windows server 2008 活动目录服务部署

活动目录服务在Windows Server 2008中又称为Acitve Directory 域服务，是一个非常重要的目录服务，用来管理网络中的用户和资源，如计算机、打印机或应用程序。windows Server 2008 R2中的Acitve Directory域服务在原有的基础上有了很大的提高。利用活动目录，管理员可以更加方便地管理网络中的用户和计算机，并易于部署和管理网络服务。

安装AD域服务

在Windows 2000/2003系统中，可以直接运行dcpromo命令来启动“Acitve Directory 安装向导”，从而安装活动目录。而将Windows Server 2008升级为域控制器时，必须先安装Acitve Directory 域服务，然后再运行dcpromo命令安装活动目录。

1、安装前的准备

在安装AD域服务之前，要做好准备工作，如网络环境、系统环境等，主要包括：

规划好DNS域名

活动目录必须安装在NTFS分区，因此，在安装Acitve Directory 服务器之前，要求Windows Server 2008系统所在的分区采用NTFS文件系统。

必须正确安装了网卡驱动程序，安装并启用了TCP/IP协议，并记录计算机的相关参数，如IP地址和计算机名等。

2、安装AD域服务和域控制器

第一步，在初始配置任务如图1所示，或者服务器管理器窗口中单击添加角色超级连接，运行添加角色向导

第二步，单击下一步按钮，显示选择服务器角色对话框，如图3所示，列出了操作系统中已集成的所有网络服务。

第三步，在角色列表框中单击Active Directory域服务复选框，显示如图4所示是否添加Active Directory域服务所需的功能对话框。单击添加必需的功能按钮，返回选择服务器角色对话框并选中Active Directory域服务复选框。

第四步，单击下一步按钮，显示如图5所示的Active Directory域服务对话框，简要介绍了域服务的作用及注意事项。

第五步，单击下一步按钮，显示如图6所示确认安装选择对话框，确认要安装的服务。

第六步，单击安装按钮，即可开始安装域服务。安装完成后，显示如图7所示安装结果对话框，提示域服务安装成功。最后，单击关闭按钮。

3、升级域控制器

Active Directory域服务安装完成以后，需要通过运行dcpromo命令来启动Active Directory安装向导，将服务器升级为控制器。

第一步，运行dcpromo命令，如图8所示，启动ctive Directory安装向导，如图9所示。如果选中使用高级模式安装复选框，则可使用更详细的选项，例如，在安装域的同时与其他域建立信任关系，并可更改NetBIOS名等。默认不选中该复选框。

第二步，单击下一步按钮，显示如图10所示操作系统兼容性对话框，介绍了Windsows Server 2008中改进的安全设置对旧版Windows的影响。

第三步，单击下一步按钮，在如图11所示选择某一部署配置对话框。由于该服务器将是网络中的第一台域控制器，因此，选择在新林中新建域单选按钮。

第四步，单击下一步按钮，显示如图12所示命名林根域对话框。在目录林根级域的FQDN(F):文本框中，键入事先规划好的DNS域名，如这里用homechencom。

第五步，单击下一步按钮，开始检查该域名及NetBIOS名是否已在网络中使用，并显示如图13所示设置林功能级别对话框，应根据网络中存在的最低Windows版本的域名控制器来选择。和Windows server 2008不同，Windows server 2008 R2中提供了Windows server 2003、Windows server 2008和Windows server 2008 R2三种模式，不再提供对Windows 2000的支持。

第六步，单击下一步按钮，显示如图14所示设置域功能级别对话框，需要在域功能级别下拉列表中选择相应的域功能级别，最低级别为Windowsserver 2003。

第七步，单击下一步按钮，显示如图15所示其他域控制器选项对话框，默认选中DNS服务器，可以将DNS服务器安装在该域控制器上。由于域中的第一个域控制器必须是全局编录服务器，因此，“全局编录”选择为必选项且为不可更改状态。

第八步，单击下一步按钮，开始检查DNS配置，并显示如图16所示的警告框，提示没有找到父域，无法创建DNS服务器委派。

第九步，单击是按钮，显示如图17所示数据库、日志文件和SYSVOL的位置对话框。

第十步，单击下一步按钮，显示如图18所示目录服务还原模式的administrator密码对话框，设置登录目录还原模式的管理员账户密码。该密码必须设置，否则无法继续安装。

第十一步，单击下一步按钮，显示如图19所示对话框列出了前面所做的配置信息，如果需要更改，可单击上一步按钮返回。

第十二步，单击下一步按钮，开始配置Active Directory域服务，如图20所示。

第十三步，配置完成后，显示如图21所示完成Active Directory域服务安装向导对话框，提示Active Directory域服务安装完成。

第十四步，单击完成按钮，显示如图22所示提示框，提示必须重启系统才能更改生效。

第十五步，单击立即重新启动按钮，重新启动计算机即可登录到域，不过，无论是administrator账户，还是其他用户账户，都必须使用域名帐户名的格式登录

有经验的开发人员和网络管理员可以通过为现有分类定义新的属性或者定义新的分类来动态地扩展架构。

架构的内容由充当架构操作主控角色的域控制器进行控制。架构的副本被复制到森林中的所有域控制器上。这种共用架构的使用方式确保了森林范围内的数据完整性和一致性。

此外，您还可以使用“Active Directory架构”管理单元对架构加以扩展。为了修改架构，您必须满足以下三个要求：

· 成为“Schema Administrators”（架构管理员）组的成员

· 在充当架构操作主控角色的计算机上安装“Active Directory架构”管理单元

· 拥有修改主控架构所需的管理员权限

在考虑对架构进行修改时，必须注意以下三个要点：

· 架构扩展是全局性的。 在您对架构进行扩展的时候，您实际上扩展了整个森林的架构，因为对架构的任何修改都会被复制到森林中所有域的所有域控制器上。

· 与系统有关的架构分类不能被修改。您不能修改Active Directory架构中的默认系统分类；但是，用来修改架构的应用程序可能会添加可选的系统分类，您可以对这些分类进行修改。

· 对架构的扩展不可撤销。某些属性或者分类的属性可以在创建后修改。在新的分类或者属性被添加到架构中之后，您可以将它置于非激活状态，但是不能删除它。但是，您可以废除相关定义并且重新使用对象标识符（OID）或者显示名称，您可以通过这种方式撤销一个架构定义。

有关架构修改的更多信息，请通过参阅 Microsoft Windows 资源工具包 。

Active Directory不支持架构对象的删除；但是，对象可以被标记为“非激活”，以便实现与删除同等的诸多益处。 属性和分类单独进行定义。每一个属性仅仅定义一次，但是可以在多个分类中使用。例如，“Description”（描述）属性可以使用在多个分类中，但是只需在架构中定义一次即可，以保持数据的一致性。

属性用来描述对象。每一个属性都拥有它自己的定义，定义则描述了特定于该属性的信息类型。架构中的每一个属性都可以在“Attribute-Schema”分类中指定，该分类决定了每一个属性定义所必须包含的信息。

能够应用到某个特殊对象上的属性列表由分类（对象是该分类的一个实例）以及对象分类的任何超类所决定。属性仅仅定义一次，但是可以多次使用。这确保了共享同一个属性的所有分类能够保持一致性。 索引应用于属性，而不是分类。对属性进行索引有助于更快地查询到拥有该属性的对象。当您将一个属性标记为“已索引”之后，该属性的所有实例都会被添加到该索引，而不是仅仅将作为某个特定分类成员的实例添加到索引。

添加经过索引的属性会影响Active Directory的复制时间、可用内存以及数据库大小。因为数据库变得更大了，所以需要花费更多的时间进行复制。

多值属性也可以被索引。同单值属性的索引相比，多值属性的索引进一步增加了Active Directory的大小，并且需要更多的时间来创建对象。在选择需要进行索引的属性时，请确信所选择的共用属性，而且能够在开销和性能之间取得平衡。

一个经过索引的架构属性还可以被用来存储属性的容器所搜索，从而避免了对整个Active Directory数据库进行搜索。这样不仅缩短了搜索所需花费的时间，而且减少了在搜索期间需要使用的资源数量。 全局编录在森林中最初的一台域控制器上自动创建。您可以为任何一台域控制器添加全局编录功能，或者将全局编录的默认位置修改到另一台域控制器上。

· 查找对象全局编录允许用户搜索森林所有域的目录信息，而不管数据存储在何处。森林内部的搜索可以利用最快的速度和最小的网络流量得以执行。

在您从“开始”菜单搜索人员或打印机，或者在某个查询的内部选择了“整个目录”选项的时候，您就是在对全局编录进行搜索。在您输入搜索请求之后，请求便会被路由到默认的全局编录端口3268，以便发送到一个全局编录进行解析。

· 提供了根据用户主名的身份验证。在进行身份验证的域控制器不知道某个账户是否合法时，全局编录便可以对用户的主名进行解析。例如，如果用户的账户位于example1域，而用户决定利用这个用户主名从位于example2的一台计算机上进行登录，那么example2的域控制器将无法找到该用户的账户，然后，域控制器将于全局编录服务器联系，以完成整个登录过程。

· 在多域环境下提供通用组的成员身份信息。和存储在每个域的全局组成员身份不同，通用组成员身份仅仅保存在全局编录之中。例如，在属于一个通用组的用户登录到一个被设置为Windows 2000本机域功能级别或者更高功能级别的域的时候，全局组将为用户账户提供通用组的成员身份信息。

如果在用户登录到运行在Windows 2000本机或者更高级别中的域的时候，某个全局编录不可用并且用户先前曾经登录到该域，计算机将使用缓存下来的凭据让用户登录。如果用户以前没有在该域登录过，用户将仅仅能够登录到本地计算机。

说明：即便全局编录不可用，“Domain Administrators”（域管理员）组的成员也可以登录到网络中。 正如前面所介绍的，Active Directory的设计目的在于为来自用户或应用程序的查询提供有关目录对象的信息。管理员和用户可以使用“开始”菜单中的“搜索”命令轻松对目录进行搜索和查找。客户端程序也可以使用Active Directory服务接口（ADSI）访问Active Directory中的信息。

Active Directory的主要益处就在于它能够存储有关网络对象的丰富信息。在Active Directory中发布的有关的用户、计算机、文件和打印机的信息可以被网络用户所使用。这种可用性能够通过查看信息所需的安全权限加以控制。

网络上的日常工作涉及用户彼此之间的通信，以及对已发布资源的连接和访问。这些工作需要查找名称和地址，以便发送邮件或者连接到共享资源。在这方面，Active Directory就像是一个在企业中共享的地址簿 。例如，您可以按照姓、名、电子邮件地址、办公室位置或者其它用户账户属性查找用户。如前所述，信息的查找过程由于使用了全局编录而得到了优化。

Windows Server 2003 增强了管理员有效配置和管理Active Directory的能力，即便是拥有多个森林、域和站点的超大型企业也可以得到轻松的管理。

利用新的安装向导配置Active Directory

新的“配置您的服务器”向导简化了设置Active Directory的过程，并且针对特定的服务器角色提供了经过预先定义的设置，它的优点之一便是：能够帮助管理员对服务器的初始化部署方式实施标准化。

在服务器安装期间，管理员可以获得帮助，通过帮助用户安装他们在Windows安装过程中选择需要的可选组件，服务器的安装过程变得更加便利。他们可以使用该向导执行以下工作：

· 通过使用基本的默认设置自动配置DHCP、DNS和Active Directory，建立网络中的第一台服务器。

· 在用户安装文件服务器、打印服务器、Web和媒体服务器、应用服务器、RAS和路由或者IP地址管理服务器的时候，为用户指出完成安装所需的特性，从而帮助用户在网络中配置成员服务器。

管理员可以使用本特性进行灾难恢复，将服务器配置复制到多台计算机上，完成安装，配置服务器角色，或者在网络中建立第一个配置或主服务器。

其它管理特性和改进

特性 描述

自动创建DNS区域 在运行Windows Server 2003操作系统时，DNS区域和服务器可以自动创建并配置。您可以在企业中创建它们以托管新的区域。本特定可以极大减少手动配置每台DNS服务器所需的时间。

得到改进的站点间复制拓扑生成过程 站点间拓扑生成器（ISTG）已经得到更新，不仅可以利用改进过的算法，而且能够支持比在Windows 2000下拥有更多数量站点的森林。因为森林中的所有运行ISTG角色的域控制器都必须在站点间复制拓扑方面取得一致，新的算法在森林被提升到Windows Server 2003森林本机模式之前不会被激活。新的ISTG算法跨越森林提供了得到改善的复制性能。

DNS 配置增强 本特性简化了DNS错误配置的调试和报告过程，有助于正确配置Active Directory部署所需要的DNS基础结构。

这包括了在一个现有森林中提升某个域控制器的情况，“Active Directory安装向导”会与现有的一台域控制器进行联系，以更新目录并从该域控制器复制必需的目录部分。如果向导由于不正确的DNS配置而无法找到域控制器，或者域控制器发生故障无法使用，它将执行调试过程，报告产生故障的原因，并指出解决该故障的方法。

为了能够找到网络中的域控制器，所有的域控制器都必须登记它的域控制器定位DNS记录。“Active Directory安装向导”会验证DNS基础结构是否得到了正确的配置，以便新的域控制器能够进行域控制器定位DNS记录的动态更新。如果此项检查发现了不正确的DNS基础结构配置，它将报告相关问题，并给出解释，告知修复该问题的方法。

通过媒介安装副本 和通过网络复制Active Directory数据库的完整副本不同，本特性允许管理员通过文件创建初始副本，这些文件是在对现有域控制器或者全局编录服务器进行备份的时候所生成的。任何具有Active Directory意识的备份工具所创建的备份文件都可以使用媒介（例如磁带、CD、VCD或者网络文件复制）传输到候选域控制器上。

迁移工具增强 Active Directory迁移工具（ADMT）在Windows Server 2003中得到了增强，它可以提供：

 口令迁移。ADMT version 2 允许用户将口令从Windows NT 40 迁移到 Windows 2000 或 Windows Server 2003 域中，也可以将口令从Windows 2000域迁移到Windows Server 2003 域中。

 新的脚本接口。对于大多数常见的迁移工作，例如用户迁移、组迁移和计算机迁移，我们提供了新的脚本接口。ADMT现在可以通过任何语言驱动，并且支持COM接口，例如Visual Basic® Script、Visual Basic以及Visual C++®开发系统。

 命令行支持。脚本接口已经得到了扩展，以支持命令行。所有可以通过编写脚本来完成的工作都可以直接通过命令行或者批处理文件完成。

 安全性转换改进。安全性转换（例如在ACL内重新调配资源）得到了扩展。现在，源域可以在安全性转换运行的时候被脱离。ADMT还可以指定一个映射文件，并用该文件作为安全性转换的输入。

ADMT version 2 让用户向Active Directory的迁移工作变得简单了，而且提供了能够实现自动化迁移的更多选项。

特性 描述

应用程序目录分区Active Directory服务将允许用户创建新类型的命名上下文环境，或者分区（又称作应用程序分区）。该命名上下文环境可以包含除安全主体（用户、组和计算机）之外的各种类型对象的层次结构，而且能够被配置为复制森林中的任何域控制器集合，而不一定是相同域中的所有域控制器。

通过对复制范围和副本位置加以控制，本特性为用户提供了在Active Directory中托管动态数据的能力，而且不会对网络性能造成不利影响。

存储在应用程序分区中的集成化DNS区域 Active Directory 中的DNS区域可以在应用程序分区中存储和复制。通过使用应用程序分区存储DNS数据，减少了存储在全局编录中的对象数量。除此之外，当您在应用程序分区中存储DNS区域的时候，只有在应用程序分区中指定的部分域控制器会被复制。默认情况下，特定于DNS的应用程序分区仅仅包含那些运行DNS服务器的域控制器。此外，在应用程序分区中存储DNS区域使得DNS区域可以被复制到位于Active Directory森林其它域中充当DNS服务器的域控制器上。通过将DNS区域集成到应用程序分区中，我们可以限制需要复制的信息数量，并且降低复制所需的整体带宽。

得到改进的DirSync 控件 本特性改善了Active Directory对一个名为“DirSync”的LDAP控件的支持，该控件被用来从目录中获得发生了变化的信息。DirSync控件可以用来进行一些检查，这些检查类似于在正常的LDAP搜索上进行的检查。

功能级别 和Windows 2000的本机模式类似，本特性提供了一种版本控制机制，Active Directory的核心组件可以利用该机制确定域和森林中的每台域控制器都拥有那些功能特性。此外，本特性还可以用来防止Windows Server 2003以前的域控制器加入到一个全部使用Windows Server 2003的Active Directory特性的森林中。

取消架构属性和分类的激活状态 Active Directory已经得到了增强，以允许用户停用Active Directory架构中的某些属性和分类。如果原始定义中存在错误，属性和分类可以被重新定义。

在将属性或分类添加到架构中时，如果在设置一个永久性属性的时候发生了错误，停用操作将为用户提供了一种取代该定义的手段。本操作是可逆的，管理员可以撤销某个停用操作而不会产生任何不良的副作用。现在，管理员在管理Active Directory的架构方面拥有了更多的灵活性。

域的重命名本特性允许用户修改森林中现有域的DNS和（或）NetBIOS名称，同时保证经过修改的森林依然保持良好的组织结构。经过重新命名的域由它的域全局唯一ID（GUID）所代表，它的域安全ID（SID）并没有发生改变。此外，计算机的域成员关系也不会因为其所在域的名称发生变化而变化。

本特性没有包括对森林根域的修改。虽然森林的根域也可以被重命名，但是您不能指定一个其它的域来代替现有的根域而变成一个新的森林根。

域的重命名会导致服务中断，因为它要求重新启动所有的域控制器。域的重命名还需要被重命名域中的所有成员计算机都必须重新启动两次。虽然本特性为域的重命名提供了一种受支持的手段，但是它既没有被视作一种例行的IT操作，也没有成为例行操作的意图。

升级森林和域 Active Directory已经在安全性和应用程序支持方面添加了很多改进。在现有域或森林中运行Windows Server 2003操作系统的第一台域控制器得到升级之前，森林和域必须为这些新的功能特性做好准备。Adprep便是一个新的工具，用来帮助用户准备森林和域的升级。如果您是从Windows NT 40进行升级，或者在运行Windows Server 2003的服务器上执行Active Directory的全新安装，那么您不需要使用Adprep工具。

复制和信任监视 本功能允许管理员对域控制器之间是否成功地复制了信息加以监视。因为很多Windows组件（例如Active Directory复制）都依赖于域间的相互信任，本特性还为信任关系正确发挥作用提供了一种方法。

GC(全局编录)在域林中的第一台域控制器上是默认打开的，但是域林中的其他域控制器（是新域，不是指主域控制器的额外域控制器）默认是需要手动去勾选上才能打开的。如上图！

完成后即可新建用户了。

1、在开始菜单中依次单击“管理工具”→“配置您的服务器向导”菜单项。

2、打开“配置您的服务器向导”对话框。在欢迎对话框中单击依次单击“下一步”→“下一步”按钮。

3、配置向导检测网络设置和网络连接是否正常，如果没有发现问题则打开“服务器角色”对话框。在“服务器角色”列表中选中“域控制器”选项，并单击“下一步”按钮。

4、在打开的“选择总结”对话框中直接单击“下一步”按钮。单击“确定”按钮即可，如图所示。

5、打开“Active Directory安装向导”对话框，在欢迎对话框中单击“下一步”按钮。

6、在打开的“操作系统兼容性”对话框中，提示用户运行旧版本Windows 系统的客户端将无法登录到Windows Server 2003系统域中。单击“下一步”按钮。

7、打开“域控制器类型”对话框，在该对话框中需要指定这台Windows Server 2003系统服务器担任的角色。如果要创建一个全新的域，则必须选中“新域的域控制器”单选框，并单击“下一步”按钮。

8、在打开的“创建一个新域”对话框中，AD可以把域组织成域树，然后把域树组织成森林。如果要创建新域树中的第一个域，则需要选中“在新林中的域”单选框，并单击“下一步”按钮。

9、打开“新的域名”对话框，在“新域的DNS全名”编辑框中输入要使用的域名，并单击“下一步”按钮。

10、在打开的“NetBIOS域名”对话框中，需要为新域指定一个NetBIOS域名。默认情况下，安装向导会将域名中分隔符最左边的部分作为NetBIOS域名。可以保留默认值，并单击“下一步”按钮。

11、如果默认设置的NetBIOS域名与网络中其他计算机的名称相同，会提示计算机名称冲突，并自动重新设置NetBIOS域名。

12、打开“数据库和日志文件文件夹”对话框，在这里需要设置两个文件夹的路径。如果计算机中只安装一块硬盘系统，则可以保持默认路径，并单击“下一步”按钮。

13、稍等一段时间会打开“DNS注册诊断”对话框，在列出的诊断结果中可以看到出错提示。单击“下一步”按钮。

14、在打开的“权限”对话框中，需要设定用户和组对象的默认权限。其实这里所说的权限主要涉及到RAS的匿名登录问题。单击“下一步”按钮。

15、打开“目录服务还原模式的管理员密码”对话框，设置一组还原密码。单击“下一步”按钮。

16、在“摘要”对话框中确认所做的设置正确无误，单击“下一步”按钮开始安装AD。AD的安装过程较漫长，一般需要20～30分钟的时间。

17、安装结束后单击“完成”按钮，并根据提示重新启动计算机即可。

参考资料：

1、 win2012加域contosocom

2、 win2012加域重启后，安装AD角色管理工具

3、 安装中，经过短暂的几分钟后，安装完成。

4、 安装完成之后，接下来我们将要进行AD的扩展了，这里注意的是win2003是32位系统，不能使用64位的命令执行域扩展命令，于是我将Windows Server 2012的光盘加载到Win2012服务器上，并用命令定位到adprep 目录下，将命令提示符转到D盘的support/adprep目录，升级2003 AD Schema 林架构；

输入adprepexe /forestprep

5、 提示我们要保证林架构和域架构为windows server 2003以上版本，于是切换到win2003服务器，进行林架构和域架构的提升。在ad域和信任关系中，右键域名，提升域功能级别为windows server 2003模式。

6、 在右键选择域和信任关系，选择提升林功能级别为windows server 2003

7、 返回到win2012，继续进行林架构扩展adprepexe /forestprep,按C继续,等待扩展完成。

8、 升级2003 AD Schema 域架构； adprepexe /domainprep

9、 更新组策略对象权限；adprepexe /domainprep /gpprep

10、更新AD对RODC只读域控器的支持； adprepexe /rodcprep

11、至此AD的林和域架构升级成功，接下来要将Win2012提升域控，继续之前的步骤，点击将此服务器提升为域控制器。

12、在部署配置页面我们可以看到当前的服务器FQDN和当前的域名及当前用户。如需更改则在相应项后面点击进行更改即可。我们这里保持默认，点击下一步继续。

13、下一步，我们可以看到一个警告信息，详细信息，提示如果需要部署只读域控需有windows server 2008、2008R2或2012域控，因我们现在所安装的是辅助域控并非单独的只读域控，所以这个警告可以忽略。

14、下一步，又出现警告信息，无法创建DNS服务器委派，因当前服务器未安装DNS所致，后续会勾选自动安装，继续下一步。

15、指定要从哪台域控复制信息。当前环境只有一台Win2003 域控制器，可以选择win2003，也可以保持默认----从任何域控制器安装，这里我保持默认，下一步，继续。

16、数据库及其他文件夹保存位置，默认，下一步。

17、显示你的所有选项设置，确保无误后点击下一步继续。

18、所有检查条件都已通过，点击安装。

19、安装完后，自动重启电脑。

20、重新win2012后，打开AD用户和计算机，右键―contosocom, 操作主机。

21、依次对RID、PDC及基础结构都进行更改。

22、打开域和信任关系，右键---操作主机。

23、对域命名主机进行更改，点击更改，域命名主机就平滑的从win2003切换到了win2012服务器上。

24、在win2012服务器里面，点击开始运行，（注：我这里给win2012服务器装了个开始菜单插件）或直接调出命令行工具，输入:regsvr32 schmmgmtdll。

25、在运行窗口输入mmc，调出控制台管理工具，在点击文件---添加删除管理单元，添加AD架构。

26、右键----AD架构，选择更改AD域控制器。

27、选择win2012服务器，在点击确定，对当前连接的目录服务器win2003进行更改。

28、继续选择AD架构，我们注意到现在已经连接到win2012服务器了，点击操作主机。

29、点击更改，这样架构主机就从win2003转移到了win2012服务器。

30、打开AD站点和服务，选择win2003，取消win2003服务器的全局编录功能，因为我们最终的目的是要把win2003服务器退域，所以不要它担负任何角色。

31、更改后，刷新下状态，看到我们的win2003角色已经从GC变成了DC。

32、在命令行窗口，我们输入netdom query fsmo，看到我们的角色都已经更改为了win2012contosocom。

33、我们尝试提示下域功能级别到windows server 2012，提示域内有windows server 2003版本的域控存在，接下来我们把win2003域控退域。

34、win2003退域过程，漫长的等待。。。。。。

35、点击完成，这样win2003就降级为了域成员服务器，根据提示我们对win2003服务器进行重启。

36、将win2003和win2012的dns服务器首选地址都更改为win2012的IP，这个也是我们最新的2012域控的IP地址。（注：如果win2003的dns地址没有更改就重启的话，我们发现登录的过程很慢，这个是由于缓存的问题，更改dns指向最新的win2012后，我们可以发现登录的过程很快）

37、验证一下我们加域是否正常，并且是否目前已加域的计算机登录不受影响。我们把首先把win2012服务器重启，然后在把win2003退域计算机重命名为test并重新加域，使用账号ceshi1正常登录。

38、基本步骤都已经完成，客户端也登录正常，我们在检查下最新的windows server 2012的域控信息是否都已经准确了。右键win2012，转发器还是原来的192168150服务器，这里我们予以删除之，如果需要解析到外网，我们可以填写我们当地的dns服务器地址，我这里填写广东的dns, 20296128166,20296134133。

39、右键contosocom，起始授权机构显示的是最新的是最新的win2012,名称服务器选项里将win2003的记录予以删除。

40、右键_msdcscontosocom，起始授权机构显示的是最新的是最新的win2012,名称服务器选项里将win2003的记录予以删除。

41、右键反向查找区域，起始授权机构显示的是最新的是最新的win2012,名称服务器选项里将win2003的记录予以删除,并且将位置的IP地址更改为正确的。

42、更改后重启dns服务器。

43、AD站点和服务里面删除win2003服务器。

44、同时我们也注意到了win2012的dns服务器已经有了新加入的test计算机记录。

至此，win2003到win2012的域升级步骤就已经全部完成。