下载文档原格式
额外域控制器的升级—夺权几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。
这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。
经过同事的指点,我慢慢的开始小心翼翼的进行工作。
工作完成的很顺利,但也有些不足的地方,印象很是深刻,觉得有必要将它留在51cto上与大家分享。
下面是环境图:环境并不复杂,域控系统为windows 2008 R2 ,DNS、DHCP服务寄存在域控上。
也就是说这并不单单是迁移域控的事情了,还要将DNS、DHCP服务同时迁移过去。
呵呵,不过这都不是难题,我马上为大家呈现解决办法。
解决这些问题的办法我简单做了一下汇总:1、升级新服务器为额外域控制器,同时添加DNS备份,添加DHCP角色。
2、转移域控五大角色。
3、卸载域控。
4、断开域控DHCP服务,授权新域控的DHCP服务,防止两个服务出现冲突。
完成这几步后就可以大胆的将旧的服务器关闭掉,原先的备份服务器就已经完全作为新的域控制器工作了。
首先将新服务器作为域控的备份服务器加入域,过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。
添加DHCP角色,但不要做任何配置,因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP配置。
这里不做过多的拗述了。
作为域控制器是因为它兼有五大角色,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机,五大角色是域控特有的,其各自的属性特征这里不做阐述。
首先我们登录域控服务器,打开服务器管理台,选择“角色”,找到“AD用户和计算机”,邮件服务器属性,“更改域控制器”如下图:选择将要继承域控职责的BDC作为当前服务器。
然后在服务器右键选择“操作主机”,我们看到域控的三个角色,RID 主机、PDC主机和基础结构。
当前的操作主机是PDC,要传递的主机是BDC,不用想了马上更改。
其它的两个角色也使用同样的配置,给改主机为BDC。
安装域控制器更新日期: 01/21/2005安装域控制器域控制器为网络用户和计算机提供了 Active Directory 目录服务,它存储并复制目录数据,并管理用户与域的交互,包括用户登录进程、身份验证和目录搜索。
每个域至少必须包含一个域控制器。
可以通过在任何成员服务器或独立服务器(除了那些具有限制性许可协议的服务器)上安装 Active Directory 来安装域控制器。
当您将第一个域控制器安装到组织中时,您就创建了第一个域(也称根域)和第一个林。
可以在现有的域中添加附加的域控制器来提供容错功能、提高服务的可用性以及平衡现有域控制器的负载。
还可以安装域控制器来创建一个新的子域或新的域树。
当您想要与一个或多个域共享连续的名称空间的域时,请创建新的子域。
意思是,新域的名称中包含父域的完整名称。
例如, 可以是 的一个子域。
仅当您想要的域的域名系统 (DNS) 名称空间与该林中的其他域无关时,才创建一个新的域树。
也就是说,新域树的根域(及其所有子域)的名称不包含父域的完整名称。
一个林中可以包含一个或多个域树。
在安装域控制器之前,需要考虑与 Windows 2000 以前版本兼容的安全级别,并标识域的 DNS 名称。
有关详细信息,请参阅清单:在现有的域中创建其他域控制器。
安装域控制器时,最常执行的任务是在新的林中创建新域、在现有的域树中创建新的子域、在现有的林中创建新的域树和在现有的域中安装域控制器。
有关安装域控制器时需要做的重要决策的信息,请参阅使用 Active Directory 安装向导。
在新的林中创建新域1.打开 Active Directory 安装向导。
2.单击“域控制器类型”页面上的“新域的域控制器”,然后单击“下一步”。
3.在“创建一个新域”页面上,单击“在新林中的域”,然后单击“下一步”。
4.在“新的域名”页面上,键入新域的 DNS 全名,然后单击“下一步”。
5.验证“NetBIOS域名”页面上的 NetBIOS 名称,然后单击“下一步”。
升级windows 2003域控制器到windows 2008 R2域控制器
测试报告
深圳市桑威科技有限公司
2014年4月
目录
1测试目的 (3)
2测试环境 (3)
3测试步骤 (3)
4测试结果 (5)
1测试目的
升级windows 2003域控制器到windows 2008 R2域控制器。
2测试环境
3测试步骤
3打开CMD,输入dcpromo打开域服务器安装向导。
4选择‘向现有域添加域控制器’,就是添加额外的域控制器。
5检查DNS,DNS和GC 都选上。
6服务安装完成,服务器重启后,将2008 R2 的DNS改为自己。
7确认域信息、DNS信息都同步过来了。
8将客户端的DNS指向2008域控,测试2008域控是否正常工作。
1登录到2008 上,开始---运行,输入‘regsvr32 schmmgmt.dll’,回车。
完成域控。
主
模拟主机、基础结
到1打开“服务器管理”“Actvie Directory用户和计算机”选择域,点鼠
标右键,选择“操作机”依次把这3个角色传递到server2008服务器。
完成
4测试结果2008域控可以正常工作。
额外域控制升级为主域控制器(一)一、实验环境:域名为1、原主域控制器System: windows 20003 ServerFQDN:IP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN:IP:192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问,做辅域升级要装个Exchange干什么?其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。
如果升级成功,对Exchange 应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。
二、实验目的:在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
三、实验步骤1、安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试,如图。
3、我们发现发送邮件测试成功,这证明Exchange是正常的。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
新建域控制器的方法我折腾了好久新建域控制器这事儿,总算找到点门道。
说实话啊,这活儿一开始我也是瞎摸索,走了不少弯路。
我刚开始的时候,以为只要按照一些基本的网络配置步骤来就可以了。
我就先把服务器的基础设置都弄好,像安装操作系统啦,确保网络连接稳定这些。
就好比盖房子,你得先把地基打好是吧。
但我当时就忽略了一件很重要的事,就是在安装之前一定要好好规划好域的名称,这东西就像是房子的地址,要是你起得不合适,后期麻烦就大了。
我当时起了个名字,后来才发现不符合公司的命名规则,结果就得重新来。
然后就是安装活动目录服务。
这个过程啊,就像是在房子里装修出一个个不同功能的房间一样。
你得仔细按照步骤来,配置各种参数。
我记得我当时有一步设置错了权限,结果导致在测试的时候部分用户连不上。
后来我又得重新看每一个设置。
还有硬件方面的准备也很重要。
你不能随便找个服务器就来当域控制器。
它得有足够的内存、存储空间和处理能力。
我试过用一个配置比较低的服务器,那速度慢得像蜗牛爬。
新用户想要登录域的时候,等半天都没反应。
我觉得比较重要的就是备份。
在新建的过程中,一定要随时备份数据和配置文件。
这就像你走路的时候,每隔一段路就做个标记,要是走错了还能回到原点重新开始。
我有一次就因为没备份,设置错了一个关键的参数,结果整个域的配置都乱了套,只能从头开始做。
再就是测试环节,这就好比是房子盖好之后要验收。
你要全面测试各种功能,包括用户登录、权限管理、组策略实施这些。
你得从不同用户的角度去测试,这样才能找出漏洞。
我之前就是只从管理员的角度测试,结果普通用户登录的时候出现好多问题。
说到这里,我还想起来网络设置这里面还有个DNS的配置特别重要。
如果DNS配置得不好,就像是你迷路了没有导航一样,机器之间都不知道怎么互相联系。
哦对了,域控制器的安全设置也要一开始就规划好。
这个安全设置包含很多方面,像密码策略、账户锁定策略之类的。
我自己犯过的错就是把密码策略设置得太宽松了,这就给安全留下了隐患。
为现有域安装额外域控制器注意:在将服务器提升为现有域中的备份域控制器之前,必须在此服务器上正确配置了IP 和DNS 设置。
备域控IP和主域控IP为同一网段,DNS和AD是集成的话,各域控的DNS 都和各自的IP相同。
在提升过程中,该服务器需要解析此域的完全限定域名。
1. 单击开始,然后运行,键入dcpromo。
2. 这将启动后单击确定。
“Active Directory 安装向导”。
单击下一步。
3. Active Directory 安装向导会询问一系列问题,以确定此服务器将担任的角色。
因为您要将此服务器安装为域中的额外域控制器,请单击“现有域的额外域控制器”。
4. 单击下一步。
5. 下一个屏幕提示您提供网络凭据。
键入有权限执行此操作的帐户的用户名、密码和域名。
该帐户必须具有完全管理权限。
域名不应是完全限定域名的形式。
6. 在额外域控制器屏幕上,以完全限定域名的形式键入现有域的完整DNS 名称(例如:)。
7. 数据库位置和日志位置框将填入默认位置(Rootdrive\Winnt\Ntds)。
为获得最佳性能和可恢复性,请将数据库和日志分别存储在不同的硬盘上。
将日志位置值更改为另一硬盘。
8. 单击下一步。
9. 在共享的系统卷屏幕中,只要该卷使用NTFS 文件系统,就可以接受Rootdrive\Winnt\Sysvol 作为默认位置。
这是Sysvol 文件夹所要求的。
10. 单击下一步。
11. 如果没有可用的DNS 服务器,则会出现“向导无法联系到处理名称Domain Name 的DNS 服务器以确定它是否支持动态更新。
请确认DNS 配置,或者在此计算机上安装并配置一个DNS 服务器”这一消息。
12. 单击确定。
13. 在配置DNS 屏幕上,单击“是”,在这台计算机上安装和配置DNS(推荐)”。
14. 单击下一步。
15. 在Windows NT 4.0 RAS 服务器屏幕上,选择是否要允许远程访问服务(RAS) 访问此服务器。
用户环境描述:用户现有Windows2003域控制器两台,两台域控制器上分别安装有DNS服务器,共同维护现有活动目录集成区域。
现在存在的问题和要求:问题:用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定,现在需要对主域控制器进行重新安装系统以解决这个问题。
要求:因为域控制器上存储有大量用户帐号信息,所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。
同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产生影响。
解决方案:主要步骤:1. 备份现有主域控制器和备份域控制器系统2. 检查和配置活动目录集成的DNS区域3. 把GC(全局编录)移置到额外域控制器上4. 转移域里的 5 种角色5. 在主域控制器上运行DCPROM删O除AD,额外域控制器被提升为主域控制器6. 删除AD成功后,重新安装Windows2003,再运行DCPROM 安O装AD,将该计算机配置成为本域中的额外域控制器。
7. 在新安装的服务器上安装并配置DNS服务器8. 测试系统详细步骤:1. 备份现有主域控制器和备份域控制器操作系统1) 准备一张包含GHOST8.3程序的可引导光盘2) 进入服务器BIOS更改服务器引导顺序,将光盘放在启动设备的第一位。
3) 启动电脑到DOS状态4) 启动ghost ,如下图,依次点击local\Partition\ToImage5) 下面是选择要备份的分区,保存的位置和文件名选择镜像文件保存的位置6) 选择压缩压缩方式(如下图):2. 检查和配置活动目录集成的DNS区域1) 检查主域控制器DNS配置首选DNS应该设置为辅助域控制器安装的DNS服务器点击开始--- 程序管理工具---DNS--- 右键相关正向区域选择“属性”查看主域控制器的DNS服务器如下所示:类型:应该为“ ActiveDirectory 集成区域”复制:应该为“ ActiveDirectory 域中的所有域控制器” 动态更新为:安全2) 检查辅助域控制器DNS配置首选DNS应该设置为主域控制器安装的DNS服务器点击开始--- 程序管理工具---DNS--- 右键相关正向区域选择“属性”查看主域控制器的DNS服务器如下所示:类型:应该为“ ActiveDirectory 集成区域” 复制:应该为“ ActiveDirectory 域中的所有域控制器” 动态更新为:安全3. 把GC(全局编录)移置到额外域控制器上1)使用域管理员帐户登陆到主域控制器上2)请单击“开始”,指向“设置”,单击“控制面板”,双击“管理工具”,然后双击“ ActiveDirectory 站点和服务”。
域控制服务器教程把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
首先,当然就是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:机器名:ServerIP:192、168、5、1子网掩码:255、255、255、0DNS:192、168、5、1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS就是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以瞧到如下画面:向下搬运右边的滚动条,找到“网络服务”,选中:默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:然后就就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。
在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以瞧到“Active Directory安装向导”在这里直接点击“下一步”:这里就是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。
域升级与在现有域环境中安装域控制器
若现有网络环境为windows server 2003林,要将windows server 2008域控制加入到此环境,以下是可能的情况:
将现有的windows server 2003林升级。
在现有的windows server 2003林中添加一个windows server 2008域。
在现有的windows server 2003林中添加一台windows server 2008域控制器。
1、将现有windows server 2003林升级:
通过将windows server 2003域控制器升级为windows server 2008域控器的方式,来将域升级为windows server 2008域,但是必须事先在windows server 2003域内执行准备工作,否则在升级时会出现下图所示的错误,而且无法继续执行升级的工作。
(本文是以升级安装windows server 2008 R2为例)
推荐步骤:
1)找出林内的架构主机与每一个域内的结构主机,林内第1台域控制器默认就是该林的架构主机,而域内第1台域控制器默认就是该域的结构主机,你可以使用以下方法找出这两台主机。
架构主机:先在运行中输个”regsvr32 schmmgmt.dll”,单击确定。
然后在运行中输入MMC,在MMC控制台中添加“Active Directory架构”,右击Active Directory架构,选择“操作主机”,从图中可知目前扮演架构主机的域控制器是哪台主机了。
结构主机:在管理工具中打开“Active Directory用户和计算机”,右击域名,选择“操作主机”在打开的窗口中选择“结构”标签,从图中可以知道结构主机是哪台主机了。
2)建议先通过备份工具(如ntbackup)来备份硬盘数据,包括系统状态数据。
3)到架构主机上使用enterprise admins或schema admins的成员登录。
4)将windows server 2008的安装光盘放到光驱内。
5)在运行中输入cmd,在打开的命令提示符窗口,切换到光驱盘符,使用cd \sources\adprep (windows server 2008R2系统盘:cd \support\adprep)命令切换到adprep文件夹中。
6)运行以下命令进行AD架构的扩展即将win2003的AD架构扩展为支持win2008域控制器的架构:
adprep /forestprep 确认已完成画面上的要求后按C键,按回车键。
7)等待更新信息被复制到其他控制器后(若域林中有多个域),再继续以下步骤。
8)到操作主机计算机上使用Domain Admins的成员登录。
9)将windows server 2008的安装光盘放到光驱中。
10)在运行中输入cmd,在打开的命令提示符窗口,切换到光驱盘符,使用cd \sources\adprep (windows server 2008R2系统盘:cd \support\adprep)命令切换到adprep文件夹中。
11)运行升级命令:adprep /domainprep /gpprep (注:要将域功能级别调为本机模式)12)等待更新信息被复制到其他控制器后(若域中有多台域控制器),再继续以下步骤。
13)接下来就可以开始将域控制器升级到windows server 2008了。
2、在现有的windows server 2003林中添加一个windows server 2008域。
在创建新的windows server 2008域前,请注意以下事项:
1)先到架构主机上使用adprep /forestprep命令来扩展现有windows server 2003林的架构,方法请参照前面的操作。
2)这个新域内是否需要windows 2000 server或windows server 2003的域控制器,根据需求事先决定好域功能级别。
3)完成以上操作后,就可以开始在现有的windows server 2003的林中添加windows server 2008的域了。
操作过程略,请参考一期有关在域林中安装子域或域树的知识点。
3、在现有的windows server 2003林中添加一台windows server 2008域控制器
在现有域内创建新的windows server 2008域控制器前,要注意以下事项:
1)先到架构主机上使用adprep /forestprep命令来扩展现有windows server 2003林的架构,方法请参照前面的操作。
2)再到结构主机上运行adprep /domainprep /gpprep命令,方法参考前面的操作。
3)如果要安装只读域控制器(RODC),请先登录任何一台域控制器,将林功能级别提升为windows server 2003,然后运行adprep /rodcprep命令。
在现有windows server 2003域中所安的第一台windows server 2008域控制器不可以是RODC。
4)完成以上的操作后,就可以开始在现有的windows server 2003域中安装windows server 2008域控制器。
