實訓(xùn)3WindowsAD域遷移、只讀域01實訓(xùn)目的背景描述實訓(xùn)原理實訓(xùn)步驟賽點鏈接0203040506易錯分析01實訓(xùn)目的01實訓(xùn)目的實訓(xùn)目的通過本實訓(xùn)，讀者可以掌握如下技能：1．能理解域遷移和只讀域的概念和作用；2．能實現(xiàn)Windows域的遷移；3．能實現(xiàn)Windows只讀域的配置。02背景描述02背景描述背景描述達(dá)通集團由于業(yè)務(wù)規(guī)模的擴大，新購置了服務(wù)器和操作系統(tǒng)，但舊的服務(wù)器上還有域控制器在運行。由于舊服務(wù)器無法升級，需要先將域控服務(wù)移到新的服務(wù)器上，還需要有一個服務(wù)器用來緩存域控制器的認(rèn)證信息，用于分公司的登錄驗證，網(wǎng)絡(luò)管理員決定采用Windows域遷移等辦法來解決這一問題。02背景描述需求分析隨著公司員工的增多，信息中心的管理難度也隨之增大了，加上服務(wù)器操作系統(tǒng)的升級，在不影響正常工作的情況下，進(jìn)行遷移操作是可行的；使用只讀域控制器來緩存DC的認(rèn)證信息，確實是明智的選擇，所以管理員的決定是正確的。服務(wù)器角色分配見下表：BFDMADIP地址規(guī)劃如下表：BFDMADIP地址規(guī)劃如下表：計算機名角色I(xiàn)P地址（/24）所

需

設(shè)置DC.舊DC（2008系統(tǒng)）IP：8DNS：8遷移五大角色和DNS、降級后變?yōu)镽ODC控制器S1.新DC（2008系統(tǒng)）IP：01DNS：8升級變?yōu)樾碌腄C03實訓(xùn)原理03實訓(xùn)原理1．AD域環(huán)境中的五大主機角色

在WindowsServer多主機復(fù)制環(huán)境中，任何域控制器理論上都可以更改ActiveDirectory中的任何對象。但實際上并非如此，某些AD功能不允許在多臺DC上完成，否則可能會造成AD數(shù)據(jù)庫一致性錯誤，這些特殊的功能稱為“靈活單一主機操作”，常用FSMO來表示，擁有這些特殊功能執(zhí)行能力的主機被稱為FSMO角色主機。在WinAD域中，F(xiàn)SMO有五種角色：（1）架構(gòu)主機（SchemaMaster）（2）域命令主機（DomainNamingMaster）：域級別（在域中只有一臺DC擁有該角色）（3）PDC模擬器（PDCEmulator）（4）RID主機（RIDMaster）（5）基礎(chǔ)架構(gòu)主機（InfrastructureMaster）03實訓(xùn)原理①

架構(gòu)主機

控制活動目錄整個林中所有對象和屬性的定義，具有架構(gòu)主機角色的DC是可以更新目錄架構(gòu)的唯一DC。這些架構(gòu)更新會從架構(gòu)主機復(fù)制到目錄林中的所有其他域控制器中。架構(gòu)主機是基于目錄林的，整個目錄林中只有一個架構(gòu)主機。

②

域命令主機

向目錄林中添加新域，從目錄林中刪除現(xiàn)有的域，添加或刪除描述外部目錄的交叉引用對象。

③PDC模擬器

向后兼容低級客戶端和服務(wù)器，擔(dān)任NT系統(tǒng)中PDC角色。

時間同步服務(wù)源，作為本域權(quán)威時間服務(wù)器，為本域中其他DC以及客戶機提供時間同步服務(wù)，林中根域的PDC模擬器又為其他域PDC模擬器提供時間同步。

03實訓(xùn)原理

密碼最終驗證服務(wù)器，當(dāng)一用戶在本地DC登錄，而本地DC驗證本地用戶輸入密碼無效時，本地DC會查詢PDC模擬器，詢問密碼是否正確。

首選的組策略存放位置，組策略對象（GPO）由兩部分構(gòu)成：GPT和GPC，其中GPC存放在AD數(shù)據(jù)庫中，GPT默認(rèn)存放PDC模擬器在\\windows\sysvol\sysvol\目錄下，然后通過DFS復(fù)制到本域其他DC中。name域主機瀏覽器，提供通過網(wǎng)上鄰居查看域環(huán)境中所有主機的功能。

④RID主機

在Windows環(huán)境中，所有的安全主體都有SID，SID由域SID+序列號組合而成，后者稱為“相對ID”（RelativeID，RID），在Windows環(huán)境中，由于任何DC都可以創(chuàng)建安全主體，為保證整個域中每個DC所創(chuàng)建的安全主體對應(yīng)的SID在整個域范圍唯一性，設(shè)立該主機角色，負(fù)責(zé)向其他DC分配RID池（默認(rèn)一次性分配500個），所有非RID主機在創(chuàng)建安全實體時，都從分配給的RID池中分配RID，以保證SID不會發(fā)生沖突！當(dāng)非RID主機中分配的RID池使用到80%時，會繼續(xù)RID主機，申請分配下一個RID地址池。

03實訓(xùn)原理

⑤

基礎(chǔ)架構(gòu)主機

基礎(chǔ)結(jié)構(gòu)主機的作用是負(fù)責(zé)對跨域?qū)ο笠眠M(jìn)行更新，以確保所有域間操作對象的一致性。如果基礎(chǔ)架構(gòu)主機與GC在同一臺DC上，基礎(chǔ)架構(gòu)主機就不會更新到任何對象。所以在多域情況下，強烈建議不要將基礎(chǔ)架構(gòu)主機設(shè)為GC。2．只讀域控制器（Read-OnlyDomainController，RODC）RODC是WindowsServer2008之后引入的一活動目錄特性，與其他域控制器一樣包含AD數(shù)據(jù)庫，但RODC默認(rèn)不保存域用戶賬戶密碼，并且RODC中包含的數(shù)據(jù)庫也是只讀的；只能單向從其他可讀寫域控制器請求信息，但無法將更改信息同步到其他可寫域控制器。RODC一般多用于企業(yè)分支機構(gòu)（辦事處、分公司、駐外站點等），考慮到人員數(shù)量及帶寬運營成本等，只讀域控制器可簡化區(qū)域無技術(shù)人員維護工作及人員投入成本，便于管理，提高本地辦公效率，同時可改善當(dāng)?shù)鼐W(wǎng)絡(luò)環(huán)境的安全性。04實訓(xùn)步驟04實訓(xùn)步驟1．將S1加入域作為域成員步驟1：右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”，打開“系統(tǒng)屬性”對話框，如圖所示。

04實訓(xùn)步驟步驟2：在“系統(tǒng)屬性”對話框，單擊“更改”按鈕，打開“計算機名/域更改”對話框，如圖所示。04實訓(xùn)步驟步驟3：選中“域”單選按鈕，并填寫所要加入的域“”，單擊“確定”按鈕，如圖所示。

04實訓(xùn)步驟步驟4：客戶機S1將通過DNS服務(wù)器查詢是否有域名為“”的域控制器存在，解析成功后出現(xiàn)“Windows安全”對話框。需要在對話框中輸入域賬戶名稱和密碼進(jìn)行登錄，如圖所示。

04實訓(xùn)步驟

步驟5：域控制器核實用戶權(quán)限有效、客戶機的設(shè)置得到認(rèn)可后，顯示計算機S1加入到域，單擊“確定”按鈕，如圖所示。

步驟6：在“計算機名/域更改”對話框，必須重新啟動計算機才能應(yīng)用這些更改，單擊“確定”按鈕，如圖所示。04實訓(xùn)步驟

步驟7：返回“系統(tǒng)屬性”窗口后，看到計算機全名已經(jīng)更改為“S1.”，表明該計算機已經(jīng)成功加入ActiveDirectory域，單擊“關(guān)閉”按鈕，如圖所示。04實訓(xùn)步驟步驟8：單擊“立即重新啟動”按鈕，計算機再次啟動后即完成了加域操作，如圖所示。

04實訓(xùn)步驟2．在域控制器中查看成員計算機

在域控制器DC上，打開“ActiveDirectory用戶和計算機”管理工具，展開域后，雙擊“Computers”即可查看域成員計算機，說明S1加入到的域成功，如圖所示。04實訓(xùn)步驟3．添加AD活動目錄和升級域控制器步驟1：單擊“服務(wù)器管理器”，彈出“服務(wù)器管理器-儀表板”對話框，如圖所示。04實訓(xùn)步驟

步驟2：在“儀表板”界面，單擊“添加角色和功能”，進(jìn)入“添加角色和功能向?qū)А苯缑?，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟3：在“選擇安裝類型”中，選擇“基于角色或基于功能的安裝”單選按鈕，再單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟4：在“選擇目標(biāo)服務(wù)器”中，選擇“從服務(wù)器池中選擇服務(wù)器”→“S1.”，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟5：在“選擇服務(wù)器角色”中，選擇“ActiveDirectory域服務(wù)”和“DNS服務(wù)器”復(fù)選框，如圖所示。04實訓(xùn)步驟步驟6：在選擇“ActiveDirectory域服務(wù)”服務(wù)器角色時，會彈出關(guān)于域服務(wù)的“添加角色和功能向?qū)А?，單擊“添加功能”按鈕，如圖所示。04實訓(xùn)步驟

步驟7：在選擇“DNS服務(wù)器”角色時，會彈出關(guān)于DNS服務(wù)器的“添加角色和功能向?qū)А?，單擊“添加功能”按鈕，如圖所示。04實訓(xùn)步驟

步驟8：在“選擇服務(wù)器角色”對話框中，選中“ActiveDirectory域服務(wù)”和“DNS服務(wù)器”復(fù)選框，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟9：在“選擇功能”對話框中，單擊“下一步”按鈕，如所示。04實訓(xùn)步驟步驟10：在“ActiveDirectory域服務(wù)”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟11：在“確認(rèn)安裝所選內(nèi)容”對話框中，單擊“安裝”按鈕，如圖所示。04實訓(xùn)步驟步驟12：在“安裝進(jìn)度”對話框中，可以看到功能安裝進(jìn)度，如圖所示。04實訓(xùn)步驟

步驟13：安裝完畢后，在“安裝進(jìn)度”對話框中，選擇“將此服務(wù)器提升為域控制器”條目，如圖所示。04實訓(xùn)步驟

步驟14：在“部署配置”對話框中，選擇“將域控制器添加到現(xiàn)有域”單選按鈕，并在“域（O）：”處輸入“”，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟15：在“域控制器選項”對話框中，在此設(shè)置“目錄服務(wù)還原模式（DSRM）密碼”，連續(xù)輸入兩次，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟16：在“DNS選項”對話框中，使用默認(rèn)值，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟17：在“其他選項”對話框中，在“復(fù)制自”下拉列表框中選擇“DC.”，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟18：在“路徑”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟19：在“準(zhǔn)備選項”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟20：在“查看選項”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟21：在“先決條件檢查”對話框中，等先決條件檢查通過后，單擊“安裝”按鈕，如圖所示。04實訓(xùn)步驟步驟22：在“安裝”對話框中，可看到ActiveDirectory域服務(wù)正在安裝和升級，如圖所示。04實訓(xùn)步驟

步驟23：“ActiveDirectory域服務(wù)”安裝和升級完成后，單擊“關(guān)閉”按鈕，重新啟動計算機完成域控制器的安裝和升級，如圖所示。04實訓(xùn)步驟步驟24：在“ActiveDirectory管理中心”中，可看到S1服務(wù)器已成為域控制器，如圖所示。04實訓(xùn)步驟4．遷移五大角色利用ntdsutil.exe工具遷移五大操作主機角色。步驟1：在S1服務(wù)器上，使用命令“netdomqueryfsmo”進(jìn)行查詢，可看到操作主機的五大角色還在DC域控制器上，如圖所示。步驟2：在S1域控制器上，以管理員身份打開“Powershell”，并輸入“ntdsutil.exe”，按“Enter”鍵，如圖所示。04實訓(xùn)步驟

步驟3：在“ntdsutil.exe：”工具提示符下，輸入“Roles”調(diào)整操作主機角色，按“Enter”鍵，如圖所示。

步驟4：在“fsmomaintenance：”提示符下，輸入“connections”進(jìn)入連接模式，按“Enter”鍵，如圖所示。04實訓(xùn)步驟

步驟5：在“Serverconnections：”提示符下，輸入“connecttoserverS1”連接到可用S1服務(wù)器上，按“Enter”鍵，如圖所示。步驟6：在“Serverconnections：”提示符下，輸入“quit”命令，返回上層“fsmomaintenance：”提示符下，如圖所示。04實訓(xùn)步驟

步驟7：在“fsmomaintenance：”提示符下，輸入“transfernamingmaster”命令遷移命名主機角色，彈出“角色傳送確認(rèn)對話”對話框，單擊“是”按鈕，如圖所示。步驟8：顯示命名主機角色遷移后的結(jié)果，如圖所示。04實訓(xùn)步驟

步驟9：在“fsmomaintenance：”提示符下，輸入“transferinfrastructuremaster”命令遷移基礎(chǔ)架構(gòu)主機角色，彈出“角色傳送確認(rèn)對話”對話框，單擊“是”按鈕，如圖所示。04實訓(xùn)步驟步驟10：顯示基礎(chǔ)架構(gòu)主機角色遷移后的結(jié)果，如圖所示。04實訓(xùn)步驟

步驟11：在“fsmomaintenance：”提示符下，輸入“transferPDC”命令遷移PDC主機角色，彈出“角色傳送確認(rèn)對話”對話框，單擊“是”按鈕，如圖所示。04實訓(xùn)步驟步驟12：顯示PDC主機角色遷移后的結(jié)果，如圖所示。04實訓(xùn)步驟

步驟13：在“fsmomaintenance：”提示符下，輸入“transferRIDMaster”命令遷移RID主機角色，彈出“角色傳送確認(rèn)對話”對話框，單擊“是”按鈕，如圖所示。04實訓(xùn)步驟步驟14：顯示RID主機角色遷移后的結(jié)果，如圖所示。04實訓(xùn)步驟

步驟15：在“fsmomaintenance：”提示符下，輸入“transferschemamaster”命令遷移架構(gòu)主機角色，彈出“角色傳送確認(rèn)對話”對話框，單擊“是”按鈕，如圖所示。04實訓(xùn)步驟步驟16：顯示架構(gòu)主機角色遷移后的結(jié)果，如圖所示。04實訓(xùn)步驟

步驟17：在“cmd”提示符下輸入“netdomqueryfsmo”命令查看角色轉(zhuǎn)移情況，可看到操作主機五大角色遷移成功，如圖所示。04實訓(xùn)步驟5．降級DC域控級別

步驟1：在原域控服務(wù)器DC上，打開“開始”→“運行”對話框，輸入“dcpromo”，單擊“確定”按鈕，如圖所示。04實訓(xùn)步驟步驟2：在“ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒蛑校瑔螕簟跋乱徊健卑粹o，如圖所示。04實訓(xùn)步驟

步驟3：在“ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒蛑?，彈出“ActiveDirectory域控制器是全局編目服務(wù)器……”的提示信息，單擊“確定”按鈕，如圖所示。04實訓(xùn)步驟

步驟4：在“刪除域”對話框中，由于該原域控制器不是域中的最后一個域控制器，直接單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟5：彈出“正在檢查是否需要刪除DNS委派...”對話框，等待進(jìn)入下一步，如圖所示。04實訓(xùn)步驟

步驟6：在“Administrator密碼”對話框中，輸入兩遍目錄服務(wù)還原模式的密碼，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟7：在“摘要”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟8：打開“向?qū)д谂渲肁ctiveDirectory域服務(wù)”對話框，選擇“完成后重新啟動”復(fù)選框，如圖所示。04實訓(xùn)步驟

步驟9：在域控制器S1上，選擇“開始”→“管理工具”→“ActiveDirectory用戶和計算機”→“”→“DomainControllers”，可查看域控制器只有S1服務(wù)器，說明DC已經(jīng)不再是域控制器，如圖所示。04實訓(xùn)步驟

6．將域成員DC升級為RODC域控制器

步驟1：在原域控服務(wù)器DC上，設(shè)置首選DNS服務(wù)器的IP地址為域控制器S1的IP地址“01”，如圖所示。04實訓(xùn)步驟步驟2：在原域控服務(wù)器DC上，選擇“開始”→“運行”→“dcpromo”，單擊“確定”按鈕，如圖所示。04實訓(xùn)步驟步驟3：在“ActiveDirectory域服務(wù)安裝向?qū)А睂υ捒蛑校瑔螕簟跋乱徊健卑粹o，如圖所示。04實訓(xùn)步驟步驟4：在“操作系統(tǒng)兼容性”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟5：在“選擇某一部署配置”對話框中，選擇“現(xiàn)有林”→“向現(xiàn)有域添加域控制器(A)”選項，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟6：在“網(wǎng)絡(luò)憑據(jù)”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟7：在“選擇域”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟8：在“請選擇一個站點”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟9：在“其他域控制器選項”對話框中，選擇“只讀域控制器（RODC）(R)”復(fù)選框，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟10：在“用于RODC安裝和管理的委派”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟11：在“數(shù)據(jù)庫、日志文件和SYSVOL的位置”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟12：在“目錄服務(wù)還原模式的Administrator密碼”對話框中，輸入兩遍目錄服務(wù)還原模式的密碼，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟步驟13：在“摘要”對話框中，單擊“下一步”按鈕，如圖所示。04實訓(xùn)步驟

步驟14：打開“向?qū)д谂渲?/p>