域控制器遷移的方法

1、域控制器遷移的方法對于域結(jié)構(gòu)的網(wǎng)絡(luò)來說，域控制器的重要性不言而喻。如果網(wǎng)絡(luò)中唯一的域控制器突然崩潰，而事先也沒有做好備份，那將是一場災(zāi)難。所以如果有條件的話，還是建議在網(wǎng)絡(luò)中備有額 外域控制器。本文就是詳細(xì)介紹了域控制器遷移的具體實(shí)例。AD:2013大數(shù)據(jù)全球技術(shù)峰會(huì)課程 PPT下載域控制器包含了由域的賬戶、 密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫，負(fù)責(zé)對整個(gè)Windows域以及域中的所有計(jì)算機(jī)進(jìn)行管理。配置域控制器有利于對域中用戶的集中配置管理，為網(wǎng)絡(luò)共享資源提供安全保障。對于域結(jié)構(gòu)的網(wǎng)絡(luò)來說，域控制器的重要性不言而喻。如果網(wǎng)絡(luò)中唯一的域控制器突然崩潰，而事先也沒有做好備份，那將是一場災(zāi)

2、難。 所以如果有條件的話，還是建議在網(wǎng)絡(luò)中備有額外域控制器。在網(wǎng)絡(luò)中的域服務(wù)器都會(huì)自動(dòng)進(jìn)行復(fù)制。如果一臺機(jī)器壞掉的話，額外域控制器可以隨時(shí)接管工作。此時(shí)的額外域控制器可以進(jìn)行用戶認(rèn)證，登錄等工作，但是為了正常的使用域資源，還需要將域控制器的 5種角色轉(zhuǎn)移到額外域控制器中。現(xiàn)在我們就以將WIN2003 SERVERS控制器的遷移為例，一起探討一下具體步驟。說明：單位中有一臺 WIN2003域服務(wù)器，由于該服務(wù)器硬件設(shè)備不是很好， 需要將域控 制器遷移至一臺新機(jī)器中。同時(shí)，單位中使用的是動(dòng)態(tài)IP地址，DHCP服務(wù)器也位于該機(jī)器上。環(huán)境：機(jī)器1,主域控制器為 ，DNS服務(wù)器，DHCF服務(wù)器網(wǎng)絡(luò)屬性為

3、：IP : 192.168.2.1/24DNS 192.16821機(jī)器2，額外域控制器IP : 192.168.2.2/24采用方案：采用額外域的方法通過網(wǎng)絡(luò)將活動(dòng)目錄數(shù)據(jù)轉(zhuǎn)移到額外域控制器上，然后在額外域控制器上奪取活動(dòng)目錄的5種角色，最后再遷移 DHCP服務(wù)器至額外域控制器上。一、安裝額外域控制器1、在機(jī)器1上安裝 WIN2003 SERVER操作系統(tǒng)，安裝好殺毒軟件。2、 配置機(jī)器2的網(wǎng)絡(luò)連接設(shè)置，使其 DNS旨向DNS服務(wù)器192.168.2.1 。3、將機(jī)器2加入域 中，重新啟動(dòng)機(jī)器。4、在機(jī)器 2 上運(yùn)行配置服務(wù)器向?qū)В?將機(jī)器 2 提升為 域的額外域控制器。 重 新啟動(dòng)機(jī)器并等待

4、 30 分鐘左右。二、配置DNS服務(wù)器1、 在機(jī)器2上打開域共享目錄，找到本計(jì)算機(jī)，打開，確保NETLOGQNSYSVO系統(tǒng)卷 已經(jīng)成功共享。這表示這臺機(jī)器已經(jīng)成功的提升為額外域控制器。2、在機(jī)器2上，利用添加/刪除組件，添加DNS服務(wù)器。3、 打開DNS服務(wù)器，新建一正向查找區(qū)，然后啟動(dòng)DNS服務(wù)器。這時(shí)，額外域控制器會(huì)自動(dòng)從主域控制器中復(fù)制DNS記錄，等待20分鐘左右。三、轉(zhuǎn)移 Active Directory 操作主機(jī)角色當(dāng)兩臺域控制器中的 DNS記錄完全同步完成以后，需要將活動(dòng)目錄的五種角色從de上轉(zhuǎn)移到 dc1 中。操作步驟如下：1、在額外域控制器中打開命令行。2、在命令行中依次敲擊

5、如下命令。1. Ntdsutil2.2. Roles4.3. Conneetions6.4. Conneet to server de1 （連接到額外域控制器服務(wù)器上）8.9. Quit10.11. ?（ 打個(gè)問號可以看到有幾條命令，依次打入后五條。在彈出的確認(rèn)框中選擇是即可 ）12.12. Transfer domain naming master14.13. Transfer infrastrueture master16.14. Transfer PDC18.15. Transfer RID master20.21. Transfer sehema master22.這樣，活動(dòng)目錄的 5

6、 種角色就會(huì)轉(zhuǎn)移到新的額外域控制器上。四、更改全局編錄1、在額外域控制器上，打開 程序 管理工具 Active Directory 站點(diǎn)和服務(wù) ，依次 展開SiteDefault-First-Site-NamingServersDCNtds-Settings2、 右鍵點(diǎn)擊，在彈出的菜單中選擇屬性，打開NTDS Settings屬性對話框，將“全 局編錄”的選中箭頭去掉，然后確定。3、 在額外域控制器上，打開 程序 管理工具 Active Directory 站點(diǎn)和服務(wù) ，依次 展開SiteDefault-First-Site-NamingServersDC1Ntds-Settings4、 右鍵

7、點(diǎn)擊，在彈出的菜單中選擇屬性，打開NTDS Settings屬性對話框，將“全 局編錄”單選框前面的勾打上。然后確定。5、重新啟動(dòng)機(jī)器。五、遷移DHCP服務(wù)器1、 在額外域控制器上利用添加/刪除組件，安裝DHCP服務(wù)器。2、在主域控制器上，打開命令行，依次運(yùn)行如下命令1. Netsh2.2. Dhcp4.3. Server6.4. Export c:dhcpdb all8.將DHCF的配置和數(shù)據(jù)文件導(dǎo)出來,并將該文件拷貝到額外域控制器的c盤。3、在額外域控制器上在命令行中依次運(yùn)行如下命令：1. Netsh2.2. Dhcp4.5. Server6.7. Impportc:dhcpdb all8

8、.數(shù)據(jù)和配置信息已經(jīng)成功的導(dǎo)入到服務(wù)器中。4、在額外域控制器上， 依次打開 程序 管理工具 DHCP ，打開服務(wù)器， 你將看到 DHCP 數(shù)據(jù)庫的配置和數(shù)據(jù)都已經(jīng)導(dǎo)入到服務(wù)器中。5、 在該DHCP服務(wù)器作用域選項(xiàng)中，將DNS的IP地址更改成該服務(wù)器的IP地址。6、 關(guān)閉主域控制器的DHCP服務(wù)，對額外域控制器上的DHCP服務(wù)器進(jìn)行授權(quán)，然后重新啟動(dòng)DHC用艮務(wù)器。7、 將額外域控制器的網(wǎng)絡(luò)配置中，將DN敦成指向自己的服務(wù)器IP地址：192.168.2.2 。8、關(guān)閉主域控制器機(jī)器。重新啟動(dòng)額外域控制器。六、附錄 名詞解釋 ：1 、 Active Directory 操作主機(jī)角色概述Active

9、 Directory定義了五種操作主機(jī)角色(又稱FSMO):架構(gòu)主機(jī) schema master域命名主機(jī) domain naming master相對標(biāo)識號 (RID) 主機(jī) RID master主域控制器模擬器 (PDCE)基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能:2、Active Directory 操作主機(jī)角色功能架構(gòu)主機(jī):具有架構(gòu)主機(jī)角色的 DC是可以更新目錄架構(gòu)的唯一DC。這些架構(gòu)更新會(huì)從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。個(gè)架構(gòu)主機(jī)。架構(gòu)主機(jī)是基于目錄林的，整個(gè)目錄林中只有域命名主機(jī)：具有域命名主機(jī)角色的 D

10、C 是可以執(zhí)行以下任務(wù)的唯一 DC：向目錄林中添加新域。從目錄林中刪除現(xiàn)有的域。添加或刪除描述外部目錄的交叉引用對象。相對標(biāo)識號 (RID) 主機(jī)：此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個(gè)服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主 體(例如用戶、組或計(jì)算機(jī))時(shí)，需要將 RID 與域范圍內(nèi)的標(biāo)識符相結(jié)合，以創(chuàng)建唯一的 安全標(biāo)識符 (SID) 。 每一個(gè) Windows 2000 DC 都會(huì)收到用于創(chuàng)建對象的 RID 池(默認(rèn)為 512)。 RID 主機(jī)通過分配不同的池來確保這些 ID 在每一個(gè) DC 上都是唯一的。通過 RID 主機(jī)，還可以在同一目錄林中的不同域 之間移動(dòng)所有對象。域命名主機(jī)是

11、基于目錄林的，整個(gè)目錄林中只有一個(gè)域命名主機(jī)。相對標(biāo)識號(RID)主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的相對標(biāo)識號(RID)主機(jī)PDCE：主域控制器模擬器提供以下主要功能：向后兼容低級客戶端和服務(wù)器， 允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE每當(dāng)DC驗(yàn)證密 碼失敗后， 它會(huì)與 PDCE 取得聯(lián)系， 以查看該密碼是否可以在那里得到驗(yàn)證， 也許其原因在 于密碼更改還沒有被復(fù)制到驗(yàn)證 DC 中。時(shí)間同步 目錄林中各個(gè)域的 PDCE 都會(huì)與目錄林的根域中的 PDCE 進(jìn)行同

12、步。PDCE是基于域的，目錄林中的每個(gè)域都有自己的PDCE基礎(chǔ)結(jié)構(gòu)主機(jī)：基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對象的一致性。 當(dāng)引用另一個(gè)域中的對象時(shí)， 此引用包 含該對象的全局唯一標(biāo)識符 (GUID) 、安全標(biāo)識符 (SID) 和可分辨的名稱 (DN) 。如果被引用的對 象移動(dòng)，則在域中擔(dān)當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會(huì)負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN?；A(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)默認(rèn)，這五種F MSO存在于目錄林根域的第一臺DC （主域控制器）上，而子域中的相對標(biāo)識號（RID）主機(jī)、PDCE、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺DC3、全局編錄：全局編錄包含目錄中每個(gè)Windows 2000 域的部分副本，它是由 ActiveDirectory 復(fù)制系統(tǒng)自動(dòng)創(chuàng)建的。 這樣， 只要給出目標(biāo)對象的一個(gè)或幾個(gè)屬性， 用戶和應(yīng)用 程序就可以在 Active Directory 域目錄樹中找到這些對象。 全局編錄還包含目錄分區(qū)的架 構(gòu)和配置。這就是說，全局編錄存儲 Active Directory 中每個(gè)對象的副本，但只存儲它們 的很少一部分屬性。 全局編錄中的屬性是搜索 *作中那些最常使用的屬性 （如用戶的名和姓、 登錄名等等），這些屬性是查找對象完整副本位置所必需的