Windows Server 2008 R2 Enterprise to Windows Server 2008 R2 Enterprise
參考資料1: http://technet.microsoft.com/zh-TW/library/dd379556(v=ws.10)
※ 備註:本文乃根據本次AD轉移比照官方步驟之簡化紀錄,目標為Windows Server 2008 R2 Enterprise 轉移至 Windows Server 2008 R2 Enterprise ,原因為來源伺服器CPU風扇損壞造成伺服器不穩定。
★ 來源伺服器:
AD DS 和 DNS 伺服器移轉:附錄 A - 移轉資料收集工作表的移轉資料收集工作表
1. 伺服器名稱:在命令提示字元中輸入下列命令,然後按 ENTER。
ipconfig /all
伺服器的主機名稱是完整網域名稱 (FQDN) 的第一個部分。
FQDN 是完整的電腦名稱,包括主機名稱和主要的 DNS 尾碼 (兩者會以句點 (.) 分隔)。
例如,名稱為「host」且主要 DNS 尾碼為「example.microsoft.com」的電腦其 FQDN 便是「host.example.microsoft.com」。
2. 操作主機角色:決定裝載於來源伺服器上的操作主機 (又稱為彈性單一主機操作或 FSMO) 角色。在命令提示字元中輸入下列命令,然後按 ENTER。
Netdom query /domain:<domain> fsmo
其中 <domain> 是網域的名稱。開始移轉之前,請先決定您要將哪些操作主機角色要指派給其他電腦,以及哪些角色將會移到目的地伺服器。
3. 伺服器功能:判斷來源伺服器為通用類別目錄伺服器,還是唯讀網域控制站 (RODC)。在命令提示字元中輸入下列兩個命令,並於每個命令輸入完成後按 ENTER:
ldifde -s %COMPUTERNAME% -d "" -p base -f DCcfg.txt
findstr /i "4.1920 GlobalCatalog" DCcfg.txt
這些命令會傳回正好一或兩行的文字:
supportedCapabilities: 1.2.840.113556.1.4.1920 會指出來源伺服器為 RODC。
isGlobalCatalogReady: TRUE 會指出來源伺服器為通用類別目錄伺服器。
isGlobalCatalogReady: FALSE 會指出來源伺服器並非通用類別目錄伺服器。
若來源伺服器是做為這兩種網域控制站類型中的任一種來運作,則目的地伺服器必須以相同方式運作。
4. 站台成員資格:判斷來源伺服器是在哪個站台。如需站台的相關資訊,請參閱 Active Directory 站台和服務 (http://go.microsoft.com/fwlink/?LinkId=130490)。在命令提示字元中輸入下列命令,然後按 ENTER。
nltest /dsgetsite
5. 組織單位:判斷來源伺服器是哪個組織單位 (OU) 的成員。如需 OU 的相關資訊,請參閱組織單位 (http://go.microsoft.com/fwlink/?LinkId=130493)。在命令提示字元中輸入下列命令,然後按 ENTER。
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State\Machine" | find /i "OU="
6. LDAP 原則:請在來源網站控制站上執行下列程序,以判斷是否已將輕量型目錄存取通訊協定 (LDAP) 查詢原則指派給該控制站。如果已指派,請確定已將相同的查詢原則指派給目的地網域控制站。
判斷網域控制站上的 LDAP 查詢原則:
開啟 [Active Directory 站台和服務]。
展開 [站台] 容器。
展開含有網域控制站的站台物件。
展開 [伺服器] 容器。
展開已針對該網域控制站命名的伺服器物件。
在 [NTDS 設定] 物件上按一下滑鼠右鍵,然後按一下 [內容]。
在 [一般] 索引標籤上,記下 [查詢原則] 方塊中的值。
若來源網域控制站上的 [查詢原則] 方塊是空的,則不需在目的地網域控制站上進行任何的 LDAP 查詢原則變更。
若來源網域控制站上的 [查詢原則] 方塊不是空的,請記下該值。出現目的地網域控制站的提示之後,請在目的地網域控制站上執行後續程序,以確保會將相同的查詢原則指派給它。
7. DNS 資訊:記錄 DNS 的來源 TCP/IP 設定。記錄 IP 資訊時,也必須記錄 DNS 用戶端 (介面) 設定。尋找每個介面上的 [DNS 伺服器] 資訊。使用下列命令,建立一個包含所有必要資訊的文字檔。
IPConfig /All > <filename>.txt
8. 以視覺方式驗證來源伺服器上的時間、日期及時區是否已同步化。若要檢視目前的設定,請在命令提示字元中輸入下列命令,並於每個命令輸入完畢後按 ENTER。
time /t
date /t
w32tm /tz
9. 群組原則:判定已套用於來源伺服器的群組原則物件 (GPO)。如需群組原則的相關資訊,請參閱 Windows Server 群組原則 (http://go.microsoft.com/fwlink/?LinkID=75191)。來源伺服器與目的地伺服器的原則設定應該完全相同。符合來源伺服器原則設定,或判定來源伺服器與目的地伺服器的原則設定為何不應相符。
如果您是在 Windows Server 2008 或 Windows Server 2008 R2 上執行命令,請在命令提示字元中輸入下列命令,然後按 ENTER。
gpresult /scope computer /r >GPO.txt
其中一個命令會列印一份文字文件,裡面包含已套用於來源伺服器的 GPO。
★ 目的伺服器:
0. 將新安裝好之Windows Server 2008 R2 Enterprise
新增AD角色
移轉 AD DS 伺服器與 DNS 伺服器:
在移轉程序的這個時間點,來源伺服器與目的地伺服器會採用不同的 IP 位址和不同的伺服器名稱以平行方式執行。請完成下列程序,以移轉 AD DS 伺服器與 DNS 伺服器。
1. 使用 Active Directory 網域服務安裝精靈 (Dcpromo.exe),讓目的地伺服器成為網域控制站。Dcpromo.exe 會使用您在 AD DS 和 DNS 伺服器移轉:附錄 A - 移轉資料收集工作表的移轉資料收集工作表中收集的大部份資訊。執行 Dcpromo:依序按一下 [開始] 及 [執行],輸入 dcpromo.exe 然後按一下 [確定]。請勿在 Windows Server 2008 或 Windows Server 2008 R2 的 Server Core 安裝上執行 Dcpromo。
使目的地伺服器成為網域控制站:
(1) 在 [歡迎使用 Active Directory 網域服務安裝精靈] 頁面上,選取 [使用進階模式安裝] 核取方塊,然後按 [下一步]。
(2) 在 [作業系統相容性] 頁面上,檢閱 Windows Server 2008 R2 網域控制站的預設安全性設定相關警告,然後按 [下一步]。
(3) 在 [選擇部署設定] 頁面上,按一下 [現有樹系] 和 [新增現有網域的網域控制站],然後按 [下一步]。
(4) 在 [網域認證] 頁面上,輸入來源伺服器的網域名稱。在 [請指定用來執行安裝的帳戶認證] 下,按一下 [我目前登入的認證],或按一下 [備用認證],然後按一下 [設定]。
(5) 在 [Windows 安全性] 對話方塊中,輸入可安裝其他網域控制站之帳戶的使用者名稱和密碼。若要安裝其他網域控制站,您必須是 Enterprise Administrators 群組或 Domain Administrators 群組的成員。完成提供認證之後,請按 [下一步]。
(6) 在 [選取網域] 頁面上,選取新網域控制站的網域。此網域應該與來源伺服器的網域相同。按 [下一步]。
(7) 在 [選取站台] 頁面上,選取您在移轉工作表的步驟 05 中指定的站台,然後按 [下一步]。
(8) 在 [其他網域控制站選項] 頁面上,適當地選取下列選項,然後按 [下一步]:
● DNS 伺服器:預設會選取這個選項,您的網域控制站可以當做 DNS 伺服器使用。檢閱您在移轉工作表的步驟 08 中收集的資訊,判斷您的來源伺服器是否也已經安裝 DNS 伺服器。如果來源伺服器已經安裝 DNS 伺服器,您必須將該角色移轉至此伺服器。因此,您應該選取此核取方塊:如果來源伺服器並未安裝 DNS 伺服器,則清除此核取方塊。
● 通用類別目錄:預設會選取此選項。它會新增通用類別目錄唯讀目錄分割至網域控制站,並啟用通用類別目錄搜尋功能。檢閱您在移轉工作表的步驟 04 中收集的資訊,判斷您的來源伺服器是否也曾當做通用類別目錄伺服器使用。如果您的來源伺服器曾是通用類別目錄,或是您想要將通用類別目錄功能新增至此伺服器,請勾選此選項的核取方塊;否則請清除此核取方塊。
● 唯讀網域控制站:預設不會選取此選項。此選項會讓其他網域控制站成為唯讀網域控制站 (RODC)。檢閱您在移轉工作表的步驟 04 中收集的資訊,判斷您的來源伺服器是否曾為 RODC。如果來源伺服器曾為 RODC,請選取此選項。RODC 無法做為可寫入網域控制站的替代項目使用。請務必先了解 RODC 的相關限制,再決定讓目的地伺服器成為 RODC。如需相關資訊,請參閱 AD DS:唯讀網域控制站 (http://go.microsoft.com/fwlink/?LinkID=130495)。
(9) 若您在 [歡迎] 頁面上選取 [使用進階模式安裝],就會顯示 [從媒體安裝] 頁面。如果您依照 AD DS 和 DNS 伺服器移轉:準備移轉中的描述建立安裝媒體,請提供該安裝媒體的位置,以便用來建立網域控制站及設定 AD DS。
(10) 若您在 Welcome 頁面上選取 [使用進階模式安裝],就會顯示 [來源網域控制站] 頁面。如果您的來源伺服器並非唯讀網域控制站 (RODC),而且您未依照 AD DS 和 DNS 伺服器移轉:準備移轉中的描述建立安裝媒體,這時請按一下 [使用這部特定網域控制站],將來源伺服器指定為複寫來源以建立新的網域控制站,然後再按 [下一步]。
(11) 在 [資料庫、記錄檔及 SYSVOL 的位置] 頁面上,輸入或瀏覽至該目的地伺服器上的資料庫檔案、目錄服務記錄檔以及 SYSVOL 檔案的磁碟區及資料夾位置,然後按 [下一步]。這些檔案的位置不需要對應至它們在來源伺服器上的位置。
(12) 在 [目錄服務還原模式的系統管理員密碼] 頁面上,輸入並確認目錄服務還原模式 (DSRM) 的密碼,然後按 [下一步]。此密碼的用途,是針對必須離線執行的工作在 DSRM 中啟動 AD DS。
(13) 在 [摘要] 頁面上檢閱您的選擇。必要時請按 [上一步] 變更任何選擇。
(14) 若要將您選取的設定存成回應檔案,以便用來自動執行後續的 Active Directory 操作,請按一下 [匯出設定]。輸入回應檔案的名稱,然後按一下 [儲存]。當您確定您的選擇正確時,請按 [下一步] 以安裝 AD DS。
(15) 在 [完成 Active Directory 網域服務安裝精靈] 頁面上,按一下 [完成]。
此時,目的地伺服器就是作用中的網域控制站。但是,操作主機角色仍存在於來源伺服器上。
★ 來源伺服器&目的伺服器:
2. 請使用下列步驟,根據工作表中的資訊來決定來源伺服器上的 DNS 設定。您可以將資訊儲存在可經由網路存取的位置中。如需相關資訊,請參閱「移轉規劃」一節中的「準備移轉存放檔案位置」,位於 AD DS 和 DNS 伺服器移轉:準備移轉。
(1) 執行下列命令,列舉來源伺服器上的目錄分割:
dnscmd /EnumDirectoryPartitions
(2) 在目的地伺服器上,請執行下列命令,以便僅登錄在來源網域控制站上完成登錄的自訂目錄磁碟分割。dnscmd /EnumDirectoryPartitions 的輸出會指出指定的磁碟分割是否已在來源網域控制站上登錄。
請勿登錄在來源網域控制站上已識別為「未登錄」的磁碟分割。
dnscmd /EnlistDirectoryPartition <FQDN of partition>
(3) 執行下列命令,停止來源伺服器上的 DNS 伺服器服務:
net stop "DNS Server"
(4) 在來源伺服器上執行 reg 命令,以匯出下列登錄機碼:
● 若要匯出 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters,請輸入下列命令,然後按 ENTER:
reg export HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters %Windir%\System32\DNS\Dns-Service.REG
(5) 在來源伺服器上,將 %windir%\System32\DNS 下的所有檔案和子資料夾複製到某個網路位置或 DNS_migrate_system32DNS 資料夾下的通用序列匯流排 (USB) 機碼。下列是範例複製命令:
xcopy %windir%\system32\dns <DNS_migrate_system32DNS> /s
(6) 視需要手動讀取下列路徑中的登錄,以複製來源伺服器之每個自訂資料庫目錄下的所有檔案:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\DatabaseDirectory
(7) 執行下列命令,在來源伺服器上啟動 DNS 伺服器服務:
net start "DNS Server"
此時,由於來源伺服器和目的地伺服器的 IP 位址不同,所以來源伺服器仍可繼續為用戶端電腦和其他 DNS 伺服器提供服務。
2.1 將目的地伺服器
新增DNS角色
3. 在目的地伺服器上,從來源伺服器匯入 DNS 設定:
(1) 執行下列命令,在目的地伺服器上停止 DNS 伺服器服務:
net stop "DNS Server"
(2) 將 Dns-Service.REG 和 Dns-Software.REG 檔案複製到目的地伺服器,然後執行這兩個檔案。
(3) 將 DNS_migrate_system32DNS 下的所有檔案複製到 %windir%\System32\DNS。
(4) 執行下列命令以啟動 DNS 伺服器服務:
net start "DNS Server"
此時,您額外有一個網域控制站和 DNS 伺服器在網路上運作。
4. 繼續進行之前,請確定目的地伺服器具有來源伺服器 DNS 記錄的最新複本。此資訊已透過一般 Active Directory 複寫程序予以同步化,但需要一些時間才能完成複寫作業。執行交集驗證指令碼 (DNSconvergeCheck.cmd),先確認來源伺服器和目的地伺服器已交集,再繼續進行移轉程序。
※ 備註:若來源伺服器是唯讀網域控制站 (RODC),則不需要執行交集驗證指令碼而且可略過這個步驟。
將移轉公用程式套件 (包含交集驗證指令碼 (http://go.microsoft.com/fwlink/?LinkId=135502) (英文)) 下載到網域之任何伺服器的資料夾中。執行此指令碼,確認來源與目的地伺服器已交集。此指令碼需要來源與目的地伺服器的名稱或位址,以及要進行驗證的網域名稱:
DNSConvergeCheck.cmd <source DNS server> <destination DNS server> <FQDN of domain>
交集驗證指令碼會在來源伺服器上建立資源記錄,並且在資源記錄複寫至目的地伺服器時警示使用者。執行之後,指令碼會將測試成功和已複寫資源記錄的資訊寫入主控台。
5. 檢閱有關移轉操作主機 (又稱為彈性單一主機操作或 FSMO) 角色的規劃。如果來源伺服器擁有任一種操作主機角色,當來源伺服器在後續移轉程序中被降級時,這些角色便會自動傳送至相同網域中適合的網域控制站。但是,這些角色無法在降級期間傳送至特定網域控制站。如果將操作主機角色傳送至目的地伺服器是很重要的,則您必須使用 Ntdsutil.exe 手動移轉角色。如需相關資訊,請參閱 Microsoft 知識庫文章 255504 (http://go.microsoft.com/fwlink/?LinkID=70776)。
※ 備註:因本次轉移AD為直接改變,故不將來源伺服器之AD的IP改成目的伺服器的IP,因此略過微軟官方之步驟6.~7.並加上9.。
8. 在目的地伺服器上執行驗證步驟,確保該伺服器可當做已安裝 AD DS 伺服器和 DNS 伺服器的新網域控制站使用。使用 AD DS 和 DNS 伺服器移轉:移轉:附錄 B - 移轉驗證工作表中的驗證工作表。
現在已完成移轉作業。此時,目的地伺服器是以裝載 AD DS 伺服器和 DNS 伺服器的網域控制站身分執行。目的地伺服器應該為網路提供先前由來源伺服器提供的所有服務。
日後,當您覺得不必再回復至先前的來源伺服器設定時,您可能會想將來源伺服器降級而使它成為成員伺服器。如果是,請參閱 AD DS 和 DNS 伺服器移轉:後續移轉工作。此外,您可以選擇讓來源伺服器做為輔助網域控制站來運作。
9. 將其他伺服器之網路連線DNS IP改為目的伺服器IP。
沒有留言:
張貼留言