最近挺忙的,忙着工作,學習。現在才知道學習是一個痛苦的過程。
幾天前做過這樣一個工作,將公司域控制器從舊的服務器上遷移到新的服務器上,目的就是爲了給域控做一下硬件的升級。這個任務很艱鉅的,我從沒有做過這樣的事,覺得特別有意思。經過同事的指點,我慢慢的開始小心翼翼的進行工作。工作完成的很順利,但也有些不足的地方,印象很是深刻,覺得有必要將它留在51cto上與大家分享。下面是環境圖:
環境並不複雜,域控系統爲windows 2008 R2 ,DNS、DHCP服務寄存在域控上。也就是說這並不單單是遷移域控的事情了,還要將DNS、DHCP服務同時遷移過去。呵呵,不過這都不是難題,我馬上爲大家呈現解決辦法。解決這些問題的辦法我簡單做了一下彙總:
1、 升級新服務器爲額外域控制器,同時添加DNS角色,添加DHCP角色。
2、 轉移域控五大角色。
3、 卸載域控。
4、 斷開域控DHCP服務,授權新域控的DHCP服務,防止兩個服務出現衝突。
完成這幾步後就可以大膽的將舊的服務器關閉掉,原先的備份服務器就已經完全作爲新的域控制器工作了。
首先將新服務器作爲域控的備份服務器加入test.com域,過程中需要將DNS服務同時轉移到備份服務器上面就可以解決DNS的遷移問題了。添加DHCP角色,但不要做任何配置,因爲作爲域控的備份服務器DHCP也會被自動導入域控的DHCP配置。這裏不做過多的拗述了。
作爲域控制器是因爲它兼有五大角色,分別是PDC主機,RID主機,結構主機,域命名主機和架構主機,五大角色是域控特有的,其各自的屬性特徵這裏不做闡述。首先我們登錄域控服務器,打開服務器管理臺,選擇“角色”,找到“AD用戶和計算機”,右鍵服務器屬性,“更改域控制器”如下圖:選擇將要繼承域控職責的BDC作爲當前服務器。
然後在服務器右鍵選擇“操作主機”,我們看到域控的三個角色,RID主機、PDC主機和基礎結構。當前的操作主機是PDC,要傳遞的主機是BDC,不用想了馬上更改。其它的兩個角色也使用同樣的配置,給改主機爲BDC。
然後修改全局編錄服務器,點擊站點服務器,找到services下的兩個服務器,如下圖點擊PDC屬性,去掉它的全局編錄的屬性,即可。
接下來更改域名控制主機,找到AD域和信任關係,右鍵點擊“屬性”更改域控制器,在更改操作主機。如下圖。
下面是比較困難的更改AD的架構主機了,首先我們進入命令模式,先要註冊一個鏈接庫文件,如下輸入:“regesvr32 schmmgmt.dll”然後回車,註冊成功。
現在添加AD架構,來更改域控的架構主機,如下圖:
使用以上更改主機方法更改架構主機,卻是要求我們使用famo模式更改,因爲架構主機對於域控制器非常重要,它同時是林級別的服務,安全性要求是比較高的。
使用ntdstuil命令進入更改模式,使用roles命令進入更改角色的模式,connections命令進入服務器連接模式,連接命令爲
connect to server BDC 連接到BDC服務器,然後quit 退出該模式,因爲已經鎖定BDC服務器。
使用“?”查看當前命令提示,其中使用“transfer”命令的有五條,他們全部是轉移五大角色的命令,此命令只有在兩服務器全部在線的情況下有效,如果脫機情況下,備份控制器就只有使用“size”命令來強行將角色轉移到本機。我們在這裏選擇最後一條命令
“transfer schema master ”轉移架構主機角色。
如下圖所示,架構主機角色成功完成轉移。
我們查詢一下AD架構,看看其是否已經完成轉移。如下,架構主機的運行服務器已經更改爲BDC服務器,轉移成功。
當角色完全轉移後就可以卸載PDC了,這裏有兩個問題,如果PDC是正常運行的就可以使用正常卸載,但是當PDC和BDC無法正常複製的話那就只有使用強制卸載了,命令是dcpromo /forceremoveal這個是在迫不得已的情況下使用的方法。因爲使用這個方法將會是你進行後續的清理工作,例如:清理AD數據,清理其DNS的SRV記錄,adsiedit.msc中清理domain controller中的舊的DC記錄。但是這樣子清理也不是徹底的,還需要使用ntdsutil命令連接到域內的需要刪除的服務器進行鎖定,然後刪除即可。這樣子很麻煩的,我就是用了這樣子的方法,一步一步終於清理完成域控的殘餘數據。因爲當時的疏忽,過早的卸載了PDC的域控,所以造成兩個服務器無法進行正常的數據複製,所以我才被迫採用此下策。如果條件允許,希望朋友們不要這樣操作。
再重啓服務器之前,請啓用新域控的即BDC的DHCP服務,授權給予激活,即可使用。
遷移奪權行動就此完成,如果有朋友覺得我有做的不對的地方,請加以指正。