Windows Server 2003图文教程(更新完成)

Windows Server 2003图文教程 A

本教程从Windows Server 2003的入门到精通,详细介绍了Windows Server 2003部署、迁移以及故障诊断等多方面的知识,图文并茂,相信一定能对您有所帮助。




如何把一台成员服务器提升为域控制器(一)



 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:  本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。
  首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统
  我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:
  机器名:Server
  IP:192.168.5.1
  子网掩码:255.255.255.0
  DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)
  由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:

       
  向下搬运右边的滚动条,找到“网络服务”,选中:
 
  默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
       
  然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
      
  安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”
  在这里直接点击“下一步”:



如何把一台成员服务器提升为域控制器(一)



  这里是一个兼容性的要求,Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。然后点击“下一步”:



      
  在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后点“下一步”:
      
  既然是第一台域控,那么当然也是选择“在新林中的域”:
      
  在这里我们要指定一个域名,我在这里指定的是demo.com,
      
  这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
      
  在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。
      
  这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:
      

  第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。


      
  “这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000Window 2003操作系统兼容的权限,因为在我做实验的整个环境里,并没有Windows 2000以前的操作系统存在
      
  这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。
      
  这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了:
      
  几分钟后,安装完成:
      
  点完成:
  点“立即重新启动”。

  然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速度明显变慢了,再看一下登陆界面:
      
  多出了一个“登陆到”的选择框:
  进入系统后,右键点击“我的电脑”选“属性”,点“计算机”
      
  怎么样?和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后的文章里讲述,这里就不再详谈了。
 

Windows Server 2003图文教程B

O  。好的,   有8个,那我占楼了




本教程从Windows Server 2003的入门到精通,详细介绍了Windows Server 2003部署、迁移以及故障诊断等多方面的知识,图文并茂,相信一定能对您有所帮助。


如何把一台成员服务器提升为域控制器(二)


在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下如何把下面的工作站加入到域。
  由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:

  先来新建一个用户,展开“demo.com”,在“Users”上击右键,点“新建”-“用户”:

  然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不过期”。


  这样点“下一步”,直到完成,就可以完成用户的创建。然后在“demo.com”上点击右键,先择“委派控制”:

  就会出现一个“委派控制向导”:

  点击“下一步”:

如何把一台成员服务器提升为域控制器(二)


  点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:

  然后点“确定”:

  再点“下一步”:

  在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加入到域”,然后点“下一步”:

  最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。

如何把一台成员服务器提升为域控制器(二)



  接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟,我们先来设置一下这台XP的网络:
  计算机名:TestXP
  IP:192.168.5.5
  子网掩码:255.255.225.0
  DNS服务器:192.168.5.1,

  设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。

  在这里把“隶属于”改成域,并输入:“demo.com”,并点确定,这是会出现如下画面:

  输入刚刚在域控上建的那个“swg”的帐号,点确定:

  出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。来看一下登陆画面有没有什么不一样:

  看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。进入系统后,在“我的电脑”上击右键,选“属性”,点“计算机名”:




  看到用黑框标出来的地方和没有加入到域的时候的区别的吧?
  当把下面的客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要的。后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧:
  当然网络设置永远是在第一步的:
  计算机名:Bserver
  IP:192.168.5.2
  子网掩码:255.255.255.0
  DNS:192.168.5.1
  既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和我的第一篇文章中所定的一样,这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”:
  出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:

  安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:

  在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:

  在这里一定要填入现有域的DNS全名,然后再点“下一步”,接下去的操作和安装第一台域控制器时是一样的,所以就不再写下去了,直到完成就可以了。至于在两台域控制器的域环境下,其中一台损坏,如何让另一台接替工作,我将在以后的文章一一详解。如果大家在前面的配置中碰到什么问题,欢迎大家给我发来E-Mail,.
 

Windows Server 2003图文教程C

活动目录之用户配置文件



  关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)(二))已经涉及过了,所以在这里开设用户的方法就不再重复了,本篇文章主要向大家介绍一下用户配置文件。
  首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:

  用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(demo.com)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况:
  本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。
  域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。
  通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。
当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:

  请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下:
  首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:

  然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:




  在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:

  然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。

  如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?

  如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开:

  画面很熟悉吧?
目前很多公司的IT Pro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程:
  首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改:
  ~
  点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改C:\Documents and Settings\swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是\\192.168.5.1\share\swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法:
  先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去访问\\192.168..5.1\share\swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输入:net use \\192.168.5.1 password /user:swg,显示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以\\192.168.5.1\share\swg,里进行修改了,

  然后再注销管理员帐号,用“swg”登陆,看看有没有成功:

  看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。
  最后再请大家注意两个问题:
  1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,为什么?大家不妨自己想一想!
  2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。
  FSMO五种角色的作用、查找及规划 D



  FSMO中文翻译成操作主控,在说明FSMO的作用以前,先给大家介绍两个概念:
  单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制,这个主要是用于以前的NT4域,我们知道,在NT4域的年代,域网络上区分PDC和BDC,所有的复制都是从PDC到BDC上进行的,因为NT4域用的是这种复制机构,所以要在网络上进行对域的修改就必须在PDC上进行,在BDC上进行是无效的。如果你的网络较小的话,那么这种机构的缺点不能完全的体现,但是如果是一个跨城区的网络,比如你的PDC在上海,而BDC在北京的话,那么你的网络修改就会显得非常的麻烦。
  多主复制:多主复制是相对于单主复制而言的,它是指所有的域控制器之间进行相互复制,主要是为了弥补单主复制的缺陷,微软从Windows 2000域开始,不再在网络上区分PDC和BDC,所有的域控制器处于一种等价的地位,在任意一台域控制器上的修改,都会被复制到其它的域控制器上。
  既然Windows 2000域中的域控制器都是等价的,那么这些域控制器的作用是什么呢?在Windows 2000域中的域控制器的作用不取决于它是网络中的第几台域控制器,而取决于FSMO五种角色在网络中的分布情况,现在开始进入正题,FSMO有五种角色,分成两大类:
  1、 森林级别(即一个森林只存在一台DC有这个角色):
  (1)、Schema Master中文翻译成:架构主控
  (2)、Domain Naming Master中文翻译成:域命名主控
  2、 域级别(即一个域里面只存一台DC有这个角色):
  (1)、PDC Emulator 中文翻译成DC仿真器
  (2)、RID Master 中文翻译成:RID主控
  (3)、Infrastructure Master 中文翻译成:基础架构主控
一、接下来就来说明一下这五种角色空间有什么作用:
  1、 Schema Maste
  用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对像和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Maste,如果大家部署过Excahnge的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Maste进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Maste上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以。
  2、 建议:在占有Schema Maste的域控制器上不需要高性能,因为我们不是经常对Schema进行操作的,除非是经常会对Schema进行扩展,不过这种情况非常的少,但我们必须保证可用性,否则在安装Exchnage或LCS之类的软件时会出错。
  3、 Domain Naming Master
  这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down机状态的话,你的添加和删除操作那上肯定会失败的。
  4、 建议:对占有Domain Naming Master的域控制器同样不需要高性能,我想没有一个网络管理员会经常在森林里添加或者删除域吧?当然高可用性是有必要的,否则就没有办法添加删除森里的域了。
  5、 PDC Emulator
  在前面已经提过了,Windows 2000域开始,不再区分PDC还是BDC,但实际上有些操作则必须要由PDC来完成,那么这些操作在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成,主要是以下操作:
  ⑴、处理密码验证要求;
  在默认情况下,Windows 2000域里的所有DC会每5分钟复制一次,但有一些情况是例外的,比如密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性,当然,实际上由于网络复制也是需要时间的,所以还是会存在一定的时间差,至于这个时间差是多少,则取决于你的网络规模和线路情况。
  ⑵、统一域内的时间;
  微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式***。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。
  ⑶、向域内的NT4 BDC提供复制数据源;
  对于一些新建的网络,不大会存在Windows 2000域里包含NT4的BDC的现象,但是对于一些从NT4升级而来的Windows 2000域却很可能存有这种情况,这种情况下要向NT4 BDC复制,就需要PDC Emulator。
  ⑷、统一修改组策略的模板;
  ⑸、对Winodws 2000以前的操作系统,如WIN98之类的计算机提供支持;
  对于Windows 2000之前的操作系统,它们会认为自己加入的是NT4域,所以当这些机器加入到Windows 2000域时,它们会尝试联系PDC,而实际上PDC已经不存在了,所以PDC Emulator就会成为它们的联系对象!
  建议:从上面的介绍里大家应该看出来了,PDC Emulator是FSMO五种角色里任务最重的,所以对于占用PDC Emulator的域控制器要保证高性能和高可用性。
4、RID Master
  在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。
  建议:对于占有RID Master的域控制器,其实也没有必要一定要求高性能,因为我们很少会经常性的利用批处理或脚本向活动目录添加大量的用户。这个请大家视实际情况而定了,当然高可用性是必不可少的,否则就没有办法添加用户了。
  5、 Infrastructure Master
  FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。
  建议:其实在活动目录森林里仅仅只有一个域或者森林里所有的域控制器都是GC(全局编录)的情况下,Infrastructure Master根本不起作用,所以一般情况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。
  二、在说完FSMO五种角色的作用以后,我们如何知道这五种角色在网络中的分布情况呢?
  对于新建的网络,这五种角色都集中在森林中的第一台域控制器上,但是如果是别人已经建好的网络,比如我们去接手一些网络的时候,很可能这五种角色已经被转移到其它的域控制器上了。这时我们可以通过三种方法来知道,分别是GUI介面,命令行及脚本:
  1、 GUI介面:
  GUI介面下不能一次性获得五种角色的分布,
  ⑴、Schema Maste
  点击“开始-运行”,输入:“regsvr32 schmmgmt”,回车:

  然后点击“确定”。
再点击“开始-运行”,输入:“MMC”,回车,进入控制台,.

  点击“文件-添加删除管理单元”

  出来下面的介面:

  再点击“添加”:

  选中上图所示中有“Active Directory架构”,点击“添加”,然后点“关闭”:

  然后点击“确定”,在控制台上选中“Active Directory架构”击“右键”,选择“操作主机”

  出现下图:

  就可以看到当前的架构主控了。
⑵、RID Master、Infrastructure Master、PDC Emulator
  点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”

  在域名上单击右键:

  在出来的菜单中选择“操作主机”:

  在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情况。

  ⑶、Domain Naming Master
  点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

  在“Active Directory域和信任关系”上击右键:

  选择“操作主机”:

  这就是“Domain Naming Master”所在的域控制器。

  以上就是用GUI来查看FSMO五种角色的分布情况,用GUI介面不但可以查看,还可以随意的改变这五种角色的分布情况,但缺点是比较麻烦,需要较多的操作项目,如果仅仅是查看就比较的浪费时间。

 2、 命令行工具:
  首先你要安装Support Tools,在安装光盘中的Support文件夹下的Tools子文件下。默认安装在系统盘的Program Files文件下。安装成功后,点击“开始-程序-Windows Support Tools-Command Prompt”:

  然后运行“netdom”命令,在这里,运行的是:“netdom query fsmo”:

  看到了吧,马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。
  3、 脚本。
  在这里,我给大家一段脚本:
   Set objRootDSE = GetObject("LDAP://rootDSE")
   Dim text
   ' Schema Master
   Set objSchema = GetObject("LDAP://" & objRootDSE.Get("schemaNamingContext"))
   strSchemaMaster = objSchema.Get("fSMORoleOwner")
   Set objNtds = GetObject("LDAP://" & strSchemaMaster)
   Set objComputer = GetObject(objNtds.Parent)
   text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLf
   Set objNtds = Nothing
   Set objComputer = Nothing
   ' Domain Naming Master
   Set objPartitions = GetObject("LDAP://CN=Partitions," & _
   objRootDSE.Get("configurationNamingContext"))
   strDomainNamingMaster = objPartitions.Get("fSMORoleOwner")
   Set objNtds = GetObject("LDAP://" & strDomainNamingMaster)
   Set objComputer = GetObject(objNtds.Parent)
   text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLf
   Set objNtds = Nothing
   Set objComputer = Nothing
   ' PDC Emulator
   Set objDomain = GetObject("LDAP://" & objRootDSE.Get("defaultNamingContext"))
   strPdcEmulator = objDomain.Get("fSMORoleOwner")
   Set objNtds = GetObject("LDAP://" & strPdcEmulator)
   Set objComputer = GetObject(objNtds.Parent)
   text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLf
   Set objNtds = Nothing
   Set objComputer = Nothing
   ' RID Master
   Set objRidManager = GetObject("LDAP://CN=RID Manager$,CN=System," & _
   objRootDSE.Get("defaultNamingContext"))
   strRidMaster = objRidManager.Get("fSMORoleOwner")
   Set objNtds = GetObject("LDAP://" & strRidMaster)
   Set objComputer = GetObject(objNtds.Parent)
   text=text&"Domain's RID Master FSMO: " & objComputer.Name & vbCrLf
   Set objNtds = Nothing
   Set objComputer = Nothing
   ' Infrastructure Master
   Set objInfrastructure = GetObject("LDAP://CN=Infrastructure," & _
   objRootDSE.Get("defaultNamingContext"))
   strInfrastructureMaster = objInfrastructure.Get("fSMORoleOwner")
   Set objNtds = GetObject("LDAP://" & strInfrastructureMaster)
   Set objComputer = GetObject(objNtds.Parent)
   text=text&"Domain's Infrastructure Master FSMO: " & objComputer.Name & vbCrLf
   WScript.Echo text

  大家把以上内容复制到记事本,保存为fsmo.vbs,然后到域里的计算机上运行,就可以得到如下画面:

  也看到了吧!!!
  三、最后来看一下FSMO的规划,在规划时,请大家按以下原则进行:
  1、占有Domain Naming Master角色的域控制器必须同时也是GC;
  2、不能把Infrastructure Master和GC放在同一台DC上;
  3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;
  4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;
  5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;
  6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;
活动目录之备份与恢复 E



  通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况:
  1、 整个网络中有且仅有一台域控制器;
  首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:

  点击我用箭头指出的“高级模式”:

  再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导:

  在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:

  在这里,需要提醒大家的是,如果你只是想备份活动目录的话,那么你只需要备份一下系统状态就可以了。但本人强烈建议:最好再做一个整个C盘的备份!以防止丢失一些其它的数据。在这里,我为了节省时间,就仅仅备份一下系统数据了:

  在上图的左下角,“备份媒体或文件名”里可以选择备份的路径,并且支持网络备份的。

选择好备份文件的存放路径后,就可以点击“开始备份”了:

  点击“开始备份”后,会出现如下画面:

  在上面的选项中,点击“计划”,系统会提示你“保存当前备份设置”,保存完成后,会出现下面的画面:

  在这里要输入正确的具有管理员权限的帐号和密码才可以,输入后点“确定”,就会出现一个“计划的作业选项”:

  点击上述画面中的“属性”:

  在这里,可以设置计划作业,以方便系统以后自动按照计划进行备份,就不用一次次的手动备份了。设置完成后,就回到了刚刚的画面:

  这次点击“高级”:

在这里,可选择一些如数据备份完成后验证其完整性之类的选项,这个大家可以根据需要进行选择,主要向大家简单介绍一下五个备份类型:
  • 正常:备份所有选择的文件夹和文件,不依赖于任何标记,但会清除标记
  • 副本:备份所有选择的文件夹和文件,不依赖于任何标记,但不会清除标记
  • 增量:只备份选择的且有标记的文件夹和文件,但是会清除标记;
  • 差异:只备份选择的且有标记的文件夹和文件,且不清除标记;
  • 每日:以天为单位,每天发生变化的文件都会被备份;
  这五种备份类型具体如何应用,如何配合使用,请大家结合自己的实际情况决定。配置好这些备份参数以后,就可以进行备份操作了:

  整个备份时间还是比较长的,大约要20分钟左右,当然具体还要根据你的系统中的数据量来决定性的,在我这个实验环境里10分钟不到就OK了。备份完成后,我们可以在备份目录下找到这个备份文件,其大小为:537M。

  有人可能会问,一个活动目录至于有这么多的数据吗?其实如果你刚刚注意备份时候显示的信息的话,那么你就会知道,其实这个备份包括了三样东西:BOOT信息、活动目录信息、及System32文件夹下的所有文件,最大的就是那个System32文件夹,所以537M就不足为奇了。OK,备份完成了。那么万一域控制器发生损坏后该如何恢复呢?接下来就看这个了,首先你得重新安装操作系统,在我这里由于用的是虚拟机,所以我只要把前面的更改删除就可以了。嘿嘿,用虚机就是有这种好处,什么时候物理机也可以这样就好了。然后在开机的时候按F8:

  在这里,我们要选择,第七项:“目录服务还原模式(只用于Windows域控制器)”,真不知道这句话是微软找谁来翻译的,我觉得括号里的文字应该翻译成:“只用于恢复Windows域控制器”才比较合适,这句话不知道害过多少人,我就见过不少网络管理员是先把服务器提升为域控制器,然后再执行恢复操作,其实大家难道忘记了,我们刚刚备份的文件里有活动目录信息的。
  在Windows的登陆窗口,如果你的服务器只是成员服务器,那么请输入本地管理员的密码,如果是域控制器,请输入还原密码。什么?还原密码是什么?看看我的第一篇文章吧。
  继续点击“开始-运行”,输入“Ntbackup”,并回车:

  这回可别再选择备份向导了,要用“还原向导(高级)”:

  点“下一步”,出来如下画面:

  在“文件”上击右键:

  点击“文件编录”:

  输入备份文件所在的位置,然后确定:

  然后点击“下一步”:

  在上述画面中确认无误的话,就可以点击“完成”了:

  在出来的警告窗口上点击“确定”:

这个画面和备份的画面差不多吧?几分种后就可以完成,完成后,系统会要求你重新启动计算机。重启后,你就会发现这台成员服务器已经变成域控制器了,并且和以前的一模一样。

  2、 多域控制器环境下的活动目录恢复
  可能看到这个标题有人就会问,怎么一上来就讲恢复啊?不用备份吗?是的,如果仅仅是活动目录信息的确是不用备份的。为什么?大家还记得我在前面的文章中提到过,从Windows 2000域开始,采用的是多宿主复制的机构,也就是所有的活动目录修改都会被复制到所有的域控制器上,所以是不需要备份的。只要看一下怎么恢复就可以了。
  先来说明一下实验环境:
  域名:demo.com
  第一台域控制器:
  计算机名:server.demo.com
  IP:192.168.5.1
  子网掩码:255.255.255.0
  DNS:192.168.5.1
  并且FSMO五种角色及GC全部在第一台域控上。
  第二台域控制器:
  计算机名:test20031.demo.com
  IP:192.168.5.2
  子网掩码:255.255.255.0
  DNS:192.168.5.2
  灾难情况:第一台域控制器由于硬件原因,导致无法启动。
  这时我们会发现下面的客户端虽然还可以利用本地缓存进行登陆,但已经无法再利用域资源了,我们的目的就是要让第二台额外域控制器来接替第一台的工作,也就是说把FSMO和GC全部转移到额外域控制器上来。这里要分成两步:
  一、首先,要把第一台域控制器的所有信息从活动目录里面删除:
  (1)、点击“开始-运行”,输入:“cmd”并回车,在命令提示符下输入:“ntdsutil”,然后回车,如果你不是很清楚“ntdsutil”的使用方法,可以用“?”然后回车的方法来调用使用说明:

  在这里我们要选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令:

  然后我们要显示一下Site中的域:

  结果找到两个,其中“1”是我建的子域,所以这里要先择“0”:

  通过上面的信息,我们可以看到两个服务器,其中SERVER是我们要删除的,因为它已经DOWN机了。所以这里要选择“0”:

  选中后,按“q”退出到上一层菜单:


  在上图中点击“是”:

  然后再按2个“q”退出。
(2)、使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象,
  ADSI EDIT在SUPPORT TOOLS工具包里,打开后,找到如下位置:

  击右键,然后选“删除”就可以了。
  (3)、在“管理工具”里,打开“AD站点和服务”,找到如下位置:

  把复制连接也删除了:

  以上有几个删除几个。
  二、把FSMO角色强行夺取过来。这里又要用到“Ntdsutil”了:
  我们先要连接到目标服务器上:

  连接成功后,按“q”退出到上层菜单,并且看一下帮助信息:

  请注意:这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”:

  这里是夺取PDC角色的图示,点“是”,其它角色的也是一样的操作,最后退出。
  大家了为安全起见,可以运行一下我上次给转给大家的脚本:

  由上图可见,所有的FSMO已经转移到TEST20031服务器上了。最后就是把GC转移过来:
  在“管理工具”里,打开“AD站点和服务”,找到如下位置:

  在“属性”上单击:

  在“全局编录”前打外勾,然后确定退出就可以了。
  最后到客户端去修改一下DNS服务器的位置,就可以发现客户端又可以正常登陆了。而且所有的域资源又可以正常使用。最后请大家注意以下几点:
  1、 在单域控环境中,请尽量的多备份,以保证备份有效性,最好几种备份类型结合使用。
  2、 在多域控环境中,如果用Seize,那么那台坏掉的服务器在重装系统以前请不要回到网络中来,哪怕是已经修好了,也一定要重新安装操作系统,为什么?因为FSMO角色具有唯一性,如果此时回到网络中,那就会出现FSMO角色重复的现象。
  3、 在多域控环境中,那台坏域控修复后,重装系统,请尽量不要再使用原来的计算机名,以防止产生一些莫名其妙的问题,就让那台服务器在网络里永远消失吧!
活动目录管理之五种常见错误操作   F



  通过前面的几篇文章,大家可能已经对活动目录已经有了一个大致的概念了,很多人可能已经迫不急待的开始在公司里部署活动目录了。在这里本人根据自己这些年管理活动目录的一点小小经验,再加上这些年在论坛上别人问我一些问题,稍微总结了一下,列举一下活动目录管理的常见五种错误操作,希望能够起到抛砖引玉的作用。OK,那现在我就开始班门弄斧了:
   一、安装活动目录但不安装DNS;
  一般犯这种错误的,都是在网上看到了有活动目录这么个东西,然后就开始自己动手的新手,如果是看过一些微软活动目录的官方教材或者是看过一些比较详细的活动目录的部署文章的朋友是不大会犯这种错误的。其实在安装活动目录的时候,如果你没有安装DNS的话,系统是会给出警告提示的,但一般新手都会直接忽略过去。曾经有人问过我,不安装DNS,而是用WINS,行不行?原来是NT4的域管理员经常会问这样的问题,反正我做试验的结果是,行!但是,你会发现登陆的时候非常慢。虽然它还是可以用Netbios名访问网上邻居中的计算机,但其实是无法使用域资源的,为什么?因为在域环境网络中,DNS起到的不仅仅是一个域名解析的作用,如果仅仅是这个作用的话,那么可以直接用IP来进行访问,这样DNS服务器岂不是没用了?更主要的是DNS服务器起到一个资源定位的作用,大家对于DNS的A记录应该有很深的了解,但不知道大家有没有注意过,其实DNS服务器上,不仅仅是A记录,还有很多其它的如SRV记录什么的,不信的话,打开你的DNS服务器管理控制台看一下。而这些资源你没办法用IP直接访问,也不是WINS服务器能够做到的。所以部署活动目录请一定要安装DNS,不过我曾经做过一个试验,结果证明活动目录和DNS可以不装在同一台服务器上,也就是说域控制器不一定要是DNS服务器,当然如果不是迫不得已的情况下,还是建议装在一起。
   二、随意的在域控制器上安装软件;
  由于域控制器在域构架网络中的作用是举足轻重的,所以一台域控制器的高可能性是必须的,但遗憾的是很多网络管理员并没有意识到这一点。本人曾经就见过一个酒店网络的域控制器上装了不下三十个杂七杂八的软件,甚至包括一些网络游戏之类的软件,如边锋、传奇等,还有一些MP3播放器,VCD播放器等,实在让我稿不清楚他的域控制器究竟在起什么作用?网络服务器还是个人PC?凡是长期使用Windows的朋友都知道,Windows会越用越慢,越用越不稳定,虽然造成这种现象Windows本身也有一定的责任,但不可否认的是使用者才是主体,其中又以随意的安装和删除软件为主要原因,不知道大家注意过没有,如果你安装了一个软件,然后使用一段时间后再删除,实际上注册表中还是会有大量的这个软件的信息,而且一般的软件制造商绝对不会告诉你他这个软件究竟在注册表的哪些项目里添加了内容,这些内容有些什么用处。所以你想手动去完全删除这些垃圾信息是很难办到的,当然理论上是可以的,但实际几乎是不可能的。而且一般的软件在出厂的时候都会在Windows系统上做一系列的测试,以保证该软件在Windows能正常运行,但它却不保证和其它非Windows软件之间的兼容性,所以软件装得越多,产生冲突的机率就越大。很多朋友看到这儿,肯定会想,手动是不可能的,但可以借助第三方软件啊,比如超级兔子、优化大师什么的,这些软件都有清理注册表和提速的功能。说实话,本人的确不是很清楚这些软件的工作原理是什么,但软件终究是死的,出了问题苦果只能还是由你自己来吞,如果这些软件是用在个人PC上,本人倒还真没有什么意见,因为个人PC大不了重装系统,但是域控制器绝对不是重装一下系统这么简单的,尤其是很多网络只有一台域控制器的情况,甚至有些人还以为域控制器重装后用原来的计算机名和域名就可以和原来一样,在这里我可以很明确的告诉大家,用同名的方法是肯定行不通的。不信大家可以回去试一下!请记住:预防永远大于急救!本人的域控制器上除了活动目录和DNS,只安装了一个SUS服务器,运行已经有一年半了,没有发生过任何软件问题。
  说到这儿,本人顺便想批判一下网上现在挺流行的Windows 2003优化和提速方法大全,我曾仔细看过这些文章,结果是让我大失所望的,无非就是关几个不必要的服务就算是提升性能了,修改几个注册表的键值,就算是关机启动提速了,起用几个个人PC用的功能就算是优化了。我还专门按照上面的内容做过一次测试,结果发现关了那些服务,结果只节约出了4M左右的内存而已,你说现在硬件价格直线下降,有必要去弄这些吗?还有是提高关机还开机速度的,谁的服务器有事没事的去开机和关机啊,就算重启也会让下面的用户抱怨不已,还开机关机呢?这不是自己丢自己的饭碗吗?至于启用声音和硬件加速之类的,更是让我笑掉大牙,那是台服务器啊,怎么?准备当个人PC用啊?凡是用这些文章上的内容来修改服务器的,我不知道你们的服务器在起什么样的作用,但我可以肯定二点:1、这个服务器软件决对不是你花钱买的;2、你的网络对这个服务器没有什么依赖性,也就是说这个服务器是可有可无的。微软在Windows服务器和客户端的定价上是存在很大的差价的,没有人愿意花服务器的钱,却在当工作站用。如果有这样的人,那么要么这个服务器软件是不花钱的,要么就是不是花自己的钱。而且你长期的对服务器进行这种优化的话,你会发现会适得其反,因为上面有些修改,要重启后才能看到效果,当你做了一系列的修改后重启,而你又发现系统有些不对劲的话,你根本就不知道究竟是哪个操作引起的。甚至有可能会导致你系统的崩溃。在这里,我再次重申本人的一个观点:对于服务器而言,稳定大于一切!

三、不正确的安装和删除域控制器
  一般做出上述标题行为的朋友呢,你说他是新手,他不承认,说他是老手,别人不承认。基本上他们的行为就是今天一时兴起,,增加一台额外域控制器,而且很可能就是拿自己的PC来提升的,明天一时高兴,再增加一个子域,哪天因为系统问题或者心情不爽的时候,也不降级,直接把那些子域域控制器啊,额外域控制器啊什么的统统格式化,然后重装系统。然后等到哪天高兴了又装,不高兴了又格式化,直接活动目录出错,无法添加为止。本人曾经就见过这样的网络管理员。我去查看了一下他的网络上仅有的一台域控制器。发现里面莫明其妙的有很多的域控制器,但是网络上却又没有这些域控制器,而且活动目录经常出错,我查一下日志,发现全是报错信息,都是一些无法复制,找不到相应的域控制器等,结果我花了将近一个多小时的时间,才用Ntdsutil把这些垃圾信息全部清除,问题也得已解决,那么为什么用Ntdsutil可以解决这样的问题,我还要把这种操作列为错误操作呢?因为我曾经碰到过,就算了Ntdsutil清除这些垃圾信息后,活动目录还是不正常的情况,具体情况是可以为客户端提供服务,但是再也无法添加额外域控制器的情况,每次到最后一步就提示“拒绝访问”,我查了么多资料都没有找到解决的方法,幸亏那个域刚刚开始建,没什么数据,最后也就重做了事。如果哪位朋友也碰到过这样的情况,并且有解决办法的话,请提供给我,在此表示感谢!
   四、FSMO角色的任意分配
  我在前面的文章中就已经提到过,FSMO的五种角色一般是不需要去管理的,正常情况下如果我们需要对FSMO的角色进行转移的话,那么无非就是两种情况:1、服务器的正常维护;2、原来的FSMO角色所在的域控制器由于硬件或其它的原因导致无法联机;但是目前很多网管碰到上述两种情况,会采取很极端的作法,就是只要原来的FSMO角色所在的域控制器一旦离线,就一定要把FSMO角色转移到其它的域控制器上,能传送就传送,不能传送就夺取。但是我在这儿要建议大家一个字:等!什么意思?除了PDC仿真器这个角色以外,其它角色所在的域控制器如果离线的话,我建议大家就是等,等着这台域控制器的重新归来,一般也就是几天的时间,因为FSMO的五种角色中,除了PDC仿真器是经常用到的以外,其它的角色是不会常用到的,我举个例子:以Domain Naming Master来说,它的主要作用是用来管理添加删除域,但一般的网络上谁会有事没事的增加删除域?所以如果Domain Naming Master角色所在的域控制器离线的话,而你又比较肯定在这台域控制器离线这段时间里不会增加或删除域的话,那么,完全没有必要把Domain Naming Master角色传送过来,至于夺取那就更不用说了,不到万不得已,是绝对不能用夺取的操作的,因为一旦夺取,那么原来的域控制器联机以后,FSMO角色的唯一性就不存在了,可以想象一下一个森林同时有两个Domain Naming Master会是什么现象?所以在夺取FSMO角色时,请大家明确一件事以后再操作,那就是:原来占有FSMO角色的域控制器将永远都不会再回到网络中来。
五、GHOST
  看到标题,很多人可能都会有意见了。是不是在想我是不是写文章写傻了?怎么连GHOST这么优秀的软件你也批判?我没有傻,我也没有弄错,我要批的就是GHOST。虽然我承认GHOST是一个非常优秀的软件,而且深受广大电脑使用者的爱戴,甚至GHOST曾经救我于水深火热之中,但我还是要批判它。很多人对GHOST的使用都是系统装好,然后所有配置OK以后,做一个备份,以防止将来系统崩溃。这种种法如果用在单机和对等网上到是无可厚非,但是在域环境下却不能这么用,为什么?我想部署过活动目录的人都知道,所有的域用户都是有一个帐号和密码的,但有没有人知道其实在域内的计算机和域控制器的通讯也是要用密码的?当然这个密码是随机的,而且是定期修改的,所以当你恢复一个很久以前的GHOST备份的时候,你会发现你的系统无法和域控制器联系,为什么,因为密码换过了,当然这种情况的解决办法还是很简单的,退出域,再重新加入就可以了。所以在域网络中对客户端使用GHOST我还是可以忍受的,因为一个企业在同一时间大面积的进行GHOST还原的情况我还没有见过。当然有一种情况是要避免的,就是当硬件配置一样,然后用GHOST进行盘对盘复制的,这样的话会有安全隐患,因为GHOST会导致SID重复。虽然可以借助一些工具来清除,但我还是觉得有点不放心,所以本人还是不推荐这种方法。那么再来说说GHOST用在域控制器上的情况,这种情况我是忍无可忍的,除非你每天做个GHOST备份,在活动目录上,有一个Tombstone lifetime,中文一般翻译成墓碑时间,这个时间系统默认是60天,如果一台域控制器离线的时间超过60天,那么这台域控制器就算重新接到网络中来,其它的域控制器也不会把信息复制给它,可以说,它已经脱离这个网络了。还有更恐怖的是,这个备份恢复回来的GHOST是有可能把它上面的过时的信息复制给其它的域控制器的,你可能会发些你很早以前删除的帐号居然又回来了,组策略还原了等莫明其妙的问题,而且这种复制对于企业而言,是有灾难性损坏的可能性的,要避免这种情况你要修改注册表来控制它的出站复制,不过能避免,又何必去修改呢?由此可见,用GHOST恢复以前的域控制器的备份,就好比这台域控制器从备份那天就开始离线一样,很多情况下,这种备份恢复的操作等于没有,甚至有时候还不如不备份,灾难恢复都要比它好。因此:GHOST能不用就别用!有时候GHOST=够死的。
自从我写了前六篇文章之后,陆续收到一些朋友的来信,不过大家好像问的都是一些和文章本身内容关系不大的问题,凡事只要我知道的,我都在E-Mail里给大家做了解答,只要限于本人的水平有限,所以有回答不对的地方请大家多多谅解!如果你有正确的方法或者比我的方法更好的话,也非常欢迎给我来信,在此本人先表示感谢!在这里本人挑选两个比较典型的问题专门再写两篇文章,在这里我先写一篇活动目录之迁移,那么现在开始切入正题。
  说到活动目录迁移就要用到迁移工具,但Windows本身却并没有自带个工具,我建议大家到微软的官方网站上去下载,因为可以下到最新版,安装盘里那个版本太低了。这个工具的全称叫Active Directory Migration Tool,我们以下简称ADMT,最新版本是3.0,这个新版本较上次的版本我想表扬一下微软,总算有中文版了,虽然这个工具的使用还是比较简单的,所以上面的英文也不是很难,但有中文版了也算是微软的用心之处嘛,不过表扬完了,顺便再批判一下,你说你一个迁移工具,怎么会和SQL勾搭上了呢?真不知道微软又想干什么?是技术需要吗?我没什么感觉。是商业需要吗?问比尔。反正我不管了,只要好用就行了。
  我先来介绍一下实验的环境:
  目标域:
  域名:demo.com
  域控制器:server
  操作系统:Windows Server 2003
  IP:192.168.5.1
  子网掩码:255.255.255.0
  DNS:192.168.5.1
  源域:
  域名:ms.com
  域控制器:win200ser(本来是打算用win2000ser的,一时大意,少打了一个“0”,将错就错了,反正也没有什么关系)
  操作系统:Windows 2000 Advanced Server
  IP:192.168.5.10
  子网掩码:255.255.255.0
  DNS:192.168.5.10
  实验目的:要把ms.com上的一个叫“Tom”的用户和一台名叫“Test2000”的计算机帐号迁移到Demo.com。

在执行正式的操作以前呢,我们先要来做三个准备工作:
  1、 把目标域,在这里也就是demo.com的功能级别提升为纯模式。
  点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”:

  在“demo.com”上击右键:

  选择上面选中的“提升域功能级别”:

  请注意,当前的域功能级别是Windows 2000 混合模式,然后开始提升操作:

  点击上图中的“提升按钮”,注意这种操作是不可逆的,提升完成后,就会出现如下画面:

  这就表示提升成功了,如果有多台域控制的话,请注意复制时间,以确定这一修改被复制到整个域的所有域控制器上。
  2、 对两个域做一个双向信任关系。
  应该说这是一个关于域的基本操作,但是很遗憾的是很多朋友都在这一步上栽了一个大跟斗,他们都来信告诉我无法建立信任关系,当他们给我看了下面的截图:

 以及听取了他们的整个操作过程以后,我基本上断定是因为他们没有正确配置DNS的原因,我想他们肯定是用本域的DNS服务器去解析信任域的域名,由于本地的DNS服务器里是没有对方域的纪录,所以才会造成无法解析,从而导致信任关系无法建议。在这里我向大家推荐一种方法,就是建议DNS的辅助区域来解决这个问题:

  先到demo.com域,点击“开始-设置-控制面板-管理工具-DNS”:

  展开“SERVER”,定位到“正向查找区域”,并在上面击“右键”:

  选择“新建区域”:

  点击“下一步”:

  在这里,我们要选择“辅助区域”,然后再点“下一步”:

  这里输入和信任域相同的名称,我这里输入的是“ms.com”,然后再点击“下一步”:

  这里要输入信任域DNS服务器的IP地址,试验环境中是“192.168.5.10”,继续“下一步”:

  最后点击“完成”。

  出现上图就表示辅助区域已经建立成功了,然后到源域上再操作一次。
说到这儿呢,我顺便还想再和大家提一下转发器的问题,有些朋友喜欢使用转发器来解决上面的问题,从理论上来讲,好像也没有什么讲不通的地方,但是用转发器的时候,很多人都会在上面出现一个严重的错误操作,以我的实验环境为例,这个错误操作就是在demo.com的DNS上设置转发器,转发到ms.com上面的DNS服务器;然后再到ms.com的DNS服务器上设置转发器,转发到demo.com上的DNS服务器。当然我知道大家这么设置的理由是什么,就是当demo.com上的机器需要访问ms.com上的资源的时候,而本地的DNS服务器无法解析,这时可以根据DNS服务器上设置的转发器,转到ms.com上的DNS服务器来进行解析,从而获得正确的IP地址;同理,当ms.com上的机器要访问demo.com上的资源时,也可以利用本地的DNS服务器上的转发器转到demo.com上的DNS服务器上来。以此来解决两个域之间的DNS解析问题。从表面上看,好像还是挺有道理的。但实际上你会为这样的操作付出代价的,什么原因?来分析一下,当一个客户端发出一个请求,是两台DNS服务器上有的纪录,那么是不会有什么问题的,因为当服务器本身能解析请求时,转发器是不起作用的。但是,当下面的客户机发出一个错误的请求,比如输错了一个字母,也就是说发出的请求在两台DNS服务器上都没有纪录的时候,那么这时就会根据转上器上的地址来进行转发,而你又是在两台DNS服务器上设置相互转发,那么这条请求就会从这台服务器到那台服务器,再从那中服务器到这台服务器•••••……,并且周而复始,这样就会进入一个死循环,会大大的加重你的服务器的负担,甚至引起死机的可能性也不是没有。所以DNS服务器之间是不能设置相互转发的,这一点请大家切记切记!
  OK,那我们继续,建立完DNS辅助区域以后,再始建立域的信任关系。
  先到目标域上,也就是demo.com上,点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

  在域名“demo.com”上击“右键”:

  选“属性”:

  点击“信任”:

  点击上面的“新建信任”:

  点“下一步”:


  输入对方域的DNS名称,这里是“ms.com”,再点“下一步”:

  可以选择信任方向,这里我们选“双向”:

  点“下一步”:

  再点“下一步”:

  这里要输入的是信任密码,不要以为是让你输入管理员密码哟,这可是两回事,设置好以后点“下一点”:


  确认一下,要是没有问题就点“下一步”:

  点“下一步”:

  选“否”,点击“下一步”:

  还是选“否”,以上两步请确认另一方被创建后选“是”,由于这里对方域还没有被创建所以这里选“否”,点击“下一步”:

  最后点击完成。
接下来就到源域上面也去进行同样的设置。不过Windows 2000域创建信任关系要比Windows 2003域来得简单,这里我就不写了。
  信任关系被创建后,接下来就是相互把对方域的管理员帐号添加到本域的Bulitin容器下的Administrators组。这个操作就不说了。
  前期的准备工作就到此为止了,开始进行正式的迁移操作了:
  首先当然是安装迁移工具,这里我安装的是ADMT3.0,安装过程很简单,只要狂点下一步就可以完成了。但要注意的是,ADMT工具一定要装在目标域上。安装完成后,我们可以点击“开始-设置-控制面板-管理工具-Active Directory迁移工具”:

  乍一看,就会吓一跳,什么都没有,怎么迁移?别急,在“Active Directory迁移工具”上击“右键”:

  都看到了吧,功能众多吧?这里本人仅仅向大家演示一上用户迁移和计算机迁移,所以我先点击“用户帐号迁移向导”:

  点“下一步”:

  这里要正确的填写“源域”和“目标域”,千万别倒过来哟。然后再点“下一步”:



  在这里选择“从域中选择用户”:

  点击“添加”:

  找到我们要迁移的用户,这里是“tom”,然后点“确定”:

  点击“下一步”:

  这里要选择的是目标OU,也是把用户迁移到哪,如果你不知道上图中所示的这种书写形式的话,可以点击“浏览”进行选择OU,选择完成后,系统会自动转换。再点“下一步”:

这里需要提醒一下大家,要选择“生成复杂密码”,暂时还不能选择“迁移密码”,而且大家还要注意密码文件的存储位置,以迁移完成后去寻找那个密码。如果选择了“迁移密码”,那么会出现下面的出错提示:
  要迁移密码呢,在ADMT的帮助信息里有详细的介绍,这里我就不重复了。我们还是暂时不迁移密码,点“下一步”:

  这里可以设置被迁移帐号迁移成功后,是禁用还是启用,几天后过期等信息,我这里选择和源相同,注意的是建议大家把“将用户SID迁移至目标域”前的勾打上。这样就可以把源帐号的SID复制到与新帐号相关联的历史标记中,同时还会触发SID审核,可能会引起源域的域控制器的重启,这时请等待重启完成:

  输入源域的管理员帐号和密码,点“下一步”:

  如果用到了“漫游用户配置文件”的话,可以选上第一项,其它的可以保持默认,然后点击“下一步”:

  这里可以把一些用户属性进行排除,被排除的将不会进行迁移,建议大家还是保存默认的好。除非有些属性到了目标域后会引起问题。点“下一步”:

  大家可以根据自己的需要进行对上图的选择,就是当目标域中存在同名帐号之类的冲突现象时,所采取的动作,是迁移还是不迁移,或者怎么迁移的情况。选定后,请点击“下一步”:



  请大家确认上面的信息,如果没有问题,点击“完成”:

  上面是一个进度表和一个简单的日志记录,上图表示迁移成功!然后再到目标域的“Active Directory用户和计算机”里去看一下有没有“tom”这个用户:

  看到了吧,已经成功迁移过来了。
  再来看一个如何迁移计算机帐号的,上面我们选择的是“用户帐号迁移向导”,现在我们要选择的是“计算机迁移向导”:

  点“下一步”,下面的图和上例中差不多,我就只截出和上面不一样的图:
  第六步:

  这里我全部选上了:

  这里我选择的是“添加”:

  迁移成功后,计算机多少时间后重启在上图中指定,剩下的和上面的迁移用户基本一至,完成后可以到目标域的“Active Directory用户和计算机”里去看一下有没有“test2000”这台计算机:

  也迁移过来了吧?
  现在你可以到客户端上去把test2000这台计算机重新加入到demo.com,然后再用“tom”这个用户登陆,你会发现设置和以前一样保持不变的。
活动目录之域重命名  所有完成





  关于域的重命名也是很多网络管理人员近几年遇到的比较多的一个现象,往往是由于公司内部或外部的一些原因而导致公司的名称发生变化,那么公司的域名也要发生相应的变化,但是由于域构架的特殊性,所以对域进行重命名可不像对修改计算机的主机名这么简单,那么接下来我将为大家详细说一下域的重命名的操作流程。
  先给大家罗列一下实验环境:
  原域域名:demo.com
  域控制器:server.demo.com
  IP:192.168.5.1
  子网掩码:255.255.255.0
  DNS:192.168.5.1
  其中还有一台域外额控制器,名为:test20031.demo.com,一个子域:test.demo.com
  实验目的:把demo.com重命名为try.com
  一、前提条件:
  1、 所有的域控制器必须全部是Windows Server 2003,这是一个必备条件,因为Windows 2000域并不支持域重命名。如果你是Windows 2000域的话,那么你只能用ADMT进行活动目录迁移,具体操作请参见我的上一篇文章。
  2、 由于域的重命名操作并不是在域控制器上完成的,(这一点出乎很多人的意料之外吧),所以除了域控制器外,还要有一台装着Windows Server 2003的成员服务器,而且必须已经加入到该域。本实验环境中这台计算机的配置如下:
  计算机名:ren2003.demo.com
  IP:192.168.5.6
  子网掩码:255.255.255.0
  DNS:192.168.5.1
  二、准备工作:
  1、 在进行域的重命名操作以前,请一定要用Ntbackup工具备份现在所有域控制器的系统状态数据数据,以防万一。我在前面的文章——“活动目录之备份与恢复”上已经详细讲过了,这里就不重复了。

2、 要进行域的重命名操作,所有的域控制器一定要是Windows Server 2003,并且提升域和森林的功能级别到Windows 2003纯模式,因为默认是Windows 2000混合模式;关于提升域功能级别我已要在“活动目录之迁移”是提到了,这里我只是提一下提升森林的功能级别:
  点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

  在“Active Directory域和信任关系”上击右键:

  选择“提升林功能级别”:

  点击“提升”就可以了,只是这个操作也是不可逆的。之前一定要保证域级别在Windows Server 2003,包括子域的域级别哟!
  提升完成后,大家要注意复制的时间,最好等一会,至于具体要等多久就要取决于你的网络规模大小了。
  3、新建一个新的DNS区域,域名要和新建域的域名一致;
  点击“开始-设置-控制面板-管理工具-DNS”:

  在“正向查找区域”上击右键:

  选择“新建区域”:

  点“下一步”:
选“主要区域”,其它保持默认,点“下一步”:

  选“至Active Directory林demo.com中的所有域控制器”,然后点“下一步”:

  这里要输入新域的域名,实验中是“try.com”,继续“下一步”:

  点“下一步”:

  确认没有问题后点“完成”:

  建立完成。
三、重命名操作;
  1、在成员服务器上获得重命名工具。
  在默认情况下,重命名工具并不会被安装,所以我们要到安装光盘中去获得这个工具,在x:\valueadd\msft\mgmt\domren,(X表示安装盘所在的光驱盘符):

  两个工具的名称分别是rendom.exe和gpfixup.exe,其中rendom是我们用以的主要工具,gpfixup是用来修复组策略的。还有一篇readme文档,英文不错的朋友可以看一下。把这两个工具拷到硬盘上,实验中,我拷到了C盘。
  2、点击“开始-运行”,输入:cmd,回车,在出来的命令提示符下把当前目录切换到C盘根目录下:

  输入:rendom /list,回车:

  运行成功后在该工具的文件夹下会产生一个名为domainlist.xml文件,实验中就是C盘根目录下;

  我们打开一下这个文件看一下,里面是些什么内容:

  3、 用记事本修改domainlist.xml文件,把里面的demo.com,全部换成try.com

  修改完成后保存退出:
4、 再点击“开始-运行”,输入“cmd”回车,并切换到C盘根目录下,然后再输入:rendom /upload,然后回车:

  执行成功后,会产生一个dclist.xml文件,该文件相当于一个日志文件,会纪录重命名过程中的状态,这是这个文件的内容:

  并且此时森林被冻结,也就是说这个时候,域已经不可用了;
  5、继续在命名提示符下运行rendom /prepare,此步骤主要是校验DC是否全部准备完成;

  以上图表示准备完成。
  6、如果上述步骤中出现失误,比如发现新域名书写错误等,可以运行rendom /end,可以取消前面第2步开始的操作,并同时解除森林的冻结状态;
  7、如果没有问题的话,那么此时在命令提示符下执行:rendom /execute。

  执行成功后,会发现所有的域控制器全部自动重启。重启后,登陆界面会发生变化:

  看到了吧?原来的“demo”不见了,换成了“try”。
8、重新命名域控制器的DNS后缀。
  进入系统后,你会发现,虽然域名已经换了,但域控制器的DNS名却并没有发生改变,如下图:

  所以我们要点击上面的“更改”按钮:

  点“确定”:

  点“其它”:

  把上面的“demo.com”换成“try.com”,然后再点“确定”,系统会要求重启,重启后的域控制器的DNS名字就会换掉了:

  相同的操作在所有的域控制器上做一次,包括子域上的域控制器。
  9、客户端的操作。
  客户端上不用做其它的额外操作,只要把客户端重启。重启会可以看到如下界面:

  奇怪,怎么还是“demo”?为什么不是“try”?别急,再重启一下:

  “try”出来了吧?
10、清除AD中的老域名。
  转到成员服务器,点击“开始-运行”,输入cmd,回车,并切换到C盘根目录下,然后再输入:rendom /clean,回车:

  出现上图表示清除成功!
  11、组策略的修复。
  截止到第10步,其实整个域的重命名操作算是完成了,但是我们还有一个后续工作要做,就是修复组策略,大家可以此时去运行一下组策略,我想大部份的网络管理员都会得到如下画面:

  发现组策略根本不可用,OK,那我们来修复它,还记得文章刚刚开始的时候,我提到的两个工具吗?其中一个是用到现在的rendom,另一个就是用来修复组策略的gpfixup。现在转到成员服务器上,点击“开始-运行”,输入cmd,回车,并切换到C盘根目录下,然后再输入:gpfixup /olddns:demo.com /newdns:try.com /oldnb:demo /newnb:try /dc:try.com,回车:

  运行成功后,再到域控上去执行一下组策略:

  看到了吧,组策略已经可以成功执行了。

  到此为止,整个操作全部完成了。
  四、注意事项。
  1、如果森林中有Exchange 2000或2003请不要进行域的重命名,因为一旦进行重命名操作,Exchang将会停止工作。这一点请大家一定要注意!
  2、森林在短时间内停止工作,具体时间取决于域控制器的多少和你的网络规模。
  3、域的重命名操作要么所有的域控制器完成重命名,要么就从森林里彻底的消失。
  4、在域的重命名操作中,不能添加或删除域控制器,也不能进行新的域信任关系的建立。
  好了,如果文章中有什么错误或者大家看不明白的地方,欢迎大家给我来E-Mail,地址是:[email protected]