none
windows 2003 AD 移轉到windows 2008 RRS feed

  • 問題

  • 想請問各位大大GC移轉最安全的做法
    我目前有兩台 windows 2003 R2 GC DC
    但沒辦法升級只能重裝因為想換到2008 64BIT
    想先裝一台2008再加入2003成為複寫控制站,然後再移轉角色
    所以想請各位大大給建議

    2010年1月3日 下午 04:41

解答

  • 你的網域環境是否為兩台DC,
    一台是主要的DC 具有FSMO 及GC,
    另一台為第二台DC 具有GC,
    而且沒有其他可安裝Server 2008 x64 的機器。

    如果是上述的狀況,
    我會建議先從第二台DC 著手,
    將第二台DC 按照正常程序dcpromo 降級並退出網域,
    觀察網域運作正常後,
    將該台主機安裝Server 2008 x64 再加入網域並升級成為DC。

    接著用正常程序移轉FSMO及GC角色至這台DC,
    自然而然原本的第一台DC 就變成次要的DC,
    再用第二段提的方法降級退出網域再重灌。

    要比較注意的是,第二段末提到的Server 2008 x64 要升級成為DC 前,
    請務必記得使用Adprep 擴充AD Schema。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:16
    2010年1月5日 上午 05:51
    版主
  • 你說的群組原則錯誤點是指什麼呢?
    用指令「ipconfig /flushdns」清空Client 的DNS 快取看看,
    還有檢查Client 端的DNS 設定是否已經指向移轉後的主機。

    另外,你所描述的狀況,我覺得可能有些觀念上的錯誤:
    「一開始先用一台WIN2008安裝AD服務,系統要求升級原始AD,透過WIN2008光碟提供的32BIT檔案升級WIN32AD
    完成後再執行,過程中只有出現DNS權限否,變成其他網域控制站後查看AD站台發現新加入的WIN2008是GC也就變成我網域有兩台GC一台DC
    GC是屬於Domain Controller(DC)可執行的角色,
    所以這邊應該是講網域內有兩台DC,而這兩台都具有GC 角色會比較正確。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:17
    2010年1月8日 上午 02:08
    版主
  • AskaSu 大大
    問個題外話
    其實剛好這月我將DNS移回自管
    DMZ架了兩台2003DNS 一台為主一台為次,各設一組固定IP
    ISP設為DNS模式,也設了兩組IP對應兩台主機
    現在也申請了反解IP
    我是用中華電信的,他有提供次要名稱服務設定,有需要申請嗎
    前面都已設兩組了,還是說可以將次要DNS IP申請次要服務
    感恩

    內部的DNS是供內部查詢使用, 若你有向中華電信或其它業者申請Domain,你要向他們申請DNS指向, 若你有Exchange server, 也要申請反解呦!!
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:17
    2010年1月8日 上午 10:13
  • AskaSu 大大
    問個題外話
    其實剛好這月我將DNS移回自管
    DMZ架了兩台2003DNS 一台為主一台為次,各設一組固定IP
    ISP設為DNS模式,也設了兩組IP對應兩台主機
    現在也申請了反解IP
    我是用中華電信的,他有提供次要名稱服務設定,有需要申請嗎
    前面都已設兩組了,還是說可以將次要DNS IP申請次要服務
    感恩

    如果你的DNS 有分內外部架構,
    也就是內部為AD 網域,外部DNS 為服務Internet 用
    而且所屬ISP為中華電信,
    其實外部DNS 只要建立一台主機,
    次要的DNS 可以向中華電信申請次名稱服務系統,
    由中華電信幫忙當你的第二台DNS 主機。

    不過申請後,務必參考該網站的FAQ 設定區域轉送,
    還有在域名商的管理頁面指定第二台為中華電信的主機,
    否則會沒有效果。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:17
    2010年1月8日 下午 03:49
    版主
  • 我用自己公司環境比較接近的範例來說明好了。 :)

    網域名稱 abc.com.tw
    PC-A. 公司內部主DC 192.168.1.1
    PC-B. 公司外部主DNS位於DMZ區 192.168.100.1  <-> 123.123.123.123 做IP Mapping
    我之前說的內外部DNS架構,
    其實指的兩台是不同的實體主機喔,
    一般比較保全的作法,也不會讓DC 可以被外部查詢。

    主DC 的DNS 設定如小欣所述,
    將DNS 用127.0.0.1 指定為自己,
    但公司內部用戶端要上網一定會跟DC 查詢,
    所以你務必在DC 上設定DNS 轉寄站
    這樣DC 查不到的,就是轉到你設定的轉寄站上查。

    外部DNS 則是參考那篇FAQ 說明,
    設定允許的IP範圍做轉送。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:18
    2010年1月9日 下午 03:27
    版主

所有回覆

  • 你的方向是正確的,
    不過不清楚你需要大家給的建議是什麼? :)

    你的重裝是指這兩台找一台重新安裝成Server 2008嗎?
    還是有一台新機器會加入網域並升級成DC?
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2010年1月4日 上午 02:25
    版主
  • 其實是目前是用windows 2003 R2 一台GC一台DC 都是 32BIT
    將系統更換成windows 200864BIT
    所以想問問標準作業方式
    2003AD要下CMD 指令包含哪些
    移轉後USER端XP系統是否會受到哪些影響
    DNSㄋ
    所以想了解大家所知道的
    感恩
    2010年1月4日 下午 01:13
  • 你的網域環境是否為兩台DC,
    一台是主要的DC 具有FSMO 及GC,
    另一台為第二台DC 具有GC,
    而且沒有其他可安裝Server 2008 x64 的機器。

    如果是上述的狀況,
    我會建議先從第二台DC 著手,
    將第二台DC 按照正常程序dcpromo 降級並退出網域,
    觀察網域運作正常後,
    將該台主機安裝Server 2008 x64 再加入網域並升級成為DC。

    接著用正常程序移轉FSMO及GC角色至這台DC,
    自然而然原本的第一台DC 就變成次要的DC,
    再用第二段提的方法降級退出網域再重灌。

    要比較注意的是,第二段末提到的Server 2008 x64 要升級成為DC 前,
    請務必記得使用Adprep 擴充AD Schema。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:16
    2010年1月5日 上午 05:51
    版主
  • 多謝大大說明
    我也在虛擬電腦上測試過確實可以
    模擬環境
    兩台WIN2003R2 32BIT當GC、DC
    一台WINXP
    兩台WIN2008SP2 64BIT 準備替換機
    一開始先用一台WIN2008安裝AD服務,系統要求升級原始AD,透過WIN2008光碟提供的32BIT檔案升級WIN32AD
    完成後再執行,過程中只有出現DNS權限否,變成其他網域控制站後查看AD站台發現新加入的WIN2008是GC也就變成我網域有兩台GC一台DC
    進行身分移轉成功,移除WIN2003GC,DC WIN2003仍是正常,測試WINXP是否可以登入仍可正常登入。
    再加入另外一台WIN2008成為DC,移除第二台WIN2003DC,仍正常WINXP仍可登入,似乎沒有問題。
    DNS也都正常運作
    但只有在群組原則中發先有錯誤點,不知道WIN2008的群組原則有多少可以套用在WINXP上
    謝謝大大指教
    2010年1月7日 上午 09:11
  • 你說的群組原則錯誤點是指什麼呢?
    用指令「ipconfig /flushdns」清空Client 的DNS 快取看看,
    還有檢查Client 端的DNS 設定是否已經指向移轉後的主機。

    另外,你所描述的狀況,我覺得可能有些觀念上的錯誤:
    「一開始先用一台WIN2008安裝AD服務,系統要求升級原始AD,透過WIN2008光碟提供的32BIT檔案升級WIN32AD
    完成後再執行,過程中只有出現DNS權限否,變成其他網域控制站後查看AD站台發現新加入的WIN2008是GC也就變成我網域有兩台GC一台DC
    GC是屬於Domain Controller(DC)可執行的角色,
    所以這邊應該是講網域內有兩台DC,而這兩台都具有GC 角色會比較正確。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:17
    2010年1月8日 上午 02:08
    版主
  • AskaSu 大大
    問個題外話
    其實剛好這月我將DNS移回自管
    DMZ架了兩台2003DNS 一台為主一台為次,各設一組固定IP
    ISP設為DNS模式,也設了兩組IP對應兩台主機
    現在也申請了反解IP
    我是用中華電信的,他有提供次要名稱服務設定,有需要申請嗎
    前面都已設兩組了,還是說可以將次要DNS IP申請次要服務
    感恩
    2010年1月8日 上午 06:43
  • AskaSu 大大
    問個題外話
    其實剛好這月我將DNS移回自管
    DMZ架了兩台2003DNS 一台為主一台為次,各設一組固定IP
    ISP設為DNS模式,也設了兩組IP對應兩台主機
    現在也申請了反解IP
    我是用中華電信的,他有提供次要名稱服務設定,有需要申請嗎
    前面都已設兩組了,還是說可以將次要DNS IP申請次要服務
    感恩

    內部的DNS是供內部查詢使用, 若你有向中華電信或其它業者申請Domain,你要向他們申請DNS指向, 若你有Exchange server, 也要申請反解呦!!
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:17
    2010年1月8日 上午 10:13
  • AskaSu 大大
    問個題外話
    其實剛好這月我將DNS移回自管
    DMZ架了兩台2003DNS 一台為主一台為次,各設一組固定IP
    ISP設為DNS模式,也設了兩組IP對應兩台主機
    現在也申請了反解IP
    我是用中華電信的,他有提供次要名稱服務設定,有需要申請嗎
    前面都已設兩組了,還是說可以將次要DNS IP申請次要服務
    感恩

    如果你的DNS 有分內外部架構,
    也就是內部為AD 網域,外部DNS 為服務Internet 用
    而且所屬ISP為中華電信,
    其實外部DNS 只要建立一台主機,
    次要的DNS 可以向中華電信申請次名稱服務系統,
    由中華電信幫忙當你的第二台DNS 主機。

    不過申請後,務必參考該網站的FAQ 設定區域轉送,
    還有在域名商的管理頁面指定第二台為中華電信的主機,
    否則會沒有效果。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:17
    2010年1月8日 下午 03:49
    版主
  • 這樣的意思就是解除我原先安裝的次要DNS是嗎
    在ISP登入第一筆我對外的HOST NAME IP
    第二筆加入hinet 次名稱服務 host name ip
    在主要DNS 做好區域轉寄站與授權區域 (這一定要開遞迴查詢是嗎那安全性)
    那要在我的外部DNS需要加入hinet 提供的 vns2.hinet.net : 168.95.1.12   (次名稱伺服系統) 加一筆FQDN
    那問題來了我的內部AD DNS 查詢不到要讓他轉向外部DNS查詢是否設轉寄站到我外部DNS就好
    想一次搞好,謝謝各位先進給建議
    感恩

    -----------------
    我剛剛CMD查詢nslookup
    看我ISP設成DNS主機設定
    是有回應IP,但出現未經授權查詢
    但用DNS測試網站又正常奇怪ㄋ
    2010年1月9日 上午 07:04
  • 內部與外部的DNS可以這樣設定.

    內部的DNS server, 網路上的DNS指向自己(127.0.0.1), 在Firewall把這台server 在對外的DNS port(53)打開,Firewall的DNS設定至Hinet (168.95.1.1),你的DNS server 就會向Hinet做查詢了.
    $亮晶晶的小欣$ Gary Yuan. http://yuanwenshin.spaces.live.com
    2010年1月9日 下午 02:24
  • 問個問題
    我用nslookup查詢我的DNS
    會出現未經授權的查詢
    但主機名稱IP都有出來
    我沒開遞迴查詢是這樣嗎
    2010年1月9日 下午 03:14
  • 我用自己公司環境比較接近的範例來說明好了。 :)

    網域名稱 abc.com.tw
    PC-A. 公司內部主DC 192.168.1.1
    PC-B. 公司外部主DNS位於DMZ區 192.168.100.1  <-> 123.123.123.123 做IP Mapping
    我之前說的內外部DNS架構,
    其實指的兩台是不同的實體主機喔,
    一般比較保全的作法,也不會讓DC 可以被外部查詢。

    主DC 的DNS 設定如小欣所述,
    將DNS 用127.0.0.1 指定為自己,
    但公司內部用戶端要上網一定會跟DC 查詢,
    所以你務必在DC 上設定DNS 轉寄站
    這樣DC 查不到的,就是轉到你設定的轉寄站上查。

    外部DNS 則是參考那篇FAQ 說明,
    設定允許的IP範圍做轉送。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    • 已標示為解答 Vincent Lin 2010年1月10日 上午 03:18
    2010年1月9日 下午 03:27
    版主
  • 太感謝兩位大大
    目前測試都正常
    等待24小時後的結果
    感謝拉
    只是我在懷疑我是否哪裡有設錯
    因為nslookup查詢我的外部DNS時
    都會出現未經授權的回答
    2010年1月9日 下午 03:31
  • 關於「未經授權的回答」的問題,
    其實不用太擔心,
    可以參考Study-Area 網站關於DNS 協定的說明,
    在「驗證DNS 工作」一節裡面有提到。


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2010年1月10日 上午 01:26
    版主
  • AskaSu多謝您的回覆
    到目前為止都正常
    其實接下來是要開始安裝exchange2010
    希望沒有問題
    因為我的環境系統都不一樣
    AD DC是2003R2 32BIT EDGE我準備用WIN2008SP2 64BIT MAILBOX用WIN2008R2 64BIT
    呵呵呵都不知道會怎樣
    這邊不好問exchange再去那邊發問
    感謝大大喔
    有問題再請您賜教
    感恩
    2010年1月10日 上午 01:53
  • 兩位大大幫個忙看看吧,看這樣有沒有問題
    我環境
    ISP設定DNS兩組IP對實體IP 假設為 DNS1 211.75.172.18 DNS2 59.128.105.184
    申請領域反解 211.75.172.18 dns1.abc.com.tw 59.128.105.184 dns1.abc.com.tw
    防火牆設IP對應 211.75.172.18對應 192.168.100.50 DNS2對應 59.128.105.184
    UTM防火牆內立內外部DNS,外部DNS放在DNS虛擬網段架設兩台DNS1 192.168.100.50 DNS2 192.168.100.60 ,NAT關閉
    內部虛擬網段192.168.1.1 GC DC 含DNS1 192.168.1.100 DNS2192.168.1.110
    防火牆DMZ對外、外對DMZ、內對DMZ、DMZ對內開DNS53 PORT   

    外部DNS
    正向
    dns1.abc.com.tw 192.168.100.50
    dns2.abc.com.tw 192.168.100.60
    mx 192.168.100.100
    反向
    192.168.100.50 ptr dns1.abc.com.tw
    192.168.100.60 ptr dns2.abc.com.tw 
    關閉遞迴查詢

    內部DNS
    ns1.abc.com.tw.local 192.168.1.100
    ns2.abc.com.tw.local 192.168.1.110
    mx 192.168.100.100
    反向都有設
    開啟遞迴查詢,設轉寄站到domain :abc.com.tw 192.168.100.50 、192.168.100.60

    這樣方式因該可以吧
    只是我有問題是需要設外部DNS正反向對應區域實體IP嗎

    正向加入A紀錄
    211.75.172.18   dns1.abc.com.tw
    59.128.105.184 dns2.abc.com.tw
    反向區域
    211.75.172.xSubnet
           211.75.172.18 dns1.abc.com.tw
    59.128.105.xSubnet
           59.128.105.184 dns2.abc.com.tw

    大致上是這樣
    在此先多謝兩位大大幫忙
    因為以前人數少都是代管現在要自管
    感恩


    2010年1月13日 上午 04:07
  • 以你提供的環境資訊來說,
    如果211.75.172.18 這組IP 是dns1.abc.com.tw
    那麼59.128.105.184 這組應該叫做dns2.abc.com.tw
    申請的反解亦然。

    再繼續討論外部DNS 的部分,
    因為你的兩台DNS 是提供Internet 查詢,
    所以裡面的A記錄或MX記錄等等,
    都請記得用Internet IP,
    不然來自Internet 的查詢會是錯誤的。

    比如新增一筆 www 的A記錄 就應該是 www. abc.com.tw 對應比如 168.168.168.168,
    如果你輸入成內部IP,這樣外部的人就會查錯,
    甚至外部的MX 記錄也應該是真實IP,
    否則外部的人從何知道192.168.100.100 是哪裡?

    還有外部DNS 的反向對應區域設定,
    在內部網路使用可能還有用些,
    但用在Internet 上個人覺得沒有太大用處,
    還是向ISP 申請反解比較實在,
    尤其是Mail Server 務必申請反解。

    再來就是不太瞭解你講的DMZ區關閉NAT的意思是什麼?
    如果DMZ區的IP都是屬於192.168.100.0/255.255.255.0,
    這些主機理論上還是透過NAT出去,
    只是你還需要在UTM上設定IP Mapping 也就是真實IP 對應到內部IP 的動作。

    回到內部DNS 的討論,
    基本上沒有太大問題,只是轉寄站的部分,
    其實可以直接設定你所屬ISP 的DNS,
    不需要再透過你的外部DNS 再轉出去查一次。
    但這樣會有個問題,因為你的內部網域名稱叫做「abc.com.tw.local」,
    一旦要查「abc.com.tw」時,你的外部DNS主機其實就在隔壁而已,
    我在公司採取的另一種方式則會是在內部的DNS,
    再建一組正向對應區域為「abc.com.tw」。

    你要確認你的外部DNS 是否解析正常,
    最簡單的方式就是回家用電腦,
    用指令「nslookup」,
    再輸入指令「server 211.75.172.18」(也就是指定你的外部DNS 主機進行查詢),
    然後再分別輸入你想找的記錄比如「www. abc.com.tw」之類的,
    看有無解析正常。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2010年1月13日 上午 06:06
    版主
  • 感謝大大熱心回覆太感激
    大大說明的讓我更加理解
    確實我的外部主機原本也是有個虛擬網斷192.168.100.0
    外部DNS架好後原本NS紀錄是虛擬IP 假設是192.168.100.100代表dns1.abc.com.tw
    為了讓外部認得再加入外部真實IP 211.75.172.18也是ISP DNS設定的對應IP
    用nslookup確實可以解析到了,但確實也發現連虛擬IP也查詢出來 192.168.100.100
    所以刪除虛擬IP後查詢到的也就是正常的外部IP
    但我有個疑問,因為是在防火牆DMZ上是採取虛擬IP方式再透過防火牆指定實體IP對應
    但真的不需要將原先的虛擬IP設A紀錄嗎,只是想了解清楚
    因為現在內部查詢nslookup DNS正常
    主要在思考 Edge 在DMZ 而MAILBOX在內部,外部DNS MX設實體IP,內部DNS MX設內部虛擬IP
    感謝大大
    讓我多多吸收
    我會用您的方式來用用看
    因為過年要來換exchange2010
    希望大大有建議再多多給予
    感恩
    2010年1月13日 下午 01:43
  • 你把外部的DNS 當成一個服務,
    類似提供Internet 使用的104 查號台,
    假設一個使用者來跟你的查號台詢問www. abc.com.tw 在哪裡,
    如果這時候查號台告訴他說在192.168.100.101,
    使用者就會因此而走不到這個地址了。

    而且,查號台也不需要提供內部IP 的資料給外部查啊,
    假設你要找tw.msn.com,
    應該不需要知道這台主機是使用了微軟的哪些內部IP吧。 :)
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    微軟將於一月初舉辦Technet&MSDN技術社群交流活動,歡迎大家熱情參加喔!
    2010年1月14日 上午 02:48
    版主