域控制器的迁移.docx

域控制器的迁移.docx

《域控制器的迁移.docx》由会员分享，可在线阅读，更多相关《域控制器的迁移.docx（19页珍藏版）》请在冰豆网上搜索。

域控制器的迁移

额外域升级主控域和它的FSMO五个角色夺取

网络环境：

DC+DNS

操作系统：

MicrosoftWindowsServer2003EER2

网卡信息：

IP：

10.10.10.1/24

首选DNS：

10.10.10.1

备用DNS：

10.10.10.2

DC+DNS

操作系统：

MicrosoftWindowsServer2003EER2

网卡信息：

IP：

10.10.10.2/24

首选DNS：

10.10.10.2

备用DNS：

10.10.10.1

一．额外域控制器建立

对于公司中的第一台域控制器的安装，在此我就不写了，以下为额外域控的安装。

先将DC2的IP设好，DNS设为DC1的IP，运行DCPROMO。

在如下图所示画面选“现有域的额外域控制器”

如果要提升为额外域控制器的这台电脑的本机管理员没有加密码，就会出现上图所示的错误信息。

安装完毕重启后,这样这台额外的域控制器就安装完成了。

但我们还要做些其它设定

1.

在DC1这台主域控上，打开DNS管理介面

选中正向区域的“_MSDCS.TEST.CN“，点右键属性，

确定打红线处的各项改为如上图所示，将DNS集成到AD中，便于管理和维护。

在“名称服务器”中将另外一台额外域控器添加进来。

点选“区域复制”，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。

依次在“TEST.CN”和反向解析区域“10.10.10.*subnet”做以上各步履，这样主域DNS服务器就设置完成。

在额外域控制器上安装DNS服务，安装完毕后，打开DNS管理器

DNS的正向和反向区域都已经建好了，和主域控上的DNS服务器上一内容是一样。

在这台电脑上现再和主控域上设置一样将各区域设置“允许区域复制”。

再将主域控的备用DNS地址填上额外域控的地址，相应的，将额外域控的首选DNS设为本身，备用DNS设为主域控的IP地址。

再将额外域控制器DC2本身设为“全局编录”

打开“ActiveDirectory站点和服务”，点选如图所示属性

将“全局编录”打勾，点确定退出。

网络就已经具备了AD的负载均衡。

这个时候，就算是主域DC1出现故障损坏，客户端（客户端首选和备用DNS各填写DC1和DC2的IP）依然可以正常登陆域和使用网络资源。

但是不能在额外域上对AD进行操作（比如进行Exchange和SMS2003的安装时圹展Schema）将其存为VBS文件，运行后。

如下图：

二．FSMO角色的转移。

须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。

1．SchemaMaste

在进行SCHEMAMASTE的图形下转移前，要先对schmmgmt注册。

点击“开始-运行”，输入:

“regsvr32空格schmmgmt.dll”，回车:

注册成功。

运行MMC，“添加/删除管理单元”，将“ActiveDirectory架构”添加进去。

在控制台上选中“ActiveDirectory架构”点击“右键”，选择“操作主机”

如下图所示，当前的架构主机是DC1。

点击“更改”出现提示“您确实要更改架构主机？

”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图：

2．RIDMaster、InfrastructureMaster、PDCEmulator

打开“ActiveDirectory用户和计算机”，选中“TEST.CN”域，右键选“操作主机”

在这里依次更改RIDMaster、InfrastructureMaster、PDCEmulator

3．DomainNamingMaster

打开“ActiveDirectory域和信任关系”管理器，在“ActiveDirectory域和信任关系”上点右键，选操作主机

在出现的新窗口上，点击更改。

图形界面夺取角色完毕！

！

！

三．FSMO角色的夺取。

当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。

以下是命令行的步骤

打红线的地方，是要注意的地方，“connectdomain域名（“这里是连接到域，实际中，将其改为公司的域名就可以了。

）

在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移（transfer）这是在线命令夺取方法。

这样就进入了正式夺取FSMO角色的关键步骤了，打入“？

”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmomaintenance：

”依次输入这五个命令就可以完成FSMO的五个角色的夺取。

1．Seizedomainnamingmaster

在出现的对话框点“是”

2．Seizeinfrastrurcturemaster

呵呵，出错了！

不过没关系，这是正常的，因为主域DC1不在线，所以在夺取时会有这个出错信息。

红线部份给出了索取继续，所以结构角色会夺取到DC2上，接下来的各个角色的夺取也会有这个出错信息。

3．SeizePDC

4．SeizeRIDmaster

5．Seizeschemamaster

OK，至此，FSMO的五个角色就全部夺取完成。

再次运行脚本程序或在图形方式下查看，五个角色都已在DC2服务器上。

四．删除损坏DC的信息

对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。

但在日志中，还是会有AD数据库复制信息出错的提示。

对于DC1由于损坏已不存在了，所以我们可以将DC1这台域控制器的想关信息删除。

1．ntdsutil命令行工具。

在DC2运行ntdsutil

以下是ntdsutil工具执行的步骤：

C:

\DocumentsandSettings\Administrator.TEST>ntdsutil

ntdsutil:

?

?

-显示这个帮助信息

Authoritativerestore-授权还原DIT数据库

ConfigurableSettings-管理可配置的设置

Domainmanagement-准备新域创建

Files-管理NTDS数据库文件

Help-显示这个帮助信息

LDAPpolicies-管理LDAP协议策略

Metadatacleanup-清理不使用的服务器的对象

Popups%s-用“on”或“off”启用或禁用弹出

Quit-退出实用工具

Roles-管理NTDS角色所有者令牌

Securityaccountmanagement-管理安全帐户数据库-复制SID清理

Semanticdatabaseanalysis-语法检查器

SetDSRMPassword-重置目录服务还原模式管理员帐户密码

ntdsutil:

metadatacleanup

metadatacleanup:

?

?

-显示这个帮助信息

Connections-连接到一个特定域控制器

Help-显示这个帮助信息

Quit-返回到上一个菜单

Removeselecteddomain-删除所选域的DS对象

RemoveselectedNamingContext-为定的命名上下文删除DS对象

Removeselectedserver-从所选服务器上删除DS对象

Removeselectedserver%s-从所选服务器上删除DS对象

Removeselectedserver%son%s-从所选服务器上删除DS对象

Selectoperationtarget-选择的站点，服务器，域，角色和命名上下文

metadatacleanup:

selectoperationtarget

selectoperationtarget:

connect

serverconnections:

connecttodomain

绑定到\\DC...

用本登录的用户的凭证连接\\DC。

serverconnections:

q

selectoperationtarget:

?

?

-显示这个帮助信息

Connections-连接到一个特定域控制器

Help-显示这个帮助信息

Listcurrentselections-列出当前的站点/域/务?

命名上下文

Listdomains-列出所有包含交叉引用的域

Listdomainsinsite-列出所选站点中的域

ListNamingContexts-列出已知命名上下文

Listrolesforconnectedserver-列出已连接的服务器已知的角色

Listserversfordomaininsite-列出所选域和站点中的服务器

Listserversinsite-列出所选站点中的服务器

Listsites-在企业中列出站点

Quit-返回到上一个菜单

Selectdomain域定为所选域

SelectNamingContext-使命名上下文为选定的命名上下文

Selectserver服务器定为所选服务器

Selectsite站点定为所选站点

selectoperationtarget:

listsites

找到1站点

0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn

selectoperationtarget:

selectsite0

站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn

没有当前域

没有当前服务器

当前的命名上下文

selectoperationtarget:

listdomainsinsite

找到1域

0-DC=test,DC=cn

selectoperationtarget:

selectdomain0

站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn

域-DC=test,DC=cn

没有当前服务器

当前的命名上下文

selectoperationtarget:

listserversfordomaininsite

找到2服务器

0-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=cn

1-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=cn

selectoperationtarget:

selectserver0

站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn

域-DC=test,DC=cn

服务器-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,

DC=test,DC=cn

DSA对象-CN=NTDSSettings,CN=DC1,CN=Servers,CN=Default-First-Site-Name

CN=Sites,CN=Configuration,DC=test,DC=cn

DNS主机名称-DC

计算机对象-CN=DC1,OU=DomainControllers,DC=test,DC=cn

当前的命名上下文

selectoperationtarget:

q

metadatacleanup:

?

?

-显示这个帮助信息

Connections-连接到一个特定域控制器

Help-显示这个帮助信息

Quit-返回到上一个菜单

Removeselecteddomain-删除所选域的DS对象

RemoveselectedNamingContext-为定的命名上下文删除DS对象

Removeselectedserver-从所选服务器上删除DS对象

Removeselectedserver%s-从所选服务器上删除DS对象

Removeselectedserver%son%s-从所选服务器上删除DS对象

Selectoperationtarget-选择的站点，服务器，域，角色和命名上下文

metadatacleanup:

removeselectedserver

点“是”后如下图所示：

2．ADSIEDIT

先安装SUPPORTTOOLS工具包，再运行adsiedit.msc打开后，找到如下图所示的位置:

在右边窗口查看是否有CN=DC1，有就将其删除。

3．Activedirectory站点和服务中删除DC1