简述Win 2003域控制器的迁移
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
简述Win 2003域控制器的迁移
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库……
域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一,由于域控制器的种种优势,当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时,种种问题也相应出现,对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生,网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几,我们在此便讨论一下这个问题。
说明:根据上图可知A为B的主域控,在此我们只给大家作了一个模拟环境,实际当中,主域和子域可以不在一个网段内,也可以分布在用VPN相连的Intranet内,其原理是一样的。我们在此仅对A域控下的B域控做迁移工作,迁移过程为:首先B域控迁移到准备替换DC的PC上,down掉B域控,使得客户端工作无影响,再次对B主机作重灌windows 2003 server ,并替换PC的DC,这个过程中要求对客户端无任何影响。以下为操作步骤:
步骤1.备份DC的安装
(1)选用一台PC,安装windows 2003 server,设置IP为192.168.10.2;主机名为adbak,重新启动。
(2)BDC的安装:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成
(3)重新启动计算机
步骤2.备份DC的DNS安装
(1)在adbak上,用主域控A的管理帐户密码登陆到A的域内。
(2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成
(3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定
(4)解析DNS:解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2,以及各个主机记录是否解析正常
(5)Active Directory站点和服务,设置adbak NTDS setting属性为全局编录-确定
(6)在CMD命令下,键入net stop netlogon 再键入 net start netlogon
步骤3.FSMO夺取过程及其他操作
(1)在CMD命令行下键入:ntdsutil-roles-connections-connections to server
成功连接
(2)角色的转移(后接命令,请用问号,有详细的中文说明):[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID
master][transfer schema master] 若转移不成功也可以选用夺取seize
(3)转移成功后,重启计算机,重启后观察各记录是否转移无误,并用nslookup作相应的验证。
步骤4.down掉B域控后,客户端的访问情况
(1)修改adbak主机的IP地址为192.168.10.1 DNS为192.168.10.1
(1)开启客户端登陆到内,观察是否能登陆以及登陆后的界面是否有变化,在夺取成功的情况下对客户端不受任何影响。
(2)cmd命令行下,用ping命令检测网络是否通顺,包括与主域控、adbak域控,并在ping过程中第一要对IP地址进行ping,第二则根据主机名进行ping,用来检测DNS解析是否正常。
(3)文件夹的访问,如:\\192.168.10.100访问需不需要再进行认证。
步骤5.主域控A与PC域控的信任关系测试
(1)Active Directory域和信任关系界面下确认信任关系是否存在,属性-信任-选择域(内向信任)-属性-验证-选择(是,验证传入信任)-输入用户名密码-确认-跳出该信任以通过验证,他已到位并处于活动状态,表明信任存在。
(2)内向信任和外向信任都进行(1)操作观察是否存在信任。
步骤6.B主机域控制器的重建过程
(1)安装windows 2003 server,设置IP为192.168.10.2,DNS设置为192.168.10.1,主机名为ad,重新启动。
(2)用ping命令检测B主机是否和其他主机网络通顺,若通顺,重启
(3)建域控制器:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-点击游览选择域-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成-重启
(4)在新的B主机上,用主域控A的管理帐户密码登陆到A的域内,根据步骤2建立DNS
(5)用ping命令检测网络情况,要求网络通顺。
步骤7.B域控制器新建后,客户端的访问情况和解析--------操作步骤参照步骤4
步骤8.FSMO再次转移过程-------转移过程参照步骤3
步骤9.adbak关机后,新的B域控制器替代过程
(1)修改B主机的IP地址为192.168.10.1 DNS为192.168.10.1
(2)用nslookup解析域名,主机名;用ping命令检测IP地址、主机名、主域和子域的网络是否连通。
(3)清理与主机adbak、与IP地址192.168.10.2的所有记录
步骤10.新的B域控制器替代后,客户端的情况---------参照步骤4
步骤11.新的B域控制器替代后,主域控A与新B的信任关系--------参照步骤5