些表，没有应用来用的时候表没有用武之地，只有有人用静态的数据才会变成动态。AD域用户也是同样的道理，没有应用调用它就是一个静态数据，导出的时候我们告诉AD域服务要copy一份AD里面的用户列表出来，导入的时候我们告诉AD域服务这里有一份列表照着这个列表给我导入进去。

当我们在进行重构操作的时候，甲方的IT利用这次机会，对服务器硬件进行了升级，确保两台物理域控内存硬盘一致，这也是微软的最佳实践，域控之间配置最好保持一致，此案例中我们采用的域控为物理机架构，因为客户并没有成熟的虚拟化基础设施，事实上域控如果要虚拟化，涉及到的点很多，包括虚拟机快照，USN版本号，虚拟机的高可用规划，老王建议，只有在环境里面有稳定的高可用虚拟化群集情况下再考虑虚拟化域控，同时也需要管理员正确理解虚拟机快照在域控上面的使用。

马上2020年2008R2微软就要停止技术支持，相信有不少企业都要面临域控升级的问题，希望老王这篇文章能为那些面临升级的ITPro提供思路和帮助。