将windows 2003AD升级到2008AD及操作主机的转移和占用

最新推荐文章于 2024-12-11 16:17:36 发布

转载最新推荐文章于 2024-12-11 16:17:36 发布 · 151 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://blog.51cto.com/baoer7758/1359464

文章标签：

#操作系统 #数据库

本文深入探讨了将Windows 2003 Active Directory升级至2008 AD的过程，包括操作主机转移和占用的相关步骤与注意事项。详细介绍了五种操作主机角色及其功能，并提供了升级步骤和转移/占用操作主机的具体方法。

将windows 2003AD升级到2008AD及操作主机的转移和占用

-------Isuncle 原著

首先我们先来了解一下AD中关于五种操作主机的角色分别是什么以及其功能是什么：

在此之前我们先回顾PDC和BDC的概念，由此引出操作主机的概念。

在WindowsNT 4.0的域环境下，域控制器分为两类，PDC和BDC。只有PDC才能修改AD（Active Directory，活动目录）数据库的内容，而BDC只有读取AD数据库内容的权限，这种结构我们称之为单主复制。而自从Windows2000使用了之后，所有的域控制器都可以自主的修改AD数据库的内容，修改后的内容都可以被复制到其他域控制器，域中的所有域控制器实际上都是对等的，这种结构我们称之为多主复制。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个被称为“操作主机”的域控制器接收此类更改的请求。

在现在的域中，PDC只作为操作主机的一个角色出现。

操作主机又称为FSMO（Flexible Single MasterOperation，灵活单一主机操作）

总结一下就是：

单主复制
- PDC修改AD数据库内容
- BDC读取AD数据库内容
多主复制
- 所有DC都可以修改AD数据库内容
- 被修改的内容会被复制到其他DC
操作主机
- 执行某些在单主机模式下的操作
  - 防止域名重复
  - 同步域内时间
- 决定了DC在域中所起的功能
  
  下面我们来介绍一下五种操作主机角色：
林范围
- 架构主机（SchemaMaster）
- 域命名主机（DomainNaming Master）
域范围
- PDC仿真主机（PDC EmulatorMaster）
- RID主机（RID Master）
- 基础结构主机（InfrastructureMaster）
  
  共有五种操作主机角色，其中架构主机和域命名主机角色在林范围内是唯一的；PDC主机、RID主机和基础结构主机角色在域范围内是唯一的
  。
  在默认情况下，在林中安装的第一台DC承担着五种操作主机角色。
  1）关于架构主机：
整个林中只能有一台架构主机
架构主机的作用
- 定义林中所有对象和其属性之间的关系
架构可以被扩展
- 安装Exchange
- 升级Windows Server2003 AD 到Windows Server 2008 AD
查看架构主机
- 注册架构主机管理工具
  - 运行“regsvr32 schmmgmt.dll”命令
- 使用mmc添加“Active Directory架构”

2）关于域命名主机：

整个林中只能有一台域命名主机
域命名主机的作用
- 控制林中域的添加或删除，防止林中的域名重复
查看域命名主机
- 使用“Active Directory域和信任关系”管理工具

3）关于PDC仿真主机：

整个域内只能有一台PDC仿真主机
PDC仿真主机的作用
- 负责同步域内时间：

微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

- 最小化密码变化的复制等待时间：

在默认情况下，所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC仿真主机，然后由PDC仿真主机触发一个即时更新，以保证密码的实时性。但实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于网络规模和线路情况。

- 对Windows 2000以前的操作系统提供支持

对于Windows 2000之前的操作系统，它们会认为自己加入的是Windows NT 4.0域，所以当这些机器加入到域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC仿真主机就会成为它们的联系对象。

查看PDC仿真主机
- 使用“Active Directory用户和计算机”管理工具

4）关于RID主机：

整个域内只能有一台RID主机
RID主机的作用
- 将相对ID（RID）序列分配给域中每个DC
- 对象的SID=域SID+RID
  基础结构主机作用讲解举例：
  本域内有一个本地域组share，另外一个域内包含一个用户tom，在将用户tom加入到组share中时，这个更新操作需要由本地域中的基础结构主机执行。
  不应将基础结构主机角色指派给全局编录所在的域控制器，除非域中只有一个域控制器。
  如果域中的所有域控制器都存有全局编录,则无论哪个域控制器承担基础结构主机角色均不重要。
  全局编录（GC）：存储着本域中所有对象所有属性，同时存储林中其他域中所有对象的部分属性。一般来说，属性是否存储在GC中，取决于该属性在搜索中使用的频率，由系统自动进行决定。
查看RID主机
- 使用“Active Directory用户和计算机”管理工具

好了，下面我来总结下操作主机的角色吧：

林中第一台域控制器默认拥有林范围的两种角色
域中第一台域控制器默认拥有域范围的三种角色

上面我们讲完了操作主机，下面我们步入正题，来尝试着研究一下转移和占用操作主机吧，如果说哪一天咱们需要将公司的2003AD升级到2008AD该怎么办呢？

那么我们就需要总结一下步骤了：

首先得准备一张正版windows server 2008的光盘吧
然后找到光驱所在的盘符
当显示图形化安装界面的时候不要管它，关掉并打开命令提示符输入cmd
输入命令：x：（跳转到光盘所在分区x:）
继续输入cd sources/adprep进入adprep目录
继续输入adprep.exe /forestprep
上步中出现提示，输入c 开始扩展2003AD 的林架构（这个等待的时间可能会长点大家耐心等待）
继续输入adprep.exe /domainprep扩展2003AD 的域架构（先林后域）输入这个命令前需要看下我们的安装过的2003AD是否已经真正的提升到200AD了具体从“Active Directory用户和计算机”点击提升域级别，可以看到！
输入adprep.exe /domainprep /gpprep更新组策略对象权限
输入adprep.exe /rodcprep更新AD对RODC的支持
好了，完毕做完这些就已经升级完毕了，最后把域级别提升了就O了，上面说了如何打开提升级别。

下面呢，我们说一下关于转移和占用操作主机：

转移操作主机角色
- 承担着操作主机角色的DC需要降级
- 承担着操作主机角色的DC和目标DC都在线
- 转移操作主机角色的过程可逆
占用操作主机角色
- 承担着操作主机角色的DC不可再用，无法恢复
- 转移： 占用:

使用架构主机管理工具转移架构主机

使用“Active Directory域和信任关系”管理工具转移域命名主机

使用“Active Directory用户和计算机”管理工具转移RID、PDC仿真主机和基础结构主机

在“Active Directory站点和服务”控制台中可以转移全局编录角色。依次展开节点“Sites”→“Default-First-Site-Name” →“Servers”→“DC01” →“NTDS Settings”，右击“NTDSSettings”，在其“属性”中可以查看和转移全局编录角色。

占用操作主机角色

使用ntdsutil实用程序
- 在命令提示符下输入“ntdsutil”
- 输入“roles”
- 输入“connection”
- 输入“connectto server 该DC的FQDN”
- 输入 “quit”
- 输入“seize 操作主机角色”
  将“seize”命令换成“transfer”可对操作主机角色进行转

$_SW5KSTR564{0Y6U`502]XK.jpg$

（架构主机、域命名主机、RID主机角色被占用以后，永远不要将原来扮演该种角色的域控制器再连接到网络上。如果PDC仿真主机，基础结构主机被占用，原来扮演这两种角色的域控制器恢复正常后，还是可以连接到网络上的，在与新的操作主机复制Active Directoyr时，若察觉到角色已经被占用，会自动放弃它原来拥有的角色，不过还是可以将角色再传送回原来的域控制器中。）