《域控制器的迁移.》由会员分享,可在线阅读,更多相关《域控制器的迁移.(19页珍藏版)》请在金锄头文库上搜索。
1、 额外域升级主控域和它的FSMO五个角色夺取网络环境:DC+DNS操作系统:Microsoft Windows Server 2003 EE R2网卡信息:IP:10.10.10.1/24首选DNS:10.10.10.1备用DNS:10.10.10.2DC+DNS操作系统:Microsoft Windows Server 2003 EE R2网卡信息:IP:10.10.10.2/24首选DNS:10.10.10.2备用DNS:10.10.10.1一额外域控制器建立对于公司中的第一台域控制器的安装,在此我就不写了,以下为额外域控的安装。先将DC2的IP设好,DNS设为DC1的IP,运行DCPRO
2、MO。在如下图所示画面选“现有域的额外域控制器”如果要提升为额外域控制器的这台电脑的本机管理员没有加密码,就会出现上图所示的错误信息。安装完毕重启后,这样这台额外的域控制器就安装完成了。但我们还要做些其它设定1.在DC1这台主域控上,打开DNS管理介面选中正向区域的“_MSDCS.TEST.CN“,点右键属性,确定打红线处的各项改为如上图所示,将DNS集成到AD中,便于管理和维护。在“名称服务器”中将另外一台额外域控器添加进来。点选“区域复制”,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。依次在“TEST.CN”和反向解析区域“10.10.10.* subn
3、et”做以上各步履,这样主域DNS服务器就设置完成。在额外域控制器上安装DNS服务,安装完毕后,打开DNS管理器DNS的正向和反向区域都已经建好了,和主域控上的DNS服务器上一内容是一样。在这台电脑上现再和主控域上设置一样将各区域设置“允许区域复制”。再将主域控的备用DNS地址填上额外域控的地址,相应的,将额外域控的首选DNS设为本身,备用DNS设为主域控的IP地址。再将额外域控制器DC2本身设为“全局编录”打开“Active Directory站点和服务”,点选如图所示属性将“全局编录”打勾,点确定退出。网络就已经具备了AD的负载均衡。这个时候,就算是主域DC1出现故障损坏,客户端(客户端首
4、选和备用DNS各填写DC1和DC2的IP)依然可以正常登陆域和使用网络资源。但是不能在额外域上对AD进行操作(比如进行Exchange和SMS2003的安装时圹展Schema)将其存为VBS文件,运行后。如下图:二FSMO角色的转移。须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法,以下操作都是在额外域控制器DC2上进行。1Schema Maste在进行SCHEMA MASTE的图形下转移前,要先对schmmgmt注册。点击“开始-运行”,输入:“regsvr32空格 schmmgmt.dll”,回车:注册成功。运行MMC,“添加/删除管理单元”,将“A
5、ctive Directory架构”添加进去。在控制台上选中“Active Directory架构”点击“右键”,选择“操作主机”如下图所示,当前的架构主机是DC1。点击“更改”出现提示“您确实要更改架构主机?”,点确定,出面成功传送了操作主机,且当前架构主机已经变为DC2了,如下图:2RID Master、Infrastructure Master、PDC Emulator打开“Active Directory用户和计算机”,选中“TEST.CN”域,右键选“操作主机”在这里依次更改RID Master、Infrastructure Master、PDC Emulator3Domain Na
6、ming Master打开“Active Directory域和信任关系”管理器,在“Active Directory域和信任关系”上点右键,选操作主机在出现的新窗口上,点击更改。图形界面夺取角色完毕!三FSMO角色的夺取。当在主域控制器DC1出现故障损坏的情况下,对于FSMO的角色就不能进行转移了,这时就只能强行夺取了,需要用到ntdsutil命令行工具。以下是命令行的步骤打红线的地方,是要注意的地方,“connect domain 域名 (“这里是连接到域,实际中,将其改为公司的域名就可以了。)在此由于DC1主域损坏不在线,所以只能用夺取(seize)而不能转移(transfer)这是在线
7、命令夺取方法。这样就进入了正式夺取FSMO角色的关键步骤了,打入“?”号,查看帮助,以Seize开头的FSMO五个角色命令都显示出来了,接下来我们只须在“fsmo maintenance:”依次输入这五个命令就可以完成FSMO的五个角色的夺取。1Seize domain naming master在出现的对话框点“是”2Seize infrastrurcture master呵呵,出错了!不过没关系,这是正常的,因为主域DC1不在线,所以在夺取时会有这个出错信息。红线部份给出了索取继续,所以结构角色会夺取到DC2上,接下来的各个角色的夺取也会有这个出错信息。3Seize PDC4Seize R
8、ID master5Seize schema masterOK,至此,FSMO的五个角色就全部夺取完成。再次运行脚本程序或在图形方式下查看,五个角色都已在DC2服务器上。四删除损坏DC的信息对于网络中DC1损坏,虽然经过以上的FSMO角色夺取到DC2上后,整个域已可以正常使用。但在日志中,还是会有AD数据库复制信息出错的提示。对于DC1由于损坏已不存在了,所以我们可以将DC1这台域控制器的想关信息删除。1ntdsutil命令行工具。在DC2运行ntdsutil以下是ntdsutil工具执行的步骤:C:Documents and SettingsAdministrator.TESTntdsuti
9、lntdsutil: ? - 显示这个帮助信息Authoritative restore - 授权还原 DIT 数据库Configurable Settings - 管理可配置的设置Domain management - 准备新域创建Files - 管理 NTDS 数据库文件Help - 显示这个帮助信息LDAP policies - 管理 LDAP 协议策略Metadata cleanup - 清理不使用的服务器的对象Popups %s - 用“on”或“off” 启用或禁用弹出Quit - 退出实用工具Roles - 管理 NTDS 角色所有者令牌Security account mana
10、gement - 管理安全帐户数据库 - 复制 SID 清理Semantic database analysis - 语法检查器Set DSRM Password - 重置目录服务还原模式管理员帐户密码ntdsutil: metadata cleanupmetadata cleanup: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Remove selected domain - 删除所选域的 DS 对象Remove selected Naming Context - 为定的命名上下文删除 DS 对象Re
11、move selected server - 从所选服务器上删除 DS 对象Remove selected server %s - 从所选服务器上删除 DS 对象Remove selected server %s on %s - 从所选服务器上删除 DS 对象Select operation target - 选择的站点,服务器,域,角色和命名上下文metadata cleanup: select operation targetselect operation target: connectserver connections: connect to domain 绑定到 DC .用本登录的
12、用户的凭证连接 DC。server connections: qselect operation target: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息List current selections - 列出当前的站点/域/务?命名上下文List domains - 列出所有包含交叉引用的域List domains in site - 列出所选站点中的域List Naming Contexts - 列出已知命名上下文List roles for connected server - 列出已连接的服务器已知的角色List serv
13、ers for domain in site - 列出所选域和站点中的服务器List servers in site - 列出所选站点中的服务器List sites - 在企业中列出站点Quit - 返回到上一个菜单Select domain 域定为所选域Select Naming Context - 使命名上下文为选定的命名上下文Select server 服务器定为所选服务器Select site 站点定为所选站点select operation target: list sites找到 1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnselect operation target: select site 0站点 - CN=Default-Fi
