我不知道搞技術是不是都有強迫症,最近就遇到一個讓自己犯下無數強迫症併爲其買單的案例,感覺自己死裏復活了一遍。
廢話不說,上主題,公司的域控最近總是遇到問題,早就想幹掉另起東山,這個域控是基於server2012架構的,這個二愣子系統呢用過的都知道和win8一樣是個夾生版本,既沒有下面的2008穩定也沒有上面的2016好用,我估計架構者恰好就遇到這個短命操作系統的出生年代,慌不擇路選擇了它。
外資企業上的是英文版本,畢竟不是第一母語,雖然不難但是真的要操作起來也是要看三遍,夠煩,界面連個關機選項都沒有,win8式的觸摸屏開始菜單讓人很是頭疼,這些,我想就算沒有強迫症的人也想要換了它。
於是乎開幹:
開始部署副域,安裝的2016,將域和DNS同步複製過去。
使用命令行Ntdsutil遷移五大FSMO角色到副域,將副域提拔爲主控。
事情要是這麼簡單就好了,誰料公司所有辦公文檔共享NAS服務器都是關聯MS AD,將AD驗證指向新域控,設置是成功的,但是死活驗證不了,不知道是域控的問題還是NAS的問題,但是一指回原來的舊域控就正常了,難道死活不讓我遷移?
強迫症又一次犯了,信了你的邪,我重頭部署了第三臺域控作爲副域,並將域控指向這臺新域控,發現依然如故,這是死磕那臺舊域控啊。
終於在域控上發現問題,後面架構的域控sysvol和netlogon共享都沒有開啓,這就是赤裸裸的問題,我驚奇的發現AD和DNS也打不開了,在主副域控都存在的情況下居然有這麼邪門的事。反覆重試,發現連上了,因爲提前建好了副域,還好OU還在。百度後使用以下辦法解決了:
打開註冊表編輯器,找到如下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
然後在右邊找到BurFlags,將其值改爲D4(16進制)後退出
分別運行如下命令重啓相關服務
Net stop netlogon
net start netlogon
Net stop ntfrs
net start ntfrs
sysvol和netlogon是重建了,但是很慘痛,所有GPO都不正常了,所有腳本也丟失殆盡,還好,之前做了一次備份,但是無法導入,找到腳本一條條坐回去也不難,只是費點時間。
最後發現連默認的域策略和默認的域控制器策略都不正常,詳細信息顯示sysvol不可用,喵了個咪,自定義組策略可以重建,默認的組策略你敢動嗎?搞不好域直接崩潰。好的,哥承認當時怕了,耐心研究,根據顯示的GUID找到硬盤上對應的組策略配置文件,和之前備份的GPO對照,發現缺少GPT文件,複製過去居然直接OK了,別問爲啥出這問題,我也想知道GPT怎麼就沒了。搞定一系列AD和GPO問題,剩下的路就通暢多了。
現在有了三臺域控,我決定將第二臺設爲主控,第三臺設爲副控,舊的那臺註銷掉,讓它人間蒸發,有多遠走多遠。
於是,我將DHCP角色從原理舊的域控遷移到第二臺新的域控上,倒也不難,用DHCP導入導出即可瞬間搞定,回收原來DHCP的授權並停用,啓動新服務器授權並啓用,遷移比較簡單。
值得注意的是DNS服務器的指向要改爲新的兩臺域控的DNS。
好了,開始測試遷移的效果,停掉原來作爲主域控的服務器,讓它下線,看所有工作是不是正常運行,經過無數調試,NAS的域驗證也成功遷移到新的域控,DHCP,DNS,還有外網轉發,跨域的信任都是成功運作的。
觀察了一下沒有什麼問題,開始對舊的主控動刀,將它從域控中卸載註銷。
首先,重新開啓舊域控服務器,進入服務器管理器,將AD角色和工具卸載,中間會提示降級,降級完成就可以順利卸載並自動重啓,然後停掉服務器永久下線並刪除虛擬機,我的虛擬磁盤空間總算是釋放出來了。
然後登錄目前的主域控,進入AD站點和服務將其刪除,並登錄AD將域控制器主機刪除,最後清理DNS靜態設置,以爲完美收工,還有麻煩事。
按照網友的帖子如下操作:
nslookup set type=srv或set q=srv
然後_ldap._tcp.dc._msdcs.你的域名
可以看到兩個服務器的SRV記錄
發現卸載的域控信息還是存在,還是要去DNS配置下手工刪除_ldap和_kerberos文件:
爲了儘快驗證主域的功能,將副域的權重降爲0(主域控默認爲100無需改動),將所有用戶都登錄到主域上來,按照壇友的帖子操作
改變域控制器的Priority和Weight不能直接在DNS中更改,因爲一旦域控制器重新啓動這兩個參數就又變回原來的值了,其實不用重新啓動只需把域控制器的Net logon服務重新啓動一下就行了,域控制器會自動註冊DNS區域,重新寫入數據。在DC上的註冊表的如下位置添加兩條DWORD值(LdapSrvpriority和Ldapsrvweight)
HK_L_M\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
改完後發現DNS區域配置裏面副域控有兩條不同權重的_ldap和_kerberos記錄,需要手工刪除原來的默認的記錄,保留現在修改後權重後的記錄。
最後,開始優化一下域的組織架構,把很久沒有登錄的計算機剔除出AD,方便組策略管理:
查超過10周未登錄的計算機 dsquery computer -inactive 10
查超過10周未登錄的用戶 dsquery user -inactive 10
在主域控上查詢,在副域上對照刪除,順便驗證下主從複製是否成功並檢測同步速度,大概有個幾秒的延遲,但還是同步的。
總結:
生命在於折騰,一切是以做好備份爲前提,萬一不成功可以回滾,多想辦法測試驗證,不折騰不舒服斯基。
全文完