win 2008补丁服务器设置

win 2008补丁服务器设置
win 2008补丁服务器设置

WIN 2008 R2 WSUS安装及配置

1. wsuS安装

首先需要安装iis角色,然后wsus使用iis来播放更新补丁,需要注意的在安装iis 时候别忘记勾选IIS6管理兼容性、https://www.360docs.net/doc/0d15597879.html,、Windows 身份验证、基本身份验证这4项。

点击添加角色!一路默认

由于通过微软服务器更新太慢了,所以我选择了从网站上下载WSUS 3.0 SP2

一路选择默认就好,如果有想选择域内其他服务器上的数据库在自己进行选择。

剩下继续默认就好。

安装完成。

2、配置

选择默认项

点击开始连接

语言选择默认简体中文,下一步,选择要提供更新的服务。

剩下默认就好。

首先单击自动审批,来修改审批规则,也就是说当wsus侦测到新的更新后,如果选择自动审批,那么自动审批后wsus就会进行下载更新动作,如果不选自动审批,那么wsus就会等待手动审核,在大企业中会对每个更新包进行测试,测试是否对现有业务有影响才会应用更新,大公司基本都是手动审批.另外担心wsus下载wga和oga的可以选择手动审批

单击分类,来选择要自动审批的更新类型

选择完毕,如果要手动审批,则将该默认的自动审批规则删除即可.

如果手动审批,则会在主界面看到等待审批的待办事项提醒,反之,则不会.

域用户通过组策略统一设置WSUS服务器。

1) 以域管理登陆DC01服务器。

2) 打开“Active Directory 用户和计算机”。

3) 右键选择新建“组织单元”。

4) 新建名为WSUS的组织单元。

5) 找到“计算机(Computer)”中需要设置策略计算机名,这里为WIN701,右键选择“移动”。

6) 选择“WSUS”,确定。

7) 打开“管理工具---组策略管理”,找到“林---域https://www.360docs.net/doc/0d15597879.html,---WSUS”

8) 单击WSUS,右键选择“在这个域中创建GPO并在此处连接”

9) 输入新建GPO名称,点击确定。

10) 右键选择新建的GPO,然后选择“编辑”。

11) 在GPMC 中,依次展开“计算机配置---策略---管理模板---Windows 组件”,然后单击“Windows Update”。

12) 在详细信息窗格中,双击“配置自动更新”。

13) 单击“已启用”,选择更新日期和时间,然后确定。

说明:

①通知下载并通知安装。该选项在下载之前以及安装更新之前通知已登录的管理用户。

②自动下载并通知安装。该选项自动开始下载更新,然后在安装更新之前通知已登录的管理用户。

③自动下载并计划安装。此选项自动开始下载更新,并在您指定的日期和时间安装更新。

④允许本地管理员选择设置。该选项允许本地管理员使用“控制面板”中的“自动更新”来选择配置选项。例如,他们可以选择自己的计划安装时间。本地管理员无法禁用“自动更新”。14) 在“Windows Update”详细信息窗格中,双击“指定Intranet Microsoft 更新服务位置”。

15) 单击“已启用”,然后在“设置检测更新的Intranet 更新服务”框和“设置Intranet 统计服务器”框中统一键入WSUS 服务器的HTTP URL,这里都为http://WSUS01/。

16) 选择“自动检索更新的频率”,将“间隔”设置为默认22小时,设置为“已启用”。

17) 选择“允许自动更新立即安装”。

18) 选择“启用”,确定。

19) 以域用户身份登陆客户端WIN701主机。

20) 在运行中输入“gpupdate /force”,强制刷新组策略。

21) 打开“Windows update----更改设置”,查看当前状态。如下图,说明组策略已经生效。

6 管理更新补丁

1) 以本地管理员登陆WSUS01服务器。

2) 打开“管理工具---Windows Server Update Services”。

6.1 创建和管理计算机组

注意:此步骤,可以将客户端进行分组,用于区分客户端不同操作系统版本、不用用途等。(可选)

1)选择“Updtae Services---WSS01---计算机”,右键单击“所有计算机”,选择“添加计算机组”。

2)输入组名,然后点击“添加”。

3)选择“Updtae Services---WSS01---计算机---所有计算机---未分配的计算机”,右键选择需要更新补丁的客户端主机名,这里为https://www.360docs.net/doc/0d15597879.html,,选择“更改成员身份”。

域控服务器迁移步骤(精)

域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。

Windows server 域控制器 迁移 操作主机

Windows域迁移方法 1:新DC安装系统,配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后,安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级 重启 然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中,右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中,键入要担任主机角色的域控制器的名称。 或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向“所有任务”,然后单击“操作主机”。 5. 单击其中要改的选项卡,然后单击“更改”。 使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中,右键单击“Active Directory 架构”,然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中,右键单击“Active Directory 架构”,然后单击“操作主机”。

win2003域控制器 升级 迁移到win2008R2详细步骤

win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下: 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2003 Enterprise Edition SP1 提供服务: Domain Control、DNS 完成升级后,增加 Server2008为域控制器 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2008 R2 enterprise 提供服务: Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中

3、对Forest(林)、 Domian(域)和RODC(域控制器)进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具,该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下,复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意:扩展操作在DC2003(域控制器)上进行操作。 开始-运行-CMD,进入D分区的ADPREP目录输入 adprep /forestprep 根据提示,选择”C “,并按下 Enter键继续。(林拓展)

AD域的迁移

主域控制器的迁移 现有环境:一台主域控制器(含AD和数据库及其WEB程序);有一台备份域控制器;一台新的服务器6850。 目的:将主域控制器迁移到新的服务器6850上 步骤:1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录 具体操作: (1)运行dcpromo命令 (3)弹出Active Directory安装向导,点“下一步” (4)这里以默认,点“下一步”

(5)选“现有域的额外域控制器”,点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置(没有截图了) 加入过程中可能会碰到问题,如果有的话 参考https://www.360docs.net/doc/0d15597879.html,/archiver/tid-151189.html https://www.360docs.net/doc/0d15597879.html,/t/20030910/10/2243270.html# 然后到google上去查找! 运行ntdsutil

Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/0d15597879.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0

List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象

简述Win 2003域控制器的迁移

简述Win 2003域控制器的迁移 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库…… 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。以上讲的便是域控制器的优越性之一,由于域控制器的种种优势,当今众多企业分别采用域的管理模式管理企业内部的计算机。与此同时,种种问题也相应出现,对域控制器的迁移问题作为microsoft的忠实用户应该并不陌生,网上对域控制器迁移的操作步骤的文章也算少。不过在多级域下的域控制器作迁移工作的文章则寥寥无几,我们在此便讨论一下这个问题。 说明:根据上图可知A为B的主域控,在此我们只给大家作了一个模拟环境,实际当中,主域和子域可以不在一个网段内,也可以分布在用VPN相连的Intranet内,其原理是一样的。我们在此仅对A域控下的B域控做迁移工作,迁移过程为:首先B域控迁移到准备替换DC的PC上,down掉B域控,使得客户端工作无影响,再次对B主机作重灌windows 2003 server ,并替换PC的DC,这个过程中要求对客户端无任何影响。以下为操作步骤: 步骤1.备份DC的安装

(1)选用一台PC,安装windows 2003 server,设置IP为192.168.10.2;主机名为adbak,重新启动。 (2)BDC的安装:运行-dcpromo-下一步-选择:现有域的额外域控制器-下一步-输入用户名、密码、域[此账户名和密码为主域控制器的账户名密码,权限为管理级,域为主域的域名]-下一步-下一步-下一步-下一步-还原模式密码[本主机域的登陆密码-确认密码]-下一步-到向导配置[需花几分钟]-完成 (3)重新启动计算机 步骤2.备份DC的DNS安装 (1)在adbak上,用主域控A的管理帐户密码登陆到A的域内。 (2)开始-控制面板-添加或删除程序-添加或删除window组件-选择网路服务-点击详细信息-勾选域名系统(DNS)-下一步-完成 (3)打开dnsmgmt-设置属性-点击转发器-添加转发的IP地址表192.168.10.100、192.168.10.1-确定 (4)解析DNS:解析B的域名会得到2个IP地址即192.168.10.1和192.168.10.2,以及各个主机记录是否解析正常 (5)Active Directory站点和服务,设置adbak NTDS setting属性为全局编录-确定 (6)在CMD命令下,键入net stop netlogon 再键入 net start netlogon 步骤3.FSMO夺取过程及其他操作 (1)在CMD命令行下键入:ntdsutil-roles-connections-connections to server https://www.360docs.net/doc/0d15597879.html, 成功连接 (2)角色的转移(后接命令,请用问号,有详细的中文说明):[transfer domain nameing master][transfer infrastructure master][transfer PDC][transfer RID master][transfer schema master] 若转移不成功也可以选用夺取seize

域服务器备份和恢复 图解

域服务器备份和恢复 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows

2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以我们选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 AD中计算机帐户密码(即登录票据)默然30天更新一次,逻辑删除时限默然为60天,所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-备份”打开)。 按确定,进入备份工具欢迎页面

快速迁移域用户

ADMT3.1快速迁移域用户账户和组[为企业维护windows server 2008 系列十四] 作者:宋杨日期:2010-04-21 在windows server 2008 的AD维护工作中,我们可能需要将当前域的用户账户和组转移到另外一个域中(这个动作我们称之为迁移)。 在雅利安星际疫苗接种公司工作的windows 网络管理员号称不重疫苗也能顶的灵灵狗同志,正在为一件棘手的工作事件发愁。 雅利安公司因为研制出可以成功抵御十全星际流感的疫苗,在整个银河系名声大震,巴斯股(3009年最火爆的星际股市)也一路狂涨。同时,兼并了太阳系的喜马拉雅驴友公司。 喜马拉雅公司的精英研发部门“珠穆朗玛二部”也被收编进了雅利安公司的研发部。因为所有的资源管理都是基于活动目录的,所以灵灵狗同志需要将“珠穆朗玛二部”的所有员工账户和组迁移转移到雅利安公司的域下。 在查询了无所不知的位于雅利安星球的知识古树后,灵灵狗拨通了远在银河系另一端的地球村的AD 客户支持部的售后电话。 按照客服妹妹的指导,灵灵狗使用Hyper-V3009快速的搭建起了虚拟的评估环境。具体如下:

灵灵狗同志看完客服妹妹同步过来的的指导文档后很顺利的使用域管理员在喜马拉雅公司的https://www.360docs.net/doc/0d15597879.html,域上登录了。 打开“Active dircetory 域和信任关系”,可以看到两个域,现在要把属于https://www.360docs.net/doc/0d15597879.html,的域用户账户和组(原喜马拉雅公司)移动到https://www.360docs.net/doc/0d15597879.html,(雅利安公司) 具体的账户可以通过下图看到,在“_Demo”OU 中有user1 、manager 两个用户和group组,其中user1属于group组。

域控制器迁移以及修改服务器ip

windows server 2003 域控制器转移 迁移准备工作: 1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器,并在升级时选择使其成为现有Windows 2003域的额外的域控制器。 2. 在Windows Server 2003上安装DNS服务,确认它已经和原来的Windows 2003 DNS服务器上的数据复制同步后,将它的DNS服务器地址指向自己。 3. 将这台Windows Server 2003域控制器设为全局编录(Glocal Catalog)服务器,具体方法请参考下面这篇文档: 《How to promote a domain controller to a global catalog server》: 4. 将原来的Windows 2003域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上,具体方法请参考下面这篇文档: 《如何查看和转移Windows Server 2003 中的FSMO 角色》: 当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器,不要将结构主机角色转移到该域控制器上”,由于是在单域环境中,直接确认忽略该提示即可。关于在Windows 2003域控制器上放置FSMO的更多信息,请参考下面这篇文档: 《在Windows 2003 域控制器上放置和优化FSMO》: 5. 完成以上操作之后,新的Windows Server 2003域控制器便替代了原来的第一台Windows 2003域控制器的角色,但我们需要等待一段时间使原来的Windows 2003域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到WindowsServer 2003域控制器上。建议您观察一两天时间,并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后,再将原来的Windows 2003域控制器降级。 参考资料: How to promote a domain controller to a global catalog server 概要 全局编录服务器执行在Microsoft Windows 2000 域中的两个关键功能: ?必须在网络上一个用户登录时全局编录服务器提供了到域控制器发送登录请求的帐户的通用组成员身份信息。 ?全局编录服务器允许的域中查找Active Directory 目录服务信息,而不考虑包含数据的目录林中域的成员。 如果用户启动网络登录过程时,全局编录不可用,用户可以登录到本地计算机仅。必须有一个全局编录服务器可用,以便用户可以登录并定位Active Directory 资源。我们建议您在每个要加速这些流程的网站有至少一个全局编录服务器。 如果在域中有只有一个域控制器在域控制器和全局编录服务器是相同。如果在域中有多个域控制器在

如何迁移域控制器+FSMO+5个角色和GC

如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签:2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色,请按照下列步骤操作: 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器,或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员,才能转移架构主机角色或域命名主机角色,或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”,单击“运行”,在“打开”框中键入 ntdsutil,然后单击“确定”。 3. 键入 roles,然后按 Enter。 注意:要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入 ?,然后按Enter。 4. 键入 connections,然后按 Enter。 5. 键入 connect to server servername,然后按 Enter,其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处,键入 q,然后按 Enter。 7. 键入 transfer role,其中 role 是要转移的角色。要查看可转移角色的列表,请在“fsmo maintenance”提示符处键入 ?,然后按 Enter,或者查看本文开头的角色列表。例如,要转移 RID 主机角色,键入 transfer rid master。PDC 模拟器角色的转移是一个例外,其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处,键入 q,然后按 Enter,以进入“ntdsutil”提示符。键入 q,然后按 Enter,退出 Ntdsutil 实用工具。

Windows域(AD)迁移方案

域迁移方案 一、事前准备: 先分别建立两个位于不同林的域,内建Server若干,结构如下: https://www.360docs.net/doc/0d15597879.html, ADC02 172.16.1.2/24 https://www.360docs.net/doc/0d15597879.html, EXS01 172.16.1.101/24 https://www.360docs.net/doc/0d15597879.html, ADC01 172.16.1.1/24 其中: https://www.360docs.net/doc/0d15597879.html,: ADC01作为https://www.360docs.net/doc/0d15597879.html,主域控制器,操作系统为Windows Server 2008 R2,并安装有DHCP服务,作用域范围为172.16.1.100/24——172.16.1.200/24。 ADC02作为https://www.360docs.net/doc/0d15597879.html,的辅助域控制器,操作系统为Windows Server 2008 R2 Exs01为https://www.360docs.net/doc/0d15597879.html,的Mail服务器,操作系统为Windows Server 2003 SP2,Exchange 版本为2003 TMG01为防火墙,加入到https://www.360docs.net/doc/0d15597879.html,网域,操作系统为Windows Server 2008 R2,Forefront TMG为2010 Client为加入到此https://www.360docs.net/doc/0d15597879.html,网域的客户端PC,由DHCP Server分配IP https://www.360docs.net/doc/0d15597879.html,:

Ad-cntse为https://www.360docs.net/doc/0d15597879.html,的域控制器,操作系统为Windows Server 2008 R2,为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2 Exs-centse作为https://www.360docs.net/doc/0d15597879.html,的Mail Server,操作系统为Windows Server 2003 SP2,Exchange 版本为2003. 备注:所有的Server均处在同一个网段172.16.1.x/24 二、https://www.360docs.net/doc/0d15597879.html,的User结构: 如图,其中红色圈中部分为自建组别,OA User为普通办公人员组别,拥有Mail账号,admins为管理员群组,Terminal User为终端机用户组别,均没有Mail账号。以上三组别均建立有相应的GPO限制其权限。其他Users保持默认设定 三、设定域信任关系: 1、设定DNS转发器: 在https://www.360docs.net/doc/0d15597879.html,域控制器Ad-cntse的DNS管理器设定把https://www.360docs.net/doc/0d15597879.html,的解析交给https://www.360docs.net/doc/0d15597879.html,的DNS,同理,把https://www.360docs.net/doc/0d15597879.html,域控制器ads01的DNS管理器把https://www.360docs.net/doc/0d15597879.html, 的解析交给https://www.360docs.net/doc/0d15597879.html,的DNS。如下图:

windows_server2008域环境搭建

windows_server_2008_域环境搭建 目录 第一章虚拟场景 (2) 1、公司简介 (2) 2、公司现有IT状况 (2) 第二章实验设计 (2) 1、域规划 (2) 2、计算机规划 (3) 第三章具体实施 (3) 1、建立根域 (3) 1.1准备 (3) 1.2 安装 (3) 2、建立子域 (12) 3、额外域控制器建立 (17) 4、站点的建立与连接 (24) 4.1 创建站点 (24) 4.2 定义站点子网 (25) 4.3 定位服务器 (26) 4.4 配置站点连接器 (27) 5角色迁移 (28) 第四章实验中的问题 (32)

第一章虚拟场景 1、公司简介 某公司通过合理的运营和管理,发展迅速,员工人数已有200人左右,现在该公司总部设在长春,两个子公司分部在大连和沈阳,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司决定部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。 公司内部有:人力资源部、行政部、财务部、工程部、销售部、总经理办公室 2、公司现有IT状况 公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2008,客户机的操作系统是windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请2M专线用于与各个子公司相连,实现各公司间资源交换与共享。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用. 第二章实验设计 1、域规划 一改以往的工作组模式,组建域,使管理更方便,工作的环境更安全,用户可以在任意一台域内的计算机登录,共享网络资源。 在总公司长春建立根域https://www.360docs.net/doc/0d15597879.html,内部子网172.16.18.0/24 大连分部建立子域https://www.360docs.net/doc/0d15597879.html,内部子网10.10.10.0/24 沈阳分部建立子域https://www.360docs.net/doc/0d15597879.html, 内部子网192.168.80.0/24 2M

转移域控角色的两种方式

转移域控角色的两种方式.txt每个女孩都曾是无泪的天使,当遇到自己喜欢的男孩时,便会流泪一一,于是坠落凡间变为女孩,所以,男孩一定不要辜负女孩,因为女孩为你放弃整个天堂。朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式 当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色,在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方式,5 大角色相信地球人都知道,HOHO. PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下:打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全 局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。 PS:部分步骤来源于网络,此文为综合以及描述注意点 一.使用图形化界面 MMC 来转移域控角色 一.转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。注册 Schmmgmt.dll 单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。 收到操作成功的消息时,单击确定。 1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。 2. 在文件菜单上,单击“添加/删除管理单元”。 3. 单击添加。 4. 依次单击 Active Directory 架构、添加、关闭和确定。 5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。 6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。

Windows Server 2008主域控迁移

Windows Server 2008主域控迁移手顺 1.安装windows server 2008 R2虚拟机,名称不能为主域控服务器名称 2.主域控、辅助域控的备份:使用Windows Server Backup进行备份,并将备份文件放置在本地。 3.将主域控角色迁移到辅助域控服务器:例:A001 主域控服务、A002为辅助域控 登陆辅助域控,打开“运行”,输入”regsvr32 schmmgmt.dll”。 确定运行成功,出现下记提示: 3.1打开“运行”,输入”mmc”,分别添加Active Directory 架构、Active Directory 域和信任关系、Active Directory 用 户和计算机到控制台,如下图所示:

3.2右键单击键Active Directory 架构,选择”更改Active Directory 架构”。 出现下记提示,点击确认: 3.3右键单击Active Directory 架构,选择“操作主机”

点击更改,点击确定后如下图所示: If error display “不能连接FSMO盒” ,有可能为网卡为TEAM或网卡、网络等问题 !! 3.4右键Active Directory 域和信任关系,选择“更改Active Directory 域控制器”。

选择辅助域控服务器,确定 3.5右键Active Directory 域和信任关系,选择“操作主机”

点击更改,确定后关闭 3.6右键Active Directory 用户和计算机-所有任务-操作主机

3.7分别在RID、PDC、基础结构选项卡下,点击更改 4.客户端运行中输入:netdom query fsmo ,确认操作主机名称为辅助域控服务器

域控服务器系统备份和恢复说明

域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。

当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面:

主域控制损坏安装新域控制FSMO角色转移详细过程

主域控制损坏安装新域控制FSMO角色转移详细过程 [ 来源:| 作者:| 时间:2008-9-6 10:48:35 | 浏览:13 人次] FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作) 由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器. 这个过程的实施给写下来: 服务器操作软件资源站">下载">系统.2003Entprise Edition 客户端系统.XP pro 拓朴如下: 现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的. 购买了一台新的机器,放到这个网络来了,IP: 那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来. 操作过程如下新机器上操作) 检查跟DC的域名解释. 建立BDC 输入具有权限的用户,我用的是administrator,属于enterprise admins 现有DNS名称. 数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统. 输放还原模式密码,用于目录服务的还原. BDC建立成功. BDC重启. 接下来在BDC上建立DNS服务器,同步AD信息. 打开控制面版,winodws组件向导. BDC的DNS指向自己. 接着在运行输入dnsmgmt.msc

新建正向区域. 输入域名.允许动态更新. 重新加载DNS,目的是让区域生成SRV(资源指针记录). 用到命令如图,,或重新启动. 接下来可以指自己做为GC. 在运行里输放dssite.msc 用到的命令是命令符下,ntdsutil 具体命令作用,在这我不详述.后接命令,请用问号,有详细的中文说明. 以下图是用于建立连接. 转移用的是transfer命令 以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图) 这也问到重点了. 跟转移时用法一样,但这时DC是在线的. 如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize.... 这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的) 把如4个角色像刚才一样操作,那就5种角色转移成功.

两台域控制器如何实现AD迁移

两台域控制器如何实现AD迁移 2011-07-20 14:53 来源:华军资讯编辑整理RSS复制链接打印 核心提示:利用MicrosoftActiveDirectoryMigrationTool可以在两个独立的AD域之间迁移用户、组、计算机等账号,其中2.0版可以实现迁移用户账号密码,本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD用户账户、密码的步骤。 两台域控制器实现AD迁移的方法如下: AD用户账号、密码迁移步骤 前言 利用MicrosoftActiveDirectoryMigrationTool可以在两个独立的AD域之间迁移用户、组、计算机等账号,其中2.0版可以实现迁移用户账号密码,本文档描述了如何在两个独立的Win2KAD域之间实现迁移AD 用户账户、密码的步骤。 操作步骤 1、在目标域与源域之间建立双向的信任关系。 2、在源域的域控制器中将目标域的系统管理员账号(Administrator)加入到本地管理员组中(Administrators)。 3、在目标域与源域的域控制器上分别安装Win2K的128位加密包。(这一部分不知道是否必需,但是我在实际操作中安装了该加密包。而且根据微软的资料,在Win2K标准产品中已经包含了128位加密) 4、在目标域的域控制器上安装ADMTVersion2.0。 5、在目标域上查看系统内建组 “Pre-Windows2000CompatibleAccess”的属性,检查“成员”中是否包括Everyone。如果没有,必须将Everyone加入,并且重启服务器。(缺省情况下该组已经包含Everyone)。 6、检查目标域与源域之间的安全策略是否会影响到密码的迁移,如口令长度限制等。如果有,需要进行相应的调整。 7、在目标域的域控制器的命令提示符下输入如下命令进行保存密码文件的保存:admtkeySourceDomainNameDriveLetter [Password]。 注意: l 尽管这个密码文件可以保存在任何磁盘上(包括软盘、硬盘),但是为了安全起见建议保存在软盘中。 l 如果你用星号“*”代替密码,会提示你输入密码。

域服务器合并与迁移解决方案

规划指南 域服务器合并与迁移解决方案加速器:从Windows NT 4.0到Windows Server 2003 本文档所提供的信息(包括引用的URL及其它Internert网站)均可能在不予通知的情况下发生变更。用户所面临的全部风险或因使用本文档导致的后果均由用户自行承担。 除非另有说明,本文档用来举例的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件均纯属虚构。请不要将它们推想或引申为任何真实的公司、机构、产品、域名、电子邮件地址、徽标、人员、场所及事件。 遵守所有适用版权法律是文档使用者所应承担的义务。Microsoft公司虽未在版权保护下就与本文档相关的权利做出任何限定,但是,任何人未经Microsoft公司书面授权许可,均不得出于任何目的、以任何形式、利用任何手段(电子、机械、影印、录音等)将本文档的任何组成部分制作成拷贝、存储或引入检索系统、亦或向任何对象进行传送。 Microsoft公司可能就本文档所涉及的主题拥有专利、专利申请、商标、版权或其它形式的知识产权。除非已同Microsoft公司签订书面许可协议,并根据协议条款获得明确授权,任何出示本文档的行为均无法使您具备针对上述专利、商标、版权或其它知识产权加以利用的许可权限。 ? 2004年,Microsoft公司。版权所有,保留所有权利。 Microsoft、Active Directory、Windows、Windows 2000、Windows 98、Windows NT和Windows XP均系Microsoft公司在美国和/或其它国家所拥有的注册商标或商标。 本文档所涉及的其它公司和产品的真实名称均为其各自所有者持有的商标。 Microsoft Corporation ? One Microsoft Way ? Redmond, WA 98052-6399 ? USA 00 目录 第 1 章引言 Microsoft Operations Framework (MOF) 适用对象 必备知识

域控服务器系统备份和恢复说明书V1.0

域控服务器系统备份和恢复说明书 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 系统原始状态备份 1、备份方案 准备一套GHOST软件,一个USB光驱,一个空白SCSI接口硬盘(147G)。 系统原始状态需要双备份,第一步备份C盘分区的镜像,第二步备份服务器磁盘镜像。

2、备份过程 第一步:备份系统分区镜像 在域控服务器BOIS中设置从光驱启动,USB光驱连接到服务器,刻有GHOST软件的光盘放入光驱,启动域控服务器,一会进去如下图所示,选择启动GHOST11.2软件,如下图: GHOST软件版权说明页面: 备份方式选择Partition—To Image:

磁盘分区情况与源分区C盘的选择: 源分区C盘选择确认:

C盘镜像保存路径选择: 镜像保持名字起名规则:系统版本—日期—时间 镜像压缩程度选择:

域控制器的角色转移与抢占

域控制器的角色转移与抢占 一 今天我们通过一个实例为大家介绍如何实现操作主机角色的转移,这样如果Active Directory中操作主机角色出现了问题,我们就可以用今天介绍的知识来进行故障排除。 我们首先要明确一个重要原则,那就是操作主机角色有且只能有一个!如果操作主机角色工作在林级别,例如架构主机和域命名主机,那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别,例如PDC主机,结构主机和RID主机,那就意味着一个域内只能有一个这样的操作主机角色。 我们的犯罪现场很简单,https://www.360docs.net/doc/0d15597879.html,域里有2台08R2,https://www.360docs.net/doc/0d15597879.html,是域内的第一台DC,fileserver是第二台DC,目前所有的角色都在dc上面,我们通过实验来重现角色的转移! 其实当我们用Dcpromo卸载域控制器上的Active Directory时,这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴,这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色,我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。 拓扑 犯罪过程: 一,从DC转移到fileserver上 1,打开cmd,输入:netdom query fsmo,列出当前角色所在的位置,从图中可以看出。五个角色都在DC上! 2,然后我们运行,dsa.msc,打开用户和计算机,选择“查看”--“高级功能”

3,然后选择“操作”---操作主机,如图 4,右键选择Fileserver域控制器,因为我们要把现在连接的DC上的角色转移到Fileserver。所以在DC上首先连接到Fileserver,如图,细心的同学就会看到。https://www.360docs.net/doc/0d15597879.html,后面的状态为“不可用”,这是因为他不能本身转给本身,所以这样显示! 5,我们发现可以转移三个操作主机角色,分别是PDC主机,RID主机和结构主机,分别选择主机类型然后更改,如图

相关文档
最新文档