目前開始進行公司網域升級作業,首要是把現有父網域和三個子網域中的所有Windows 2008 or windows 2008 R2 DC 除役。
因父子網域DC 版本眾多 ,所以此次以升級到windows 2012 R2 DC 為主
至於樹系及網域層級會先提升至2008 R2 就好,主要是先要符合Microsoft 365 密碼回寫功能。
簡單說明
父網域 :2台windows 2008 和windows 2008R2 dDC
HK子網域1 : 1台windows 2008 , 1台 windows 2012 ,1台windos 201 R2 ,1台windows 2008 R2 DC
TW子網域2 : 1台windows 2008 ,2台windos 201 R2 DC
CN子網域3 : 3台windos 201 R2,1台 windows 2008R2 dc
—————————————————————————————–
CN子網域3升級:
1.當地同仁先將一台windows 2012 R2 升級為該網域DC,把windows 2008R2 dc 關機幾天
測試,OK後,遠端協助把windows 2008R2 dc 降級OK。
——————————————————————————————-
HK子網域2升級
因為該子網域的windows 2008 DC,是放在台北site ,所以我先把一台S2012R2 DC 安裝好加入該子網域後再升級為DC。
確認_msdcs 紀錄 應該要多這一台NS紀錄還有 CNAME紀錄
在父網域DNS 委派
確認有沒有子網域新的DC 沒有請手動加入
接下來等KCC 計算複寫拓撲。
因為新增加DC後,exchange 中會看到
MSExchangeDSAccess evenid 2080 的log會看到所有樹系的DC
但是出了點小問題 就是 新的這台 sacl權利欄位是0,理論上是1 (如下圖)
查了一下是因為exchange 沒有該台DC Manager Audting and security log 權限
簡單方式到該新建立的DC 上本機原則加入網域exchange servers 群組即可
再來一段時間後exchange 事件會看到具有該DC稽核安全性權限
也會\看到 sacl 權限欄位恢復為 1
以上是目前升級遇到的情況,後續再做紀錄
參考
https://www.renanrodrigues.com/post/how-to-fix-exchange-2010-event-2080-error
本篇瀏覽人數: 2555
