最近挺忙的,忙着工作,学习。现在才知道学习是一个痛苦的过程。
    几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。经过同事的指点,我慢慢的开始小心翼翼的进行工作。工作完成的很顺利,但也有些不足的地方,印象很是深刻,觉得有必要将它留在51cto上与大家分享。下面是环境图:
13           环境并不复杂,域控系统为windows 2008 R2 ,DNS、DHCP服务寄存在域控上。也就是说这并不单单是迁移域控的事情了,还要将DNS、DHCP服务同时迁移过去。呵呵,不过这都不是难题,我马上为大家呈现解决办法。
解决这些问题的办法我简单做了一下汇总:
1、 升级新服务器为额外域控制器,同时添加DNS角色,添加DHCP角色。
2、 转移域控五大角色。
3、 卸载域控。
4、 断开域控DHCP服务,授权新域控的DHCP服务,防止两个服务出现冲突。
完成这几步后就可以大胆的将旧的服务器关闭掉,原先的备份服务器就已经完全作为新的域控制器工作了。
首先将新服务器作为域控的备份服务器加入test.com域,过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。添加DHCP角色,但不要做任何配置,因为作为域控的备份服务器DHCP也会被自动导入域控的DHCP配置。这里不做过多的拗述了。
作为域控制器是因为它兼有五大角色,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机,五大角色是域控特有的,其各自的属性特征这里不做阐述。首先我们登录域控服务器,打开服务器管理台,选择“角色”,找到“AD用户和计算机”,右键服务器属性,“更改域控制器”如下图:选择将要继承域控职责的BDC作为当前服务器。
 
 
1
然后在服务器右键选择“操作主机”,我们看到域控的三个角色,RID主机、PDC主机和基础结构。当前的操作主机是PDC,要传递的主机是BDC,不用想了马上更改。其它的两个角色也使用同样的配置,给改主机为BDC。
  2
然后修改全局编录服务器,点击站点服务器,找到services下的两个服务器,如下图点击PDC属性,去掉它的全局编录的属性,即可。
3
接下来更改域名控制主机,找到AD域和信任关系,右键点击“属性”更改域控制器,在更改操作主机。如下图。
4
下面是比较困难的更改AD的架构主机了,首先我们进入命令模式,先要注册一个链接库文件,如下输入:“regesvr32 schmmgmt.dll”然后回车,注册成功。
  5
现在添加AD架构,来更改域控的架构主机,如下图:
 
6
使用以上更改主机方法更改架构主机,却是要求我们使用famo模式更改,因为架构主机对于域控制器非常重要,它同时是林级别的服务,安全性要求是比较高的。
7
使用ntdstuil命令进入更改模式,使用roles命令进入更改角色的模式,connections命令进入服务器连接模式,连接命令为
connect to server BDC 连接到BDC服务器,然后quit 退出该模式,因为已经锁定BDC服务器。
8
使用“?”查看当前命令提示,其中使用“transfer”命令的有五条,他们全部是转移五大角色的命令,此命令只有在两服务器全部在线的情况下有效,如果脱机情况下,备份控制器就只有使用“size”命令来强行将角色转移到本机。我们在这里选择最后一条命令
“transfer schema master ”转移架构主机角色。
9
如下图所示,架构主机角色成功完成转移。
10
我们查询一下AD架构,看看其是否已经完成转移。如下,架构主机的运行服务器已经更改为BDC服务器,转移成功。
11
  12  
当角色完全转移后就可以卸载PDC了,这里有两个问题,如果PDC是正常运行的就可以使用正常卸载,但是当PDC和BDC无法正常复制的话那就只有使用强制卸载了,命令是dcpromo /forceremoveal这个是在迫不得已的情况下使用的方法。因为使用这个方法将会是你进行后续的清理工作,例如:清理AD数据,清理其DNS的SRV记录,adsiedit.msc中清理domain controller中的旧的DC记录。但是这样子清理也不是彻底的,还需要使用ntdsutil命令连接到域内的需要删除的服务器进行锁定,然后删除即可。这样子很麻烦的,我就是用了这样子的方法,一步一步终于清理完成域控的残余数据。因为当时的疏忽,过早的卸载了PDC的域控,所以造成两个服务器无法进行正常的数据复制,所以我才被迫采用此下策。如果条件允许,希望朋友们不要这样操作。
再重启服务器之前,请启用新域控的即BDC的DHCP服务,授权给予激活,即可使用。
迁移夺权行动就此完成,如果有朋友觉得我有做的不对的地方,请加以指正。