我院购置了相关服务器后,进行Win2000到Win2003域的迁移,该域现有500多个用户,负责医院各系统服务的认证工作。
表1 原有域服务器信息
|
服务器 |
主域控制器 |
额外域控制器 |
|
主机名 |
A |
A1 |
|
IP地址 |
|
|
|
掩码 |
255.255.0.0 |
255.255.0.0 |
|
网关 |
|
|
|
DNS |
|
|
|
所属角色 |
domain naming master PDC infrastructure master RID master |
schema master |
表2 新域服务器信息
|
服务器 |
主域控制器 |
额外域控制器 |
|
主机名 |
B |
B1 |
|
IP地址 |
|
|
|
掩码 |
255.255.0.0 |
255.255.0.0 |
|
网关 |
|
|
|
DNS |
|
|
|
所属角色 |
domain naming master PDC infrastructure master RID master schema master |
|
原有域服务器的操作系统均为Windows 2000 Server,而本次新的域服务器操作系统改用Windows 2003 Enterprise Server。要实现2000域到2003域的迁移,我们主要通过以下步骤实现:
1.在拥有架构主机角色(schema master)的域控制器上更新林信息。
2.在拥有结构主机角色(infrastructure master)的域控制器上更新域信息。
3.将两台新服务器(Windows 2003系统)作为额外域控制器加入2000域中。
4.通过ntdsutil工具将5种FSMO角色转换到新主域控制器上。
5.开启新域控制器的全局编录(等待更新同步)。
6.去除原有域控制器的全局编录。
一、更新林信息
1.到架构主机A1服务器上做更新林的操作。更新林或域的工具Adprep.exe位于Windows 2003 Enterprise Server安装光盘的I386目录下,将操作系统光盘插入光驱,并把I386目录拷贝到服务器本机D盘根目录下。
运行窗口中键入cmd,进入命令行模式后点击“开始→运行→cmd”,将当前目录切换到Adprep.exe目录下。具体操作如下:
Microsoft Windows 2000 [Version 5.00.2195]
(C) 版权所有 1985-2000 Microsoft Corp.
C:Documents and SettingsAdministrator>D:
D:>cd win2003
D:win2003>cd i386
D: win2003i386>
2.运行adprep /forestprep更新林信息,在操作之前应确保Windows 2000系统已经打上SP2以上补丁,如满足要求则依照提示输入“C”,并按回车键,其生成信息如下:
adprep /forestprep
ADPREP 警告:
运行Adprep之前,此林中的所有Windows 2000域控制器必须升级到带QFE 265089的Windows 2000 Service Pack 1(SP1),或者升级到Windows 2000 SP2(或更新)。
需要QFE 265089(包括在Windows 2000 SP2和更新版本中)以防止可能的域控制器损坏。
[用户操作]
如果所有现存的 Windows 2000 域控制器满足此要求,键入C,然后按ENTER以继续。否则,键入任何其他键并按 ENTER以退出。
c
SSPI 连接到“A
用 SSPI 作为当前用户登录
从 "D:WINNTsystem32sch14.ldf" 文件输入目录
加载项目.....................................
111 个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch15.ldf" 文件输入目录
加载项目.....................................
68个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从 "D:WINNTsystem32sch16.ldf" 文件输入目录
加载项目..................................
33 个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch17.ldf" 文件输入目录
加载项目......................
21 个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch18.ldf"文件输入目录
加载项目.................................
32个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch19.ldf"文件输入目录
加载项目............................
27 个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch20.ldf"文件输入目录
加载项目....................
19个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch21.ldf"文件输入目录
加载项目..............
13个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch22.ldf" 文件输入目录
加载项目........................................
39个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch23.ldf"文件输入目录
加载项目...........
10个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch24.ldf" 文件输入目录
加载项目................
15个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch25.ldf"文件输入目录
加载项目...............................
45个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch26.ldf"文件输入目录
加载项目.............................
28个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch27.ldf"文件输入目录
加载项目.............................
68个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch28.ldf"文件输入目录
加载项目......
5个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch29.ldf"文件输入目录
加载项目.......
6个项目修改成功。
指令成功完成
连接到“A1”
用SSPI作为当前用户登录
从"D:WINNTsystem32sch30.ldf"文件输入目录
加载项目................
15个项目修改成功。
指令成功完成
...............................
Adprep成功更新了全林性信息。
二、更新域信息
在完成林信息更新后,还需到结构主机A服务器上更新域信息,因为当结构主机(infrastructure master)和架构主机(schema master)角色位于不同主机上时,在做完林更新后需要等待一段时间(15分钟或更长),使信息得到同步,在同步尚未完成前进行域更新将有如下提示:
E:I386>adprep /domainprep
更新全域性信息之前,必须更新全林性信息。
[用户操作]
登录到此林的架构主机 A1.qzdyyy.com,从安装媒体运行如下命令先完成林更新:
adprep.exe /forestprep
然后在结构主机重新运行 adprep.exe /domainprep。
1.域更新和林更新方法相同,均使用安装光盘自带的Adprep.exe工具来实现,可把I386复制到服务器本机上或者直接读取光盘的方式来调用。
2.在I386目录下输入adprep /domainprep来更新域信息,如之前的同步已完成,在输入命令后可直接得到完成信息:
E:I386>adprep /domainprep
Adprep 成功更新了全域性信息。
三、加入Win2000域
1.在完成对林信息和域信息的更新后,可将新的服务器(Windows2003系统)加入原有的2000域中。
注意:如没有进行林和域信息更新,则装有Windows2003系统的服务器是无法作为额外域控制器加入2000域的。
2.要作为额外域控制器加入域,可在命令提示栏输入:dcpromo,按提示选择,最后选择作为现有域的额外域控制器。
3.用同样的方法将两台服务器都作为额外域控制器加入到2000域中。
四、转换FSMO角色
1.在Windows 2000系统之后,域环境中不再区分主域控制器和备份域控制器,改为主域控制器和额外域控制器,其地位功能都是相等的,区别在于五种FSMO角色的所属主机,当某台主机建立域时,五种角色都位于第一台域控制器上,当有多台域控制器时,为实现不同的功能主机,可用ntdsutil命令对角色进行转换。
2.Netdom位于Windows2003安装光盘support目录下,可点击同一目录下的安装程序进行安装,如已经选择安装,则可在命令行下直接调用命令(用于查询角色)。
3.可使用系统自带的ntdsutil命令进行角色转换,并用netdom命令进行角色查询确认。
注意:角色转换需要时间进行同步,时间和网络环境的复杂程度有关,在同步完成前,无法进行角色查询,或者用“AD用户和计算机→操作主机”查看时会当前操作主机显示为”错误”。
4.以下为角色转换的操作过程,附带相关说明:
Microsoft Windows [版本 5.2.3790]
(C) 版权所有 1985-2003 Microsoft Corp.
C:Documents and SettingsAdministrator.QZDYYY>ntdsutil //使用ntdsutil工具
ntdsutil: roles //进行角色操作
fsmo maintenance: connections //进行连接操作
server connections: connect to server B //选择连接对象为B
绑定到 B ...
用本登录的用户的凭证连接 B。
server connections: quit //退出角色操作
fsmo maintenance: ?
? - 显示这个帮助信息
Connections - 连接到一个特定域控制器
Help - 显示这个帮助信息
Quit - 返回到上一个菜单
Seize domain naming master - 在已连接的服务器上覆盖域角色
Seize infrastructure master - 在已连接的服务器上覆盖结构角色
Seize PDC - 在已连接的服务器上覆盖 PDC 角色
Seize RID master - 在已连接的服务器上覆盖 RID 角色
Seize schema master - 在已连接的服务器上覆盖架构角色
Select operation target - 选择的站点,服务器,域,角色和命名上下文
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC - 将已连接的服务器定为 PDC
Transfer RID master - 将已连接的服务器定为 RID 主机
Transfer schema master - 将已连接的服务器定为架构主机
fsmo maintenance: transfer domain naming master //转换域命名主机
服务器 "B" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
结构 - CN=NTDS Settings,CN=A,CN=Servers,CN=Default-First-Site-Name,CN=Si
tes,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer infrastructure master //转换结构主机
服务器 "B" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer pdc //转换PDC
服务器 "B" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer rid master //转换RID主机
服务器 "B" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: transfer schema master //转换架构主机
服务器 "B" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=qzdyyy,DC=com
PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
RID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=qzdyyy,DC=com
结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=qzdyyy,DC=com
fsmo maintenance: quit
ntdsutil: quit
从 B 断开...
C:Documents and SettingsAdministrator.QZDYYY>cd
C:>cd "Program Files"
C:Program Files>cd "Support Tools"
C:Program FilesSupport Tools>netdom query fsmo
Schema owner B.qzdyyy.com
Domain role owner B.qzdyyy.com
PDC role B.qzdyyy.com
RID pool manager B.qzdyyy.com
Infrastructure owner B.qzdyyy.com
The command completed successfully.
四、转换全局编录
1.在两台新的域控制器上,启动“Active Directory 站点和服务”管理单元。要启动该管理单元,请单击开始,指向程序,指向管理工具,然后单击“Active Directory 站点和服务”。
2.在控制台树中,双击站点,然后双击站点名。
3.双击服务器,单击您的域控制器,右键单击 NTDS 设置,然后单击属性。
4.在常规选项卡上,单击以选中“全局编录”复选框,以便将全局编录角色分配给此服务器。
5.重新启动域控制器。
