【51CTO獨家特稿】前言：到年底了，對于我們信息部門的系統(tǒng)管理員來說，肯定是又忙活了起來。因為要去準(zhǔn)備來年的計劃和方案，而隨著現(xiàn)在服務(wù)器硬件發(fā)展的日新月異，遷移工作可能是每位管理員必不可少的任務(wù)。但是說到遷移工作，里面的學(xué)問和技術(shù)含量可高著呢，這可不是把錢從一個口袋放到另一個口袋這么簡單。試想一下我們?nèi)绻峒?，這其實是個很復(fù)雜的事情，新房子的裝修，如何去搬，什么時候去搬，這都是要好好的規(guī)劃的，換句話說系統(tǒng)遷移比搬家還要精細的多。

[[17971]] 

系統(tǒng)遷移可不是如此簡單

盡管我們現(xiàn)在有了類似于System Center VirtuaMachine Manager可以輕易的實現(xiàn)物理服務(wù)器到虛擬機服務(wù)器的遷移工作，但是對于一些不能或者不推薦在虛擬機里面運行的服務(wù)器，這遷移還是老老實實的跟著傳統(tǒng)走吧。

這不，域控制器的改朝換代從Windows 2000開始至最新的2008 R2，整個遷移的過程和思路都是一樣的，所以今天我們就來看看如何把一臺域控制器從舊的服務(wù)器遷移到新的服務(wù)器。

[[17972]]作者簡介：張誠，網(wǎng)名asuka（博客，微博），資深I(lǐng)T基礎(chǔ)架構(gòu)顧問，三屆微軟全球最有價值專家（MVP），微軟Technet 特約講師。他是微軟中文社區(qū)Windows版版主，ITECN 技術(shù)博客作者。他熟悉微軟Windows操作系統(tǒng)和活動目錄，具有多年微軟服務(wù)器產(chǎn)品的項目和培訓(xùn)經(jīng)驗，現(xiàn)致力于傳播綠色IT概念。曾獲兩次獲得微軟CPE杰出貢獻獎、微軟大中華區(qū)"認(rèn)證達人"稱號。著作有《Windows 7安全指南》、《精通Windows Powershell腳本編程》等。

這里的環(huán)境再簡單不過，一共也就就2臺服務(wù)器。

1 安裝新的域控制器

對于DC1的安裝這里這里就不再詳細說明了，只需要注意安裝額外的域控制器可以對現(xiàn)有的成員服務(wù)器進行提升，令其成為域控制器。或者安裝一臺新的計算機，并對其進行提升。無論使用哪種方法，DC1都必須講從DC處獲得必要的目錄信息。#p#

2 操作主機（FSMO）的遷移

對于域控制器遷移的工作最大的挑戰(zhàn)之一就是FSMO 5個角色的遷移，所以我們先來看看這5個角色各自都起到了什么作用。

首先我們知道活動目錄和NT4目錄服務(wù)最大的區(qū)別就是多主機模式，因此活動目錄創(chuàng)造出分布式的環(huán)境，并讓任何域控制器都可以被用作驗證，從而可以在特定域控制器上操作即可更改標(biāo)準(zhǔn)目錄信息。比如我們可以在任意一臺域控制器上新建用戶帳號（2008中的只讀域控制器除外），對于大部分活動目錄的操作，所有域控制器都一視同仁，但是也并非全部如此。有些活動目錄中特定的操作只能在“操作主機”的域控制器上進行。

什么是操作主機

專用的操作主機具有靈活單主機操作（Flexible Single-Master Operations,FSMO）角色，一共有5種這類角色，分別如下：

架構(gòu)主機（Schema master）

架構(gòu)主機是林中唯一包含可寫入架構(gòu)容器副本的域控制器，只有在其上面才可以對架構(gòu)進行修改。舉個例子來說吧，我們現(xiàn)在有個域是用作管理學(xué)生信息使用的，而管理學(xué)生信息又是以學(xué)生的學(xué)號為中心。但是現(xiàn)有的“Active Directory用戶和計算機”控制臺管理界面中并沒有學(xué)號這一個標(biāo)簽和選項，所以我們需要進行擴展架構(gòu)。而這里的擴展架構(gòu)這個步驟就是在架構(gòu)主機中完成的，所以架構(gòu)主機好比是定義了整個目錄中的標(biāo)準(zhǔn)。

但是定義標(biāo)準(zhǔn)這個活可不是誰都能做的，一定要在組織中最最權(quán)威的機構(gòu)上進行。這就好比，我們的身份證上有姓名欄、家庭地址欄等信息，但是如果哪天身份證上面要加一欄，比如要加上個人工作單位這一欄，對于修改身份證這個操作只能由我們中央政府的有關(guān)部門才能去做，地方政府肯定是沒有這個權(quán)限去DIY我們身份證的，否則我們的身份證肯定是千奇百怪并失去統(tǒng)一性和標(biāo)準(zhǔn)性。所以，在我們的活動目錄中，修改架構(gòu)只有在架構(gòu)主機上才能做。

域命名主機（Domain Naming master）

域命名主機主要負(fù)責(zé)從林中添加或者刪除域。在創(chuàng)建了新域時，需要創(chuàng)建到域命名主機的遠程過程調(diào)用（Remote Procedure Call,RPC）連接，并給域分配全球唯一標(biāo)識符（GUID）。在刪除域時，也需要創(chuàng)建到域命名主機的PRC連接，并將之前分配的GUID引用刪除。

所以一旦在整個林中有新的域被建立或者被刪除，就要到域命名主機這里去“登記”一下。

RID主機

RID主機控制了域中的新的安全主體，比如用戶、組和計算機的創(chuàng)建。

這就好比，我們成人之后，要去派出所登記身份證，拿到的身份證號碼前幾位的格式都是相同的，當(dāng)中幾位是我們每個人的生日，而最后幾位數(shù)字卻每個人都不相同。

PDC模擬

說到PDC，就必須得提一下NT4的目錄服務(wù)。在NT4的目錄服務(wù)的時代，可不像我們的活動目錄這么平等。在那個時代只有PDC才算真正的DC，畢竟人家叫Primary嘛。除了PDC之外，所有的其他域控制器都叫BDC。PDC和BDC最大的區(qū)別就是在數(shù)據(jù)復(fù)制的角度上，PDC只出不進，BDC只進不出。PDC是一黨獨大，這樣的話，萬一哪天PDC因為硬件故障出現(xiàn)了問題，整個NT4的域就完全被毀了，所以這樣是非常得危險。

在活動目錄中，盡管沒有了PDC角色，但是還是有個操作主機叫做PDC模擬，顧名思義，就是模擬PDC所做的活。那么PDC究竟做哪些事情呢？在使用Windows 2000純模式或更高功能級別的域中，帶有PDC模擬角色的域控制器主要負(fù)責(zé)處理客戶端密碼的變動、客戶端的鎖定。在用戶更改密碼后，變動首先會被發(fā)往PDC模擬，然后再被復(fù)制到域中的其他域控制器上。這樣可以避免密碼修改同步的問題。

基礎(chǔ)架構(gòu)主機（Infrastructure master）

基礎(chǔ)架構(gòu)主機主要負(fù)責(zé)更新跨域的組到用戶引用。這也就意味著基礎(chǔ)架構(gòu)主機主要負(fù)責(zé)確保對用戶帳戶通用名的更改可以被正確反映到林中其他域的組成員關(guān)系中?；A(chǔ)架構(gòu)主機是通過對比全局編錄服務(wù)器（GC）的目錄數(shù)據(jù)的方法實現(xiàn)，如果數(shù)據(jù)過期，那么基礎(chǔ)架構(gòu)主機就更新這些數(shù)據(jù)，并將變動復(fù)制到域中的其他域控制器上。

簡單的介紹了這5個操作主機后，再來介紹一下他們的要點。架構(gòu)主機和域命名主機都是以每個林為基礎(chǔ)分配的，這意味著每個林中只能有一臺架構(gòu)主機和域命名主機。其他三個角色，RID、PDC模擬和基礎(chǔ)架構(gòu)主機都是以每個域為基礎(chǔ)分配的。這個很好理解，有些事情只能由中央政府去做，而有些事情，只能由地方政府去做，各自職責(zé)明確。

在安裝活動目錄，以及給新林中創(chuàng)建第一臺域控制器時，默認(rèn)情況下，所有這5個角色都會被安裝在這臺DC上。假如在這個域下面建立了子域，那么子域中的第一臺域控制器就會被分配為該子域的PDC仿真器、RID和基礎(chǔ)架構(gòu)主機，但是不會有架構(gòu)主機和域命名主機的角色分配。

操作主機的查看

查看操作主機有圖形界面和命令行兩種方式，相對來說，命令行比較方便。

在Windows Server 2008上，在命令行中運行下列命令“netdom query fsmo”，即可了解登錄到的域的當(dāng)前操作主機信息（圖 1），通過截圖我們就可以發(fā)現(xiàn)，默認(rèn)情況下，5個操作主機的角色全部都在DC.contotos.com這臺域控制器上面。

圖 1

用圖形界面查看操作主機的相關(guān)內(nèi)容在下面介紹。

操作主機的遷移

好了，說了這么多關(guān)于操作主機的概念，接下來終于到了遷移操作主機的遷移了。由于操作主機是5個角色，所以每個角色的遷移都不一樣，我們逐一來看。

架構(gòu)主機

要遷移架構(gòu)主機，首先要在DC上找到“Active Directory 架構(gòu)”這個控制臺，但默認(rèn)情況下，在我們的域控制器上是找不到這個控制臺界面的，而需要額外的注冊一個dll文件。在開始-運行中，鍵入“regsvr32 schmmgmt.dll”，隨機顯示出一條指出注冊成功的消息（圖 2）。然后在開始-運行中，鍵入“mmc”，在控制臺菜單上，單擊“添加/刪除管理單元”。單擊添加，選擇第一行的“Active Directory 架構(gòu)”。這樣就能打開“Active Directory 架構(gòu)”控制臺界面。

圖2

右擊“Active Directory 架構(gòu)”選擇“更改Active Directory域控制器”，在“更改目錄服務(wù)器”的界面中（圖 3），選擇我們準(zhǔn)備遷移到的DC1.contoso.com，然后確定。

圖 3

然后再一次右擊“Active Directory 架構(gòu)”選擇“操作主機”，來到要遷移前的最后一步，這個時候只需要點擊“更改”就可以完成遷移。在點擊“更改”后的提示都點擊是。

圖 4

在完成了角色的遷移之后，可以通過再次在命令行中輸入“netdom query fsmo”的方式來確認(rèn)我們的遷移是否成功。

有了架構(gòu)主機的成功遷移之后，其他幾個角色的遷移都是大同小異，只需要找到各自對應(yīng)的界面。與架構(gòu)主機相比，其他四個角色都可以在我們熟悉的控制臺上操作，而不需要注冊dll文件來得這么麻煩。

域命名主機

點擊開始-程序-管理工具，然后點擊“Active Directory 域和信任關(guān)系”。在打開的控制臺中，右擊“Active Directory 域和信任關(guān)系”，接下來的操作和之前轉(zhuǎn)移架構(gòu)主機一樣，都是先更改目錄服務(wù)器，再轉(zhuǎn)移角色。這里就不復(fù)述了。

RID、PDC模擬和基礎(chǔ)架構(gòu)主機

相對來說，這三個角色要簡單很多，他們仨都是連在一塊兒的。來到我們最最熟悉的“Active Directory用戶和計算機”控制臺，首先還是右擊“Active Directory用戶和計算機”然后更改目錄服務(wù)器，然后右擊“contoso.com”選中“操作主機”（圖 5），接下來就可以完成這三個角色的遷移工作了。

圖5

最后我們在命令行中輸入“netdom query fsmo”可以發(fā)現(xiàn)所有的五個角色都跑到DC1上去了（圖 6）。

圖 6#p#

3 全局編錄服務(wù)器的遷移

因為Windows Server 2008中，添加額外的域控制器都會默認(rèn)把這臺域控制器設(shè)置為全局編錄服務(wù)器，所以我們不需要做額外的操作，只需要把DC的全局編錄服務(wù)器的角色給移除掉即可。

在DC上打開“Active Directory站點和服務(wù)”控制臺，來到“Default-First-Site-Name”這個節(jié)點（這里假設(shè)我們的域中沒有劃分過額外的站點，如果有劃分，請找到各自站點下對應(yīng)的哦服務(wù)器），找到DC下面的“NTDS Setting”，右擊選擇“屬性”。在“NTDS Setting屬性”界面中把“全局編錄”前面的勾給去掉。

同理，找到DC1下面的“NTDS Setting屬性”，確保“全局編錄”前面的勾是勾著的狀態(tài)（圖 7）。

圖 7

4 把老的DC給降級

接下來只要做一些收尾工作，在DC上的開始-運行，輸入“dcpromo”，然后根據(jù)提示完成降級的工作（圖 8）。

圖 8

把老的DC給降級之后，這臺DC就完成了歷史的使命。接下來的所有工作都由DC1來完成，盡管域控制器已經(jīng)換掉了，但我們希望這個過程對于用戶來說是透明的，所以有兩個辦法可以實現(xiàn)。方法1是直接把DC1的IP地址改成先前DC的IP地址，然后重啟DC1。方法2是在DC1的DNS上面更改SRV記錄。這兩個方法都可以，相對來說，第一個來得比較方便和快捷。

【51CTO獨家特稿 轉(zhuǎn)載請標(biāo)明出處與作者】

【編輯推薦】

1. Windows Server 2008 R2域控制器遷移超詳細筆記
2. 調(diào)查：到底是誰在進行Unix系統(tǒng)遷移
3. 企業(yè)遷移到Exchange 2010的十個理由
4. 將文件服務(wù)器從2003遷移至Windows Server 2008 R2
5. Server 03到Windows Server 2008域控制器遷移全攻略