将AD域由2022提升为2025部署过程

好的 👍，我帮你整理一份 把 192.168.0.4 辅域控制器 (Windows Server 2025) 提升为主域 (FSMO 角色转移)，然后调整 IP 地址的完整步骤。操作分成 准备 → 角色转移 → IP 切换 → 降级旧主域 四个阶段。

一、准备工作

确认域控制器健康状态
在两台 DC 上分别执行：
```
dcdiag /v
repadmin /replsummary
```
确保 AD 复制正常、没有严重错误。
确认 FSMO 角色位置
在当前主域控 (192.168.0.5) 上执行：
```
netdom query fsmo
```
你会看到 5 个角色（Schema Master、Domain Naming Master、RID Master、PDC Emulator、Infrastructure Master）。
DNS 检查
- 确认 0.4 和 0.5 都安装了 DNS 服务。
- 确认客户端和域控的 DNS 都指向域控（最好都指向 192.168.0.4 和 192.168.0.5 互为备用）。

二、把 FSMO 角色转移到 192.168.0.4

有两种方式：GUI 或 PowerShell。推荐 PowerShell 一次性完成。

PowerShell 转移 FSMO 角色

在 192.168.0.4 上（管理员身份）执行：

Move-ADDirectoryServerOperationMasterRole -Identity "DC-0-4" -OperationMasterRole 0,1,2,3,4 -Confirm:$false

参数说明：

DC-0-4 = 你的 192.168.0.4 的主机名。
0,1,2,3,4 = 所有五个 FSMO 角色。

验证 FSMO 已转移

netdom query fsmo

确认都在 192.168.0.4 上。

三、调整 IP 地址

目标：

192.168.0.4 (新主域控) → 改为 192.168.0.5
192.168.0.5 (旧主域控) → 降级后改为 192.168.0.7

步骤

在 AD/DNS 里先把 192.168.0.4 加入 DNS A 记录为额外主机，避免切换时找不到。
停掉 192.168.0.5 的网卡，防止 IP 冲突。
把 192.168.0.4 的 IP 改为 192.168.0.5（主域控的地址）。
检查 DNS 记录是否更新，手动清理旧的 192.168.0.4 相关的 A/PTR 记录。
重新启用 192.168.0.5（旧主域控）的网卡，把它改为 192.168.0.7。

四、旧主域控 (192.168.0.5 → 192.168.0.7) 降级

在 192.168.0.7 (原主域控) 上操作：

打开 Server Manager → Manage → Remove Roles and Features。
取消勾选 Active Directory Domain Services (AD DS)。
系统会提示执行 降级域控制器 向导。
- 取消 “此域控制器是域中的最后一个域控制器”。
- 输入 DSRM 密码 → 下一步 → 完成。
降级后重启，变为普通成员服务器。

五、后续检查

在新主域控 (192.168.0.5) 上执行：
```
dcdiag /v
repadmin /showrepl
netdom query fsmo
```
确认角色正常、复制健康。
检查客户端和 GPO 是否能正常获取。
如果确认旧 DC (192.168.0.7) 不再需要，可以把它从域里移除，退为工作组。

✅ 最终效果：

192.168.0.4 → 主域控，FSMO 角色 → IP 改为 192.168.0.5
192.168.0.5 → 降级为成员服务器 → IP 改为 192.168.0.7

要不要我帮你整理一份 可以直接执行的 PowerShell 脚本，把 FSMO 转移、降级、IP 切换都半自动化？这样你只要改主机名和 IP 就能一键跑完。

好的 👍，我来给你写一份 把 192.168.0.6 这台 Windows Server 2022 域控制器 (辅助域控) 降级退出域 的完整步骤。

一、准备工作

确认它是辅助域控
在任意一台 DC 上执行：
```
netdom query fsmo
```
确认 192.168.0.6 没有持有 FSMO 角色（如果有，要先把 FSMO 角色转移到其他域控）。
确认复制正常
在 192.168.0.6 上执行：
```
dcdiag /v
repadmin /showrepl
```
确认没有严重错误，避免 AD 数据不一致。

二、降级 192.168.0.6 域控

有 图形界面 和 PowerShell 两种方式：

方法一：图形界面（Server Manager）

登录 192.168.0.6，打开 Server Manager。
选择 Manage → Remove Roles and Features。
找到 Active Directory Domain Services (AD DS)，取消勾选。
系统会提示“降级域控制器 (Demote this domain controller)”，点击进入向导。
在向导里：
- 不要勾选 “This domain controller is the last domain controller in the domain”（因为还有其他 DC）。
- 输入 DSRM 密码。
完成后系统会自动重启，192.168.0.6 将从 DC 降级为域成员服务器。

方法二：PowerShell（推荐，简洁）

在 192.168.0.6 上以管理员身份运行 PowerShell：

# 安全降级域控
Uninstall-ADDSDomainController `
  -DemoteOperationMasterRole:$false `
  -RemoveApplicationPartitions `
  -Credential (Get-Credential) `
  -ForceRemoval:$false `
  -LocalAdministratorPassword (ConvertTo-SecureString "YourLocalAdminPassw0rd!" -AsPlainText -Force) `
  -Force

参数说明：

-Credential：输入有域管理员权限的账号。
-LocalAdministratorPassword：降级后本机会变成本地成员服务器，这里设置本地管理员密码。
-ForceRemoval:$false：正常情况下不强制，保持数据复制一致。

降级完成后，192.168.0.6 会自动重启，回到域成员身份。

三、降级后清理工作

确认 AD 里不再有旧 DC 对象
在任意剩余 DC 上打开 Active Directory Users and Computers (ADUC)，展开 Domain Controllers，确认 192.168.0.6 不在里面。
确认 DNS 记录清理
打开 DNS 管理器，清理 192.168.0.6 的 A 记录、SRV 记录（_msdcs 子域下）。
检查复制健康
在主域控上执行：
```
repadmin /replsummary
dcdiag /v
```
确认没有报错。

✅ 最终效果：

192.168.0.6 从 DC 降级 → 成为域成员服务器（还在域内）。
如果你希望它 完全退出域，可以再执行：
```
Remove-Computer -UnjoinDomainCredential (Get-Credential) -Verbose -Restart
```
这样它就退出域，成为独立的工作组服务器。

要不要我帮你写一个 完整自动化 PowerShell 脚本，把降级 + 退出域 + 改本地管理员密码一次性跑完？