我不知道搞技术是不是都有强迫症,最近就遇到一个让自己犯下无数强迫症并为其买单的案例,感觉自己死里复活了一遍。
废话不说,上主题,公司的域控最近总是遇到问题,早就想干掉另起东山,这个域控是基于server2012架构的,这个二愣子系统呢用过的都知道和win8一样是个夹生版本,既没有下面的2008稳定也没有上面的2016好用,我估计架构者恰好就遇到这个短命操作系统的出生年代,慌不择路选择了它。
外资企业上的是英文版本,毕竟不是第一母语,虽然不难但是真的要操作起来也是要看三遍,够烦,界面连个关机选项都没有,win8式的触摸屏开始菜单让人很是头疼,这些,我想就算没有强迫症的人也想要换了它。
于是乎开干:
开始部署副域,安装的2016,将域和DNS同步复制过去。
使用命令行Ntdsutil迁移五大FSMO角色到副域,将副域提拔为主控。
事情要是这么简单就好了,谁料公司所有办公文档共享NAS服务器都是关联MS AD,将AD验证指向新域控,设置是成功的,但是死活验证不了,不知道是域控的问题还是NAS的问题,但是一指回原来的旧域控就正常了,难道死活不让我迁移?
强迫症又一次犯了,信了你的邪,我重头部署了第三台域控作为副域,并将域控指向这台新域控,发现依然如故,这是死磕那台旧域控啊。
终于在域控上发现问题,后面架构的域控sysvol和netlogon共享都没有开启,这就是赤裸裸的问题,我惊奇的发现AD和DNS也打不开了,在主副域控都存在的情况下居然有这么邪门的事。反复重试,发现连上了,因为提前建好了副域,还好OU还在。百度后使用以下办法解决了:
打开注册表编辑器,找到如下键值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
然后在右边找到BurFlags,将其值改为D4(16进制)后退出
分别运行如下命令重启相关服务
Net stop netlogon
net start netlogon
Net stop ntfrs
net start ntfrs
sysvol和netlogon是重建了,但是很惨痛,所有GPO都不正常了,所有脚本也丢失殆尽,还好,之前做了一次备份,但是无法导入,找到脚本一条条坐回去也不难,只是费点时间。
最后发现连默认的域策略和默认的域控制器策略都不正常,详细信息显示sysvol不可用,喵了个咪,自定义组策略可以重建,默认的组策略你敢动吗?搞不好域直接崩溃。好的,哥承认当时怕了,耐心研究,根据显示的GUID找到硬盘上对应的组策略配置文件,和之前备份的GPO对照,发现缺少GPT文件,复制过去居然直接OK了,别问为啥出这问题,我也想知道GPT怎么就没了。搞定一系列AD和GPO问题,剩下的路就通畅多了。
现在有了三台域控,我决定将第二台设为主控,第三台设为副控,旧的那台注销掉,让它人间蒸发,有多远走多远。
于是,我将DHCP角色从原理旧的域控迁移到第二台新的域控上,倒也不难,用DHCP导入导出即可瞬间搞定,回收原来DHCP的授权并停用,启动新服务器授权并启用,迁移比较简单。
值得注意的是DNS服务器的指向要改为新的两台域控的DNS。
好了,开始测试迁移的效果,停掉原来作为主域控的服务器,让它下线,看所有工作是不是正常运行,经过无数调试,NAS的域验证也成功迁移到新的域控,DHCP,DNS,还有外网转发,跨域的信任都是成功运作的。
观察了一下没有什么问题,开始对旧的主控动刀,将它从域控中卸载注销。
首先,重新开启旧域控服务器,进入服务器管理器,将AD角色和工具卸载,中间会提示降级,降级完成就可以顺利卸载并自动重启,然后停掉服务器永久下线并删除虚拟机,我的虚拟磁盘空间总算是释放出来了。
然后登录目前的主域控,进入AD站点和服务将其删除,并登录AD将域控制器主机删除,最后清理DNS静态设置,以为完美收工,还有麻烦事。
按照网友的帖子如下操作:
nslookup set type=srv或set q=srv
然后_ldap._tcp.dc._msdcs.你的域名
可以看到两个服务器的SRV记录
发现卸载的域控信息还是存在,还是要去DNS配置下手工删除_ldap和_kerberos文件:
为了尽快验证主域的功能,将副域的权重降为0(主域控默认为100无需改动),将所有用户都登录到主域上来,按照坛友的帖子操作
改变域控制器的Priority和Weight不能直接在DNS中更改,因为一旦域控制器重新启动这两个参数就又变回原来的值了,其实不用重新启动只需把域控制器的Net logon服务重新启动一下就行了,域控制器会自动注册DNS区域,重新写入数据。在DC上的注册表的如下位置添加两条DWORD值(LdapSrvpriority和Ldapsrvweight)
HK_L_M\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
改完后发现DNS区域配置里面副域控有两条不同权重的_ldap和_kerberos记录,需要手工删除原来的默认的记录,保留现在修改后权重后的记录。
最后,开始优化一下域的组织架构,把很久没有登录的计算机剔除出AD,方便组策略管理:
查超过10周未登录的计算机 dsquery computer -inactive 10
查超过10周未登录的用户 dsquery user -inactive 10
在主域控上查询,在副域上对照删除,顺便验证下主从复制是否成功并检测同步速度,大概有个几秒的延迟,但还是同步的。
总结:
生命在于折腾,一切是以做好备份为前提,万一不成功可以回滚,多想办法测试验证,不折腾不舒服斯基。
全文完