簡述Win 2003域控制器的遷移域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫…… 域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫。當電腦

簡述Win 2003域控制器的遷移

域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫…… 域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫。當電腦聯(lián)入網(wǎng)絡時，域控制器首先要鑒別這臺電腦是否是屬于這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。

如果以上信息有一樣不正確，那么域控制器就會拒絕這個用戶從這臺電腦登錄。不能登錄，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網(wǎng)用戶的方式訪問Windows 共享出來的資源，這樣就在一定程度上保護了網(wǎng)絡上的資源。以上講的便是域控制器的優(yōu)越性之一，由于域控制器的種種優(yōu)勢，當今眾多企業(yè)分別采用域的管理模式管理企業(yè)內(nèi)部的計算機。與此同時，種種問題也相應出現(xiàn)，對域控制器的遷移問題作為microsoft 的忠實用戶應該并不陌生，網(wǎng)上對域控制器遷移的操作步驟的文章也算少。不過在多級域下的域控制器作遷移工作的文章則寥寥無幾，我們在此便討論一下這個問題。

說明：根據(jù)上圖可知A 為B 的主域控，在此我們只給大家作了一個模擬環(huán)境，實際當中，主域和子域可以不在一個網(wǎng)段內(nèi)，也可以分布在用VPN 相連的Intranet 內(nèi)，其原理是一樣的。我們在此僅對A 域控下的B 域控做遷移工作，遷移過程為：首先B 域控遷移到準備替換DC 的PC 上，down 掉B 域控，使得客戶端工作無影響，再次對B 主機作重灌windows 2003 server ，并替換PC 的DC ，這個過程中要求對客戶端無任何影響。以下為操作步驟： 步驟1. 備份DC 的安裝

(1)選用一臺PC ，安裝windows 2003 server ，設置IP 為192.168.10.2; 主機名為adbak ，重新啟動。

(2)BDC的安裝:運行-dcpromo-下一步-選擇：現(xiàn)有域的額外域控制器-下一步-輸入用戶名、密碼、域[此賬戶名和密碼為主域控制器的賬戶名密碼，權限為管理級，域為主域的域名]-下一步-下一步-下一步-下一步-還原模式密碼[本主機域的登陸密碼-確認密碼]-下一步-到向導配置[需花幾分鐘]-完成

(3)重新啟動計算機

步驟2. 備份DC 的DNS 安裝

(1)在adbak 上，用主域控A 的管理帳戶密碼登陸到A 的域內(nèi)。

(2)開始-控制面板-添加或刪除程序-添加或刪除window 組件-選擇網(wǎng)路服務-點擊詳細信息-勾選域名系統(tǒng)(DNS)-下一步-完成

(3)打開dnsmgmt-設置屬性-點擊轉發(fā)器-添加轉發(fā)的IP 地址表192.168.10.100、192.168.10.1-確定

(4)解析DNS ：解析B 的域名會得到2個IP 地址即192.168.10.1和192.168.10.2，以及各個主機記錄是否解析正常

(5)Active Directory站點和服務，設置adbak NTDS setting屬性為全局編錄-確定

(6)在CMD 命令下，鍵入net stop netlogon 再鍵入 net start netlogon

步驟3.FSMO 奪取過程及其他操作

(1)在CMD 命令行下鍵入：ntdsutil-roles-connections-connections to server b.abcd.com 成功連接

(2)角色的轉移(后接命令, 請用問號, 有詳細的中文說明) ：[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID

master][transfer schema master] 若轉移不成功也可以選用奪取seize

(3)轉移成功后，重啟計算機，重啟后觀察各記錄是否轉移無誤，并用nslookup 作相應的驗證。

步驟4.down 掉B 域控后，客戶端的訪問情況

(1)修改adbak 主機的IP 地址為192.168.10.1 DNS為192.168.10.1

(1)開啟客戶端登陸到b.adcd.com 內(nèi)，觀察是否能登陸以及登陸后的界面是否有變化，在奪取成功的情況下對客戶端不受任何影響。

(2)cmd命令行下，用ping 命令檢測網(wǎng)絡是否通順，包括與主域控、adbak 域控，并在ping 過程中第一要對IP 地址進行ping ，第二則根據(jù)主機名進行ping ，用來檢測DNS 解析是否正常。

(3)文件夾的訪問，如：2.168.10.100訪問需不需要再進行認證。

步驟5. 主域控A 與PC 域控的信任關系測試

(1)Active Directory 域和信任關系界面下確認信任關系是否存在，屬性-信任-選擇域(內(nèi)向信任)-屬性-驗證-選擇(是，驗證傳入信任)-輸入用戶名密碼-確認-跳出該信任以通過驗證，他已到位并處于活動狀態(tài)，表明信任存在。

(2)內(nèi)向信任和外向信任都進行(1)操作觀察是否存在信任。

步驟6.B 主機域控制器的重建過程

(1)安裝windows 2003 server，設置IP 為192.168.10.2，DNS 設置為192.168.10.1，主機名為ad ，重新啟動。

(2)用ping 命令檢測B 主機是否和其他主機網(wǎng)絡通順，若通順，重啟

(3)建域控制器：運行-dcpromo-下一步-選擇：現(xiàn)有域的額外域控制器-下一步-輸入用戶名、密碼、域[此賬戶名和密碼為主域控制器的賬戶名密碼，權限為管理級，域為主域的域名]-下一步-點擊游覽選擇b.abcd.com 域-下一步-下一步-還原模式密碼[本主機域的登陸密碼-確認密碼]-下一步-到向導配置[需花幾分鐘]-完成-重啟

(4)在新的B 主機上，用主域控A 的管理帳戶密碼登陸到A 的域內(nèi)，根據(jù)步驟2建立DNS

(5)用ping 命令檢測網(wǎng)絡情況，要求網(wǎng)絡通順。

步驟7.B 域控制器新建后，客戶端的訪問情況和解析--------操作步驟參照步驟4 步驟8.FSMO 再次轉移過程-------轉移過程參照步驟3

步驟9.adbak 關機后，新的B 域控制器替代過程

(1)修改B 主機的IP 地址為192.168.10.1 DNS為192.168.10.1

(2)用nslookup 解析域名，主機名; 用ping 命令檢測IP 地址、主機名、主域和子域的網(wǎng)絡是否連通。

(3)清理與主機adbak 、與IP 地址192.168.10.2的所有記錄

步驟10. 新的B 域控制器替代后，客戶端的情況---------參照步驟4

步驟11. 新的B 域控制器替代后，主域控A 與新B 的信任關系--------參照步驟5