求采纳
关于更换或者迁移域服务器:关于域服务器迁移的请教我通过部署一个简单的域管理公司40台左右的机器。域的作用主要是通过域用户来管理客户端,回收大部分的权限,使客户端系统非常稳定!整个域系统已经用了快4年了。另 外域服务器还兼任文件服务器,授权和设置了共享文件目录,让客户端可以通过这些共享目录交流和保存信息。现在公司购置了新的机器,需要将现在旧的域服务器迁移到这台新机上,旧的机器另有用途,我在考虑如何做才能让客户端受到的影响最小!先讲一下我现在的网络系统架构:ip段:192.168.76.0 255.255.255.0
DNS:192.168.76.21
DC(old):192.168.76.21我想的迁移办法是:
1.先在新机上装好dc(new):192.168.76.31
2.在dc(new)上设置dns指向192.168.76.21,然后作为DC(old)的额外域建立域,将dc(new)的域信息复制过来,然后配置dc(new)的dns中的ad zone,将dc(old)的dns资料也
复制过来,使dc(new)完全成为dc(old)的冗余备份!
3.将dc(old)的域正常卸载,让dc(new)承担起域的管理以上只是我以现有知识的设计方案,还没有实际实践,所以想请教几个问题:
1.dc(old)正常卸载后,dc(new)是否会自动管理起整个域?还需要什么后续的步骤吗?
2.另一个头痛的问题是如何使原客户端的dns指向新的dns,我想将dc(old)从网络下线后
,直接修改dc(new)的ip为dc(old)的ip,但是觉得会有问题,不知道是否可行,或者有其他更好的办法。否则我还是要修改40多台客户端的dns指向新的dc(new)!
回答: 1.这里要澄清一个问题,所有dc如果获得了完全复制,那么它们上面的数据库是完全同步的,这个通过过程是后台自动完成的,不需要人为干预。如果您的dns选择了与ad同步,那么dns的同步也是自动的。那么在新的dc作为additional dc添加进来并获得完全同步后,您所需要做的动作是,将原有primary dc所承担的角色转移过来,比如5个om,gc,如果有多站点,还有istg。注意是transfer,而不是seize。等待dc的状态稳定后,降级原来的primary dc就好了。
相关的资料请参考:
http://support.microsoft.com/default.aspx?scid=kbcn223346
http://support.microsoft.com/default.aspx?scid=kbzh-cn255690
http://support.microsoft.com/default.aspx?scid=kbzh-cn324801
http://support.microsoft.com/default.aspx?scid=kben-us255504
2.更改dc ip的想法是可行的。但您要注意更改dns中的srv记录,更改完成后,要注意ad中的各事件日志,确保ad的正常运作。需要提到一点的是,整个操作需要有个过程,最好能够持续1、2天,分步骤实施,实施之间最好能够在测试环境中测试后,并对现有dc进行备份后,再行动作!关于dns client的配置问题,这里您可以看一个kb
http://support.microsoft.com/default.aspx?scid=kben-us825036
最关键的一个地方就是primary dns互相指向,否则容易导致dns解析的问题,从而客户端、dc复制都有可能出现问题。
本文介绍如何使用 Microsoft Windows NT 4.0 Resource Kit Supplement 中提供的工具从一个域向另一个域中复制域对象。备注: 建议您先将本文介绍的步骤在测试环境中做一个测试,然后再将它们用于生产环境。
Resource Kit 工具包括:
Addusers.exe 工具可用于在一个域和另一个域之间导入导出用户和组帐户。
Rmtshare.exe 工具可用于远程创建或删除共享。
Scopy.exe 工具可用来从一个共享向另一个共享复制 NTFS 文件和文件夹权限。 (不过,此工具不复制共享权限。)
Permcopy.exe 工具可用来从一个共享向另一个共享复制共享权限。
Subinacl.exe 工具可用来获取文件、注册表项和服务的安全信息,和将此信息在用户和用户,组和组,以及域和域之间传输。
有关 Resource Kit 工具的其他信息,请单击下面的文章编号以查看 Microsoft 知识库中的文章:
158388Useful Resource Kit Utilities for Domain Administrators(域管理员资源包实用工具概述)
向另一个域迁移用户和组
您可以使用 Addusers.exe 工具向另一个域中迁移用户和组。 如要将现有用户和组帐户传输到一个文件中,请使用“addusers \\computer_name|domain_name/d filename”命令,其中“computer_name|domain_name”是包含指定域的用户和组信息的主域控制器 (PDC) 计算机的名称,“filename”是包含用户和组帐户信息的新文件的名称。
用户和组信息传输到一个文件中后,此信息将保存为用逗号分隔的格式。
这样的用户帐户信息传输并不将用户帐户密码或任何安全信息保存到此文件中。 当您使用此传输文件将用户迁移到另一个域时,所有新创建的用户帐户的密码都是空的,而且,默认情况下,会要求所有新创建的用户在下一次建立登录会话时更改他们的密码。
如要将用户和组添加到新域中,请使用“addusers \\computer_name|domain_name/c filename”命令,其中“computer_name|domain_name”是 PDC 计算机和创建用户帐户时所在的域的名称,“filename”是包含用户和组信息的逗号分隔格式的传输文件的名称。
备注: Addusers.exe 工具和其他文档资料都包括在 Windows NT 4.0 Resource Kit 的 Supplement 3 中。如想查看此工具可以使用的其他参数,请在命令提示符下键入: “addusers /? ”,然后按 ENTER 键。
有关其他信息,请单击下列文章编号以查看 Microsoft 知识库中的文章:
199878Addusers Automates Creation of a Large Number of Users(Addusers 使创建大批量用户的工作实现自动化)
245009Batch Add Accounts Without Forcing a Password Change at Next Logon(批量添加帐户而不强制在下次登录时执行密码更改)
远程创建共享
如要使用 Rmtshare.exe 工具在远程服务器上创建或删除共享,请按照下面的语法来使用命令:
rmtshare \\server[\sharename[=path [/printer]]] [/grant [user[:perms ]]] [/remove user][/users:number] [/unlimited] [/remark:"text"] /delete
对上述命令语法的解释如下:
“\\server\sharename”是指服务器和您可以创建、检查、修改或删除的共享。
“/grant user:perms”语法的作用是在服务器上添加有权限的有效用户或有效组的名称,或在访问控制列表中更改用户的权限。 有效的权限包括: r=读,c=更改(写),f=完全,n=无。 您可以键入“read”,但只使用第一个字符。
“/remove user”语法的作用是删除某一用户的特定项。 此后,此用户将继承权限(与之形成对比的是“/grant user:none”,它取消用户的所有访问权限)。
“/users:number”语法是对服务器和共享有特权的用户的数目。
“/delete”语法的作用是删除“\\server\sharename”语法指定的共享。
备注: 如果共享名或路径包含空格,请将该共享名或路径用引号引起,例如: \\server\"空格"="c:\空格"。
有关其他信息,请单击下面的文章编号以查看 Microsoft 知识库中的文章:
155449Batch Process to Create and Grant Access to Home Directories(以批处理方式创建和授予对主目录的访问权限)
复制文件和共享权限
复制 NTFS 和共享权限需要两个工具: Scopy.exe 工具用来复制 NTFS 文件和文件夹权限,Permcopy.exe 工具用来复制共享权限。
如要复制文件和文件夹并保留它们的 NTFS 文件和文件夹权限,请使用 Scopy.exe 工具和“scopy source destination/o /a /s”命令,其中“source”是到源文件夹的路径,“destination”是到目标文件夹的路径。 /o选项可复制所有者安全信息,/a 可复制审核信息,/s可包括子文件夹中的所有文件。
Scopy.exe 工具不能将文件复制到文件分配表 (FAT) 文件系统和高性能文件系统 (HPFS) 等不使用安全功能的文件系统,也不能从中进行复制。 Scopy.exe 工具只复制 NTFS 文件系统安全信息。 此工具不能用来复制共享权限。
如要使用 Permcopy.exe 工具将共享权限从一个共享复制到另一共享,请使用“permcopy \\source_server\share_name \\destination_server\share_name”命令,其中“source_server\share_name”和“destination_server\share_name”是到源和目标共享的通用命名约定 (UNC) 路径。
备注: 不能使用 Permcopy.exe 工具来复制一个管理共享(共享名$,如 C$ 或 IPC$)的权限。 如果将权限复制到位于 x86 计算机的管理共享,则 Services.exe 程序可能会停止响应。
迁移注册表项、服务和其他对象
Subinacl.exe 工具可用来获取文件、目录、注册表项和服务的安全信息,和将此信息在用户和用户、组和组,以及域和域之间进行传输。
如想使用 Subinacl.exe 工具迁移其他域对象,请按照下面的语法来使用命令:
subinacl /object_type object_name /action=parameter /action=parameter
可由 Subinacl.exe 工具操作的对象类型包括:
注册表项和子项文件目录共享服务内核对象
可对上述对象执行的操作包括:
显示
更改所属权
更换对象中的所有访问控制项
更改对象的域名
将对象从一个域迁移到另一个域
示例
如要将所有包含“Domain1\Sales”的访问控制项的安全标识符替换为“Domain2\Sales”,请使用 Subinacl.exe 工具和下面的命令:
subinacl /replace=domain1\sales=domain2\sales
有关这些工具的语法和使用方面的其他信息,请参考 Windows NT Server 4.0 Resource Kit Supplement 3 中的 Rktools.hlp 文件。
回到顶端
属性
文章编号: 301940 - 最后修改: 2001年11月2日 - 修订: 1.0
这篇文章中的信息适用于:
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows NT Workstation 4.0 开发员版
关键字: kbhowto kbhowtomaster KB301940
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)