域控迁移的操作与排障
域控迁移通常是RID、PDC、基础结构主机以及DNS角色迁移。
使用netdom query fsmo,查看FSMO角色功能
可以使用桌面的形式来设置,也可以使用命令的方式,推荐使用命令的方式。
迁移前要注意域功能和林功能级别。
命令方式迁移
- cmd 打开“命令提示符”
- 输入“ntdsutil”
- 在 ntdsutil 命令提示符下,输入“roles”命令。
- 在 fsmo maintenance 命令提示符下,输入“connections”。
- 在 server connection 命令提示符下,输入“connect to server B.text.com”。输入需要转移到的域控主机名
- 在 server connection 命令提示符下,输入“quit”(返回上一级命令提示符)
- 在 fsmo maintenance 命令提示符下,输入“transfer RID master”,转移的主机。可以输入?来确定主机命令,不同系统版本主机命令会有不同。
- 通过cmd中,输入 netdom query fsmo来确定主机是否转移正常
注:如果主域功能正常时,使用transfer来转移主机。
如果主域功能不正常时,使用seize来转移主机。 - 修改用户网络主DNS服务器地址。
以下功能主机在网络中必须保持唯一性。
| 命令 | 意义 |
|---|---|
| Transfer PDC | PDC主机 |
| Transfer RID master | RID 主机 |
| Transfer infrastructure master | 基础结构主机 |
| Transfer domain naming master | 域命名主机 |
| Transfer schema master | 架构主机 |
当高版本系统需要加入低版本的域控时,需要使用高版本adprep文件夹,通常在系统iso的support文件夹下。
在准备需要先注意AD域的域功能级别和林功能级别
域功能:Active Directory 用户和计算机
林功能:Active Directory 域和信任关系
- 导入adprep当主域控
- 用cmd进入adprep所在文件夹,使用administrator登录
如: d:
cd 1\adprep - adprep /forestprep ///注释:扩展林架构信息
按C,再按回车
adprep /rodcprep - adprep /domainprep
- adprep /gpprep
删除旧域控
在副域控上删除主域控
- cmd 打开“命令提示符”
- 输入“ntdsutil”
- 在 ntdsutil 命令提示符下,输入“metadata cleanup”命令。
- 在 metadata cleanup 命令提示符下,输入“select operation target”。
- 在 select operation target 命令提示符下,输入“connections”。
- 在 server connections 命令提示符下,输入“connect to server B.text.com”。输入辅助域控主机名
- 在 select operation target 命令提示符下,输入“list sites”。
- 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com
select operation target:select site 0 - 在 select operation target 命令提示符下,输入“List domains in site”。
- 同第8条
select operation target:select domain 0 - 在 select operation target 命令提示符下,输入“List servers for domain in site”。
- 同第8条
select operation target:select server 0 - select operation target: quit 返回上一级
- metadata cleanup:Remove selected server
删除之后还需删除
· Domain controllers中欲删除的服务器对象(使用ADSI编辑器)
· 在AD站点和服务中删除没用的服务器对象,将新域控中复制的连接也删除
· 删除旧域控DNS记录
DNS管理器中有三个(与父文件夹相同)的文件,其中起始授权机构需要所有域控服务器的域名,名称服务器和主机需要是主域服务器的域名和IP。
最后设置转发器,不设置转发器本地DNS服务器就不能解析外网。
注:在搭建域控时一定要记得创建副域控,而且最好使用虚拟软件虚拟一个域控。
常见故障
如果在cmd中,输入net share 没有出现sysvol和netlogon,但在c:\windows下能找到sysvol文件夹。如果不修复,最重要的问题就是新电脑无法加域,组策略无法使用。
需要先在sysvol\domain下添加 Policies和Scripts两个文件夹
打开注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
在右边找到BurFlags,将其值改为D4(16进制)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Cumulative Replica Sets{GUID},其中GUID是类似f791c404-f37f-4634-9899d59d9397871e这样的字符串值。
然后找到右边的BurFlags,同样将其修改为D4(16进制)后退出
再在cmd下
Net stop netlogon & net start netlogon
Net stop ntfrs & net start ntfrs
即可
修复组策略
最简单也是最值得推荐的方法就是直接从别的域控制器上将以上的策略文件拷贝到该域控制的C:\WINDOWS\SYSVOL\sysvol\a.com\Policies目录下。
还有一种是,安装Resource Kit后运行命令dcgpofix /target:both。这个命令会重新建立这两条策略到域控制器刚安装好时的默认状态,即策略上做的设置都会清空,这点请注意。
(注:运行dcgpofix时如果提示“此域的 Active Directory 架构版本和此工具所支持的版本不匹配。”,那么请将命令修改为dcgpofix /ignoreschema /target:both忽略架构版本。)
查看域时间
利用net time /querysntp命令查看
利用net time /setsntp来改变这台PDC时间服务器
