域控制器迁移.docVIP

系统管理员搬家也要专业——域控制器迁移 摘要：每当到年底的时候信息部门的系统管理员就会忙活起来了，因为要准备来年的计划和方案，紧接着就是在服务器硬件上的更新。硬件更新就像一次搬家，试想一下我们如果要搬家，这其实是个很复杂的事情，新房子的装修，如何去搬，什么时候去搬，这都是要好好的规划的。 【51CTO独家特稿】前言：到年底了，对于我们信息部门的系统管理员来说，肯定是又忙活了起来。因为要去准备来年的计划和方案，而随着现在服务器硬件发展的日新月异，迁移工作可能是每位管理员必不可少的任务。但是说到迁移工作，里面的学问和技术含量可高着呢，这可不是把钱从一个口袋放到另一个口袋这么简单。试想一下我们如果要搬家，这其实是个很复杂的事情，新房子的装修，如何去搬，什么时候去搬，这都是要好好的规划的，换句话说系统迁移比搬家还要精细的多。 系统迁移可不是如此简单 尽管我们现在有了类似于System?Center?VirtuaMachine?Manager可以轻易的实现物理服务器到虚拟机服务器的迁移工作，但是对于一些不能或者不推荐在虚拟机里面运行的服务器，这迁移还是老老实实的跟着传统走吧。 这不，域控制器的改朝换代从Windows?2000开始至最新的2008?R2，整个迁移的过程和思路都是一样的，所以今天我们就来看看如何把一台域控制器从旧的服务器迁移到新的服务器。 这里的环境再简单不过，一共也就就2台服务器。 1?安装新的域控制器 对于DC1的安装这里这里就不再详细说明了，只需要注意安装额外的域控制器可以对现有的成员服务器进行提升，令其成为域控制器。或者安装一台新的计算机，并对其进行提升。无论使用哪种方法，DC1都必须讲从DC处获得必要的目录信息。 2?操作主机（FSMO）的迁移 对于域控制器迁移的工作最大的挑战之一就是FSMO?5个角色的迁移，所以我们先来看看这5个角色各自都起到了什么作用。 首先我们知道活动目录和NT4目录服务最大的区别就是多主机模式，因此活动目录创造出分布式的环境，并让任何域控制器都可以被用作验证，从而可以在特定域控制器上操作即可更改标准目录信息。比如我们可以在任意一台域控制器上新建用户帐号（2008中的只读域控制器除外），对于大部分活动目录的操作，所有域控制器都一视同仁，但是也并非全部如此。有些活动目录中特定的操作只能在“操作主机”的域控制器上进行。 什么是操作主机 专用的操作主机具有灵活单主机操作（Flexible?Single-Master?Operations,FSMO）角色，一共有5种这类角色，分别如下： 架构主机（Schema?master） 架构主机是林中唯一包含可写入架构容器副本的域控制器，只有在其上面才可以对架构进行修改。举个例子来说吧，我们现在有个域是用作管理学生信息使用的，而管理学生信息又是以学生的学号为中心。但是现有的“Active?Directory用户和计算机”控制台管理界面中并没有学号这一个标签和选项，所以我们需要进行扩展架构。而这里的扩展架构这个步骤就是在架构主机中完成的，所以架构主机好比是定义了整个目录中的标准。 但是定义标准这个活可不是谁都能做的，一定要在组织中最最权威的机构上进行。这就好比，我们的身份证上有姓名栏、家庭地址栏等信息，但是如果哪天身份证上面要加一栏，比如要加上个人工作单位这一栏，对于修改身份证这个操作只能由我们中央政府的有关部门才能去做，地方政府肯定是没有这个权限去DIY我们身份证的，否则我们的身份证肯定是千奇百怪并失去统一性和标准性。所以，在我们的活动目录中，修改架构只有在架构主机上才能做。 域命名主机（Domain?Naming?master） 域命名主机主要负责从林中添加或者删除域。在创建了新域时，需要创建到域命名主机的远程过程调用（Remote?Procedure?Call,RPC）连接，并给域分配全球唯一标识符（GUID）。在删除域时，也需要创建到域命名主机的PRC连接，并将之前分配的GUID引用删除。 所以一旦在整个林中有新的域被建立或者被删除，就要到域命名主机这里去“登记”一下。 RID主机 RID主机控制了域中的新的安全主体，比如用户、组和计算机的创建。 这就好比，我们成人之后，要去派出所登记身份证，拿到的身份证号码前几位的格式都是相同的，当中几位是我们每个人的生日，而最后几位数字却每个人都不相同。 PDC模拟 说到PDC，就必须得提一下NT4的目录服务。在NT4的目录服务的时代，可不像我们的活动目录这么平等。在那个时代只有PDC才算真正的DC，毕竟人家叫Primary嘛。除了PDC之外，所有的其他域控制器都叫BDC。PDC和BDC最大的区别就是在数据复制的角度上，PDC只出不进，BDC只进不出。PDC是一党独大，这样的话，万一哪天PDC因为硬件故障出现了问题