遷移域控之路

2021-10-05 21:18:10 字數 2578 閱讀 4887

遷移域控之路

我不知道搞技術是不是都有強迫症,最近就遇到乙個讓自己犯下無數強迫症並為其買單的案例,感覺自己死裡復活了一遍。

廢話不說,上主題,公司的域控最近總是遇到問題,早就想乾掉另起東山,這個域控是基於server2012架構的,這個二愣子系統呢用過的都知道和win8一樣是個夾生版本,既沒有下面的2008穩定也沒有上面的2016好用,我估計架構者恰好就遇到這個短命作業系統的出生年代,慌不擇路選擇了它。

外資企業上的是英文版本,畢竟不是第一母語,雖然不難但是真的要操作起來也是要看三遍,夠煩,介面連個關機選項都沒有,win8式的觸控螢幕開始選單讓人很是頭疼,這些,我想就算沒有強迫症的人也想要換了它。

於是乎開幹:

開始部署副域,安裝的2016,將域和dns同步複製過去。

使用命令列ntdsutil遷移五大fsmo角色到副域,將副域提拔為主控。

事情要是這麼簡單就好了,誰料公司所有辦公文件共享nas伺服器都是關聯ms ad,將ad驗證指向新域控,設定是成功的,但是死活驗證不了,不知道是域控的問題還是nas的問題,但是一指回原來的舊域控就正常了,難道死活不讓我遷移?

強迫症又一次犯了,信了你的邪,我重頭部署了第三台域控作為副域,並將域控指向這台新域控,發現依然如故,這是死磕那台舊域控啊。

開啟登錄檔編輯器,找到如下鍵值:

hkey_local_machine\system\currentcontrolset\services\ntfrs\parameters\backup/restore\process at startup

然後在右邊找到burflags,將其值改為d4(16進製制)後退出

分別執行如下命令重啟相關服務

net stop netlogon

net start netlogon

net stop ntfrs

net start ntfrs

sysvol和netlogon是重建了,但是很慘痛,所有gpo都不正常了,所有指令碼也丟失殆盡,還好,之前做了一次備份,但是無法匯入,找到指令碼一條條坐回去也不難,只是費點時間。

最後發現連預設的域策略和預設的域控制器策略都不正常,詳細資訊顯示sysvol不可用,喵了個咪,自定義組策略可以重建,預設的組策略你敢動嗎?搞不好域直接崩潰。好的,哥承認當時怕了,耐心研究,根據顯示的guid找到硬碟上對應的組策略配置檔案,和之前備份的gpo對照,發現缺少gpt檔案,複製過去居然直接ok了,別問為啥出這問題,我也想知道gpt怎麼就沒了。搞定一系列ad和gpo問題,剩下的路就通暢多了。

現在有了三颱域控,我決定將第二台設為主控,第三台設為副控,舊的那台登出掉,讓它人間蒸發,有多遠走多遠。

於是,我將dhcp角色從原理舊的域控遷移到第二台新的域控上,倒也不難,用dhcp匯入匯出即可瞬間搞定,**原來dhcp的授權並停用,啟動新伺服器授權並啟用,遷移比較簡單。

值得注意的是dns伺服器的指向要改為新的兩台域控的dns。

好了,開始測試遷移的效果,停掉原來作為主域控的伺服器,讓它下線,看所有工作是不是正常執行,經過無數除錯,nas的域驗證也成功遷移到新的域控,dhcp,dns,還有外網**,跨域的信任都是成功運作的。

觀察了一下沒有什麼問題,開始對舊的主控動刀,將它從域控中解除安裝登出。

首先,重新開啟舊域控伺服器,進入伺服器管理器,將ad角色和工具解除安裝,中間會提示降級,降級完成就可以順利解除安裝並自動重啟,然後停掉伺服器永久下線並刪除虛擬機器,我的虛擬磁碟空間總算是釋放出來了。

然後登入目前的主域控,進入ad站點和服務將其刪除,並登入ad將域控制器主機刪除,最後清理dns靜態設定,以為完美收工,還有麻煩事。

按照網友的帖子如下操作:

nslookup set type=srv或set q=srv

然後_ldap._tcp.dc._msdcs.你的網域名稱

可以看到兩個伺服器的srv記錄

發現解除安裝的域控資訊還是存在,還是要去dns配置下手工刪除_ldap和_kerberos檔案:

.png

為了盡快驗證主域的功能,將副域的權重降為0(主域控預設為100無需改動),將所有使用者都登入到主域上來,按照壇友的帖子操作

改變域控制器的priority和weight不能直接在dns中更改,因為一旦域控制器重新啟動這兩個引數就又變回原來的值了,其實不用重新啟動只需把域控制器的net logon服務重新啟動一下就行了,域控制器會自動註冊dns區域,重新寫入資料。在dc上的登錄檔的如下位置新增兩條dword值(ldapsrvpriority和ldapsrvweight)

hk_l_m\system\currentcontrolset\services\netlogon\parameters

改完後發現dns區域配置裡面副域控有兩條不同權重的_ldap和_kerberos記錄,需要手工刪除原來的預設的記錄,保留現在修改後權重後的記錄。

最後,開始優化一下域的組織架構,把很久沒有登入的計算機剔除出ad,方便組策略管理:

查超過10週未登入的計算機 dsquery computer -inactive 10

查超過10週未登入的使用者 dsquery user -inactive 10

在主域控上查詢,在副域上對照刪除,順便驗證下主從複製是否成功並檢測同步速度,大概有個幾秒的延遲,但還是同步的。

總結:生命在於折騰,一切是以做好備份為前提,萬一不成功可以回滾,多想辦法測試驗證,不折騰不舒服斯基。

全文完

域控 域控時間同步問題

我們來一 一解決 這2個問題 windows server 2012 成為域控後,時間設定裡的,internet時間就沒有了,為了解決這個問題,用以下cmd命令可解決 w32tm config manualpeerlist time.windows.com syncfromflags manual ...

域控伺服器遷移全過程

一 系統安裝及配置 1 使用windows server 2003 sp1 iso映象安裝系統 3 安裝surpport工具 進入系統光碟的support tools目錄,雙擊執行suptools.msi,預設安裝即可。安裝完成後,在 開始 所有程式 中可以看到有 windows support t...

輔域控公升級主域控的處理辦法

1.開始 執行 ntdsutil 啟用ntdsutil命令 2.roles 進入角色模式 3.connections 進入連線模式 4.connection to domain com 連線到域 5.q 返回上乙個目錄 6.seize domain naming master 索取域命名主機角色 s...