一、前言：

為什么要升級(jí)服務(wù)器操作系統(tǒng)？

這就要說到windows操作系統(tǒng)的生命周期，windows生命周期內(nèi)有以下幾個(gè)關(guān)鍵節(jié)點(diǎn)：主流支持、擴(kuò)展支持、超出支持終止日期

主流支持期內(nèi)，所有用戶都可獲得功能更新和安全更新；擴(kuò)展支持期內(nèi)，所有用戶都可獲得安全更新；超出支持終止日期的三年內(nèi)，付費(fèi)參與擴(kuò)展安全更新 (ESU) 計(jì)劃可以獲得安全更新；超出支持終止日期的三年后，所有更新全部中止。

如：windows2016操作系統(tǒng)，主流支持結(jié)束于2022年1月11日，擴(kuò)展支持將于2027年1月11日結(jié)束，屆時(shí)，只有ESU付費(fèi)用戶才能繼續(xù)獲取三年的安全更新。

而windows2022 LTSC操作系統(tǒng)，作為長(zhǎng)期支持版，將獲得十年安全更新，因此在當(dāng)下再次部署系統(tǒng)，建議購買并使用windows2022LTSC。

為什么安全更新這么重要？

官網(wǎng)引用：修補(bǔ)程序更新是使用一小段軟件代碼更新現(xiàn)有軟件以修復(fù)應(yīng)用程序中任何安全性或功能性問題的過程。補(bǔ)丁更新至關(guān)重要，需要持續(xù)監(jiān)控以保護(hù)您的企業(yè)網(wǎng)絡(luò)免遭破壞。這以及補(bǔ)丁更新為何對(duì)保持業(yè)務(wù)安全至關(guān)重要的多種原因。Microsoft的補(bǔ)丁程序更新包括幾種補(bǔ)丁程序，其中包括關(guān)鍵補(bǔ)丁程序更新，安全補(bǔ)丁程序更新，匯總，功能包，定義更新和Service Pack。

實(shí)驗(yàn)?zāi)康模?/p>

1、確認(rèn)2022是否能成為2016輔域，DNS、域信息是否同步。

2、確認(rèn)2022是否能與2016交換主域角色。

3、主域崩潰時(shí)輔域能否強(qiáng)制升級(jí)為主域。

4、DHCP備份還原和熱備。

二、創(chuàng)建主域、創(chuàng)建輔域、信息同步

測(cè)試主機(jī)名分別為win2016(AD1)、win2022(AD2)、win10(test)，IP為AD1 192.168.200.1 AD2 192.168.200.2 test自動(dòng)獲取。

1、2016安裝域控

AD1創(chuàng)建主域

林和域的功能級(jí)別均為2016

主域搭建完成

2、2022安裝輔域

添加到現(xiàn)有域

注意，2022的林和域的功能級(jí)別也是2016，成為輔域其實(shí)不會(huì)有任何問題。

3、查看域控狀態(tài)

使用netdom query fsmo命令查看當(dāng)前主域控

4、信息同步

在AD1上新建DNS記錄，新建組策略，新建用戶組織和用戶

十幾秒后，在AD2查詢到上述記錄，同步正常

三、主域控遷移、角色互換

在AD1執(zhí)行命令，將域控五大角色交給AD2，注意要在powershell里執(zhí)行

注意：這里用命令交換角色是因?yàn)槊詈?jiǎn)單，在圖形界面下需要點(diǎn)N多地方，很麻煩的。

Move-ADDirectoryServerOperationMasterRole -Identity AD2 -OperationMasterRole SchemaMaster,DomainNamingMaster,PDCEmulator,RIDMaster,InfrastructureMaster -force

查看當(dāng)前主域控，已經(jīng)成為AD2

查看當(dāng)前域復(fù)制狀態(tài)

repadmin? /showrepl

手動(dòng)進(jìn)行復(fù)制

repadmin? /syncall

強(qiáng)制同步

repadmin? /syncall /force

查看某臺(tái)域控的活動(dòng)目錄復(fù)制狀態(tài)

repadmin /showrepl servername

查看某臺(tái)域控的復(fù)制隊(duì)列

repadmin /queue servername

查看域控復(fù)制狀態(tài)總結(jié)

repadmin /replsummary

域控檢查命令，可查看域控當(dāng)前有無異常

dcdiag

四、主域崩潰、強(qiáng)制遷移

將AD2斷網(wǎng)，模擬主域崩潰，配置AD1強(qiáng)行奪取主域控權(quán)限

確認(rèn)當(dāng)前主域控為AD2，我們使用Ntdsutil進(jìn)行域控操作，再次查看主域控為AD1

注意：強(qiáng)制奪取主域權(quán)限后，通過AD站點(diǎn)與服務(wù)或Ntdsutil刪除舊域控，舊域控請(qǐng)勿再次接入域網(wǎng)絡(luò)，務(wù)必重裝系統(tǒng)。

Ntdsutil

Roles

Connections

Connect to Server ad1.9sb.org

Quit

Seize infrastructure master

Seize naming master

Seize PDC

Seize RID master

Seize schema master

五、DHCP備份還原、熱備

DHCP不是域控的一部分，但可以安裝在域控上，并提供高可用性

1、備份還原

2、熱備

在AD1中增加服務(wù)器授權(quán)（AD3為原AD2服務(wù)器，已重裝系統(tǒng)重新加域）

配置故障轉(zhuǎn)移

配置AD3為伙伴服務(wù)器

可配置為負(fù)載均衡和熱備，DHCP配置會(huì)自動(dòng)同步到AD3

客戶端測(cè)試

若AD3斷網(wǎng)，則AD1繼續(xù)提供服務(wù)

六、總結(jié)

爽！太爽啦！