windows server2003_域服务器更换硬盘迁移的问题
域服务器迁移方案一:找了一台普通的机器,装server 2003 ,加入域,然后配置成备份域服务器。域数据copy 完成后, 关闭主服务器,然后安装本地的服务器dhcp 和dns ,再参照下面升级备份
域服务器迁移
方案一:
找了一台普通的机器,装server 2003 ,加入域,然后配置成备份域服务器。域数据copy 完成后, 关闭主服务器,然后安装本地的服务器dhcp 和dns ,再参照下面升级备份域服务器为主域服务器,按照提示重启什么的。
然后老的机器更换硬盘,重装,再和前面操作一样,配置成备份域服务器,在关闭主服务器的情况下,再次升级备份域服务器为主域服务器。
(在这个过程中可能会有IP 地址变更,和迁移当中DNS 报错的情况,根据提示,把DNS 里面一些错误的配置信息更改掉就可以了。)
AD 恢复主域控制器
本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
-------------------------------
目录
Active Directory操作主机角色概述
环境分析
从AD 中清除主域控制器DC-01.test.com 对象
在额外域控制器上通过ntdsutil.exe 工具执行夺取五种FMSO操作 设置额外域控制器为GC(全局编录)
重新安装并恢复损坏主域控制器 附:用于检测AD 中五种操作主机角色的脚本 ---------------------------
一、Active Directory操作主机角色概述
Active Directory 定义了五种操作主机角色(又称FSMO):
架构主机 schema master
具有架构主机角色的 DC 是可以更新目录架构的唯一DC 。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机 domain naming master
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象。 相对标识号(RID)主机 RID master
主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。 每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机。
,主域控制器模拟器 (PDCE)
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE 。每当 DC 验证密码失败后,它会与 PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证 DC 中。 时间同步—目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。
PDCE 是基于域的,目录林中的每个域都有自己的PDCE 。
基础结构主机 infrastructure master
基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时,此引用包含该对象的全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动,则在域中担当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。
基础结构主机是基于域的,目录林中的每个域都有自己的基础结构主机默认,这五种FMSO存在于目录林根域的第一台DC (主域控制器)上,而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC 。 ---------------------------------------
二、环境分析
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC 。
---------------------------
三、从AD 中清除主域控制器DC-01.test.com 对象
3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe 工具把主域控制器(DC-01.test.com)从AD中删除;
c:>ntdsutil
ntdsutil: metadata cleanup
metadata cleanup: select operation target
select operation target: connections
server connections: connect to domain test.com
server connections:quit
select operation target: list sites
Found 1 site(s)
0 -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0
Site -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
Found 1 domain(s)
,0 - DC=test,DC=com
select operation target: select domain 0
Site -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 2 server(s)
0 -
CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
1 -
CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
metadata cleanup:Remove selected server
出现对话框,按“确定“删除DC-01主控服务器。
metadata cleanup:quit
ntdsutil: quit
3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象,
ADSI EDIT 是Windows 2000 support tools 中的工具,你需要安装Windows 2000 support tool ,安装程序在windows 2000光盘中的support ools 目录下。先把adsi edit.msc 和adsiedit.dll 拷到system32下﹐再運行regsvr32
adsiedit.dll ﹐再用mmc 添加adsi ﹐再在adsi 中connect domain nc, 打开ADSI EDIT 工具,展开Domain NC[DC-02.test.com],展开OU=Domain controllers,右击CN=DC-01,然后选择Delete ,把DC-01服务器对象删除,如图1:
3.3 在Active Directory Sites and Service中删除DC-01服务器对象
打开Administrative tools中的Active Directory Sites and Service,展开Sites ,展开Default-First-Site-Name ,展开Servers ,右击DC-01,选择Delete ,单击Yes 按钮,如图2:
---------------------------
四、在额外域控制器上通过ntdsutil.exe 工具执行夺取五种FMSO操作 c:>ntdsutil
ntdsutil: roles
fsmo maintenance: Select operation target
select operation target: connections
server connections: connect to domain test.com
,server connections:quit
select operation target: list sites
Found 1 site(s)
0 -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0
Site -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain
No current server
No current Naming Context
select operation target: List domains in site
Found 1 domain(s)
0 - DC=test,DC=com
select operation target: select domain 0
Site -
CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com
No current server
No current Naming Context
select operation target: List servers for domain in site
Found 1 server(s)
0 -
CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te
st,DC=com
select operation target: select server 0
select operation target: quit
fsmo maintenance:Seize domain naming master
出现对话框,按“确定“
fsmo maintenance:Seize infrastructure master
出现对话框,按“确定“
fsmo maintenance:Seize PDC
出现对话框,按“确定“
fsmo maintenance:Seize RID master
出现对话框,按“确定“
fsmo maintenance:Seize schema master
出现对话框,按“确定“
fsmo maintenance:quit
ntdsutil: quit
(注:Seize 是在原FSMO 不在线时进行操作,如果原FSMO 在线,需要使用Transfer 操作) -----------------------------------
五、设置额外控制(DC-02.test.com)为GC(全局编录)
打开Administrative Tools中的Active Directory Sites and Services,展
,开Sites ,展开Default-First-Site-Name ,展开Servers ,展开
DC-02.test.com(额外控制器) ,右击NTDS Settings选择Properties ,然后在"Global Catalog"前面打勾,单击" 确定" 按钮,然后重新启动服务器。 ---------------------------------
六、重新安装并恢复损坏主域控制器
修理好DC-01.test.com 损坏的硬件之后,在DC-01.test.com 服务器重新安装Windows 2000 Server,安装好Windows 2000 Server之后,再运行Dcpromo 升成额外的域控制器;如果你需要使DC-01.test.com 担任五种FMSO 角色,通过ntdsutil 工具进行角色转换,进行Transfer 操作就行了(注意:不能用Seize )。并通过Active Directory Sites and Services设置DC-01.test.com 为GC ,取消DC-02.test.com 的GC 功能。
建议domain naming master 不要和RID master 在一台DC 上,而domain naming master 同时必须为GC 。
主域 Windows 2000 SP4 ;额外域 Windows 2003 (集成Exchange2003) 方案:新建一个额外域, 替换主域
操作步骤:
1. 安装 Windows 2000 SP4
2. DCPROMO 升级为额外域
3. 通过Ntdsutil 将角色转移
C:>ntdsutil
ntdsutil: roles
fsmo maintenance: connection
server connections: connect to server backupad (后面写你的備用服务器的域名) 绑定到 backupad ...
用本登录的用户的凭证连接 backupad。
server connections: quit
fsmo maintenance: transfer schema master 转移架构主机角色
fsmo maintenance: transfer domain naming master 转移域命名主机角色 fsmo maintenance: transfer RID master 转移 RID 主机角色
fsmo maintenance: transfer PDC 转移 PDC 模拟器角色
fsmo maintenance: transfer infrastructure master 转移结构主机角色
4. 再设置为 全局编录
管理工具 - Active Directory 站点和服务 - backupad - NTDS Settings 属性, 全局编录的" 勾" 选中即可
5. 重建DNS, 且与主域同步, 再正向搜索区域中的 根(.)将名称服务器改为"backupad" 即可.
---------------------------------
这里的环境如下:
一台旧的WIN2K SERVER域为msft.com,PDC FSMO GC
新的服务器也是WIN2K 系统
目的:将旧的服务器的AD 数据库迁移到新的服务器上, 顶替旧服务器工作!
首先安装完成新的服务器的操作系统后, 配置TCP/IP和旧服务器在一个网段, 然
,后设置首要的DNS 为旧服务器[DC]的DNSIP, 然后确定退出, 然后选择开始->运行->dcpromo开始提升为辅助域控制器, 选择加入现有的域, 输入DC 的域名, 然后会提示你权限, 你用administrator 用户, 然后下一步, 等待漫长的时间过去后, 完成了, 开始重新启动! 等启动起来后进入命令行输入
ntdsutil
roles
connections
connect to server 后面写你的旧服务器的域名
然后提示连接成功! 输入
quit
这下退到了roles 的命令行下面, 打? 看看那些命令依次将
Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master
转移到你的新服务器上!
格式如下:Transfer domain naming master 回车
会提示问你是否转移
然后设置为GC
打开Active Directory 站点和服务,双击左窗格中的站点,然后浏览到适当的站点,或者,在没有其他站点可用时单击默认的第一个站点的名称。 打开服务器文件夹,然后单击该域控制器,双击 NTDS 设置。
在操作菜单上,单击属性。
在“常规”选项卡上,找到全局编录复选框以查看其是否选中.
这样就完全设置完成, 然后将旧的服务器的AD 卸载掉就OK 了!
=====================
方案二:
有一点想问一下:你DC 下面的用户多不多!如果不多的话,比如10几个或者20个,你就不如直接换硬盘,重新做一个DC !如果人多的话,那就还是迁移方便!以下为总结,希望对你有帮助!方法如下:
1. 备份现有主域控制器和备份域控制器操作系统(具体方法不说了!用GHOST !) (至于备份域的安装,简单说下:
在拥有主域的情况,找一台03的机器,运行dcpromo ,弹出对话框中选择创建现有域的额外域 !接下来就是输入用户名密码!下一步。
(这台机器网卡的DNS 得设为主域控,可以PING 通!)
DNS ,得安装DNS 服务,在添加删除中—>组件—>网络服务—>DNS
在主域的DNS 中设置区域复制!允许下面指定的机器复制!IP 是你备份域的IP ! 这样备份域就会自己刷过来了!完成)
,2. 检查和配置活动目录集成的DNS 区域
1) 检查主域控制器DNS 配置
首选DNS 应该设置为辅助域控制器安装的DNS 服务器
点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS 服务器如下所示:
类型:应该为“ActiveDirectory集成区域”
复制:应该为“ActiveDirectory域中的所有域控制器”
动态更新为:安全
2) 检查辅助域控制器DNS 配置
首选DNS 应该设置为主域控制器安装的DNS 服务器
点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS 服务器如下所示:
类型:应该为“ActiveDirectory集成区域”
复制:应该为“ActiveDirectory域中的所有域控制器”
动态更新为:安全
3. 把GC (全局编录)移置到额外域控制器上
1) 使用域管理员帐户登陆到主域控制器上
2) 请单击“开始”,指向“设置”,单击“控制面板”,双击“管理工具”,然后双击“ActiveDirectory站点和服务”。
3) 在控制台树中,单击要禁用全局编录的主域控制器
4) 在详细信息窗格中,右键单击“NTDSSettings”,然后单击“属性”。
5) 清除“全局编录”复选框禁用主域控制器的全局编录
6) 在控制台树中,单击要启用全局编录的辅助域控制器
7) 在详细信息窗格中,右键单击“NTDSSettings”,然后单击“属性”。
8) 选中“全局编录”复选框启用主域控制器的全局编录
9) 分别重新启动主域控制器和备份域控制器
10) 测试全局编录是否移植成功:
原备份域控制器关闭的情况下,在原主域控制器上进行创建用户的操作,应该提示错误。
打开原备份域控制器后则应该创建用户正常。
4. 转移域里的5种角色
转移特定于域的角色:RID 、PDC 和结构主机
1) 单击“开始”,指向“程序”,然后选择“管理工具”,选择
“ActiveDirectory用户和计算机”
2) 右键单击“ActiveDirectory用户和计算机”一旁的图标,然后单击“连接到域控制器,选择希望将要转移到的域控制器
3) 右键单击“ActiveDirectory用户和计算机”图标,然后单击操作主机。
4) 在更改操作主机对话框中,单击与您要转移的角色对应的选项卡(RID 、PDC 或结构
5) 单击更改操作主机对话框中的更改。
,转移域命名主机角色
6) 单击开始,指向程序,指向管理工具,然后单击“ActiveDirectory域和信任关系”。
7) 右键单击“ActiveDirectory域和信任关系”图标,然后单击“连接到域控制器”。选择希望将要转移到的域控制器
8) 在更改操作主机对话框中,单击更改
9) 单击确定以确认您想转移的角色。
注册架构工具
10) 单击开始,然后单击运行。
11) 键入regsvr32schmmgmt.dll ,然后单击确定。应显示出一条指出注册成功的消息
转移架构主机角色(如果不做上步的话,在MMC 中应该是找不到架构的)
12) 单击开始,单击运行,键入mmc ,然后单击确定。
13) 在控制台菜单上,单击“添加/删除管理单元”,单击添加。
14) 单击ActiveDirectory 架构。
15) 单击关闭以关闭添加独立管理单元对话框
16) 右键单击ActiveDirectory 架构图标,然后单击更改域控制器
17) 单击指定域控制器,键入将成为新的角色担任者的域控制器的名称,然后单击确定。
18) 右键单击ActiveDirectory 架构,然后单击操作主机。
19) 在更改架构主机对话框中,单击更改。
20) 单击确定。
到这里基本工作就算全做完,剩下的就是降原主域了!
5. 在原主域控制器上运行DCPROMO 删除AD ,这样额外域控制器被提升为主域控制器
1) 以域管理员用户登陆原主域控制器
2) 点击“开始”----“运行”----输入“dcpromo”运行活动目录安装向导,选择下一步
3) 确认没有选中“这个服务器是域中的最后一个域控制器”复选框,选择下一步
4) 输入要分配给本地服务器管理员密码,点击“下一步”
5) 最后完成,点击“确定”重启操作系统
到这里是迁移完成
6. 删除AD 成功后,重新安装Windows2003,再运行DCPROMO 安装AD ,将该计算机配置成为本域中的额外域控制器。
1) 重新安装原主域控制器操作系统,分配原来一样的IP 地址,主机名。
2) 运行dcpromo 将计算机安装为本域的辅助域控制器
,7. 在新安装的服务器上安装并配置DNS 服务器
1) 点击开始,控制面板,再点击添加/删除程序,然后在弹出的添加/删除程序对话框上点击添加/删除Windows 组件;
2) 在弹出的Windows 组件向导对话框,勾选网络服务下的域名系统(DNS ),点击确定,然后点击下一步;
3) 安装好DNS 服务器后,你可以点击管理工具下的DNS 或者运行dnsmgmt.msc 命令来打开DNS 管理控制台
4) 正常情况下系统会自动从域中已经存在的DNS 服务器上复制DNS 数据信息 这样继续重复第一步,不过主域是后来的那台服务器了!所有操作以那台为准! 至第5步后,所有工作完成!
之所以让你做一个GHOST ,就是怕有问题,这样可以还原回来!你看看上面的内容应该是细的没法再细了呵呵! 放心做吧!按照上面的步骤,忘了说了,第17步那里可能会有错误提示,等等就好了,如果出的话就是DNS 传输问题,两台机器全重启下,一路应该很顺利的!
互换角色后,你原主域关机,新DC 上建新账户,并且设置密码,让下面的机器去登陆,如果正常的话,就没有问题了!还有就是在DNS 中把原DC 的信息删掉!