域控制器迁移的方法

运维 系统运维
对于域结构的网络来说,域控制器的重要性不言而喻。如果网络中唯一的域控制器突然崩溃,而事先也没有做好备份,那将是一场灾难。所以如果有条件的话,还是建议在网络中备有额外域控制器。本文就是详细介绍了域控制器迁移的具体实例。

域控制器包含了由域的账户、密码、属于这个域的计算机等信息构成的数据库,负责对整个Windows域以及域中的所有计算机进行管理。配置域控制器有利于对域中用户的集中配置管理,为网络共享资源提供安全保障。

对于域结构的网络来说,域控制器的重要性不言而喻。如果网络中唯一的域控制器突然崩溃,而事先也没有做好备份,那将是一场灾难。所以如果有条件的话,还是建议在网络中备有额外域控制器。在网络中的域服务器都会自动进行复制。如果一台机器坏掉的话,额外域控制器可以随时接管工作。此时的额外域控制器可以进行用户认证,登录等工作,但是为了正常的使用域资源,还需要将域控制器的5种角色转移到额外域控制器中。现在我们就以将WIN2003 SERVER域控制器的迁移为例,一起探讨一下具体步骤。

说明:单位中有一台WIN2003域服务器,由于该服务器硬件设备不是很好,需要将域控制器迁移至一台新机器中。同时,单位中使用的是动态IP地址,DHCP服务器也位于该机器上。

环境:机器1,主域控制器为dc.test.com,DNS服务器,DHCP服务器

网络属性为:IP :192.168.2.1/24

DNS:192.168.2.1

机器2,额外域控制器dc1.test.com

IP:192.168.2.2/24

采用方案:采用额外域的方法通过网络将活动目录数据转移到额外域控制器上,然后在额外域控制器上夺取活动目录的5种角色,最后再迁移DHCP服务器至额外域控制器上。

一、安装额外域控制器

1、在机器1上安装WIN2003 SERVER操作系统,安装好杀毒软件。

2、配置机器2的网络连接设置,使其DNS指向DNS服务器192.168.2.1。

3、将机器2加入域test.com中,重新启动机器。

4、在机器2上运行配置服务器向导,将机器2提升为test.com域的额外域控制器。重新启动机器并等待30分钟左右。

二、配置DNS服务器

1、在机器2上打开域共享目录,找到本计算机,打开,确保NETLOGON,SYSVOL系统卷已经成功共享。这表示这台机器已经成功的提升为额外域控制器。

2、在机器2上,利用[添加]/[删除]组件,添加DNS服务器。

3、打开DNS服务器,新建一正向查找区,然后启动DNS服务器。这时,额外域控制器会自动从主域控制器中复制DNS记录,等待20分钟左右。

三、转移Active Directory操作主机角色

当两台域控制器中的DNS记录完全同步完成以后,需要将活动目录的五种角色从dc上转移到dc1中。操作步骤如下:

1、在额外域控制器中打开命令行。

2、在命令行中依次敲击如下命令。

 

  1. Ntdsutil  
  2.  
  3. Roles  
  4.  
  5. Connections  
  6.  
  7. Connect to server dc1(连接到额外域控制器服务器上)  
  8.  
  9. Quit  
  10.  
  11. ?(打个问号可以看到有几条命令,依次打入后五条。在弹出的确认框中选择是即可)  
  12.  
  13. Transfer domain naming master  
  14.  
  15. Transfer infrastructure master  
  16.  
  17. Transfer PDC  
  18.  
  19. Transfer RID master  
  20.  
  21. Transfer schema master  
  22.  

 

这样,活动目录的5种角色就会转移到新的额外域控制器上。

四、更改全局编录

1、在额外域控制器上,打开[程序][管理工具][Active Directory站点和服务],依次展开Site------Default-First-Site-Naming--------Servers-------DC------Ntds-Settings 。

2、右键点击,在弹出的菜单中选择[属性],打开[NTDS Settings 属性]对话框,将“全局编录”的选中箭头去掉,然后确定。

3、在额外域控制器上,打开[程序][管理工具][Active Directory站点和服务],依次展开Site------Default-First-Site-Naming-------Servers-------DC1------Ntds-Settings 。

4、右键点击,在弹出的菜单中选择[属性],打开[NTDS Settings 属性]对话框,将“全局编录”单选框前面的勾打上。然后确定。

5、重新启动机器。

五、迁移DHCP服务器

1、在额外域控制器上利用[添加]/[删除]组件,安装DHCP服务器。

2、在主域控制器上,打开命令行,依次运行如下命令

 

  1. Netsh  
  2.  
  3. Dhcp  
  4.  
  5. Server  
  6.  
  7. Export c:\dhcpdb all  
  8.  

 

将DHCP的配置和数据文件导出来,并将该文件拷贝到额外域控制器的c盘。

3、在额外域控制器上在命令行中依次运行如下命令:

 

  1. Netsh  
  2.  
  3. Dhcp  
  4.  
  5. Server  
  6.  
  7. Impportc:\dhcpdb all  
  8.  

 

数据和配置信息已经成功的导入到服务器中。

4、在额外域控制器上,依次打开[程序][管理工具][DHCP],打开服务器,你将看到DHCP数据库的配置和数据都已经导入到服务器中。

5、在该DHCP服务器作用域选项中,将DNS的IP地址更改成该服务器的IP地址。

6、关闭主域控制器的DHCP服务,对额外域控制器上的DHCP服务器进行授权,然后重新启动DHCP服务器。

7、将额外域控制器的网络配置中,将DNS改成指向自己的服务器IP地址:192.168.2.2。

8、关闭主域控制器机器。重新启动额外域控制器。

六、附录

[名词解释]:

1、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色(又称FSMO):

架构主机 schema master

域命名主机 domain naming master

相对标识号 (RID) 主机 RID master

主域控制器模拟器 (PDCE)

基础结构主机 infrastructure master

而每种操作主机角色负担不同的工作,具有不同的功能:

2、Active Directory操作主机角色功能

架构主机:

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。

域命名主机:

具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:

向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID) 主机:

此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。 每一个Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这

些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机

PDCE :

主域控制器模拟器提供以下主要功能:

向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。

时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。

PDCE是基于域的,目录林中的每个域都有自己的PDCE。

基础结构主机:

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的

全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担

当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。

基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机

默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

3、全局编录:全局编录包含目录中每个 Windows 2000 域的部分副本,它是由 Active Directory 复制系统自动创建的。这样,只要给出目标对象的一个或几个属性,用户和应用程序就可以在 Active Directory 域目录树中找到这些对象。全局编录还包含目录分区的架构和配置。这就是说,全局编录存储 Active Directory 中每个对象的副本,但只存储它们的很少一部分属性。全局编录中的属性是搜索*作中那些最常使用的属性(如用户的名和姓、登录名等等),这些属性是查找对象完整副本位置所必需的。

使用这种公用信息,用户可以很快找到要找的对象,而无需知道这些对象在哪个域中,也不要求知道企业中相邻的扩展名称空间。如果在全局编录中找不到该对象,则搜索功能将查询本地域分区以获得信息。

域控制器的重要性对于大家来说是不言而喻的,所以在Active Directory中配置额外域控制器作为备份可做到万无一失的效果,而本文中队域控制器的迁移步骤做了详细的介绍,希望大家能够从本文中学到东西。

【编辑推荐】

  1. 域控制器降级基础知识
  2. windows 2003域控制器之无缝迁移
  3. 主域控制器的安装与配置步骤与方法
  4. 利用Active Directory标识和跟踪虚拟机
  5. windows2003域控制器升级和降级的图文教程
责任编辑:韩亚珊 来源: 互联网
相关推荐

2011-07-18 13:55:08

2011-07-08 09:21:01

域控制器主域控制器额外域控制器

2011-07-14 10:28:54

额外域控制器

2011-07-06 17:29:33

域控制器域控制器迁移

2011-07-13 09:00:59

域控制器Active Dire

2011-07-12 09:29:10

主域控制器备份域控制器

2011-07-07 09:44:32

域控制器DNS活动目录

2011-07-12 09:58:42

主域控制器备份域控制器

2011-07-20 10:06:27

域控制器AD

2011-07-13 14:06:15

域控制器服务器

2011-07-08 13:56:00

域控制器服务器

2011-07-14 08:49:16

域控制器

2011-07-18 10:54:57

根域控制器

2011-07-18 11:15:20

域控制器

2011-07-13 10:29:44

域控制器

2011-07-07 17:15:52

2022-02-10 16:43:35

汽车智能芯片

2011-07-06 16:23:17

主域控制器Active Dire

2017-12-15 15:15:55

域控制器网络设置网络迁移

2011-07-13 10:56:04

点赞
收藏

51CTO技术栈公众号