更换域控施工小记

        某单位，欲更换域控。此单位状况如下：该域大概是很多年前建立的。后因疏于管理或应用较少。大量客户端已退出域。不一定是正常方式，比如直接重装系统。辅助DC也直接退出。留下主域控。主域控上装有：SQL数据库，DNS服务，DHCP。其中DNS服务除域集成的外还有俩非域集成的。

         任务目标：

         1.新装一服务器，安装Windows 2003。

         2.将域控，DHCP,DNS转移至新服务器。新服务器将占领原来服务器的IP地址。

                                                              

过程相当曲折。

1.         装系统，该单位抬来1 DELL 4600塔式服务器，我没接触过。我进他们的BIOS,有个OS 安装模式。我选择了。然后用2003安装，不识别磁盘。无SCSI硬盘驱动，只要用DELL的引导光盘。插入引导光盘，提示：内存少一512M，拒绝运行。狂晕，BIOS明明自检有1G。安装未果，结果该单位又抬来一台DELL卧式服务器。比刚才那台新，就用这台。

2.         同样，用引导光盘引导，引导完毕，提示插入Windows 2003安装光盘，我把我刻的N合一 2003R2光盘插入，提示非法光盘。囧，要原装的。没有。找他们要，他们给了一张介质非常漂亮的2003R2光盘，并交代我，正版的！

3.         插入后，复制完毕，重启，进入安装界面，跳到输入CD-KEY的地方。输入CD-KEY，提示无效...在网上找了N多CD-KEY，也无效。他们说，这张光盘装的太多，已经用不了了，我搞不懂，这光盘装的再多，CD-KEY应该有效啊，只是不能通过微软认证罢？！输入我们公司的正版序列号，依然无法通过。

4.         难道装系统就要失败？！后来他们重新刻录了一张2003光盘(SP1,SP2都不是)。顺利安装。

                                                              

5.        在新机器上，叫DC1吧，安装DNS，安装辅助域控，安装快结束，弹出一个用户登录的窗口：administrator不具备安装辅助域控的权限。我晕，我在域里面新建一用户，隶属于domain admin，依然不行，但是确定后，系统提示重启，重启就重启吧。重启后，没发现登录到域的选项，估计失败。进入系统后，查看系统属性，居然已经在域里面了。Faint，重新执行dcpromo，安装域控，顺利完成。重启，依然没看到登录到域的选项，想了想，大悟，没点登录界面的选项。登录到域。

6.        在DC1上安装DHCP服务。饿，不会迁移DHCP服务器，我看了看DHCP的帮助文件，就用备份，还原的方式，再DC1上还原数据库。同事看了后，说要用export命令来做。但看我在DC1上的DHCP工作正常，就没说别的。

                                                              

7.        开始迁移5个FSMO角色。迁移角色顺利完成。

8.        老DC降级，运行dcpromo，不勾选这是最后一台域控，下一步，弹出提示：

无法联系到其他的域控，晕。

9.        nslookup域名，可以正常解析出域控啊！怎么不行呢？发现有无效的IP地址。原来还有其他的辅助DC，没有正常退出域。又开始清理老的服务器信息。用 ntdsutil清理掉元数据，清理站点服务，DNS纪录。重新降级，依然不行，再次解析，还是有无效的IP。但是再站点服务重，找不到那些服务器的纪录。后来发现是DNS有他们的纪录，删除后，运行nslookup，没有多余的IP了。依然不能降级，依然提示无法连接其他域控。后来决定，强降域控dcpromo /force。强行降级后。将DC1的IP设为老DC的IP。

出现故障：该单位有个WEB应用，数据库在老DC上，现在无法查询数据。折腾半天，这边提示说其他应用服务器与DC1无法PING通。又折腾这个，无法PING通，是因为他们的服务区上装有360safe的arp防火墙作怪。但是web应用依然不行。据他们的开发人员说，那个数据库的服务器要在域里面才可用。。。也就是说我又得把老DC加入域，第一次加入，提示已经有这个计算机帐户。于是，清理老DC的元数据。完成，再次加域，不再提示又重复帐户，但是弹出另外一个窗口，因为不是我操作，故障不记得了，大概是域不可用。晕。

10.        然后和高级技术人员联系后，要修复DC，具体我没参与，不会。问题解决后，将老DC加入域，客户端浏览web服务好了，但是那边他们的开发人员说，他们web应用的服务器用IIS本地浏览网页依然不行。晕。。。

11.        重启了一次老DC后，远程连接登录不了，提示RPC服务不可用，只能本地登录，将DC上的RPC服务重启，依然如此。那边开发人员说，那边IIS又好了，但是他们不得其解，为什么要加入域他们的web服务才可以正常使用！他们的这个web服务，在其他的点没有域可以正常运行！

晚上11点了。不得不收工。

-----------------------------

12.        第二天过来，查看DC1状态，DNS日志，系统日志大量报错。其一事件ID是1508，某个组策略无法执行。。。然后再发现sysvol，netlogon共享没了。。。第一个按日志ID1508查阅微软，有一KB

[url]http://support.microsoft.com/kb/842804/zh-cn[/url]

但是同事没有做，因为我只是去打下手的。后来我看到他在修sysvol共享。然后又baidu了一文章： [url]http://hi.baidu.com/smallwolf99/blog/item/390814d5db42f9c150da4b49.html[/url]这个也是微软的KB转来的。我们发现sysvol下面的结构已经损坏，不得不重建，同时也发现，事件1508也是因为这个而出现的，系统默认的安全策略，丢失了。按文章修复sysvol。完成

13 .        下一个任务是清理掉过期的计算机信息。又去网上找，第一次是找到要通过一命令，query过时的计算机帐户，未得到结果。后来，找到一文章，提供了一个工具：oldcmp。但是同时没有做这个了，因为不紧要，我们还有一个任务是为所有的服务器进行安全加固，就是用微软的扫描工具，MBSA。我自己试了下，可以批量处理帐户，蛮好。

14.        给老DC打SP1.SP2补丁，第一次打补丁提示无法验证update.inf文件完整性，网上有帮助：将一个文件，重命名，重启加密服务。未果。然后在微软上找到一KB：[url]http://support.microsoft.com/kb/822798[/url]，先做删除前面几步，不再提示update.inf错误了，大喜，半路弹出提示：安装编录服务失败。按微软的KB做到了重新注册dll文件，依然不行，因为其他的不符合我们的条件，卡壳，该服务器无法安装补丁。

 

时间太晚，回家了。

转载于:https://blog.51cto.com/smileruner/80515