备份域控制器提升为主域控制器的方法
备份域控制器提升为主域控制器的步骤
备份域控制器提升为主域控制器通过获取5个FSMO来进行提升,具体步骤如下:
转移架构主机角色
使用"Active Directory 架构主机"管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。
注册 Schmmgmt.dll
1. 单击开始,然后单击运行。
2. 在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。
3. 收到操作成功的消息时,单击确定。
转移架构主机角色
1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。
2. 在文件菜单上,单击"添加/删除管理单元"。
3. 单击添加。
4. 依次单击 Active Directory 架构、添加、关闭和确定。
5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。
6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。
8. 单击更改。
9. 单击确定以确认您要转移该角色,然后单击关闭。
转移域命名主机角色
1. 单击开始,指向管理工具,然后单击"Active Directory 域和信任关系"。
2. 右键单击"Active Directory 域和信任关系",然后单击"连接到域控制器"。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: ? 在"输入其他域控制器名称"框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
? 在"或者,选择一个可用的域控制器"列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击"Active Directory 域和信任关系",然后单击操作主机。
5. 单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
转移 RID 主机角色、PDC 模拟器角色和结构主机角色
1. 单击开始,指向管理工具,然后单击"Active Directory 用户和计算机"。
2. 右键单击"Active Directory 用户和计算机",然后单击"连接到域控制器"。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: ? 在"输入其他域控制器名称"框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- 或 -
? 在"或者,选择一个可用的域控制器"列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击"Active Directory 用户和计算机",指向所有任务,然后单击操作主机。
5. 单击要转移角色(RID、PDC 或结构)的相应选项卡,然后单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
具体试验教材地址:https://www.360docs.net/doc/6319030034.html,/showtopic-1405-1.html
AD主备域服务器
AD主备域服务器 本文档为AD主备域服务器的配置和操作指南。 ⒈介绍 ⑴目的 本文档旨在详细介绍如何配置和操作AD主备域服务器,以确保域的高可用性和故障恢复能力。 ⑵背景 AD主备域服务器是一种实现域控制器高可用性的解决方案。通过配置AD主备域服务器,可以在主域控制器出现故障时,快速切换到备域控制器,从而确保系统的连续性和可用性。 ⒉配置主备域服务器 ⑴硬件要求 在配置主备域服务器之前,首先需要检查硬件要求是否满足。确保备用服务器具有足够的处理能力、内存和磁盘空间。 ⑵安装操作系统 在备用服务器上安装相同的操作系统版本,并确保操作系统的补丁或更新与主服务器保持一致。
⑶安装域控制器角色 使用域管理员帐户登录备用服务器,并安装域控制器角色。在安装过程中,选择将服务器添加到现有的域中作为备用域控制器。 ⑷配置复制 配置备用域控制器与主域控制器之间的复制关系。通过运行适当的命令或使用Active Directory Sites and Services工具,确保域信息得以复制到备用服务器上。 ⑸测试切换功能 在主域控制器正常运行时,测试备用域控制器的切换功能。模拟主域控制器的故障,并验证备用域控制器是否能够正常工作并接管域控制器的职责。 ⒊恢复故障 ⑴主域控制器故障的识别 当主域控制器出现故障时,及时识别问题所在,并确保备用域控制器已准备好接管工作。 ⑵切换到备用域控制器 通过适当的步骤和命令,切换到备用域控制器。确保备用域控制器能够正常工作,并向客户端提供所需的服务和功能。
⑶故障修复 一旦备用域控制器接管了主域控制器的功能,必须尽快修复主域控制器上的故障,并重新将其纳入系统。 ⒋监控与维护 ⑴监控备用域控制器 定期监控备用域控制器的性能和状态。确保备用服务器能够正常工作,并及时发现潜在的故障或问题。 ⑵定期备份数据 定期备份所有域控制器的数据,包括主域控制器和备用域控制器。确保备份数据的完整性和可恢复性。 ⑶更新和维护 及时安装操作系统和应用程序的补丁和更新。确保系统安全,减少故障的风险。 ⒌附件 本文档附带以下附件: - 切换过程的步骤记录表格 ⒍法律名词及注释
windows2003更改主域控主机操作步骤
当生产环境当中的主域控出现故障,需要把域控的组织架构、策略、用户账号信息迁移到新域控,首先是搭建一台辅助域控然后提升主机模式到2003纯模式,最后迁移主域控的五个操作主机即可。 Active Directory内总共定义了五个操作主机角色: 架构主机(schema master) 域命名主机(domain naming master) RID主机(relative identifier master) PDC模拟主机(PDC emulator master) 基础结构主机(infrastructure master) 每个操作主机的主要功能如下: 1、架构主机: 负责更新与修改schema内的对象与属性数据,只有有Schema Admin组内的成员才有权利修改schema内的数据。如果架构主机出现故障或离线,可能会影响某些软件的运作,例如某些服务器级的软件在安装时,会在schema 内添加对象,如果架构主机出现故障或离线,将无法安装这些软件。 2、域命名主机: 负责管理林内域的添加与删除工作。如果域命名主机出现故障或离线,将无法在林内添加或删除域。 3、R ID主机: a、发放RID RID主机负责发放RID(relativeID)给其域内的所有域控制器。 当域控制器内添加一个用户、组或者计算机对象时,域控制器必须指派一个惟一的安全识别码(SID)给这个对象,此对象的SID是由域的SID与RID所组成的,也就是说“对象的SID=域的SID+RID”,而RID并不是由每一台域控制器自己产生的,它是由“RID操作主机”来统一发放给其域内的所有域控制器的。每一台域控制器需要RID时,它会向“RID主机”索取一些RID,用完后再向“RID操作主机”索取; b、移动对象无论目前所连接的域控制器是哪台,当要将某个对象传送到 另外一个域时,系统会移动位于“RID主机”内的对象,然后通知其他域控制器该对象已被转移。这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。 4、PDC模拟主机 a、支持旧客户端计算机用户在域内的就客户端计算机(如windowsNT)上改变密码时,这个密码数据是会被更新在PDC上,而Active Directory可以通过“PDC模拟主机”来支持这个功能;另外如果域内有windowsNT的BDC(backup domain controller),也需要“PDC模拟主机”来扮演windowsNT的PDC。 b、减少因为密码复制延迟所造成的问题当用户的密码修改后,需要一段时间这个密码才会被复制到其他所有的域控制器,如果在这个密码还没有被复制到其他所有的域控制器之前,用户利用新的密码登陆,则可能会因为负责检查用户密码的域控制器内还没有用户的新密码数据,而无法成功登陆。系统采用以下的方法来减少这个问题发生的几率,当用户的密码改变后,这个密码会优先被复制到“PDC模拟主机”,而其他域控制器让然是依照一般程序,也就是等一段时间后才会收到这个最新的密码。当用户登录时,复制验证用户身份的
域控制器的备份于还原
1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面: 点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:
在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目: 在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:
在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。 选择好备份文件的存放路径后,就可以点击“开始备份”了: 点击“开始备份”后,会出现如下画面:
在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面: 在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:
域迁移方法
域迁移方法 1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后,安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上(楼上面的人说要建立域整合的DNS,这一步根本没有必要因为旧DC上的DNS服务会自动同步到新DC上面的) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程我有一个word文档在附件里边. 6:老DC降级重启然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机schema master 2..域命名主机domain naming master 3.相对标识号(RID) 主机RID master 4.主域控制器模拟器(PDCE) 5.基础结构主机infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 1.架构主机 具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 2.域命名主机 具有域命名主机角色的DC 是可以执行以下任务的唯一DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 3.相对标识号(RID) 主机 此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将RID 与域范围内的标识符相结合,以创建唯一的安全标识符(SID)。每一个Windows 2000 DC 都会收到用于创建对象的RID 池(默认为512)。RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。通过RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 A 4.PDCE 主域控制器模拟器提供以下主要功能: 向后兼容低级客户端和服务器,允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。本机Windows 2000 环境将密码更改转发到PDCE。每当DC 验证密码失败后,它会与PDCE 取得联系,以查看该密码是否可以在那里得到验证,也许其原因在于密码更改还没有被复制到验证DC 中。 时间同步—目录林中各个域的PDCE 都会与目录林的根域中的PDCE 进行同步。
主备域配置讲解
1、确认额外域控制域已经关闭。顺序开启磁盘阵列柜、主域控制器。 2、检查网络适配器的DNS是否配置正确,因为域控制器创建后,DNS会被重新配。 3、点击“开始”—“程序”—“管理工具”—“群集管理器”,开始配置第一台群集管理器; 3、在“打开连接”的欢迎框中,要选择“创建新群集”,创建第一台群集管理器而言; 4、在“向导”中,直接“下一步”; 5、配置“群集名称和域”时,域名不要改动,群集名可以根据个人喜好填写; 6、选择计算机名时,默认的为本机名称,可以“下一步”继续; 7、在群集配置时,计算机自动搜索并配置磁盘阵列柜,挑选磁盘阵列柜中一个最小的磁盘来作为仲裁磁盘(如果之前划分过1G大小的磁盘,此时会将该盘作为仲裁磁盘。仲裁磁盘故障可能导致整个群集失效;所以,除了进行群集管理外,不要使用仲裁磁盘执行其它任务。 ),此处,如有错误可以点击日志察看,非红色警告可以继续“下一步”; 8、群集的IP地址,必须是网络中没有被使用的IP地址,可以是临时的IP地址,在群集创建完成后可以变更的; 9、群集服务帐户的用户名为创建域控制器时配置的域用户名称和密码,本文配置用户为LM; 10、在提示推荐配置时,可以详细察看配置明细,如需要可以保存配置日志; 11、创建群集时,如果存在严重错误,会有红色进度条警示,非红色警示可以“下一步”; 12、恭喜“完成”; 13、群集管理器创建完成后,系统自动登录群集,在群集管理器中可以看到本机的名称已经登录;在右侧的栏中为“运行”状态; 14、配置管理群集:右键点击左栏群集的根目录,点击“属性”; 15、需要察看配置的是“网络优先级”内容,将私网服务(心跳服务)的网卡(Private)排在第一位,公网网卡(Public)服务排在后; 16、右键察看两块网卡的属性,公网网卡的角色为“所有通讯(混合网络)”,私网网卡的角色为“只用于内部群集通讯(专用网络)”; 至此,群集创建完毕,双机热备的第一台服务器系统部分已经完成,可以进行其他的服务安装了。 配置备份服务器 17、首先一定确认磁盘阵列柜和主域控制器的已经开启并且群集已经安装完毕。 18、启动额外域控制器。点击“开始”—“程序”—“管理工具”—“群集管理器”,开始添加群集管理器; 19、在“打开连接”的欢迎框中,要选择“添加节点到群集”; 20、查找或输入前面所创建的群集名称;群集服务配置向导会自动提供前面在安装主域控制器时选定的用户名称,输入该用户名称的口令后一路点击下一步并最终结束配置。 21、打开“群集管理器”,如果配置正确,将看到主域控制器和额外域控制器两个节点的名称,表明群集已被正常配置并已开始运行。
备份域控制器提升为主域控制器的方法
备份域控制器提升为主域控制器的步骤 备份域控制器提升为主域控制器通过获取5个FSMO来进行提升,具体步骤如下: 转移架构主机角色 使用"Active Directory 架构主机"管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。 注册 Schmmgmt.dll 1. 单击开始,然后单击运行。 2. 在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。 3. 收到操作成功的消息时,单击确定。 转移架构主机角色 1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。 2. 在文件菜单上,单击"添加/删除管理单元"。 3. 单击添加。 4. 依次单击 Active Directory 架构、添加、关闭和确定。 5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。 6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。 7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。 8. 单击更改。 9. 单击确定以确认您要转移该角色,然后单击关闭。 转移域命名主机角色 1. 单击开始,指向管理工具,然后单击"Active Directory 域和信任关系"。 2. 右键单击"Active Directory 域和信任关系",然后单击"连接到域控制器"。 注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。 3. 执行下列操作之一: ? 在"输入其他域控制器名称"框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
BDC升级为PDC的方法
BDC升级为PDC的方法(主域控制器与从域控制器的转换1)AD域控制器集群中,PDC与BDC之间的角色转换过程,介绍了2种方法: 1、从主域控制器上转换角色; 2、从域控制器抢占角色。 一、环境: 域名为https://www.360docs.net/doc/6319030034.html, 1、原主域控制器 System: windows 20003 Server FQDN: https://www.360docs.net/doc/6319030034.html, IP:192.168.0.1 Mask:255.255.255.0 DNS:192.168.0.1 2、辅助域控制器 System: windows 2003 Server FQDN:https://www.360docs.net/doc/6319030034.html, IP:192.168.0.5 Mask: 255.255.255.0 DNS:192.168.0.1 Mask:255.255.255.0
DNS:192.168.0.1 二、目的: 在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。 三、步骤 Ⅰ、PDC角色转换(适用于PDC与BDC均正常的情况) 1、安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。 2、以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开. 3、这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。 4、这里输入你的域管理员的用户名和密码,点【下一步】。 5、再查看一下FSMO(五种主控角色)的owner,安装Windows Server安装光盘中的Support 目录下的support tools工具,然后打开提示符输入:netdom query fsmo 以输出FSMO的owner, 6、现在五个角色的woner 都是PDC,我的就是要把这个五个角色转移到BDC上,使BDC 成为这五个角色的owner。 7、现在登陆PDC(主域控制器),进入命令提示符窗口,在命令提示符下输入:ntdsutil 回车,再输入:roles 回车,再输入connections 回车,再输入connect to server BDC --> (备注:这里的dc-1是指服务器名称),提示绑定成功后,输入q退出
AD数据库还原
还原AD数据库 还原方式分为以下三种 标准还原(normal restore ) 又称为“非强制性还原(Nonauthoritative restore)”通常采用这种方式.它只是单纯的将AD 数据库从备份的介质中还原 [还原步骤:开机按F8,选择目录还原模式,输入目录还原模式账号密码(安装域时设置),执行备份还原工具,选择“System Stare”单击还原,将系统数据还原到原始位置。完成后重启即可。] 强制性还原 假设域内有多台域控制器,强制性还原(Authoritative restore)可以将AD还原到运行备份工作时的状态,也可以用来将不小心误删的对象还原。用到这种还原方式的机会不大。 [还原步骤:先执行标准还原,但切记不要重启。 运行ntdsultil 在提示符下,输入以下命令: Authoritative restore 针对域https://www.360docs.net/doc/6319030034.html,内的“业务部”OU执行“强制性还原”其命令如下所示: Restore subtree OU=业务部,DC=abc,DC=com 如果域内只有一台域控制器,那么只需要执行“标准”即可,但是如果域内有多台域控制器,则在某些情况下,只执行“标准还原”是不够的,还必须搭配“强制性还原” 如备份时张三账号是存在的,但在DC2中张三账号标记为删除 执行标准还原后,在下一次DC1和DC2之间AD复制操作时,已还原的张三账号将会被删除。要避免以上现象,必须执行强制性还原 重置“目录还原模式”密码 Ntdsutil Set DSRM password Reset password on server https://www.360docs.net/doc/6319030034.html, 输入2次密码
两个主控域,五角色等
其实2003以后的域控,主域控和备份域控区别不大,而是有各种主机角色 我找到篇文章,复制过来你看下 本文主要阐述在AD域控制器集群中,PDC与BDC之间的角色转换过程,介绍了2种方法: 1、从主域控制器上转换角色; 2、从域控制器抢占角色。 一、实验环境: 域名为https://www.360docs.net/doc/6319030034.html, 1、原主域控制器 System: windows 20003 Server FQDN: https://www.360docs.net/doc/6319030034.html, IP:192.168.50.1 Mask:255.255.255.0 DNS:192.168.50.1 2、辅助域控制器 System: windows 2003 Server FQDN:https://www.360docs.net/doc/6319030034.html, IP:192.168.50.2 Mask: 255.255.255.0 DNS:192.168.50.1 3、 Exchange 2003 Server FQDN:https://www.360docs.net/doc/6319030034.html, IP:192.168.50.3 Mask:255.255.255.0 DNS:192.168.50.1 也许有人会问,做辅域升级要装个Exchange干什么? 其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange 应该就会停止工作。如果升级成功,对Exchange应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。 二、实验目的: 在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。三、实验步骤 Ⅰ、PDC角色转换(适用于PDC与BDC均正常的情况) 1、安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS 组件。在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。 2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试。 3、我们发现发送邮件测试成功,这证明Exchange是正常的。下面正式开始安装第二台域控制器。也是就辅助域控制器(BDC)。 4、以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开. 5、这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。 6、这里输入你的域管理员的用户名和密码,点【下一步】。 7、这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,安装完成大概要几分钟,你就耐心的等待吧 8、几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为了https://www.360docs.net/doc/6319030034.html,域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了 9、再查看一下FSMO(五种主控角色)的owner,安装Windows Server安装光盘中的Support目录下的support
域控制器迁移以及修改服务器ip
windows server 2003 域控制器转移 迁移准备工作: 1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器,并在升级时选择使其成为现有Windows 2003域的额外的域控制器。 2. 在Windows Server 2003上安装DNS服务,确认它已经和原来的Windows 2003 DNS服务器上的数据复制同步后,将它的DNS服务器地址指向自己。 3. 将这台Windows Server 2003域控制器设为全局编录(Glocal Catalog)服务器,具体方法请参考下面这篇文档: 《How to promote a domain controller to a global catalog server》:
主域服务器切换方法
主域服务器切换 一、将新服务器提升为备份域服务器,并安装DNS服务。 二、将原有主域服务器从网络中断开,并将副域服务器提升为主域 服务器 占用OM角色 1.单击“开始”,单击“运行”,然后键入cmd。 2.在命令提示行,键入ntdsutil。 3.在ntdsutil 的提示行,键入roles。 4.在fsmo maintenance 的提示行,键入connections。 5.在server connections 的提示行,键入connect to server,后面跟着完全合 格的域名称。 6.在server connections 的提示行,键入quit。 7.在fsmo maintenance 的提示行,键入seize schema master。 seize domain naming master。 8.在fsmo maintenance 的提示行,键入quit。 9.在ntdsutil 的提示行,键入quit。 占用相对ID 主机角色 1.单击“开始”,单击“运行”,然后键入cmd。 2.在命令提示行,键入ntdsutil。 3.在ntdsutil 的提示行,键入roles。 4.在fsmo maintenance 的提示行,键入connections。 5.在server connections 的提示行,键入connect to server,后面跟着完全合 格的域名称。 6.在server connections 的提示行,键入quit。 7.在fsmo maintenance 的提示行,键入seize RID master。 8.在fsmo maintenance 的提示行,键入quit。 9.在ntdsutil 的提示行,键入quit。 占用PDC 仿真器角色 1.单击“开始”,单击“运行”,然后键入cmd。 2.在命令提示行,键入ntdsutil。 3.在ntdsutil 的提示行,键入roles。 4.在fsmo maintenance 的提示行,键入connections。 5.在server connections 的提示行,键入connect to server,后面跟着完全合 格的域名称。 6.在server connections 的提示行,键入quit。 7.在fsmo maintenance 的提示行,键入seize PDC。
域控制器备份
域控制器AD备份和恢复 活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面: 点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:
在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了: 在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。 选择好备份文件的存放路径后,就可以点击“开始备份”了:
主域控制器 和 额外域控制器 同步原理
主域控制器与额外域控制器的同步原理 一、引言 随着企业规模的扩大和业务的多元化,对于数据管理和身份认证的要求也越来越高。在这样的背景下,域控制器(Domain Controller)成为了企业网络中的重要组件。其中,主域控制器(Primary Domain Controller,PDC)和额外域控制器(Backup Domain Controller,BDC)分别扮演着核心与备份的角色,它们之间的同步对于维护网络的稳定性和可靠性至关重要。本文将深入探讨主域控制器与额外域控制器的同步原理。 二、主域控制器与额外域控制器的角色与功能 1.主域控制器(PDC):作为域控制器中的核心,PDC负责管理网络中所有计算机账户的认证和授权。它存储了域的所有账户信息,包括用户账号、组账号和相关权限等。此外,PDC还负责处理用户的登录请求,验证用户身份并授权相应的访问权限。 2.额外域控制器(BDC):作为PDC的备份,BDC主要用于提供冗余和故障转移能力。它复制了PDC上的所有账户信息,并在需要时接管认证和授权任务。通过与PDC保持同步,BDC确保了在网络故障或PDC不可用时,仍能提供不间断的服务。 三、同步过程与机制 1.账户信息同步:PDC和BDC之间的账户信息同步是通过Kerberos协议和LDAP(轻型目录访问协议)完成的。Kerberos协议用于加密用户身份验证,而LDAP则用于目录服务之间的通信,实现账户信息的实时同步。 2.数据更新机制:当PDC上的账户信息发生变化时(如用户账号创建、删除或权限更改),这些更改会被立即复制到BDC上。这一过程通常由Windows操作系统自动完成,无需人工干预。
主副 域控 工作机制
主副域控工作机制 主副域控工作机制 引言: 在计算机网络中,域控制器是一种重要的服务器角色,用于管理和控制域内的计算机和用户。主副域控制工作机制是一种常见的配置方式,用于提高域控制器的可用性和容错性。本文将详细介绍主副域控制工作机制的原理和实施方法。 一、主副域控制工作机制的概述 主副域控制工作机制是指在一个域中同时配置一个主域控制器和一个副域控制器的方式。主域控制器负责处理域内的所有操作,而副域控制器则作为备份,以确保在主域控制器故障时能够无缝切换并继续提供服务。这种工作机制可以提高域控制器的可用性和容错性,确保网络的稳定运行。 二、主副域控制工作机制的原理 主副域控制工作机制的原理是通过域同步和故障切换来实现的。主域控制器和副域控制器之间通过域同步机制保持数据的一致性。主域控制器将域内的所有更改记录下来,并将这些更改传输给副域控制器,以确保副域控制器上的数据与主域控制器上的数据保持同步。当主域控制器发生故障时,副域控制器会自动接管主域控制器的工作,并继续提供服务,从而实现故障切换。
三、主副域控制工作机制的实施方法 1. 配置主域控制器:首先,需要选择一台服务器作为主域控制器,并安装相应的操作系统和域控制器软件。然后,进行域控制器的配置和设置,包括域名、管理员账户、安全策略等。最后,将主域控制器添加到域中,并进行必要的测试和验证。 2. 配置副域控制器:选择一台服务器作为副域控制器,并按照相同的步骤进行操作系统和域控制器软件的安装。在配置过程中,需要指定主域控制器的名称和地址,以便副域控制器能够与主域控制器进行域同步。完成配置后,将副域控制器添加到域中,并进行测试和验证。 3. 配置域同步:在主副域控制器之间配置域同步,以确保数据的一致性。域同步可以通过多种方式实现,如使用文件复制、数据库复制或日志复制等。根据实际情况选择合适的同步方式,并进行相应的配置和测试。 4. 测试和验证:完成主副域控制器的配置后,需要进行测试和验证,以确保主副域控制工作机制的正常运行。测试包括模拟主域控制器故障,观察副域控制器是否能够自动接管工作,并继续提供服务。验证包括检查域内的数据一致性和域控制器的可用性,确保网络的稳定运行。 结论:
域控制器方案
域控制器方案 域控制器(Domain Controller)是一种在Windows操作系统中使用 的网络服务,它提供了集中管理用户账户、计算机账户、权限和安全 策略等功能。本文将介绍域控制器方案的设计与实施。 一、介绍域控制器 域控制器是指运行Windows Server操作系统上的Active Directory 域服务角色的服务器。它充当了域中的身份验证和授权中心,以确保 网络资源的安全和统一管理。域控制器的主要功能包括: 1. 认证和授权:域控制器负责验证用户账户和计算机账户的合法性,并为其分配相应的权限。 2. 目录服务:域控制器存储了Active Directory数据库,其中包含了 域中的所有对象,如用户、组、计算机等。 3. 复制服务:域控制器之间进行数据同步,以保证域中的信息一致 性和高可用性。 4. 安全策略和权限管理:域控制器允许管理员通过组策略设置安全 策略,并管理用户和计算机的权限。 二、设计域控制器方案 1. 规划域架构:在设计域控制器方案之前,需要确定域的数量和层 次结构。可以根据组织架构和安全性需求,将域划分为多个子域或者 使用单域模型。
2. 选择域控制器位置:域控制器的位置应该考虑到网络拓扑、带宽 和延迟等因素。通常建议在每个子网或区域至少部署一个域控制器, 以提供更好的身份验证和资源访问速度。 3. 硬件规格和容量规划:域控制器需要具备足够的硬件资源来处理 用户验证请求和存储Active Directory数据库。在设计方案时,需考虑 到路由器、交换机、防火墙等其他网络设备的性能要求。 4. 选择适当的认证方法:域控制器支持多种认证方法,如基于密码 的认证、智能卡认证等。根据实际安全需求选择合适的认证方法,并 配置相应的安全策略。 三、实施域控制器方案 1. 部署域控制器:根据设计方案,选择合适的服务器作为域控制器,并安装Windows Server操作系统。然后,在服务器管理中启用Active Directory域服务角色,并进行域控制器配置。 2. 建立域和设置账户:通过"DCPromo"命令来创建新域或加入现有域,并设置域中的用户账户和计算机账户。可以使用“Active Directory Users and Computers”管理工具来管理账户和组织单位。 3. 配置安全策略:使用组策略管理编辑器来配置域中的安全策略, 如密码策略、账户锁定策略、远程访问策略等。设置适当的权限,以 确保域中的资源安全。
windows 主副域服务器 原理
windows 主副域服务器原理 Windows 主副域服务器是一种在Windows Server操作系统上运行的网络服务角色,用于管理和控制网络中的域。它基于Windows域架构,通过建立域控制器来提供域认证、用户和计算机管理功能。 主域服务器(Primary Domain Controller,PDC)是域的核心服务器,负责存储和验证用户账户信息、组策略、安全策略等。它是域的唯一可写副本,可以进行用户和计算机对象的创建、修改和删除操作。 副域服务器(Backup Domain Controller,BDC)是主域服务器的备份,具有只读副本的功能。它从主域服务器同步域数据库,并可以提供基本的用户认证功能,以确保在主域服务器不可用时继续提供域服务。 Windows 主副域服务器之间的工作原理如下: 1. 域控制器角色安装与配置:首先,在Windows Server上安装域控制器角色,并配置为主域服务器或副域服务器。 2. 域数据库同步:主域服务器存储域数据库,副域服务器通过定期与主域服务器进行同步,以获取最新的域信息。同步可以通过复制目录服务 (Directory Replication Service,DRS) 完成。 3. 用户认证和授权:当用户尝试登录到域中的计算机时,计算机将向主副域服务器发送用户凭据进行认证。主域服务器验
证用户身份,并向计算机提供授权信息,以确定用户对资源的访问权限。 4. 用户和对象管理:主域服务器负责管理用户和计算机对象。管理员可以在主域服务器上创建、修改和删除用户账户,设置组策略等。 5. 故障转移和容错:如果主域服务器发生故障或不可用,副域服务器可以接管主域服务器的功能,以确保域服务的连续性。 通过主副域服务器的部署,可以实现域中用户和计算机的集中管理、统一认证和授权、安全策略的执行等功能,提高网络的安全性和管理效率。
windows域服务器部署方案
windows域服务器部署方案
域服务器部署方案 一、网络对办公环境造成的危害 随着Internet接入的普及和带宽的增加,一方面员工上网的条件得到改进,另一方面也给公司带来更高的网络使用危险性、复杂性和混乱,内部员工的不当操作等使信息维护人员疲于奔命。网络对办公环境造成的危害主要表现为: 1. 为给用户电脑提供正常的标准的办公环境,安装操作系统和应用软件已经耗费了信息管理中心人员一定的精力和时间,同时又难以限制用户安装软件,导致管理人员必须花费其50%以上的精力用于维护用户的PC系统,无法集中精力去开发信息系统的深层次功能,提升信息系统价值。 2. 由于使用者的防范意识普遍偏低,防毒措施往往不到位,一旦发生病毒感染,往往扩散到全网络,令网络陷于瘫痪状态,部分致命的蠕虫病毒利用TCP/IP协议的各种漏洞,使得木马、病毒传播迅速,影响规模大,导致网络长时间处于带毒运行,重复发作而维护人员。 3. 部分网站网页含有恶意代码,强行在用户电脑上安装各种网络搜索引擎插件、广告插件或中文域名插件等,增加了办公电脑大量的资源消耗,导致计算机反应缓慢; 4. 个别员工私自安装从网络下载安装的软件,这些从网络上下载的软件安装包多数附带各种插件、木马和病毒,并在安装过程中用户不知情的情况下强行安装在办公电脑上,增加了办公电脑
大量的资源消耗,导致计算机反应缓慢,甚至被远程控制; 5. 局域网共享,包括默认共享(无意),文件共享(有意),一些病毒比如ARP经过广播四处泛滥,影响到整个片区办公电脑的正常工作; 6. 部分员工使用公司计算机上网聊天、听歌、看电影、打游戏,部分员工全天24小时启用P2P软件下载音乐和影视文件,由于flashget、迅雷和BT等软件并发线程多,导致大量带宽被部分员工占用,网络速度缓慢,导致应用软件系统无法正常开展业务,即便是严格的计算机使用管理制度也很难保障企业中的计算机只用于企业业务本身,PC的业务专注性、管控能力不强。 二、网络管理和维护策略 针对以上这些因素,我们能够经过域服务器来统一定义客户端机器的安全策略,规范,引导用户安全使用办公电脑。 域服务器的作用 1.安全集中管理统一安全策略 2.软件集中管理按照公司要求限定所有机器只能运行必须的办公软件。 3.环境集中管理利用AD能够统一客户端桌面,IE,TCP/IP等设置 4.活动目录是企业基础架构的根本,为公司整体统一管理做基础其它isa,exchange,防病毒服务器,补丁分发服务器,文件服务器等服务依赖于域服务器。 建立域管理