域控制器迁移.docx

尽管我们现在有了类似于System Center VirtuaMachine Manager可以轻易的实现物理服务器到虚拟机服务器的迁移工作，但是对于一些不能或者不推荐在虚拟机里面运行的服务器，这迁移还是老老实实的跟着传统走吧。这不，域控制器的改朝换代从Windows 2000开始至最新的2008 R2，整个迁移的过程和思路都是一样的，所以今天我们就来看看如何把一台域控制器从旧的服务器迁移到新的服务器。作者简介：张诚，网名asuka（博客，微博），资深IT基础架构顾问，三届微软全球最有价值专家（MVP），微软Technet 特约讲师。他是微软中文社区Windows版版主，ITECN 技术博客作者。他熟悉微软Windows操作系统和活动目录，具有多年微软服务器产品的项目和培训经验，现致力于传播绿色IT概念。曾获两次获得微软CPE杰出贡献奖、微软大中华区认证达人称号。著作有Windows 7安全指南、精通Windows Powershell脚本编程等。这里的环境再简单不过，一共也就就2台服务器。1 安装新的域控制器对于DC1的安装这里就不再详细说明了，只需要注意安装额外的域控制器可以对现有的成员服务器进行提升，令其成为域控制器。或者安装一台新的计算机，并对其进行提升。无论使用哪种方法，DC1都必须讲从DC处获得必要的目录信息。 2 操作主机（FSMO）的迁移对于域控制器迁移的工作最大的挑战之一就是FSMO 5个角色的迁移，所以我们先来看看这5个角色各自都起到了什么作用。首先我们知道活动目录和NT4目录服务最大的区别就是多主机模式，因此活动目录创造出分布式的环境，并让任何域控制器都可以被用作验证，从而可以在特定域控制器上操作即可更改标准目录信息。比如我们可以在任意一台域控制器上新建用户帐号（2008中的只读域控制器除外），对于大部分活动目录的操作，所有域控制器都一视同仁，但是也并非全部如此。有些活动目录中特定的操作只能在“操作主机”的域控制器上进行。什么是操作主机专用的操作主机具有灵活单主机操作（Flexible Single-Master Operations,FSMO）角色，一共有5种这类角色，分别如下：架构主机（Schema master）架构主机是林中唯一包含可写入架构容器副本的域控制器，只有在其上面才可以对架构进行修改。举个例子来说吧，我们现在有个域是用作管理学生信息使用的，而管理学生信息又是以学生的学号为中心。但是现有的“Active Directory用户和计算机”控制台管理界面中并没有学号这一个标签和选项，所以我们需要进行扩展架构。而这里的扩展架构这个步骤就是在架构主机中完成的，所以架构主机好比是定义了整个目录中的标准。但是定义标准这个活可不是谁都能做的，一定要在组织中最最权威的机构上进行。这就好比，我们的身份证上有姓名栏、家庭地址栏等信息，但是如果哪天身份证上面要加一栏，比如要加上个人工作单位这一栏，对于修改身份证这个操作只能由我们中央政府的有关部门才能去做，地方政府肯定是没有这个权限去DIY我们身份证的，否则我们的身份证肯定是千奇百怪并失去统一性和标准性。所以，在我们的活动目录中，修改架构只有在架构主机上才能做。域命名主机（Domain Naming master）域命名主机主要负责从林中添加或者删除域。在创建了新域时，需要创建到域命名主机的远程过程调用（Remote Procedure Call,RPC）连接，并给域分配全球唯一标识符（GUID）。在删除域时，也需要创建到域命名主机的PRC连接，并将之前分配的GUID引用删除。所以一旦在整个林中有新的域被建立或者被删除，就要到域命名主机这里去“登记”一下。RID主机RID主机控制了域中的新的安全主体，比如用户、组和计算机的创建。这就好比，我们成人之后，要去派出所登记身份证，拿到的身份证号码前几位的格式都是相同的，当中几位是我们每个人的生日，而最后几位数字却每个人都不相同。PDC模拟说到PDC，就必须得提一下NT4的目录服务。在NT4的目录服务的时代，可不像我们的活动目录这么平等。在那个时代只有PDC才算真正的DC，毕竟人家叫Primary嘛。除了PDC之外，所有的其他域控制器都叫BDC。PDC和BDC最大的区别就是在数据复制的角度上，PDC只出不进，BDC只进不出。PDC是一党独大，这样的话，万一哪天PDC因为硬件故障出现了问题，整个NT4的域就完全被毁了，所以这样是非常得危险。在活动目录中，尽管没有了PDC角色，但是还是有个操作主机叫做PDC模拟，顾名思义，就是模拟PDC所做的活。那么PDC究竟做哪些事情呢？在使用Windows 2000纯模式或更高功能级别的域中，带有PDC模拟角色的域控制器主要负责处理客户端密码的变动、客户端的锁定。在用户更改密码后，变动首先会被发往PDC模拟，然后再被复制到域中的其他域控制器上。这样可以避免密码修改同步的问题。基础架构主机（Infrastructure master）基础架构主机主要负责更新跨域的组到用户引用。这也就意味着基础架构主机主要负责确保对用户帐户通用名的更改可以被正确反映到林中其他域的组成员关系中。基础架构主机是通过对比全局编录服务器（GC）的目录数据的方法实现，如果数据过期，那么基础架构主机就更新这些数据，并将变动复制到域中的其他域控制器上。简单的介绍了这5个操作主机后，再来介绍一下他们的要点。架构主机和域命名主机都是以每个林为基础分配的，这意味着每个林中只能有一台架构主机和域命名主机。其他三个角色，RID、PDC模拟和基础架构主机都是以每个域为基础分配的。这个很好理解，有些事情只能由中央政府去做，而有些事情，只能由地方政府去做，各自职责明确。在安装活动目录，以及给新林中创建第一台域控制器时，默认情况下，所有这5个角色都会被安装在这台DC上。假如在这个域下面建立了子域，那么子域中的第一台域控制器就会被分配为该子域的PDC仿真器、RID和基础架构主机，但是不会有架构主机和域命名主机的角色分配。操作主机的查看查看操作主机有图形界面和命令行两种方式，相对来说，命令行比较方便。在Windows Server 2008上，在命令行中运行下列命令“netdom query fsmo”，即可了解登录到的域的当前操作主机信息（图 1），通过截图我们就可以发现，默认情况下，5个操作主机的角色全部都在DC.这台域控制器上面。图 1用图形界面查看操作主机的相关内容在下面介绍。操作主机的迁移好了，说了这么多关于操作主机的概念，接下来终于到了迁移操作主机的迁移了。由于操作主机是5个角色，所以每个角色的迁移都不一样，我们逐一来看。架构主机要迁移架构主机，首先要在DC上找到“Active Directory 架构”这个控制台，但默认情况下，在我们的域控制器上是找不到这个控制台界面的，而需要额外的注册一个dll文件。在开始-运行中，键入“regsvr32 schmmgmt.dll”，随机显示出一条指出注册成功的消息（图 2）。然后在开始-运行中，键入“mmc”，在控制台菜单上，单击“添加/删除管理单元”。单击添加，选择第一行的“Active Directory 架构”。这样就能打开“Active Directory 架构”控制台界面。图2右击“Active Directory 架构”选择“更改Active Directory域控制器”，在“更改目录服务器”的界面中（图 3），选择我们准备迁移到的DC1.，然后确定。图 3然后再一次右击“Active Directory 架构”选择“操作主机”，来到要迁移前的最后一步，这个时候只需要点击“更改”就可以完成迁移。在点击“更改”后的提示都点击是。图 4在完成了角色的迁移之后，可以通过再次在命令行中输入“netdom query fsmo”的方式来确认我们的迁移是否成功。有了架构主机的成功迁移之后，其他几个角色的迁移都是大同小异，只需要找到各自对应的界面。与架构主机相比，其他四个角色都可以在我们熟悉的控制台上操作，而不需要注册dll文件来得这么麻烦。域命名主机点击开始-程序-管理工具，然后点击“Active Directory 域和信任关系”。在打开的控制台中，右击“Active Directory 域和信任关系”，接下来的操作和之前转移架构主机一样，都是先更改目录服务器，再转移角色。这里就不复述了。RID、PDC模拟和基础架构主机相对来说，这三个角色要简单很多，他们仨都是连在一块儿的。来到我们最最熟悉的“Active Directory用户和计算机”控制台，首先还是右击“Active Directory用户和计算机”然后更改目录服务器，然后右击“”选中“操作主机”（图 5），接下来就可以完成这三个角色的迁移工作了。图5最后我们在命令行中输入“netdom query fsmo”可以发现所有的五个角色都跑到DC1上去了（图 6）。图 6 3 全局编录服务器的迁移因为Windows Server 2008中，添加额外的域控制器都会默认把这台域控制器设置为全局编录服务器，所以我们不需要做额外的操作，只需要把DC的全局编录服务器的角色给移除掉即可。在DC上打开“Active Directory站点和服务”控制台，来到“Default-First-Site-Name”这个节点（这里假设我们的域中没有划分过额外的站点，如果有划分，请找到各自站点下对应的哦服务器），找到DC下面的“NTDS Setting”，右击选择“属性”。在“NTDS Setting属性”界面中把“全局编录”前面的勾给去掉。同理，找到DC1下面的“NTDS Setting属性”，确保“全局编录”前面的勾是勾着的状态（图 7）。图 74 把老的DC给降级接下来只要做一些收尾工作，在DC上的开始-运行，输入“dcpromo”，然后根据提示完成降级的工作（图 8）。图 8把老的DC给降级之后，这台DC就完成了历史的使命。接下来的所有工作都由DC1来完成，尽管域控制器已经换掉了，但我们希望这个过程对于用户来说是透明的，所以有两个办法可以实现。方法1是直接把DC1的I