AD域控迁移之P2V

当企业应用虚拟化平台之后,很多系统管理员希望能将原有的域控物理机通过ESX或SCVMM等平台直接在OS层面进行迁移,而这种方法从我们的“IT经验”来看,通常认为是一种很正常很普遍的方法,但事实是往往在迁移完成之后才发现突然组策略不能用了、DNS区域不见了、AD复制很多错误、甚至AD互相无法识别对方。

我们的客户当中很多遇到这种问题,部分客户直接进行操作之后,可能在开始一个月左右的时间,AD功能均正常,但在后面的时间里则发现AD复制及其功能均已出现严重的问题,整个AD系统濒临奔溃。而我今天所讨论的就是如何识别P2V迁移对AD的影响,以及我们推荐的AD迁移方法。

关于域控通过P2V的方式直接迁移到虚拟机的操作,我们不推荐使用这种方法,因为迁移之后,可能导致USN(更新序列号)回滚,从而在未来一段时间内影响域控的复制和功能:

1.什么是USN(更新序列号):

Windows Server 2003 域控制器将 USN 与调用 ID 结合使用来跟踪必须在 Active Directory 林中的复制伙伴之间复制的更新,源域控制器使用 USN 来确定请求更改的目标域控制器已经收到了哪些更改。目标域控制器使用 USN 来确定应从源域控制器请求哪些更改;

2.可能导致USN回滚的软件或方法:

a.启动某域控,而此域控的AD数据库文件是通过Ghost还原,或其他域控数据库文件复制得到;

b.通过之前保存的AD虚拟硬盘镜像启动域控,创建虚拟宿主环境的快照或替代版本,或直接从镜像还原虚拟机;

c.使用以前保存的操作系统映像;

3.正常AD内容回滚支持方法:

唯一支持用于回滚 Active Directory 内容或 Active Directory 域控制器状态的方法是:使用 Active Directory 感知备份和还原实用程序来还原系统状态备份,该备份来源于相同的操作系统安装,并来源于正在还原的相同物理或虚拟计算机;

4.USN号回滚影响:

如果发生了USN回滚,之前看到过该USN的目标域控制器将不会以入站方式复制对象和属性的修改内容,由于这些目标域控制器认为它们是最新的,同时Directory Service 事件日志中或监控和诊断工具不会报告任何复制错误,USN 回滚可能会影响任何分区中任何对象或属性的复制,最常见的副作用是:在回滚域控制器上创建的用户帐户和计算机帐户在一个或多个复制伙伴上不存在,或者,在回滚域控制器上更新的密码在复制伙伴上不存在;

5.USN号回滚检测:

可通过如下方式进行USN变化的查询,分别在DC(已进行P2V迁移的域控)和其复制对象上执行如下命令:repadmin /showutdvec “DCName”“partition-dn”,可查看DC本身存储到所有复制对象的USN值,在已完成复制的DC上,其他DC的USN值会保持不变,表示林内此AD的数据库更新状态,而对于发生USN回滚的DC,其本身标识的USN值和其复制对象查看到的USN值会产生差异,会导致其本身在林内复制出现问题;

6.USN号回滚恢复方法:

将此DC降级为成员服务器,确保林内没有DC的信息且此DC的任何操作主机角色已经转移,再将此DC进行升级并配置对应的站点,也可将回滚前的系统状态(不能为整个系统映像)进行还原,然后检查林内DC复制状态,此过程一定要确保DC进行降级之前已经完成系统状态备份;更详细的内容可参考KB:http://support.microsoft.com/?scid=kb;en-us;875495&x=1&y=17

而对于一般性AD迁移的需求,如AD硬件替换、AD升级、AD系统替换、平台迁移等,我们一般推荐使用域控升级降级的替换方法:

假设将某名称为DC3的域控迁移到虚拟化平台为例:

1.通过Ntbackup备份已有域控的系统状态,确认DC3上无其他数据与应用,如有其它应用和数据,建议提前做好备份,若有其他服务器需要指定到DC3的DNS服务器,建议暂时更改服务器的首选DNS指向;

2.若域控上有DHCP,则建议进行DHCP迁移,步骤可参考:http://gnaw0725.blogbus.com/logs/29078557.html,若有其他相关应用则建议计划好迁移方案;

3.在虚拟化平台中准备一台干净的操作系统,网络配置与计算机名配置保持与DC3相同,安装最新的补丁,配置时间等设置正确,但是暂时不接入网络;

4.在另一台域控上通过如下命令确认操作主机角色不在DC3上:netdom query fsmo,若有相关的操作主机角色在DC3上,则需要进行操作主机角色转移,此时可参考KB:http://support.microsoft.com/kb/324801/zh-cn

5.将DC3的GC取消:在另一台域控上打开AD站点和服务管理器,选择到DC3下Ntds Setting,右键属性,将全局编录勾选去掉,然后子域内部进行手动复制,等大概十分钟确保GC取消已生效,其他域控复制正常;

6.确认DC3不是本站点的桥头服务器,可在AD站点和服务管理器右键DC3属性查看,若为本站点桥头服务器,则建议进行更换后开始下面的操作;

7.在DC3上运行Dcpromo,将此域控正常降级,然后退出域,若无法正常降级则需要进行强制离线然后清理垃圾对象,可参考KB:http://support.microsoft.com/kb/216498/zh-cn,若出现此情况,则需谨慎操作;

8.正常降级后在AD中确认无DC3计算机对象,并手动复制域控;

9.将已准备好的系统接入网络,确保配置与DC3相同,然后通过Dcpromo提升为域控;

10.再将DC3设置为GC,打开AD站点和服务管理器,选择到DC3下Ntds Setting,右键属性,将全局编录勾选,然后子域内部进行手动复制,等大概十分钟确保GC已生效;

11.再次将域内域控手动复制,确认复制已恢复正常,并测试域控功能是否正常,是否有应用受影响;

时间: 2025-01-08 05:50:21

AD域控迁移之P2V的相关文章

Windows server 2008 R2 配置AD域控服务并为用户设置统一桌面

作为AD域服务器,使用静态IP地址,并且DNS地址与IP地址相同 如果先新建的DHCP服务器,在建完AD后对DHCP服务器添加授权,保证服务器与客户端能ping通 打开服务器管理器,添加角色,添加Active Directory域服务,直接安装 打开命令行,输入:"dcpromo" 进行AD域服务的安装 搭建第一台域控服务器,选择在新林中新建域 填写域名 设置级别 如果没有安装DNS服务器的话,在这一步安装,我已经安装好了,直接下一步 选择"是" 保持默认,下一步

Windows Server 2003 R2 域控迁移Windows Server 2012 R2

Windows Server 2003 R2 域控迁移Windows Server 2012 R2       Prepared By:       Jason Wang Date    :          November 5, 2016 Last updated by:   Jason Wang Last updated on:   November 5, 2016 Version:           1.0   Maintenance Log:   Date Modified By D

Windows Server 2012R2 AD域控 辅助域 只读域 子域

Windows Server 2012R2 域与活动目录介绍 2018年8月20日 14:11 域与活动目录 什么是域 域(Domain)是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(Trust Relation).信任关系是连接在域与域之间的桥梁.当一个域与其他域建立了信任关系后,两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理. 为什么需要域 如果资源分布在N台服务器上,那么用户需要资源时就要分别登陆

windows server 2008 R2 enterprise AD域控服务器安装

前言 对于将要安装成为DC的服务器来讲,其系统配置以及基本的磁盘规划在此就不在累述了,但是关键的网络连接属性是必须要注意的.可以通过打开本地连接的属性来进行配置其IP属性.作为服务器DC的IP地址一定要是静态的IP地址,虽然不一定需要配置默认网关,但是DNS服务器指向一定要配置正确,因为AD的工作是紧密依赖于DNS服务的.本实例中整个微软网络环境都是白手起家的,考虑让这第一台DC同时充当企业网络中的DNS服务器,故需要将其首选DNS服务器地址配置为本台计算机的IP地址. 由于WIN08R2默认防

windows 2008 r2 AD域控服务器部署

一:配置域控IP地址 在运行中输入dcprome.exe,配置AD域环境 操作系统兼容性提示 碰到"无法新建域,因为本地administrator账户密码不符合要求" 在命令行中使用 "net user administrator /passwordreq:yes" 在域服务器上配置DNS服务器选项,如果已经安装了DNS服务器,则不需要再选择DNS服务,安装过程中会自动写入相关DNS记录至DNS服务器内. 重启服务器

AD 域控基础知识

两个域建立信任关系后,就可以互访对方域内的资源,这种信任关系是双向传递的.父域和子域之间自动创建信任关系:在域林中,创建的第一个域树就是该域林中的根域.域控之间的复制模式:多主机复制模式(常用),单主机复制模式(借助第三方进行周转数据)域中计算机类型:成员服务器.独立服务器.域成员LDAP 轻量目录访问协议是一种用来访问AD数据库的目录服务协议.    DN:对象在AD数据库中的完整路径:CN=test,OU=test,DC=test,DC=com    RDN: 是在DN的完整路径,代表部分路

在win server 2012 R2 standard 起AD域控服务

我也是第一次拿win server 2012 R2 系统作为域控版本的,前前后后忙活了好久,现在终于整出一点思路来. 1.然后现在的域控没有主辅域控的概念,现在是额外域控.(在这里我遇到的问题的同步如何设置) 2.安装active directory 需要安装3个,分别是AD域服务.DHCP.DNS服务 3.其中DHCP服务可以设置成跟MAC地址绑定,或者是自动获取都行,DNS服务只要设置一个转发器就可以,转发器的域名服务器一般是设置成网关(设置成网关的时候是没有域名的所有在域名显示的时候是未知

客户端无法退出AD域控,无法修改计算机名字(服务器上的安全数据没有此工作站信任关系的计算机账户!)

今天早上有一台客户机,昨天使用人修改自己的密码后,发现无法登陆,提示:服务器上的安全数据没有此工作站信任关系的计算机账户!后排查发现,既无法退域,也无法修改DNS后缀,也无法修改计算机名字! 解决办法: 经过多次研究,已经搞定,网上已经有的办法我就不说了,大家或许会发现基本上没有用,我用的办法是:1.在域控上删除这台电脑的计算机名字,同时在dns服务器上删除他的DNS解析记录:2.重新获取IP,并且客户端重新注册DNS:ipconfig /registerdns 3.在AD上重置该用户的密码:4

用户组,AD域控简介

“自由”的工作组    工作组(WORK GROUP)就是将不同的电脑按功能分别列入不同的组中,以方便管理.比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱(恐怕网络邻居也会显示“下一页”吧).为了解决这一问题,WINDOWS 9X/NT/2000才引用了“工作组”这个概念,比如一所高校,会分为诸如数学系.中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在