◎即將告別Server 2008 AD樹系與網域功能等級

到今年暑假為止,學校建置AD服務將屆滿十年,意味著Server2008 AD在學校電腦從XP、WIN7一直提供服務到了現在的WIN10,為了提升2008AD樹系和網域功能等級,耗了一年時間逐步完成了將Server1、Server2的2008AD降級並改成Server2016,然後開始將Server3主要的各項服務默默地轉移到Server1、Server2的網域控制站上,同時為求安心又新增了Server4的Server2016網域控制站讓ntds資料庫複寫了超過半年的時間,直到今年五、六月期間完成最後一項漫遊與桌面重新導向遷移之後,這兩天終於可以開始將最後一台Server 2008作業系統的DC進行降級,正式進入告別08邁向16的時代。

開始之前一定要做的工作是確認是誰扮演AD命脈五大角色的身分,細數十年間不論是正常降級、移轉甚至是奪權的情況都遇過了,所以剩下Server3要再做最後一次降級其實心裡並沒有感到壓力,有的只是不捨與感激。

步驟1,確認五大角色掌舵者

netdom query fsmo

在確認Server3不具備任何五大角色身分後,就可以去跑dcpromo或dcpromo /forceremoval,完成之後再到AD站台與服務中直接移除Server3的NTDS Settings以及伺服器物件即可。

不過,在移除之前最好是先讓Server3的DC類型不具備GC身分,以免在移除當下有使用者帳號正透過Server3進行身分驗證。

由於是最後一次降級2008DC了,而且爾後若要操作Server2016降級DC也已經改為從伺服器管理員中操作,沒有dcpromo可用了,所以在跑完dcpromo /forceremoval之後就讓我以指令移除中繼資料的方式再做一次學習吧,首先開啟命令提示字元。

步驟2,透過命令提示字元進行ntds管理

ntdsutil

步驟3,進入metadata cleanup模式

metadata cleanup

步驟4,輸入連線指令

connections

步驟5, 連線到其他網域控制站才能移除SERVER3,按下確定後會繫結到指定的Domain Controller。

connect to server server2.sips.tpc.edu.tw

步驟6,離開回到上一層metadata cleanup模式。

q

步驟7,選取操作目標

select operation target

步驟8,列出站台

list sites

在按下確定後就會出現站台編號 0CN=Default-First-Site-Name

步驟9,選取站台編號0

select site 0

步驟10,列出站台內的網域,然後就會看到此站台內容名稱為0的網域DC=sips,DC=tpc,DC=edu,DC=tw

list domains in site

步驟11,選取上一步驟表列的網域編號

select domain 0

步驟11,列出站台內的伺服器,然後就會出現我要移除的中繼資料是編號1的SERVER3。

list servers in site

步驟12,選擇要刪除的中繼資料伺服器編號

select server 1

按下確定後會顯示編號1的伺服器名稱DSA物件名稱DNS主機名稱電腦物件名稱

步驟13,回到metadata cleanup,選擇好要刪除的伺服器編號之後按下q離開,回到上一層。

步驟14,移除伺服器,回到metadata cleanup之後輸入指令移除所選的伺服器。

remove selected server

最後會跳出對話方塊確認是否要移除伺服器,按下是就能將此伺服器的中繼資料移除。

回到AD站台及服務的預設站台下就沒有SERVER3的伺服器及其所屬的NTDS資料庫了。