SQL SERVER2016always on(有域控)背景:实现数据库层面的读写分离。数据库有SQLNODE1节点。SQLNODE2节点。还有一台域控的服务器Domain Controller。整体结构如图所示
注意:所有的操作都是在所有服务器都关闭防火墙的操作下完成
撰写人:雷锋
两个节点SQLNODE1和SQLNODE2采用非共享文件夹的方式进行存储文件。
系统和环境要求
1cn_sql_server_2016_enterprise_x64_dvd_8699450.iso 2cn_windows_server_2016_x64_dvd_9327743.iso
3SSMS-Setup-CHS.exe
虚拟机的安装
虚拟机使用VM。虚拟就具体的安装步骤不在叙述。1虚拟机系统的安装选择第一个典型。点击下一步
2选择稍后安装操作系统
3选择windows操作系统此处选择任意版本均可
4选择虚拟机文件的路径和虚拟机的名字
5选择虚拟机中磁盘的大小。选择存储为单一文件
6点击完成即可。(此步骤也可以修改虚拟机的配置)
7设置虚拟机网络。选择桥接即可
8安装操作系统,选择iso文件所在路径
操作系统的安装
1打开虚拟机之后会自动进入系统的安装界面。系统的安装不在介绍。最后一步选择2016datacenter with GUI即可。系统安装好之后设置下密码就可以了
VMWare Tools安装
1选择虚拟机下面的xmware tools安装工具。会联网自动下载安装程序。下载完成后会在虚拟机的下方提示安装
2进入虚拟机的环境内输入WIN+R输入D:\Setup.exe进行安装选择下一步
3
提示需要进行重启。按照提示进行操作即可Windows故障转移集群的安装1打开服务器管理器选择添加角色和功能
选择故障转移集群
点击安装进行集群的安装。安装完后会提示安装成功
.Net3.5的安装
1将windows server iso文件中的sources文件夹下的sxs文件夹拷贝到虚拟机中c盘下面路径格式为C:\sxs
选中.net FrameWork3.5功能全部选中
选择指定路径输入完整的c盘下路径c:\sxs点击ok。在点击安装即可。这一步需要时间比较长需要耐心等待
虚拟机的复制(复制出来SQLNODE1和SQLNODE2节点)
1选中第一台Domain Controller虚拟机。点击克隆
域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
Windows域迁移方法 1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后,安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中,右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中,键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向“所有任务”,然后单击“操作主机”。 5. 单击其中要改的选项卡,然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中,右键单击“Active Directory 架构”,然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中,右键单击“Active Directory 架构”,然后单击“操作主机”。
简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一,由于域控制器的种种优势,当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时,种种问题也相应出现,对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生,网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几,我们在此便讨论一下这个问题。 说明:根据上图可知A为B的主域控,在此我们只给大家作了一个模拟环境,实际当中,主域和子域可以不在一个网段内,也可以分布在用VPN相连的Intranet内,其原理是一样的。我们在此仅对A域控下的B域控做迁移工作,迁移过程为:首先B域控迁移到准备替换DC的PC上,down掉B域控,使得客户端工作无影响,再次对B主机作重灌windows 2003 server ,并替换PC的DC,这个过程中要求对客户端无任何影响。以下为操作步骤: 步骤1.备份DC的安装
(1)选用一台PC,安装windows 2003 server,设置IP为192.168.10.2;主机名为adbak,重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上,用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS:解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2,以及各个主机记录是否解析正常 (5)Active Directory站点和服务,设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下,键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入:ntdsutil-roles-connections-connections to server https://www.doczj.com/doc/5017645202.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明):[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize
win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下: 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2003 Enterprise Edition SP1 提供服务: Domain Control、DNS 完成升级后,增加 Server2008为域控制器 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2008 R2 enterprise 提供服务: Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中
3、对Forest(林)、 Domian(域)和RODC(域控制器)进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具,该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下,复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意:扩展操作在DC2003(域控制器)上进行操作。 开始-运行-CMD,进入D分区的ADPREP目录输入 adprep /forestprep 根据提示,选择”C “,并按下 Enter键继续。(林拓展)
ADMT3.1快速迁移域用户账户和组[为企业维护windows server 2008 系列十四] 作者:宋杨日期:2010-04-21 在windows server 2008 的AD维护工作中,我们可能需要将当前域的用户账户和组转移到另外一个域中(这个动作我们称之为迁移)。 在雅利安星际疫苗接种公司工作的windows 网络管理员号称不重疫苗也能顶的灵灵狗同志,正在为一件棘手的工作事件发愁。 雅利安公司因为研制出可以成功抵御十全星际流感的疫苗,在整个银河系名声大震,巴斯股(3009年最火爆的星际股市)也一路狂涨。同时,兼并了太阳系的喜马拉雅驴友公司。 喜马拉雅公司的精英研发部门“珠穆朗玛二部”也被收编进了雅利安公司的研发部。因为所有的资源管理都是基于活动目录的,所以灵灵狗同志需要将“珠穆朗玛二部”的所有员工账户和组迁移转移到雅利安公司的域下。 在查询了无所不知的位于雅利安星球的知识古树后,灵灵狗拨通了远在银河系另一端的地球村的AD 客户支持部的售后电话。 按照客服妹妹的指导,灵灵狗使用Hyper-V3009快速的搭建起了虚拟的评估环境。具体如下:
灵灵狗同志看完客服妹妹同步过来的的指导文档后很顺利的使用域管理员在喜马拉雅公司的https://www.doczj.com/doc/5017645202.html,域上登录了。 打开“Active dircetory 域和信任关系”,可以看到两个域,现在要把属于https://www.doczj.com/doc/5017645202.html,的域用户账户和组(原喜马拉雅公司)移动到https://www.doczj.com/doc/5017645202.html,(雅利安公司) 具体的账户可以通过下图看到,在“_Demo”OU 中有user1 、manager 两个用户和group组,其中user1属于group组。
如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签:2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色,请按照下列步骤操作: 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器,或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员,才能转移架构主机角色或域命名主机角色,或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”,单击“运行”,在“打开”框中键入 ntdsutil,然后单击“确定”。 3. 键入 roles,然后按 Enter。 注意:要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入 ?,然后按Enter。 4. 键入 connections,然后按 Enter。 5. 键入 connect to server servername,然后按 Enter,其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处,键入 q,然后按 Enter。 7. 键入 transfer role,其中 role 是要转移的角色。要查看可转移角色的列表,请在“fsmo maintenance”提示符处键入 ?,然后按 Enter,或者查看本文开头的角色列表。例如,要转移 RID 主机角色,键入 transfer rid master。PDC 模拟器角色的转移是一个例外,其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处,键入 q,然后按 Enter,以进入“ntdsutil”提示符。键入 q,然后按 Enter,退出 Ntdsutil 实用工具。
域迁移方案 一、事前准备: 先分别建立两个位于不同林的域,内建Server若干,结构如下: https://www.doczj.com/doc/5017645202.html, ADC02 172.16.1.2/24 https://www.doczj.com/doc/5017645202.html, EXS01 172.16.1.101/24 https://www.doczj.com/doc/5017645202.html, ADC01 172.16.1.1/24 其中: https://www.doczj.com/doc/5017645202.html,: ADC01作为https://www.doczj.com/doc/5017645202.html,主域控制器,操作系统为Windows Server 2008 R2,并安装有DHCP服务,作用域范围为172.16.1.100/24——172.16.1.200/24。 ADC02作为https://www.doczj.com/doc/5017645202.html,的辅助域控制器,操作系统为Windows Server 2008 R2 Exs01为https://www.doczj.com/doc/5017645202.html,的Mail服务器,操作系统为Windows Server 2003 SP2,Exchange 版本为2003 TMG01为防火墙,加入到https://www.doczj.com/doc/5017645202.html,网域,操作系统为Windows Server 2008 R2,Forefront TMG为2010 Client为加入到此https://www.doczj.com/doc/5017645202.html,网域的客户端PC,由DHCP Server分配IP https://www.doczj.com/doc/5017645202.html,:
Ad-cntse为https://www.doczj.com/doc/5017645202.html,的域控制器,操作系统为Windows Server 2008 R2,为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2 Exs-centse作为https://www.doczj.com/doc/5017645202.html,的Mail Server,操作系统为Windows Server 2003 SP2,Exchange 版本为2003. 备注:所有的Server均处在同一个网段172.16.1.x/24 二、https://www.doczj.com/doc/5017645202.html,的User结构: 如图,其中红色圈中部分为自建组别,OA User为普通办公人员组别,拥有Mail账号,admins为管理员群组,Terminal User为终端机用户组别,均没有Mail账号。以上三组别均建立有相应的GPO限制其权限。其他Users保持默认设定 三、设定域信任关系: 1、设定DNS转发器: 在https://www.doczj.com/doc/5017645202.html,域控制器Ad-cntse的DNS管理器设定把https://www.doczj.com/doc/5017645202.html,的解析交给https://www.doczj.com/doc/5017645202.html,的DNS,同理,把https://www.doczj.com/doc/5017645202.html,域控制器ads01的DNS管理器把https://www.doczj.com/doc/5017645202.html, 的解析交给https://www.doczj.com/doc/5017645202.html,的DNS。如下图:
主域控制器的迁移 现有环境:一台主域控制器(含AD和数据库及其WEB程序);有一台备份域控制器;一台新的服务器6850。 目的:将主域控制器迁移到新的服务器6850上 步骤:1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录 具体操作: (1)运行dcpromo命令 (3)弹出Active Directory安装向导,点“下一步” (4)这里以默认,点“下一步”
(5)选“现有域的额外域控制器”,点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置(没有截图了) 加入过程中可能会碰到问题,如果有的话 参考https://www.doczj.com/doc/5017645202.html,/archiver/tid-151189.html https://www.doczj.com/doc/5017645202.html,/t/20030910/10/2243270.html# 然后到google上去查找! 运行ntdsutil
Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.doczj.com/doc/5017645202.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0
List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象
windows server 2003 域控制器转移 迁移准备工作: 1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器,并在升级时选择使其成为现有Windows 2003域的额外的域控制器。 2. 在Windows Server 2003上安装DNS服务,确认它已经和原来的Windows 2003 DNS服务器上的数据复制同步后,将它的DNS服务器地址指向自己。 3. 将这台Windows Server 2003域控制器设为全局编录(Glocal Catalog)服务器,具体方法请参考下面这篇文档: 《How to promote a domain controller to a global catalog server》:
转移域控角色的两种方式.txt每个女孩都曾是无泪的天使,当遇到自己喜欢的男孩时,便会流泪一一,于是坠落凡间变为女孩,所以,男孩一定不要辜负女孩,因为女孩为你放弃整个天堂。朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式 当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色,在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方式,5 大角色相信地球人都知道,HOHO. PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下:打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全 局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。 PS:部分步骤来源于网络,此文为综合以及描述注意点 一.使用图形化界面 MMC 来转移域控角色 一.转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。注册 Schmmgmt.dll 单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。 收到操作成功的消息时,单击确定。 1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。 2. 在文件菜单上,单击“添加/删除管理单元”。 3. 单击添加。 4. 依次单击 Active Directory 架构、添加、关闭和确定。 5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。 6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
Windows Server 2008主域控迁移手顺 1.安装windows server 2008 R2虚拟机,名称不能为主域控服务器名称 2.主域控、辅助域控的备份:使用Windows Server Backup进行备份,并将备份文件放置在本地。 3.将主域控角色迁移到辅助域控服务器:例:A001 主域控服务、A002为辅助域控 登陆辅助域控,打开“运行”,输入”regsvr32 schmmgmt.dll”。 确定运行成功,出现下记提示: 3.1打开“运行”,输入”mmc”,分别添加Active Directory 架构、Active Directory 域和信任关系、Active Directory 用 户和计算机到控制台,如下图所示:
3.2右键单击键Active Directory 架构,选择”更改Active Directory 架构”。 出现下记提示,点击确认: 3.3右键单击Active Directory 架构,选择“操作主机”
点击更改,点击确定后如下图所示: If error display “不能连接FSMO盒” ,有可能为网卡为TEAM或网卡、网络等问题 !! 3.4右键Active Directory 域和信任关系,选择“更改Active Directory 域控制器”。
选择辅助域控服务器,确定 3.5右键Active Directory 域和信任关系,选择“操作主机”
点击更改,确定后关闭 3.6右键Active Directory 用户和计算机-所有任务-操作主机
3.7分别在RID、PDC、基础结构选项卡下,点击更改 4.客户端运行中输入:netdom query fsmo ,确认操作主机名称为辅助域控服务器
两台域控制器如何实现AD迁移 2011-07-20 14:53 来源:华军资讯编辑整理RSS复制链接打印 核心提示:利用MicrosoftActiveDirectoryMigrationTool可以在两个独立的AD域之间迁移用户、组、计算机等账号,其中2.0版可以实现迁移用户账号密码,本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。 两台域控制器实现AD迁移的方法如下: AD用户账号、密码迁移步骤 前言 利用MicrosoftActiveDirectoryMigrationTool可以在两个独立的AD域之间迁移用户、组、计算机等账号,其中2.0版可以实现迁移用户账号密码,本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD 用户账户、密码的步骤。 操作步骤 1、在目标域与源域之间建立双向的信任关系。 2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。 3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。(这一部分不知道是否必需,但是我在实际操作中安装了该加密包。而且根据微软的资料,在Win2K标准产品中已经包含了128位加密) 4、在目标域的域控制器上安装ADMTVersion2.0。 5、在目标域上查看系统内建组 “Pre-Windows2000CompatibleAccess”的属性,检查“成员”中是否包括Everyone。如果没有,必须将Everyone加入,并且重启服务器。(缺省情况下该组已经包含Everyone)。 6、检查目标域与源域之间的安全策略是否会影响到密码的迁移,如口令长度限制等。如果有,需要进行相应的调整。 7、在目标域的域控制器的命令提示符下输入如下命令进行保存密码文件的保存:admtkeySourceDomainNameDriveLetter [Password]。 注意: l 尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘),但是为了安全起见建议保存在软盘中。 l 如果你用星号“*”代替密码,会提示你输入密码。
域控制器的角色转移与抢占 一 今天我们通过一个实例为大家介绍如何实现操作主机角色的转移,这样如果Active Directory中操作主机角色出现了问题,我们就可以用今天介绍的知识来进行故障排除。 我们首先要明确一个重要原则,那就是操作主机角色有且只能有一个!如果操作主机角色工作在林级别,例如架构主机和域命名主机,那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别,例如PDC主机,结构主机和RID主机,那就意味着一个域内只能有一个这样的操作主机角色。 我们的犯罪现场很简单,https://www.doczj.com/doc/5017645202.html,域里有2台08R2,https://www.doczj.com/doc/5017645202.html,是域内的第一台DC,fileserver是第二台DC,目前所有的角色都在dc上面,我们通过实验来重现角色的转移! 其实当我们用Dcpromo卸载域控制器上的Active Directory时,这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴,这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色,我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。 拓扑 犯罪过程: 一,从DC转移到fileserver上 1,打开cmd,输入:netdom query fsmo,列出当前角色所在的位置,从图中可以看出。五个角色都在DC上! 2,然后我们运行,dsa.msc,打开用户和计算机,选择“查看”--“高级功能”
3,然后选择“操作”---操作主机,如图 4,右键选择Fileserver域控制器,因为我们要把现在连接的DC上的角色转移到Fileserver。所以在DC上首先连接到Fileserver,如图,细心的同学就会看到。https://www.doczj.com/doc/5017645202.html,后面的状态为“不可用”,这是因为他不能本身转给本身,所以这样显示! 5,我们发现可以转移三个操作主机角色,分别是PDC主机,RID主机和结构主机,分别选择主机类型然后更改,如图
规划指南 域服务器合并与迁移解决方案加速器:从Windows NT 4.0到Windows Server 2003 本文档所提供的信息(包括引用的URL及其它Internert网站)均可能在不予通知的情况下发生变更。用户所面临的全部风险或因使用本文档导致的后果均由用户自行承担。 除非另有说明,本文档用来举例的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件均纯属虚构。请不要将它们推想或引申为任何真实的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件。 遵守所有适用版权法律是文档使用者所应承担的义务。Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定,但是,任何人未经Microsoft公司书面授权许可,均不得出于任何目的、以任何形式、利用任何手段(电子、机械、影印、录音等)将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。 Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。除非已同Microsoft公司签订书面许可协议,并根据协议条款获得明确授权,任何出示本文档的行为均无法使您具备针对上述专利、商标、版权或其它知识产权加以利用的许可权限。 ? 2004年,Microsoft公司。版权所有,保留所有权利。 Microsoft、Active Directory、Windows、Windows 2000、Windows 98、Windows NT和Windows XP均系Microsoft公司在美国和/或其它国家所拥有的注册商标或商标。 本文档所涉及的其它公司和产品的真实名称均为其各自所有者持有的商标。 Microsoft Corporation ? One Microsoft Way ? Redmond, WA 98052-6399 ? USA 00 目录 第 1 章引言 Microsoft Operations Framework (MOF) 适用对象 必备知识
域迁移方案一、事前准备: 先分别建立两个位于不同林的域,内建Server若干,结构如下: 其中: : ADC01作为主域控制器,操作系统为WindowsServer2008R2,并安装有DHCP服务,作用域范围为——。 ADC02作为的辅助域控制器,操作系统为WindowsServer2008R2 Exs01为的Mail服务器,操作系统为WindowsServer2003SP2,Exchange版本为2003 TMG01为防火墙,加入到网域,操作系统为WindowsServer2008R2,ForefrontTMG为2010 Client为加入到此网域的客户端PC,由DHCPServer分配IP : Ad-cntse为的域控制器,操作系统为WindowsServer2008R2,为了网域的迁移安装有ADMT以及SQLServerExpress2005SP2 Exs-centse作为的MailServer,操作系统为WindowsServer2003SP2,Exchange版本为2003. 备注:所有的Server均处在同一个网段 二、的User结构: 如图,其中红色圈中部分为自建组别,OAUser为普通办公人员组别,拥有Mail账号,admins为管理员群组,TerminalUser为终端机用户组别,均没有Mail 账号。以上三组别均建立有相应的GPO限制其权限。其他Users保持默认设定 三、设定域信任关系: 1、设定DNS转发器: 在域控制器Ad-cntse的DNS管理器设定把的解析交给的DNS,同理,把域控制器ads01的DNS管理器把的解析交给的DNS。如下图: 2、在“ActiveDirectory网域及信任”中设定双方网域的信任关系:
尽管我们现在有了类似于System Center VirtuaMachine Manager可以轻易的实现物理服务器到虚拟机服务器的迁移工作,但是对于一些不能或者不推荐在虚拟机里面运行的服务器,这迁移还是老老实实的跟着传统走吧。 这不,域控制器的改朝换代从Windows 2000开始至最新的2008 R2,整个迁移的过程和思路都是一样的,所以今天我们就来看看如何把一台域控制器从旧的服务器迁移到新的服务器。 作者简介:张诚,网名asuka(博客,微博),资深IT基础架构顾问,三届微软全球最有价值专家(MVP),微软Technet 特约讲师。他是微软中文社区Windows 版版主,ITECN 技术博客作者。他熟悉微软Windows操作系统和活动目录,具有多年微软服务器产品的项目和培训经验,现致力于传播绿色IT概念。曾获两次获得微软CPE杰出贡献奖、微软大中华区"认证达人"称号。著作有《Windows 7安全指南》、《精通Windows Powershell脚本编程》等。 这里的环境再简单不过,一共也就就2台服务器。 1 安装新的域控制器
对于DC1的安装这里就不再详细说明了,只需要注意安装额外的域控制器可以对现有的成员服务器进行提升,令其成为域控制器。或者安装一台新的计算机,并对其进行提升。无论使用哪种方法,DC1都必须讲从DC处获得必要的目录信息。 2 操作主机(FSMO)的迁移 对于域控制器迁移的工作最大的挑战之一就是FSMO 5个角色的迁移,所以我们 先来看看这5个角色各自都起到了什么作用。 首先我们知道活动目录和NT4目录服务最大的区别就是多主机模式,因此活动目录创造出分布式的环境,并让任何域控制器都可以被用作验证,从而可以在特定域控制器上操作即可更改标准目录信息。比如我们可以在任意一台域控制器上新建用户帐号(2008中的只读域控制器除外),对于大部分活动目录的操作,所 有域控制器都一视同仁,但是也并非全部如此。有些活动目录中特定的操作只能在“操作主机”的域控制器上进行。 什么是操作主机 专用的操作主机具有灵活单主机操作(Flexible Single-Master Operations,FSMO)角色,一共有5种这类角色,分别如下: 架构主机(Schema master) 架构主机是林中唯一包含可写入架构容器副本的域控制器,只有在其上面才可以对架构进行修改。举个例子来说吧,我们现在有个域是用作管理学生信息使用的,而管理学生信息又是以学生的学号为中心。但是现有的“Active Directory用 户和计算机”控制台管理界面中并没有学号这一个标签和选项,所以我们需要进行扩展架构。而这里的扩展架构这个步骤就是在架构主机中完成的,所以架构主机好比是定义了整个目录中的标准。 但是定义标准这个活可不是谁都能做的,一定要在组织中最最权威的机构上进行。这就好比,我们的身份证上有姓名栏、家庭地址栏等信息,但是如果哪天身份证上面要加一栏,比如要加上个人工作单位这一栏,对于修改身份证这个操作只能由我们中央政府的有关部门才能去做,地方政府肯定是没有这个权限去DIY我们
环境介绍:首先说明我的环境,两台虚机(一台Windows Server2003和一台Windows Server 2012 R2 )。域名为https://www.doczj.com/doc/5017645202.html,。 1、首先将Win2012加入https://www.doczj.com/doc/5017645202.html,域 2、win2012加域重启后,安装AD相关的角色(由于将成员服务器提升为域控的命令dcpromo 在2012已经被弃用,所以需要手动安装相关组件)
3、稍等几分钟,等待AD的相关组件安装完成。 4、经过几分钟的等待,AD的相关组件已经安装完成,接下来我们将要进行AD的扩展了,这里注意的是win2003是32位系统,不能使用64位的命令执行域扩展命令,于是我将Windows Server 2012的光盘加载到Win2012服务器上,并用命令定位到adprep 目录下,
将命令提示符转到D盘的support/adprep目录,升级2003 AD Schema 林架构;输入adprep.exe /forestprep(在Win2012上运行) 5、根据上图提示,我们要保证林和域的功能级别至少为windows server 2003以上版本,于是切换到win2003服务器,进行林架构和域架构的提升。在ad域和信任关系中,右键域名,提升域功能级别为windows server 2003模式。
6、登录到Win2003,打开Active Directory域和信任关系,在Active Directory域和信任关系右键选择提升林功能级别为windows server2003 7、返回到win2012,继续进行林架构扩展adprep.exe /forestprep,按C继续,等待扩展完成。
把新服务器装成现有域的额外域控制器。 然后进行FSMO 角色的转换。 如果你的域控同时是文件服务器的话: 迁移共享数据可以有下面几种方法: 服务器端: 1。启用分布式文件系统,让所有的共享目录在新服务器上进行同步 2。使用服务器文件备份软件(windows 自己也有),对旧机器上的所有共享文件目录进行备份,然后恢复到新的服务器上,在新的服务器上重新共享出来!(我以前试过用CA的备份软件还原老域控上的共享文件备份到新的域控服务器上,你在新服务器上把那些目录重新共享出来以后,原来设置的共享权限全都在,不需要重新设定每个共享目录的用户权限) 客户端: 如果原来所有用户都是通过活动目录共享来访问共享文件,只需要在服务器段重新设定共享目录的物理路径就可以让用户不做任何更改访问到转移到新服务器上的共享文件! 如果文件共享是通过在网上邻居中搜索到主机后再将共享目录map到本地的,那么用户端必须重新map一便共享目录! 如果文件共享是通过在网上邻居中搜索到主机后再将共享目录map到本地的,为了避免重新设置用户主机重新map共享目录,可以使用最笨的方法,借助第3部机器,把新的域控和老的域控装成完全一样的(即主机名和IP地址都一样) 大致步骤如下: 1。随便找一部PC和新的服务器都先装成windows 2003 ,这时新的域控服务器随便给各主机名。 2。把PC配置为现有域的额外域控制器,做FSMO 角色的转换,成为主域控制器!这一部完成以后,老的域控实际上就可以降级为普通的成员服务器角色,单纯作为文件服务器使用了!所有的用户登录、权限验证工作应该都会通过新的域控(PC)来完成!你可以在下班
S e r v e r2012R2部署域控、额外域控及F S M O角色转移和夺取 网络环境: 2012R2+DHCP 操作系统:WindowsServer2012R2Standard 网卡信息:IP:192.168.100.1/24 2012R2+DHCP 操作系统:WindowsServer2012R2Standard 网卡信息:IP:192.168.100.2/24 DHCP配置如下: 网关:无 , 配置2台服务器为DHCP故障转移 一、主域的安装及配置 配置网卡信息,如下图 打开服务器管理器,点击添加角色和功能如下图 选择安装类型:基于角色或基于功能的安装,如下图 池中仅一台主机,保持默认(此图是在未更改主机名时截取的,更改后的截图找不到了,拿来顶替),如下图 选择AD域服务并添加功能,如下图 功能不做添加,不选择直接下一步,跳转到添加ADDS域服务向导,如下图 确认安装所选内容,点击安装,如下图 正在安装域服务器,如下图 安装完毕,点击关闭,如下图 点击服务器管理器上方的小旗子查看提示内容,选择将此服务器提示为域控制器,如下图 因为这是此域中第一个域,选择添加新林并输入根域名信息,如下图 选择域控制器林和域功能级别并设置DSRM密码,如下图 出现DNS敬告,因为没有安装DNS,忽略,直接下一步,如下图 NETBIOS设置,保持默认,直接下一步,如下图 17指定ADDS数据库、日志文件和SYSVOL存放的位置,如下图 配置选项查看,可检查是否有问题,有问题点击上一步返回,否则直接下一步,如下图 AD域服务器部署前先决条件检查,检查通过后,点击安装,如下图 正在配置域服务,配置完成后会自动重启。如下图 重启后,登录AD服务器,配置DNS反向查找区域,没有反向查找区域时,nslookup解析会出现问题,如下图 DNS反向查找区域配置向导,如下图 在区域类型中选择主要区域,如下图 设置传送作用域,如下图 设置反向查找IP类型,如下图 输入反向查找区域名称,如下图 指定反响查找更新类型,如下图 完成DNS反向查找区域建立,如下图 在DNS反向查找区域中查看记录,如下图