域控制器迁移的方法

1、域控制器迁移的方法对于域结构的网络来说，域控制器的重要性不言而喻。 如果网络中唯一的域控制器突然崩溃， 而事先也没有做好备份，那将是一场灾难。所以如果有条件的话，还是建议在网络中备有额 外域控制器。本文就是详细介绍了域控制器迁移的具体实例。AD: 2013大数据全球技术峰会课程 PPT下载域控制器包含了由域的账户、 密码、属于这个域的计算机等信息构成的数据库，负责对整个Windows域以及域中的所有计算机进行管理。配置域控制器有利于对域中用户的集中配置管理，为网络共享资源提供安全保障。对于域结构的网络来说，域控制器的重要性不言而喻。如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是

2、一场灾难。 所以如果有条件的话，还是建议在网络中备有额外域控制器。在网络中的域服务器都会自动进行复制。如果一台机器坏掉的话，额外域控制器可以随时接管工作。此时的额外域控制器可以进行用户认证，登录等工作，但是为了正常的使用域资源，还需要将域控制器的 5种角色转移到额外域控制器中。现在我们就以将WIN2003 SERVE触控制器的迁移为例，一起探讨一下具体步骤。说明：单位中有一台 WIN2003域服务器，由于该服务器硬件设备不是很好， 需要将域控 制器迁移至一台新机器中。同时，单位中使用的是动态IP地址，DHCPi务器也位于该机器上。环境：机器1,主域控制器为 , DNS服务器，DHCP!艮务器网

3、络属性为：IP : 192.168.2.1/24DNS 192.168.2.1机器2,额外域控制器IP : 192.168.2.2/24采用方案：采用额外域的方法通过网络将活动目录数据转移到额外域控制器上，然后在额外域控制器上夺取活动目录的5种角色，最后再迁移 DHCP艮务器至额外域控制器上。一、安装额外域控制器1、在机器1上安装 WIN2003 SERVE臊作系统，安装好杀毒软件。2、 配置机器2的网络连接设置，使其DNS旨向DNS服务器192.168.2.1 。3、将机器2加入域 中，重新启动机器。4、在机器2上运行配置服务器向导，将机器2提升为 域的额外域控制器。重新启动机器并等待 30

4、分钟左右。二、配置DNS服务器1、 在机器2上打开域共享目录，找到本计算机，打开，确保NETLOGQNSYSVOl-K统卷 已经成功共享。这表示这台机器已经成功的提升为额外域控制器。2、 在机器2上，利用添加/删除组件，添加DNS!艮务器。3、 打开DNS服务器，新建一正向查找区，然后启动DNS服务器。这时，额外域控制器会自动从主域控制器中复制DNS己录，等待20分钟左右。三、转移Active Directory 操作主机角色当两台域控制器中的DNS己录完全同步完成以后，需要将活动目录的五种角色从dc上转移到dc1中。操作步骤如下：1、在额外域控制器中打开命令行。2、在命令行中依次敲击如下命令

5、。1. Ntdsutil2.2. Roles4.3. Connections6.4. Connect to server dc1（连接到额外域控制器服务器上）8.5. Quit10.6. ?（打个问号可以看到有几条命令，依次打入后五条。在弹出的确认框中选择是即可）12.7. Transfer domain naming master14.8. Transfer infrastructure master16.9. Transfer PDC18.10. Transfer RID master20.11. Transfer schema master22.这样，活动目录的5种角色就会转移到新的额外

6、域控制器上。四、更改全局编录1、 在额外域控制器上，打开程序管理工具Active Directory 站点和服务,依次 展开SiteDefault-First-Site-NamingServersDCNtds-Settings2、 右键点击，在弹出的菜单中选择属性，打开NTDS Settings属性对话框，将“全 局编录”的选中箭头去掉，然后确定。3、 在额外域控制器上，打开程序管理工具Active Directory 站点和服务,依次 展开SiteDefault-First-Site-NamingServersDC1Ntds-Settings4、 右键点击，在弹出的菜单中选择属性，打开NTD

7、S Settings属性对话框，将“全 局编录"单选框前面的勾打上。然后确定。5、重新启动机器。五、迁移DHCPW务器1、 在额外域控制器上利用添加/删除组件，安装DHCPB务器。2、在主域控制器上，打开命令行，依次运行如下命令1. Netsh2.2. Dhcp4.3. Server6.4. Export c:dhcpdb all8.将DHCP勺配置和数据文件导出来，并将该文件拷贝到额外域控制器的c盘。3、在额外域控制器上在命令行中依次运行如下命令：1. Netsh2.2. Dhcp4.3. Server6.7. Impportc:dhcpdb all8.数据和配置信息已经成功的导入

8、到服务器中。4、 在额外域控制器上，依次打开程序管理工具DHCP,打开服务器，你将看到DHCP 数据库的配置和数据都已经导入到服务器中。5、 在该DHC用艮务器作用域选项中，将 DN啪IP地址更改成该服务器的IP地址。6、 关闭主域控制器的 DHCFW务，对额外域控制器上的DHCF®务器进行授权，然后重 新启动DHC用艮务器。7、 将额外域控制器的网络配置中，将DN故成指向自己的服务器IP地址：192.168.2.2 。8、关闭主域控制器机器。重新启动额外域控制器。六、附录名词解释:1、 Active Directory操作主机角色概述Active Directory定义了五种操作主

9、机角色（又称FSMO）:架构主机schema master域命名主机 domain naming master相对标识号（RID） 主机RID master主域控制器模拟器（PDCE）基础结构主机 infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：2、 Active Directory操作主机角色功能架构主机：具有架构主机角色的 DC是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。域命名主机:具有域命名主机角色的 DC是可以执行以下任务的唯一DC:向目录林中

10、添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象。相对标识号(RID) 主机：此操作主机负责向其它 DC分配RID池。只有一个服务器执行此任务。在创建安全主 体(例如用户、组或计算机)时，需要将 RID与域范围内的标识符相结合，以创建唯一的 安全标识符(SID)。每一个 Windows 2000 DC都会收到用于创建对象的RID池(默认为512)。RID主机通过分配不同的池来确保这些ID在每一个DC上都是唯一的。通过 RID主机，还可以在同一目录林中的不同域 之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的，目

11、录林中的每个域都有自己的相对标识号(RID)主机PDCE :主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器， 允许Windows NT4.0备份域控制器(BDC)加入到新的 Windows 2000环境。 本机 Windows 2000 环境将密码更改转发到 PDCE每当DC验证密 码失败后，它会与PDCE取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC中。时间同步 一目录林中各个域的 PDCE都会与目录林的根域中的PDCE进行同步。PDC皂基于域的，目录林中的每个域都有自己的PDCE基础结构主机：基础结构主机确保所有域间操作对象的一致

12、性。当引用另一个域中的对象时，此引用包含该对象的全局唯一标识符(GUID)、安全标识符(SID)和可分辨的名称(DN)。如果被引用的对 象移动，则在域中担当结构主机角色的 DC会负责更新该域中跨域对象引用中的SID和DN。基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机默认，这五种FMS O存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号（RID）主机、PDCE、基础结构主机存在于子域中的第一台DG3、全局编录：全局编录包含目录中每个Windows 2000域的部分副本，它是由 ActiveDirectory复制系统自动创建的。这样，只要给出目标对象的一个或几个属性，用户和应用程序就可以在 Active Directory 域目录树中找到这些对象。全局编录还包含目录分区的架构和配置。这就是说，全局编录存储Active Directory 中每个对象的副本，但只存储它们的很少一部分属性。全局编录中的属性是搜索*作中那些最常使用的属性（如用户的名和姓、 登录名等等），这些属性是查找对象完整副本位置所