AD migration how to
Windows2003域控添加额外的Windows2008R2域控,新增之后再把原windows2003_AD删除,使用Windows2008R2的域控。
1 服务器规划
2 主域控制器
3 file.rajcy.gov.cn+DNS
4 操作系统:Microsoft Windows Server 2003 32bit
5 网卡信息:IP:192.168.136.3/24
6 首选DNS:192.168.136.3
7
8 额外域控制器01
9 dns01.rajcy.gov.cn+DNS
10 操作系统:Microsoft Windows Server 2008R2 64Bit
11 网卡信息:IP:10.133.129.11/24
12 首选DNS:10.133.129.11
13 备用DNS:10.133.129.12
14
15 额外域控制器02
16 dns02.rajcy.gov.cn+DNS
17 操作系统:Microsoft Windows Server 2008R2 64Bit
18 网卡信息:IP:10.133.129.12/24
19 首选DNS:10.133.129.11
20 备用DNS:10.133.129.12
Windows2003域控上的配制
1) 升级林,(复制Windows2008R2光盘中的support/adprep目录至Windows2003中)
1 adprep32 /forestprep
2) 升级域
1 adprep32 /domainprep
3) 升级组策略
How to find the current Schema Version
1 dsquery * cn=schema,cn=configuration,dc=domainname,dc=local -scope base -attr objectVersion
2
3 dsquery * CN=ActiveDirectoryUpdate,CN=DomainUpdates,CN=System,dc=domainname,dc=local -scope base -attr revision
4
5 dsquery * CN=Infrastructure,DC=DomainDnsZones,DC=Domain,DC=com -attr fSMORoleOwner
6
7 dsquery * CN=Infrastructure,DC=forestDnsZones,DC=Domain,DC=com -attr fSMORoleOwner
额外域控制器安装及相关设置
We recommend that you not disable the IPv6 protocol.
在做额外域控的机器上运行DCPROMO,安装额外域控制器。安装完毕后,重启。
1、在主域控器DNS管理界面里 1)选中正向区域的“msdcs_rajcy.gov.cn“,点右键属性,确认区域类型: “Active Director集成区域”;更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全” 2)再“名称服务器”标签中,将额外域控制器全域名及IP添加进来 3)在“区域复制”标签中,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。 4) 依次在“rajcy.gov.cn”和反向查找区域“192.168.10.x. subnet”做以上各步履,在主域DNS服务器设置完成。 2、在额外域控制器上安装DNS服务(升级额外域控时未配置DNS服务)安装完毕,打开DNS管理器界面(相关设定应该自动复制完毕),再将各区域设置为“允许区域复制”。 3、将主域控及额外域控主DNS设为本机IP,备用DNS地址互指。 4、将额外域控制器dcbak本身设为“全局编录” 打开“Active Directory站点和服务”,点选DCBAK ->NTDS右击属性 ,将“全局编录”打勾,点确定退出。 5、客户端还需要将主备dns地址填上主域控及额外域控的地址(可通过组策略中登陆脚本实现客户端DNS地址添加) 至此,若一个域控损坏,客户端登陆不受影响。
主域控制器FSMO角色的迁移
- 目的:若当前主域控制器在线,且因性能不佳或需更换硬件,为了不影响exchange server正常使用,需要将主域控制器FSMO迁移至额外域控制器.
cmd> ntdsutil
- Active Directory 定义了 5 种 FSMO 角色:架构主机、域主机、RID 主机、PDC 模拟器和结构主机。架构主机和域命名主机是每个目录林都具有的角色。其余三种角色(RID 主机、PDC 模拟器和结构主机)是每个域都具有的角色。
- 查询FSMO角色所属域控制器方法:
a.安装netdom工具,在windows 2003安装盘-〉support目录->tools目录下,安装完毕重启机器。
b.在命令行中输入netdom query fsmo,查询当前5种fsmo所属域控制器:
chema owner dcserver.rajcy.gov.cn
Domain role owner dcserver.rajcy.gov.cn
PDC role dcserver.rajcy.gov.cn
RID pool manager dcserver.rajcy.gov.cn
Infrastructure owner dcserver.rajcy.gov.cn
2、RID(RID pool manager )、PDC(PDC role)和结构主机(Infrastructure owner)的角色转移
在额外域控制器DCbak上:
a.单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。
b.右键单击域名"rajcy.gov.cn",然后单击操作主机。
c.在更改操作主机对话框中,单击要转移的角色对应的选项卡(RID、PDC 或结构)。
d.单击更改操作主机对话框中的更改。
e.单击确定以确认您想转移的角色。
f.单击确定。
3、转移域命名主机角色(Domain role owner)
在额外域控制器DCbak上:
a.单击开始,指向程序,指向管理工具,然后单击“Active Directory 域和信任关系”。
b.右键单击“Active Directory 域和信任关系”,然后单击操作主机。
c.在更改操作主机对话框中,单击更改。
d.单击确定以确认您想转移的角色。
e.单击确定。
4. 转移架构主机角色(schema owner)
在额外域控制器DCbak上:
a.单击开始,然后单击运行。
b.键入 regsvr32 schmmgmt.dll,然后单击确定。应显示出一条指出注册成功的消息。
c.单击开始,单击运行,键入 mmc,然后单击确定。
d.在控制台菜单上,单击“添加/删除管理单元”。
e.单击添加。
f.单击 Active Directory 架构。
g.单击添加。
h.单击关闭以关闭添加独立管理单元对话框。
i.单击确定以将此管理单元添加到控制台。
j.单击 更改域控制器,键入额外域控制器的名称dcbak,然后单击确定。
k.右键单击 Active Directory 架构,然后单击操作主机。
l.在更改架构主机对话框中,单击更改。
m.单击确定。
n.单击确定。
o.单击取消关闭对话框。
5、验证当前FSMO角色所属是否为额外域控制器
在命令行里,输入netdom query fsmo
chema owner dcbak.rajcy.gov.cn
Domain role owner dcbak.rajcy.gov.cn
PDC role dcbak.rajcy.gov.cn
RID pool manager dcbak.rajcy.gov.cn
Infrastructure owner dcbak.rajcy.gov.cn
至此 5种FSMO角色转移成功,关闭主域控制器,exhcange运行正常。
6、转换全局编录
a.在两台新的域控制器上,启动“Active Directory 站点和服务”管理单元。要启动该管理单元,请单击开始,指向程序,指向管理工具,然后单击“Active Directory 站点和服务”。
b.在控制台树中,双击站点,然后双击站点名。
c.双击服务器,单击您的域控制器,右键单击 NTDS 设置,然后单击属性。
d.在常规选项卡上,单击以选中“全局编录”复选框,以便将全局编录角色分配给此服务器。
e.重新启动域控制器。
注意: 在从原域控制器上删除全局编录之前,要保证有足够的时间让帐户和架构信息复制到新的全局编录服务器上,待运行正常后再关闭原有域控制器的全局编录。