额外域控制器的升级—夺权
额外域控制器的升级—夺权几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。经过同事的指
额外域控制器的升级—夺权
几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。经过同事的指点,我慢慢的开始小心翼翼的进行工作。工作完成的很顺利,但也有些不足的地方,印象很是深刻,觉得有必要将它留在51cto 上与大家分享。下面是环境图:
环境并不复杂,域控系统为windows 2008 R2 ,DNS 、DHCP 服务寄存在域控上。也就是说这并不单单是迁移域控的事情了,还要将DNS 、DHCP 服务同时迁移过去。呵呵,不过这都不是难题,我马上为大家呈现解决办法。
解决这些问题的办法我简单做了一下汇总:
,1、 升级新服务器为额外域控制器,同时添加DNS 备份,添加DHCP 角色。
2、 转移域控五大角色。
3、 卸载域控。
4、 断开域控DHCP 服务,授权新域控的DHCP 服务,防止两个服务出现冲突。
完成这几步后就可以大胆的将旧的服务器关闭掉,原先的备份服务器就已经完全作为新的域控制器工作了。
首先将新服务器作为域控的备份服务器加入test.com 域,过程中需要将DNS 服务同时转移到备份服务器上面就可以解决DNS 的迁移问题了。添加DHCP 角色,但不要做任何配置,因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP 配置。这里不做过多的拗述了。
作为域控制器是因为它兼有五大角色,分别是PDC 主机,RID 主机,结构主机,域命名主机和架构主机,五大角色是域控特有的,其各自的属性特征这里不做阐述。首先我们登录域控服务器,打开服务器管理台,选择“角色”,找到“AD 用户和计算机”,邮件服务器属性,“更改域控制器”如下图:选择将要继承域控职责的BDC 作为当前服务器。
,
然后在服务器右键选择“操作主机”,我们看到域控的三个角色,RID 主机、PDC 主机和基础结构。当前的操作主机是PDC ,要传递的主机是BDC ,不用想了马上更改。其它的两个角色也使用同样的配置,给改主机为BDC 。
,
然后修改全局编录服务器,点击站点服务器,找到services 下的两个服务器,如下图点击PDC 属性,去掉它的全局编录的属性,即可。
,
接下来更改域名控制主机,找到AD 域和信任关系,右键点击“属性”更改域控制器,在更改操作主机。如下图。
,
下面是比较困难的更改AD 的架构主机了,首先我们进入命令模式,先要注册一个链接库文件,如下输入:“regesvr32 schmmgmt.dll ”然后回车,注册成功。
,
现在添加AD 架构,来更改域控的架构主机,如下图:
,
使用以上更改主机方法更改架构主机,却是要求我们使用famo 模式更改,因为架构主机对于域控制器非常重要,它同时是林级别的服务,安全性要求是比较高的。
,
使用ntdstuil 命令进入更改模式,使用roles 命令进入更改角色的模式,connections 命令进入服务器连接模式,连接命令为
connect to server BDC 连接到BDC 服务器,然后quit 退出该模式,因为已经锁定BDC 服务器。
,
使用“?”查看当前命令提示,其中使用“transfer ”命令的有五条,他们全部是转移五大角色的命令,此命令只有在两服务器全部在线的情况下有效,如果脱机情况下,备份控制器就只有使用“size ”命令来强行将角色转移到本机。我们在这里选择最后一条命令
“transfer schema master ”转移架构主机角色。