将AD域由2022提升为2025部署过程
好的 👍,我帮你整理一份 把 192.168.0.4 辅域控制器 (Windows Server 2025) 提升为主域 (FSMO 角色转移),然后调整 IP 地址的完整步骤。操作分成 准备 → 角色转移 → IP 切换 → 降级旧主域 四个阶段。
一、准备工作
windows - server
确认域控制器健康状态在两台 DC 上分别执行:dcdiag /v repadmin /replsummary确保 AD 复制正常、没有严重错误。确认 FSMO 角色位置在当前主域控 (192.168.0.5) 上执行:netdom query fsmo你会看到 5 个角色(Schema Master、Domain Naming Master、RID Master、PDC Emulator、Infrastructure Master)。DNS 检查确认 0.4 和 0.5 都安装了 DNS2025 服务。确认客户端和域控的 DNS 都指向域控(最好都指向 192.168.0.4 和 192.168.0.5 互器提升为备用)。
二、把 FSMO 角色转移到 192.168.0.4
有两种方式:GUI 或 PowerShell。推荐 PowerShell 一次性完成。
PowerShell 转移 FSMO 角色
在 192.168.0.4 上(管理员身份)执行:
Move-ADDirectoryServerOperationMasterRole -Identity "DC-0-4" -OperationMasterRole 0,1,2,3,4 -Confirm:$false
参数说明:
DC-0-4= 你的 192.168.0.4 的主机名。0,1,2,3,4= 所有五个 FSMO 角色。
验证 FSMO 已转移
netdom query fsmo
确认都在 192.168.0.4 上。
三、调整 IP 地址
目标:
192.168.0.4 (新主域控)→ 改为192.168.0.5192.168.0.5 (旧主域控)→ 降级后改为192.168.0.7
步骤
在 AD/DNS 里先把 192.168.0.4 加入 DNS A 记录为额外主机,避免切换时找不到。停掉 192.168.0.5 的网卡,防止 IP 冲突。把 192.168.0.4 的 IP 改为192.168.0.5(主域控的地址)。检查 DNS 记录是否更新,手动清理旧的 192.168.0.4 相关的 A/PTR 记录。重新启用 192.168.0.5(旧主域控)的网卡,把它改为192.168.0.7。
四、旧主域控 (192.168.0.5 → 192.168.0.7) 降级
在 192.168.0.7 (原主域控) 上操作:
打开Server Manager → Manage → Remove Roles and Features。取消勾选Active Directory Domain Services (AD DS)。系统会提示执行降级域控制器向导。取消 “此域控制器是域中的最后一个域控制器”。输入 DSRM 密码 → 下一步 → 完成。
降级后重启,变为普通成员服务器。
五、后续检查
在新主域控 (192.168.0.5) 上执行:dcdiag /v repadmin /showrepl netdom query fsmo确认角色正常、复制健康。检查客户端和 GPO 是否能正常获取。如果确认旧 DC (192.168.0.7) 不再需要,可以把它从域里移除,退为工作组。
✅ 最终效果:
192.168.0.4 → 主域控,FSMO 角色 → IP 改为 192.168.0.5192.168.0.5 → 降级为成员服务器 → IP 改为 192.168.0.7
要不要我帮你整理一份 可以直接执行的 PowerShell 脚本,把 FSMO 转移、降级、IP 切换都半自动化?这样你只要改主机名和 IP 就能一键跑完。
好的 👍,我来给你写一份 把 192.168.0.6 这台 Windows Server 2022 域控制器 (辅助域控) 降级退出域 的完整步骤。
一、准备工作
确认它是辅助域控在任意一台 DC 上执行:netdom query fsmo确认 192.168.0.6 没有持有 FSMO 角色(如果有,要先把 FSMO 角色转移到其他域控)。确认复制正常在 192.168.0.6 上执行:dcdiag /v repadmin /showrepl确认没有严重错误,避免 AD 数据不一致。
二、降级 192.168.0.6 域控
有 图形界面 和 PowerShell 两种方式:
方法一:图形界面(Server Manager)
登录 192.168.0.6,打开Server Manager。选择Manage → Remove Roles and Features。找到Active Directory Domain Services (AD DS),取消勾选。系统会提示“降级域控制器 (Demote this domain controller)”,点击进入向导。在向导里:不要勾选 “This domain controller is the last domain controller in the domain”(因为还有其他 DC)。输入 DSRM 密码。
完成后系统会自动重启,192.168.0.6 将从 DC 降级为域成员服务器。
方法二:PowerShell(推荐,简洁)
在 192.168.0.6 上以管理员身份运行 PowerShell:
# 安全降级域控
Uninstall-ADDSDomainController `
-DemoteOperationMasterRole:$false `
-RemoveApplicationPartitions `
-Credential (Get-Credential) `
-ForceRemoval:$false `
-LocalAdministratorPassword (ConvertTo-SecureString "YourLocalAdminPassw0rd!" -AsPlainText -Force) `
-Force
参数说明:
-Credential:输入有域管理员权限的账号。-LocalAdministratorPassword:降级后本机会变成本地成员服务器,这里设置本地管理员密码。-ForceRemoval:$false:正常情况下不强制,保持数据复制一致。
降级完成后,192.168.0.6 会自动重启,回到域成员身份。
三、降级后清理工作
确认 AD 里不再有旧 DC 对象在任意剩余 DC 上打开Active Directory Users and Computers (ADUC),展开Domain Controllers,确认 192.168.0.6 不在里面。确认 DNS 记录清理打开 DNS 管理器,清理 192.168.0.6 的 A 记录、SRV 记录(_msdcs 子域下)。检查复制健康在主域控上执行:repadmin /replsummary dcdiag /v确认没有报错。
✅ 最终效果:
192.168.0.6 从 DC 降级 → 成为域成员服务器(还在域内)。如果你希望它完全退出域,可以再执行:Remove-Computer -UnjoinDomainCredential (Get-Credential) -Verbose -Restart这样它就退出域,成为独立的工作组服务器。
明白了,你的场景是:
-
当前主域控:192.168.0.5(Windows Server 2022)
-
新服务器:192.168.0.4(Windows Server 2025),已经加入域,但还不是域控制器
-
目标:将 0.4 提升为 辅助域控(Additional Domain Controller, ADC)
下面是详细步骤:
步骤 1:检查前提条件
-
确保 192.168.0.4 能够解析主域控的 DNS:
nslookup shuncom.local
nslookup s-dns6.shuncom.local
-
确保 0.4 与 0.5 网络互通,端口 135、389、636、3268、3269、445 等开放(域控所需端口)。
-
确保 0.5 上的 Active Directory 状态正常:
dcdiag /v /c /e
repadmin /showrepl
-
确保 0.4 的计算机名正确,建议使用 简短且唯一的主机名,不要和现有 DC 冲突。
步骤 2:在 192.168.0.4 安装 AD DS 角色
-
打开 PowerShell(管理员):
Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
-
安装完成后,会提示需要 配置域控制器。
步骤 3:使用 AD DS 配置向导 提升为辅助域控
-
在 192.168.0.4 打开 服务器管理器 → AD DS → 更多操作 → 将此服务器提升为域控制器。
-
选择 添加到现有域:
-
域名:
shuncom.local -
凭据:使用 域管理员账户(如 Administrator@shuncom.local)
-
-
选择 域控制器选项:
-
DNS 服务器(建议勾选)
-
全局目录(GC)(建议勾选)
-
不要勾选 “只读域控制器(RODC)”,除非需要只读模式
-
-
指定 AD DS 数据库、日志和 SYSVOL 的路径(默认即可或根据公司策略调整)
-
输入 安全还原模式密码(DSRM)
-
系统会检查前置条件,如果一切正常,点击 安装。
安装完成后,服务器会自动重启。
步骤 4:检查提升是否成功
-
查看 0.4 是否成为域控:
Get-ADDomainController -Filter * | ft Name,IPv4Address,IsGlobalCatalog,Domain,Site
-
检查复制状态:
repadmin /showrepl
dcdiag /v /c /e
-
检查 DNS:
nslookup
set type=SRV
_ldap._tcp.dc._msdcs.shuncom.local
-
确认 FSMO 角色还在 0.5:
netdom query fsmo
步骤 5:同步完成后再考虑主域控迁移
-
0.4 成功成为辅助域控后,FSMO 角色仍在 0.5。
-
之后才可以按照你之前计划,把 0.4 提升为主域控(迁移 FSMO、调整 IP 等)。
我可以帮你画一个图示流程,显示 0.4 提升为辅助域控、复制 FSMO、最终迁移主域的完整顺序,方便操作不出错。
你希望我画吗?
二、 把 192.168.0.6 这台 Windows Server 2022 域控制器 (辅助域控) 降级退出域
2.1、准备工作
-
确认它是辅助域控
在任意一台 DC 上执行:netdom query fsmo确认 192.168.0.6 没有持有 FSMO 角色(如果有,要先把 FSMO 角色转移到其他域控)。
-
确认复制正常
在 192.168.0.6 上执行:dcdiag /v repadmin /showrepl确认没有严重错误,避免 AD 数据不一致。
2.2、降级 192.168.0.6 域控
有 图形界面 和 PowerShell 两种方式:
方法一:图形界面(Server Manager)
-
登录 192.168.0.6,打开 Server Manager。
-
选择 Manage → Remove Roles and Features。
-
找到 Active Directory Domain Services (AD DS),取消勾选。
-
系统会提示“降级域控制器 (Demote this domain controller)”,点击进入向导。
-
在向导里:
-
不要勾选 “This domain controller is the last domain controller in the domain”(因为还有其他 DC)。
-
输入 DSRM 密码。
-
-
完成后系统会自动重启,192.168.0.6 将从 DC 降级为域成员服务器。
方法二:PowerShell(推荐,简洁)
在 192.168.0.6 上以管理员身份运行 PowerShell:
# 安全降级域控
Uninstall-ADDSDomainController `
-DemoteOperationMasterRole:$false `
-RemoveApplicationPartitions `
-Credential (Get-Credential) `
-ForceRemoval:$false `
-LocalAdministratorPassword (ConvertTo-SecureString "YourLocalAdminPassw0rd!" -AsPlainText -Force) `
-Force
参数说明:
-
-Credential:输入有域管理员权限的账号。 -
-LocalAdministratorPassword:降级后本机会变成本地成员服务器,这里设置本地管理员密码。 -
-ForceRemoval:$false:正常情况下不强制,保持数据复制一致。
降级完成后,192.168.0.6 会自动重启,回到域成员身份。
2.3、降级后清理工作
-
确认 AD 里不再有旧 DC 对象
在任意剩余 DC 上打开 Active Directory Users and Computers (ADUC),展开 Domain Controllers,确认 192.168.0.6 不在里面。 -
确认 DNS 记录清理
打开 DNS 管理器,清理 192.168.0.6 的 A 记录、SRV 记录(_msdcs 子域下)。 -
检查复制健康
在主域控上执行:repadmin /replsummary dcdiag /v确认没有报错。
✅ 最终效果:
-
192.168.0.6 从 DC 降级 → 成为域成员服务器(还在域内)。
-
如果你希望它 完全退出域,可以再执行:
Remove-Computer -UnjoinDomainCredential (Get-Credential) -Verbose -Restart这样它就退出域,成为独立的工作组服务器。
三、将windows server 2025辅助域控提升为主域控
好的 👍,我给你整理一个 FSMO 角色迁移完整操作手册,分 GUI 和 PowerShell 两种方式,适合 Windows Server 2022 域控环境。
🎯 FSMO 角色迁移完整步骤(Windows Server 2022)
3.1、准备工作
-
确认源域控和目标域控 均为可用状态,并且已经同步 Active Directory。
-
可以运行:
repadmin /replsummary确认没有严重的复制错误。
-
-
确认你登录的账户有 Enterprise Admins 或 Domain Admins 权限。
-
确认目标服务器(如
s-dns1.shuncom.local)是健康的域控,并且运行正常的 DNS。
3.2、GUI 方式迁移 FSMO 角色
FSMO 一共有 5 个角色,分两类工具来迁移:
1. Schema Master(架构主机)
-
默认不显示,需要先注册 schmmgmt.dll:
regsvr32 schmmgmt.dll -
打开 MMC(Microsoft 管理控制台):
-
Win+R →
mmc -
文件 → 添加/删除管理单元 → 添加 Active Directory Schema
-
-
右键 Active Directory Schema → 更改 Active Directory 域控制器 → 选择目标 DC(
s-dns1.shuncom.local)。 -
再右键 Active Directory Schema → 操作主机 → 点击 更改。
2. Domain Naming Master(域命名主机)
-
打开 Active Directory Domains and Trusts(域和信任)
-
右键顶层节点 → 更改 Active Directory 域控制器 → 选择目标 DC。
-
再右键顶层节点 → 操作主机 → 点击 更改。
3. RID Master / PDC Emulator / Infrastructure Master
-
打开 Active Directory Users and Computers(用户和计算机)
-
右键顶层节点 → 更改 Active Directory 域控制器 → 选择目标 DC。
-
再右键顶层节点 → 操作主机 → 在弹出窗口中可切换 3 个角色(RID、PDC、Infrastructure)。
3.3、PowerShell 方式迁移 FSMO 角色
-
在目标域控(或能远程管理的管理机上)打开 Windows PowerShell(管理员权限)。
-
查看当前 FSMO 角色分布:
netdom query fsmo -
执行迁移命令(示例迁移到
s-dns1.shuncom.local):Move-ADDirectoryServerOperationMasterRole -Identity "s-dns1.shuncom.local" -OperationMasterRole 0,1,2,3,4 -Confirm:$false-
其中参数说明:
-
0= PDC Emulator -
1= RID Master -
2= Infrastructure Master -
3= Schema Master -
4= Domain Naming Master
-
也可以写成:
Move-ADDirectoryServerOperationMasterRole -Identity "s-dns1.shuncom.local" -OperationMasterRole SchemaMaster, DomainNamingMaster, PDCEmulator, RIDMaster, InfrastructureMaster -Confirm:$false -
-
验证迁移是否成功:
netdom query fsmo确认 5 个角色都在
s-dns1.shuncom.local上。
3.4、注意事项
-
迁移 (Move) 和 强制夺取 (Seize) 区别:
-
如果原 FSMO 角色持有者 在线,建议用 Move(正常迁移)。
-
如果原 FSMO 服务器永久损坏,必须用 Seize(强制夺取,命令不同)。
-
-
FSMO 角色不能同时存在于两个 DC 上,迁移完成后会唯一存在于目标 DC。
-
建议迁移后,重启目标域控一次,确保 FSMO 服务稳定。
要不要我再帮你写一个 Seize FSMO(强制夺取角色) 的完整步骤?这样万一旧域控挂掉了,你也能处理。