域控制器包含了由域的账户、密码、属于这个域的计算机等信息构成的数据库,负责对整个Windows域以及域中的所有计算机进行管理。配置域控制器有利于对域中用户的集中配置管理,为网络共享资源提供安全保障。
对于域结构的网络来说,域控制器的重要性不言而喻。如果网络中唯一的域控制器突然崩溃,而事先也没有做好备份,那将是一场灾难。所以如果有条件的话,还是建议在网络中备有额外域控制器。在网络中的域服务器都会自动进行复制。如果一台机器坏掉的话,额外域控制器可以随时接管工作。此时的额外域控制器可以进行用户认证,登录等工作,但是为了正常的使用域资源,还需要将域控制器的5种角色转移到额外域控制器中。现在我们就以将WIN2003 SERVER域控制器的迁移为例,一起探讨一下具体步骤。
说明:单位中有一台WIN2003域服务器,由于该服务器硬件设备不是很好,需要将域控制器迁移至一台新机器中。同时,单位中使用的是动态IP地址,DHCP服务器也位于该机器上。
环境:机器1,主域控制器为dc.test.com,DNS服务器,DHCP服务器
网络属性为:IP :192.168.2.1/24
DNS:192.168.2.1
机器2,额外域控制器dc1.test.com
IP:192.168.2.2/24
采用方案:采用额外域的方法通过网络将活动目录数据转移到额外域控制器上,然后在额外域控制器上夺取活动目录的5种角色,最后再迁移DHCP服务器至额外域控制器上。
一、安装额外域控制器
1、在机器1上安装WIN2003 SERVER操作系统,安装好杀毒软件。
2、配置机器2的网络连接设置,使其DNS指向DNS服务器192.168.2.1。
3、将机器2加入域test.com中,重新启动机器。
4、在机器2上运行配置服务器向导,将机器2提升为test.com域的额外域控制器。重新启动机器并等待30分钟左右。
二、配置DNS服务器
1、在机器2上打开域共享目录,找到本计算机,打开,确保NETLOGON,SYSVOL系统卷已经成功共享。这表示这台机器已经成功的提升为额外域控制器。
2、在机器2上,利用[添加]/[删除]组件,添加DNS服务器。
3、打开DNS服务器,新建一正向查找区,然后启动DNS服务器。这时,额外域控制器会自动从主域控制器中复制DNS记录,等待20分钟左右。
三、转移Active Directory操作主机角色
当两台域控制器中的DNS记录完全同步完成以后,需要将活动目录的五种角色从dc上转移到dc1中。操作步骤如下:
1、在额外域控制器中打开命令行。
2、在命令行中依次敲击如下命令。
- Ntdsutil
- Roles
- Connections
- Connect to server dc1(连接到额外域控制器服务器上)
- Quit
- ?(打个问号可以看到有几条命令,依次打入后五条。在弹出的确认框中选择是即可)
- Transfer domain naming master
- Transfer infrastructure master
- Transfer PDC
- Transfer RID master
- Transfer schema master
这样,活动目录的5种角色就会转移到新的额外域控制器上。
四、更改全局编录
1、在额外域控制器上,打开[程序][管理工具][Active Directory站点和服务],依次展开Site------Default-First-Site-Naming--------Servers-------DC------Ntds-Settings 。
2、右键点击,在弹出的菜单中选择[属性],打开[NTDS Settings 属性]对话框,将“全局编录”的选中箭头去掉,然后确定。
3、在额外域控制器上,打开[程序][管理工具][Active Directory站点和服务],依次展开Site------Default-First-Site-Naming-------Servers-------DC1------Ntds-Settings 。
4、右键点击,在弹出的菜单中选择[属性],打开[NTDS Settings 属性]对话框,将“全局编录”单选框前面的勾打上。然后确定。
5、重新启动机器。
五、迁移DHCP服务器
1、在额外域控制器上利用[添加]/[删除]组件,安装DHCP服务器。
2、在主域控制器上,打开命令行,依次运行如下命令
- Netsh
- Dhcp
- Server
- Export c:\dhcpdb all
将DHCP的配置和数据文件导出来,并将该文件拷贝到额外域控制器的c盘。
3、在额外域控制器上在命令行中依次运行如下命令:
- Netsh
- Dhcp
- Server
- Impportc:\dhcpdb all
数据和配置信息已经成功的导入到服务器中。
4、在额外域控制器上,依次打开[程序][管理工具][DHCP],打开服务器,你将看到DHCP数据库的配置和数据都已经导入到服务器中。
5、在该DHCP服务器作用域选项中,将DNS的IP地址更改成该服务器的IP地址。
6、关闭主域控制器的DHCP服务,对额外域控制器上的DHCP服务器进行授权,然后重新启动DHCP服务器。
7、将额外域控制器的网络配置中,将DNS改成指向自己的服务器IP地址:192.168.2.2。
8、关闭主域控制器机器。重新启动额外域控制器。
六、附录
[名词解释]:
1、Active Directory操作主机角色概述
Active Directory 定义了五种操作主机角色(又称FSMO):
架构主机 schema master
域命名主机 domain naming master
相对标识号 (RID) 主机 RID master
主域控制器模拟器 (PDCE)
基础结构主机 infrastructure master
而每种操作主机角色负担不同的工作,具有不同的功能:
2、Active Directory操作主机角色功能
架构主机:
具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机:
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 (RID) 主机:
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。 每一个Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这
些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机
PDCE :
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。
时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE是基于域的,目录林中的每个域都有自己的PDCE。
基础结构主机:
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的
全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担
当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机
默认,这五种FMSO存在于目录林根域的第一台DC(主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。
3、全局编录:全局编录包含目录中每个 Windows 2000 域的部分副本,它是由 Active Directory 复制系统自动创建的。这样,只要给出目标对象的一个或几个属性,用户和应用程序就可以在 Active Directory 域目录树中找到这些对象。全局编录还包含目录分区的架构和配置。这就是说,全局编录存储 Active Directory 中每个对象的副本,但只存储它们的很少一部分属性。全局编录中的属性是搜索*作中那些最常使用的属性(如用户的名和姓、登录名等等),这些属性是查找对象完整副本位置所必需的。
使用这种公用信息,用户可以很快找到要找的对象,而无需知道这些对象在哪个域中,也不要求知道企业中相邻的扩展名称空间。如果在全局编录中找不到该对象,则搜索功能将查询本地域分区以获得信息。
域控制器的重要性对于大家来说是不言而喻的,所以在Active Directory中配置额外域控制器作为备份可做到万无一失的效果,而本文中队域控制器的迁移步骤做了详细的介绍,希望大家能够从本文中学到东西。
【编辑推荐】