我院購置了相關服務器后,進行Win2000到Win2003域的遷移,該域現有500多個用戶,負責醫院各系統服務的認證工作。
表1 原有域服務器信息
|
服務器 |
主域控制器 |
額外域控制器 |
|
主機名 |
A |
A1 |
|
IP地址 |
|
|
|
掩碼 |
255.255.0.0 |
255.255.0.0 |
|
網關 |
|
|
|
DNS |
|
|
|
所屬角色 |
domain naming master PDC infrastructure master RID master |
schema master |
表2 新域服務器信息
|
服務器 |
主域控制器 |
額外域控制器 |
|
主機名 |
B |
B1 |
|
IP地址 |
|
|
|
掩碼 |
255.255.0.0 |
255.255.0.0 |
|
網關 |
|
|
|
DNS |
|
|
|
所屬角色 |
domain naming master PDC infrastructure master RID master schema master |
|
原有域服務器的操作系統均為Windows 2000 Server,而本次新的域服務器操作系統改用Windows 2003 Enterprise Server。要實現2000域到2003域的遷移,我們主要通過以下步驟實現:
1.在擁有架構主機角色(schema master)的域控制器上更新林信息。
2.在擁有結構主機角色(infrastructure master)的域控制器上更新域信息。
3.將兩臺新服務器(Windows 2003系統)作為額外域控制器加入2000域中。
4.通過ntdsutil工具將5種FSMO角色轉換到新主域控制器上。
5.開啟新域控制器的全局編錄(等待更新同步)。
6.去除原有域控制器的全局編錄。
一、更新林信息
1.到架構主機A1服務器上做更新林的操作。更新林或域的工具Adprep.exe位于Windows 2003 Enterprise Server安裝光盤的I386目錄下,將操作系統光盤插入光驅,并把I386目錄拷貝到服務器本機D盤根目錄下。
運行窗口中鍵入cmd,進入命令行模式后點擊“開始→運行→cmd”,將當前目錄切換到Adprep.exe目錄下。具體操作如下:
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版權所有 1985-2000 Microsoft Corp.
C:Documents and SettingsAdministrator>D:
D:>cd win2003
D:win2003>cd i386
D: win2003i386>
2.運行adprep /forestprep更新林信息,在操作之前應確保Windows 2000系統已經打上SP2以上補丁,如滿足要求則依照提示輸入“C”,并按回車鍵,其生成信息如下:
adprep /forestprep
ADPREP 警告:
運行Adprep之前,此林中的所有Windows 2000域控制器必須升級到帶QFE 265089的Windows 2000 Service Pack 1(SP1),或者升級到Windows 2000 SP2(或更新)。
需要QFE 265089(包括在Windows 2000 SP2和更新版本中)以防止可能的域控制器損壞。
[用戶操作]
如果所有現存的 Windows 2000 域控制器滿足此要求,鍵入C,然后按ENTER以繼續。否則,鍵入任何其他鍵并按 ENTER以退出。
c
SSPI 連接到“A
用 SSPI 作為當前用戶登錄
從 "D:WINNTsystem32sch14.ldf" 文件輸入目錄
加載項目.....................................
111 個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch15.ldf" 文件輸入目錄
加載項目.....................................
68個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從 "D:WINNTsystem32sch16.ldf" 文件輸入目錄
加載項目..................................
33 個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch17.ldf" 文件輸入目錄
加載項目......................
21 個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch18.ldf"文件輸入目錄
加載項目.................................
32個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch19.ldf"文件輸入目錄
加載項目............................
27 個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch20.ldf"文件輸入目錄
加載項目....................
19個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch21.ldf"文件輸入目錄
加載項目..............
13個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch22.ldf" 文件輸入目錄
加載項目........................................
39個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch23.ldf"文件輸入目錄
加載項目...........
10個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch24.ldf" 文件輸入目錄
加載項目................
15個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch25.ldf"文件輸入目錄
加載項目...............................
45個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch26.ldf"文件輸入目錄
加載項目.............................
28個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch27.ldf"文件輸入目錄
加載項目.............................
68個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch28.ldf"文件輸入目錄
加載項目......
5個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch29.ldf"文件輸入目錄
加載項目.......
6個項目修改成功。
指令成功完成
連接到“A1”
用SSPI作為當前用戶登錄
從"D:WINNTsystem32sch30.ldf"文件輸入目錄
加載項目................
15個項目修改成功。
指令成功完成
...............................
Adprep成功更新了全林性信息。
二、更新域信息
在完成林信息更新后,還需到結構主機A服務器上更新域信息,因為當結構主機(infrastructure master)和架構主機(schema master)角色位于不同主機上時,在做完林更新后需要等待一段時間(15分鐘或更長),使信息得到同步,在同步尚未完成前進行域更新將有如下提示:
E:I386>adprep /domainprep
更新全域性信息之前,必須更新全林性信息。
[用戶操作]
登錄到此林的架構主機 A1.qzdyyy.com,從安裝媒體運行如下命令先完成林更新:
adprep.exe /forestprep
然后在結構主機重新運行 adprep.exe /domainprep。
1.域更新和林更新方法相同,均使用安裝光盤自帶的Adprep.exe工具來實現,可把I386復制到服務器本機上或者直接讀取光盤的方式來調用。
2.在I386目錄下輸入adprep /domainprep來更新域信息,如之前的同步已完成,在輸入命令后可直接得到完成信息:
E:I386>adprep /domainprep
Adprep 成功更新了全域性信息。
三、加入Win2000域
1.在完成對林信息和域信息的更新后,可將新的服務器(Windows2003系統)加入原有的2000域中。
注意:如沒有進行林和域信息更新,則裝有Windows2003系統的服務器是無法作為額外域控制器加入2000域的。
2.要作為額外域控制器加入域,可在命令提示欄輸入:dcpromo,按提示選擇,最后選擇作為現有域的額外域控制器。
3.用同樣的方法將兩臺服務器都作為額外域控制器加入到2000域中。
四、轉換FSMO角色
1.在Windows 2000系統之后,域環境中不再區分主域控制器和備份域控制器,改為主域控制器和額外域控制器,其地位功能都是相等的,區別在于五種FSMO角色的所屬主機,當某臺主機建立域時,五種角色都位于第一臺域控制器上,當有多臺域控制器時,為實現不同的功能主機,可用ntdsutil命令對角色進行轉換。
2.Netdom位于Windows2003安裝光盤support目錄下,可點擊同一目錄下的安裝程序進行安裝,如已經選擇安裝,則可在命令行下直接調用命令(用于查詢角色)。
3.可使用系統自帶的ntdsutil命令進行角色轉換,并用netdom命令進行角色查詢確認。
注意:角色轉換需要時間進行同步,時間和網絡環境的復雜程度有關,在同步完成前,無法進行角色查詢,或者用“AD用戶和計算機→操作主機”查看時會當前操作主機顯示為”錯誤”。
4.以下為角色轉換的操作過程,附帶相關說明:
Microsoft Windows [版本 5.2.3790]
(C) 版權所有 1985-2003 Microsoft Corp.
C:Documents and SettingsAdministrator.QZDYYY>ntdsutil //使用ntdsutil工具
ntdsutil: roles //進行角色操作
fsmo maintenance: connections //進行連接操作
server connections: connect to server B //選擇連接對象為B
綁定到 B ...
用本登錄的用戶的憑證連接 B。
server connections: quit //退出角色操作
fsmo maintenance: ?
? - 顯示這個幫助信息
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的服務器上覆蓋域角色
Seize infrastructure master - 在已連接的服務器上覆蓋結構角色
Seize PDC - 在已連接的服務器上覆蓋 PDC 角色
Seize RID master - 在已連接的服務器上覆蓋 RID 角色
Seize schema master - 在已連接的服務器上覆蓋架構角色
Select operation target - 選擇的站點,服務器,域,角色和命名上下文
Transfer domain naming master - 將已連接的服務器定為域命名主機
Transfer infrastructure master - 將已連接的服務器定為結構主機
Transfer PDC - 將已連接的服務器定為 PDC
Transfer RID master - 將已連接的服務器定為 RID 主機
Transfer schema master - 將已連接的服務器定為架構主機
fsmo maintenance: transfer domain naming master //轉換域命名主機
服務器 "B" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
結構 - CN=NTDS Settings,CN=A,CN=Servers,CN=Default-First-Site-Name,CN=Si
tes,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer infrastructure master //轉換結構主機
服務器 "B" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
結構 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer pdc //轉換PDC
服務器 "B" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
結構 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer rid master //轉換RID主機
服務器 "B" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
結構 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer schema master //轉換架構主機
服務器 "B" 知道有關 5 作用
架構 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
結構 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: quit
ntdsutil: quit
從 B 斷開...
C:Documents and SettingsAdministrator.QZDYYY>cd
C:>cd "Program Files"
C:Program Files>cd "Support Tools"
C:Program FilesSupport Tools>netdom query fsmo
Schema owner B.qzdyyy.com
Domain role owner B.qzdyyy.com
PDC role B.qzdyyy.com
RID pool manager B.qzdyyy.com
Infrastructure owner B.qzdyyy.com
The command completed successfully.
四、轉換全局編錄
1.在兩臺新的域控制器上,啟動“Active Directory 站點和服務”管理單元。要啟動該管理單元,請單擊開始,指向程序,指向管理工具,然后單擊“Active Directory 站點和服務”。
2.在控制臺樹中,雙擊站點,然后雙擊站點名。
3.雙擊服務器,單擊您的域控制器,右鍵單擊 NTDS 設置,然后單擊屬性。
4.在常規選項卡上,單擊以選中“全局編錄”復選框,以便將全局編錄角色分配給此服務器。
5.重新啟動域控制器。
