域控制器遷移的方法
域控制器包含了由域的賬戶(hù)、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫(kù),負(fù)責(zé)對(duì)整個(gè)Windows域以及域中的所有計(jì)算機(jī)進(jìn)行管理。配置域控制器有利于對(duì)域中用戶(hù)的集中配置管理,為網(wǎng)絡(luò)共享資源提供安全保障。
對(duì)于域結(jié)構(gòu)的網(wǎng)絡(luò)來(lái)說(shuō),域控制器的重要性不言而喻。如果網(wǎng)絡(luò)中唯一的域控制器突然崩潰,而事先也沒(méi)有做好備份,那將是一場(chǎng)災(zāi)難。所以如果有條件的話(huà),還是建議在網(wǎng)絡(luò)中備有額外域控制器。在網(wǎng)絡(luò)中的域服務(wù)器都會(huì)自動(dòng)進(jìn)行復(fù)制。如果一臺(tái)機(jī)器壞掉的話(huà),額外域控制器可以隨時(shí)接管工作。此時(shí)的額外域控制器可以進(jìn)行用戶(hù)認(rèn)證,登錄等工作,但是為了正常的使用域資源,還需要將域控制器的5種角色轉(zhuǎn)移到額外域控制器中。現(xiàn)在我們就以將WIN2003 SERVER域控制器的遷移為例,一起探討一下具體步驟。
說(shuō)明:?jiǎn)挝恢杏幸慌_(tái)WIN2003域服務(wù)器,由于該服務(wù)器硬件設(shè)備不是很好,需要將域控制器遷移至一臺(tái)新機(jī)器中。同時(shí),單位中使用的是動(dòng)態(tài)IP地址,DHCP服務(wù)器也位于該機(jī)器上。
環(huán)境:機(jī)器1,主域控制器為dc.test.com,DNS服務(wù)器,DHCP服務(wù)器
網(wǎng)絡(luò)屬性為:IP :192.168.2.1/24
DNS:192.168.2.1
機(jī)器2,額外域控制器dc1.test.com
IP:192.168.2.2/24
采用方案:采用額外域的方法通過(guò)網(wǎng)絡(luò)將活動(dòng)目錄數(shù)據(jù)轉(zhuǎn)移到額外域控制器上,然后在額外域控制器上奪取活動(dòng)目錄的5種角色,最后再遷移DHCP服務(wù)器至額外域控制器上。
一、安裝額外域控制器
1、在機(jī)器1上安裝WIN2003 SERVER操作系統(tǒng),安裝好殺毒軟件。
2、配置機(jī)器2的網(wǎng)絡(luò)連接設(shè)置,使其DNS指向DNS服務(wù)器192.168.2.1。
3、將機(jī)器2加入域test.com中,重新啟動(dòng)機(jī)器。
4、在機(jī)器2上運(yùn)行配置服務(wù)器向?qū)В瑢C(jī)器2提升為test.com域的額外域控制器。重新啟動(dòng)機(jī)器并等待30分鐘左右。
二、配置DNS服務(wù)器
1、在機(jī)器2上打開(kāi)域共享目錄,找到本計(jì)算機(jī),打開(kāi),確保NETLOGON,SYSVOL系統(tǒng)卷已經(jīng)成功共享。這表示這臺(tái)機(jī)器已經(jīng)成功的提升為額外域控制器。
2、在機(jī)器2上,利用[添加]/[刪除]組件,添加DNS服務(wù)器。
3、打開(kāi)DNS服務(wù)器,新建一正向查找區(qū),然后啟動(dòng)DNS服務(wù)器。這時(shí),額外域控制器會(huì)自動(dòng)從主域控制器中復(fù)制DNS記錄,等待20分鐘左右。
三、轉(zhuǎn)移Active Directory操作主機(jī)角色
當(dāng)兩臺(tái)域控制器中的DNS記錄完全同步完成以后,需要將活動(dòng)目錄的五種角色從dc上轉(zhuǎn)移到dc1中。操作步驟如下:
1、在額外域控制器中打開(kāi)命令行。
2、在命令行中依次敲擊如下命令。
- Ntdsutil
- Roles
- Connections
- Connect to server dc1(連接到額外域控制器服務(wù)器上)
- Quit
- ?(打個(gè)問(wèn)號(hào)可以看到有幾條命令,依次打入后五條。在彈出的確認(rèn)框中選擇是即可)
- Transfer domain naming master
- Transfer infrastructure master
- Transfer PDC
- Transfer RID master
- Transfer schema master
這樣,活動(dòng)目錄的5種角色就會(huì)轉(zhuǎn)移到新的額外域控制器上。
四、更改全局編錄
1、在額外域控制器上,打開(kāi)[程序][管理工具][Active Directory站點(diǎn)和服務(wù)],依次展開(kāi)Site------Default-First-Site-Naming--------Servers-------DC------Ntds-Settings 。
2、右鍵點(diǎn)擊,在彈出的菜單中選擇[屬性],打開(kāi)[NTDS Settings 屬性]對(duì)話(huà)框,將“全局編錄”的選中箭頭去掉,然后確定。
3、在額外域控制器上,打開(kāi)[程序][管理工具][Active Directory站點(diǎn)和服務(wù)],依次展開(kāi)Site------Default-First-Site-Naming-------Servers-------DC1------Ntds-Settings 。
4、右鍵點(diǎn)擊,在彈出的菜單中選擇[屬性],打開(kāi)[NTDS Settings 屬性]對(duì)話(huà)框,將“全局編錄”單選框前面的勾打上。然后確定。
5、重新啟動(dòng)機(jī)器。
五、遷移DHCP服務(wù)器
1、在額外域控制器上利用[添加]/[刪除]組件,安裝DHCP服務(wù)器。
2、在主域控制器上,打開(kāi)命令行,依次運(yùn)行如下命令
- Netsh
- Dhcp
- Server
- Export c:\dhcpdb all
將DHCP的配置和數(shù)據(jù)文件導(dǎo)出來(lái),并將該文件拷貝到額外域控制器的c盤(pán)。
3、在額外域控制器上在命令行中依次運(yùn)行如下命令:
- Netsh
- Dhcp
- Server
- Impportc:\dhcpdb all
數(shù)據(jù)和配置信息已經(jīng)成功的導(dǎo)入到服務(wù)器中。
4、在額外域控制器上,依次打開(kāi)[程序][管理工具][DHCP],打開(kāi)服務(wù)器,你將看到DHCP數(shù)據(jù)庫(kù)的配置和數(shù)據(jù)都已經(jīng)導(dǎo)入到服務(wù)器中。
5、在該DHCP服務(wù)器作用域選項(xiàng)中,將DNS的IP地址更改成該服務(wù)器的IP地址。
6、關(guān)閉主域控制器的DHCP服務(wù),對(duì)額外域控制器上的DHCP服務(wù)器進(jìn)行授權(quán),然后重新啟動(dòng)DHCP服務(wù)器。
7、將額外域控制器的網(wǎng)絡(luò)配置中,將DNS改成指向自己的服務(wù)器IP地址:192.168.2.2。
8、關(guān)閉主域控制器機(jī)器。重新啟動(dòng)額外域控制器。
六、附錄
[名詞解釋]:
1、Active Directory操作主機(jī)角色概述
Active Directory 定義了五種操作主機(jī)角色(又稱(chēng)FSMO):
架構(gòu)主機(jī) schema master
域命名主機(jī) domain naming master
相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī) RID master
主域控制器模擬器 (PDCE)
基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master
而每種操作主機(jī)角色負(fù)擔(dān)不同的工作,具有不同的功能:
2、Active Directory操作主機(jī)角色功能
架構(gòu)主機(jī):
具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會(huì)從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機(jī)是基于目錄林的,整個(gè)目錄林中只有一個(gè)架構(gòu)主機(jī)。
域命名主機(jī):
具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC:
向目錄林中添加新域。
從目錄林中刪除現(xiàn)有的域。
添加或刪除描述外部目錄的交叉引用對(duì)象。
相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī):
此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個(gè)服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體(例如用戶(hù)、組或計(jì)算機(jī))時(shí),需要將 RID 與域范圍內(nèi)的標(biāo)識(shí)符相結(jié)合,以創(chuàng)建唯一的安全標(biāo)識(shí)符 (SID)。 每一個(gè)Windows 2000 DC 都會(huì)收到用于創(chuàng)建對(duì)象的 RID 池(默認(rèn)為 512)。RID 主機(jī)通過(guò)分配不同的池來(lái)確保這
些 ID 在每一個(gè) DC 上都是唯一的。通過(guò) RID 主機(jī),還可以在同一目錄林中的不同域之間移動(dòng)所有對(duì)象。
域命名主機(jī)是基于目錄林的,整個(gè)目錄林中只有一個(gè)域命名主機(jī)。相對(duì)標(biāo)識(shí)號(hào)(RID)主機(jī)是基于域的,目錄林中的每個(gè)域都有自己的相對(duì)標(biāo)識(shí)號(hào)(RID)主機(jī)
PDCE :
主域控制器模擬器提供以下主要功能:
向后兼容低級(jí)客戶(hù)端和服務(wù)器,允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE。每當(dāng) DC 驗(yàn)證密碼失敗后,它會(huì)與 PDCE 取得聯(lián)系,以查看該密碼是否可以在那里得到驗(yàn)證,也許其原因在于密碼更改還沒(méi)有被復(fù)制到驗(yàn)證 DC 中。
時(shí)間同步 — 目錄林中各個(gè)域的 PDCE 都會(huì)與目錄林的根域中的 PDCE 進(jìn)行同步。
PDCE是基于域的,目錄林中的每個(gè)域都有自己的PDCE。
基礎(chǔ)結(jié)構(gòu)主機(jī):
基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對(duì)象的一致性。當(dāng)引用另一個(gè)域中的對(duì)象時(shí),此引用包含該對(duì)象的
全局唯一標(biāo)識(shí)符 (GUID)、安全標(biāo)識(shí)符 (SID) 和可分辨的名稱(chēng) (DN)。如果被引用的對(duì)象移動(dòng),則在域中擔(dān)
當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會(huì)負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN。
基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的,目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)
默認(rèn),這五種FMSO存在于目錄林根域的第一臺(tái)DC(主域控制器)上,而子域中的相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī)、PDCE 、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺(tái)DC。
3、全局編錄:全局編錄包含目錄中每個(gè) Windows 2000 域的部分副本,它是由 Active Directory 復(fù)制系統(tǒng)自動(dòng)創(chuàng)建的。這樣,只要給出目標(biāo)對(duì)象的一個(gè)或幾個(gè)屬性,用戶(hù)和應(yīng)用程序就可以在 Active Directory 域目錄樹(shù)中找到這些對(duì)象。全局編錄還包含目錄分區(qū)的架構(gòu)和配置。這就是說(shuō),全局編錄存儲(chǔ) Active Directory 中每個(gè)對(duì)象的副本,但只存儲(chǔ)它們的很少一部分屬性。全局編錄中的屬性是搜索*作中那些最常使用的屬性(如用戶(hù)的名和姓、登錄名等等),這些屬性是查找對(duì)象完整副本位置所必需的。
使用這種公用信息,用戶(hù)可以很快找到要找的對(duì)象,而無(wú)需知道這些對(duì)象在哪個(gè)域中,也不要求知道企業(yè)中相鄰的擴(kuò)展名稱(chēng)空間。如果在全局編錄中找不到該對(duì)象,則搜索功能將查詢(xún)本地域分區(qū)以獲得信息。
域控制器的重要性對(duì)于大家來(lái)說(shuō)是不言而喻的,所以在Active Directory中配置額外域控制器作為備份可做到萬(wàn)無(wú)一失的效果,而本文中隊(duì)域控制器的遷移步驟做了詳細(xì)的介紹,希望大家能夠從本文中學(xué)到東西。
【編輯推薦】
