域控制器遷移的方法

1、域控制器遷移的方法對于域結(jié)構(gòu)的網(wǎng)絡(luò)來說，域控制器的重要性不言而喻。 如果網(wǎng)絡(luò)中唯一的域控制器突然崩潰, 而事先也沒有做好備份，那將是一場災(zāi)難。所以如果有條件的話，還是建議在網(wǎng)絡(luò)中備有額 外域控制器。本文就是詳細(xì)介紹了域控制器遷移的具體實例。AD: 2013大數(shù)據(jù)全球技術(shù)峰會課程 PPT下載域控制器包含了由域的賬戶、 密碼、屬于這個域的計算機(jī)等信息構(gòu)成的數(shù)據(jù)庫，負(fù)責(zé)對整個Windows域以及域中的所有計算機(jī)進(jìn)行管理。配置域控制器有利于對域中用戶的集中配 置管理，為網(wǎng)絡(luò)共享資源提供安全保障。對于域結(jié)構(gòu)的網(wǎng)絡(luò)來說， 域控制器的重要性不言而喻。如果網(wǎng)絡(luò)中唯一的域控制器突然 崩潰，而事先也沒有做好備份，

2、 那將是一場災(zāi)難。 所以如果有條件的話，還是建議在網(wǎng)絡(luò)中備有額外域控制器。在網(wǎng)絡(luò)中的域服務(wù)器都會自動進(jìn)行復(fù)制。如果一臺機(jī)器壞掉的話， 額外域控制器可以隨時接管工作。此時的額外域控制器可以進(jìn)行用戶認(rèn)證，登錄等工作，但是為了正常的使用域資源， 還需要將域控制器的5種角色轉(zhuǎn)移到額外域控制器中?，F(xiàn)在我們就以 將WIN2003 SERVERS控制器的遷移為例，一起探討一下具體步驟。說明：單位中有一臺 WIN2003域服務(wù)器，由于該服務(wù)器硬件設(shè)備不是很好，需要將域控制器遷移至一臺新機(jī)器中。同時，單位中使用的是動態(tài)IP地址，DHCP服務(wù)器也位于該機(jī)器上。環(huán)境：機(jī)器1,主域控制器為 ，DNS服務(wù)器，DHCfW

3、務(wù)器網(wǎng)絡(luò)屬性為：IP : /24DNS 機(jī)器2，額外域控制器IP : /24然后在采用方案：采用額外域的方法通過網(wǎng)絡(luò)將活動目錄數(shù)據(jù)轉(zhuǎn)移到額外域控制器上,額外域控制器上奪取活動目錄的5種角色，最后再遷移 DHCP服務(wù)器至額外域控制器上。一、安裝額外域控制器1、在機(jī)器1上安裝 WIN2003 SERVER操作系統(tǒng)，安裝好殺毒軟件。2、配置機(jī)器2的網(wǎng)絡(luò)連接設(shè)置，使其DNS旨向DNS服務(wù)器。3、將機(jī)器2加入域 中，重新啟動機(jī)器。4、在機(jī)器 2 上運行配置服務(wù)器向?qū)В?將機(jī)器 2 提升為 域的額外域控制器。 重 新啟

4、動機(jī)器并等待 30 分鐘左右。二、配置DNS服務(wù)器1、在機(jī)器2上打開域共享目錄，找到本計算機(jī)，打開，確保NETLOGQNSYSVO系統(tǒng)卷已經(jīng)成功共享。這表示這臺機(jī)器已經(jīng)成功的提升為額外域控制器。2、在機(jī)器2上，利用添加/刪除組件，添加DNS服務(wù)器。3、打開DNS服務(wù)器，新建一正向查找區(qū)，然后啟動DNS服務(wù)器。這時，額外域控制器會自動從主域控制器中復(fù)制 DNS己錄，等待20分鐘左右。三、轉(zhuǎn)移 Active Directory 操作主機(jī)角色dc 上當(dāng)兩臺域控制器中的 DNS己錄完全同步完成以后，需要將活動目錄的五種角色從轉(zhuǎn)移到 dc1 中。操作步驟如下：1、在額外域控制器中打開命令行。2、在命令行

5、中依次敲擊如下命令。1.Ntdsutil2.3.Roles4.5.Connections6.7.8.Connect to server dc1連接到額外域控制器服務(wù)器上)9.Quit10.11.12.?( 打個問號可以看到有幾條命令，依次打入后五條。在彈出的確認(rèn)框中選擇是即可13.Transfer domain naming master14.15.Transfer infrastructure master17.Transfer PDC19.Transfer RID master21.Transfer schema master2.展開這樣，活動目錄的 5 種角色就會轉(zhuǎn)移

6、到新的額外域控制器上。四、更改全局編錄1、在額外域控制器上，打開 程序 管理工具 Active Directory站點和服務(wù) ，依次SiteDefault-First-Site-NamingServersDCNtds-Settings2、右鍵點擊， 在彈出的菜單中選擇 屬性 ，打開 NTDS Settings屬性 對話框，將“全局編錄”的選中箭頭去掉，然后確定。3、在額外域控制器上，打開 程序 管理工具 Active Directory站點和服務(wù) ，依次展開SiteDefault-First-Site-NamingServersDC1Ntds-Settings4、右鍵點擊， 在彈出的菜單中選擇

7、 屬性 ，打開 NTDS Settings屬性 對話框，將“全局編錄”單選框前面的勾打上。然后確定。5、重新啟動機(jī)器。五、遷移DHCF服務(wù)器1、在額外域控制器上利用添加/刪除組件，安裝DHCP服務(wù)器。2、在主域控制器上，打開命令行，依次運行如下命令1.Netsh2.3.Dhcp4.5.Server6.7.Export c:dhcpdb all8.c 盤。將DHCP勺配置和數(shù)據(jù)文件導(dǎo)出來，并將該文件拷貝到額外域控制器的3、在額外域控制器上在命令行中依次運行如下命令：1.Netsh2.3.Dhcp4.5.Server6.7. Impportc:dhcpdb all8.數(shù)據(jù)和配置信息已經(jīng)成功的導(dǎo)入到

8、服務(wù)器中。4、在額外域控制器上， 依次打開 程序 管理工具 DHCP ，打開服務(wù)器，你將看到 DHCP數(shù)據(jù)庫的配置和數(shù)據(jù)都已經(jīng)導(dǎo)入到服務(wù)器中。IP 地址。5、在該DHCP服務(wù)器作用域選項中，將 DNS勺IP地址更改成該服務(wù)器的6、關(guān)閉主域控制器的 DHCP服務(wù)，對額外域控制器上的 DHCP服務(wù)器進(jìn)行授權(quán)，然后重新啟動DHCF服務(wù)器。7、將額外域控制器的網(wǎng)絡(luò)配置中，將DN敦成指向自己的服務(wù)器IP地址：192.168 22 。8、關(guān)閉主域控制器機(jī)器。重新啟動額外域控制器。六、附錄 名詞解釋 ：1、 Active Directory 操作主機(jī)角色概述Active Directory定義了五種操作主機(jī)

9、角色(又稱FSMO):架構(gòu)主機(jī) schema master域命名主機(jī) domain naming master相對標(biāo)識號 (RID) 主機(jī) RID master主域控制器模擬器 (PDCE)基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能：2、 Active Directory 操作主機(jī)角色功能架構(gòu)主機(jī)：具有架構(gòu)主機(jī)角色的 DC是可以更新目錄架構(gòu)的唯一DC。這些架構(gòu)更新會從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。架構(gòu)主機(jī)是基于目錄林的，整個目錄林中只有一個架構(gòu)主機(jī)。域命名主機(jī)：具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC

10、：向目錄林中添加新域。從目錄林中刪除現(xiàn)有的域。添加或刪除描述外部目錄的交叉引用對象。相對標(biāo)識號 (RID) 主機(jī)：此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體(例如用戶、組或計算機(jī))時，需要將 RID 與域范圍內(nèi)的標(biāo)識符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識符 (SID) 。 每一個 Windows 2000 DC 都會收到用于創(chuàng)建對象的RID 池(默認(rèn)為512)。 RID 主機(jī)通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。通過 RID 主機(jī)，還可以在同一目錄林中的不同域之間移動所有對象。域命名主機(jī)是基于目錄林的，整個目錄林中只有一個域命名主機(jī)

11、。相對標(biāo)識號(RID)主機(jī)是基于域的，目錄林中的每個域都有自己的相對標(biāo)識號(RID)主機(jī)PDCE：主域控制器模擬器提供以下主要功能：向后兼容低級客戶端和服務(wù)器， 允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到PDCE每當(dāng)DC驗證密碼失敗后， 它會與 PDCE 取得聯(lián)系， 以查看該密碼是否可以在那里得到驗證， 也許其原因在于密碼更改還沒有被復(fù)制到驗證DC 中。時間同步目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進(jìn)行同步。PDCE是基于域的，目錄林中的每個域都有自己的PD

12、CE?；A(chǔ)結(jié)構(gòu)主機(jī)：基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對象的一致性。當(dāng)引用另一個域中的對象時， 此引用包含該對象的全局唯一標(biāo)識符 (GUID) 、安全標(biāo)識符 (SID)和可分辨的名稱 (DN) 。如果被引用的對象移動，則在域中擔(dān)SID 和 DN。當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會負(fù)責(zé)更新該域中跨域?qū)ο笠弥械幕A(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)默認(rèn)，這五種F MSO存在于目錄林根域的第一臺DC （主域控制器）上，而子域中的相對標(biāo)識號（RID）主機(jī)、PDCE、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺DC3、全局編錄：全局編錄包含目錄中每個Windows 2000 域的部分副本，它是由 Active用戶和應(yīng)用Directory 復(fù)制系統(tǒng)自動創(chuàng)建的。 這樣， 只要給出目標(biāo)對象的一個或幾個屬性， 程序就可以在 Active Directory 域目錄樹中找到這些對象。 全局編錄還包含目錄分區(qū)的架 構(gòu)和配置。這就是說，全局編錄存儲 Active Directory 中每個對象的副本，但只存儲它們 的很少一部分屬性。 全局編錄中的屬性是搜索 *作中那些最常使用的屬性 （如用戶的名和姓、 登錄名等等），這些屬性是查找對象完整副本位置所必