iT邦幫忙

0

win 2003 AD 第二台DC備援 FSMO是否也要轉移

zpple 2010-09-29 16:49:3713416 瀏覽

請問一下
我公司原本只有一台Win 2003AD(DC),現在要買另一台server當成file server(win server 2003 r2),我打算讓這一台file server同時是PDC的功能,讓舊的伺服器變成BDC,有個問題想釐清:
原本AD視為DC1
File server的DC視為DC2
DC2已有加入AD中,我在DC1新增使用者時,DC2也會新增使用者
在FSMO未轉移前,例如我從DC2的"Active Directory使用者與電腦"中"操作主機"看RID,會顯示DC1與DC2的主機名稱(我忘了DC1顯示什麼)
然後我把FSMO和GC全部轉移到DC2後,在DC2中看RID,RID都是DC2自己本身
但DC1看RID時,操作主機顯示錯誤,目前的操作主機已離線,無法執行角色轉移

這樣正常嗎? 我沒有在DC1中移除AD角色

然後我在DC2中新增一個使用者時,DC1就沒有同步更新了

我主要想讓DC2變成PDC,而DC1變成BDC,這樣子FSMO與GC都要先轉移到DC2嗎?但我全轉移到DC2後,當我把DC2關機/DC1開機時,用戶會認不到AD帳號,請問我那個步驟有問題呢

謝謝

看更多先前的討論...收起先前的討論...
rickhsu iT邦高手 6 級 ‧ 2010-09-30 01:14:53 檢舉
可以說明一下您的移轉方式嗎?
看起來比較像是您在DC1關機時,
在DC2用seize的方式進行轉移FSMO.
另外,
您的WINDOWS版本是SBS嗎?
zpple iT邦新手 3 級 ‧ 2010-09-30 09:39:23 檢舉
我不是用seize的方式轉移也,是在DC1與DC2同時上線時,用介面的方式安全轉移
DC1 win server 2003 sp2
DC2 win server 2003 r2
sungnoone iT邦新手 2 級 ‧ 2010-09-30 17:09:27 檢舉
1、FSMO轉換沒那麼困難,強制的非強制的我都移過。AD任何架構變更或轉移,誠心建議每個變更間隔值少一天以上觀察再進行其他變更。躁進導致越搞越糟的例子屢見不鮮。建議多觀察幾天,如果還有錯誤把Event log PO上來。或直接找代碼對應處理方式。
2、在2000以後的AD架構已經不講PDC或BDC。
3、個人不建議DC與其他服務擺在同一台。等架構與數量都開始複雜時,亂七八糟問題就會一直來,你就會感覺上班是痛苦的! 個人由衷建議,DC的機台就讓它做它該做的事情就好了。
4、AD != DC
花輪 iT邦大師 1 級 ‧ 2010-09-30 22:13:18 檢舉
sungnoone提到:
不建議DC與其他服務擺在同一台

YES~~
這幾天的 TECH DAYS 2010 中還有提到:「MS 不建議在 DC 上放任何一種額外的服務
!」
zpple iT邦新手 3 級 ‧ 2010-10-13 15:29:19 檢舉
MS建議歸建議,但我公司的環境不能這麼用,就只有二台MS server,同時要做DC+File server+SAV,如果要變成SEP,就要再上IIS服務

2 個回答

10
花輪
iT邦大師 1 級 ‧ 2010-09-29 22:44:58
最佳解答

這題目描述的真的看不太懂,也不想猜了...

  1. 原本AD視為DC1 <-- DC1 & DC2 同屬一個 AD
  2. DC2已有加入AD中 <-- 照內容看應是 dcpromo 成 dc2,加入是 join!
  3. AD 從 WIN2000 以後就沒有 BDC 了,且您所謂的 PDC 就是 PDC Emulater。
  4. 我沒有在DC1中移除AD角色 <-- 「移除」是『降級』的意思嗎?
  5. 其他的實在看不懂,建議您先找有關 AD 的書籍翻一下或上網 GOOGLE 一番,要不就再講清楚一點...
zpple iT邦新手 3 級 ‧ 2010-09-30 10:14:32 檢舉

簡單來說,
情況一:如果AD同時有DC1(舊機器)與DC2(新機器)時,DC1當成主要,DC2視為備用,需要把FSMO與GC轉移到DC2嗎?
情況二:如果AD同時有DC1(舊機器)與DC2(新機器)時,DC2當成主要,DC1視為備用,需要把FSMO與GC轉移到DC2嗎?
都是指安全轉移

raytracy iT邦大神 1 級 ‧ 2010-09-30 18:27:46 檢舉

Dear zpple:
備用是自動的, 不需要移來移去, 除非有某台 DC 會永久離線才需要手動移...

但是, 自動備用的前提, 有幾個條件必須先符合:

  1. 每一台 DC 都要勾選成 GC
  2. 每一台用戶端電腦的 DNS 設定中, 必須填入所有 DC 的 IP, 不能遺漏.
  3. 如果環境中有 WINS 的話, 記得 WINS 也要備援.

在備用期間, 如果原本擔任 FSMO 的主機, 可以完全修復回原狀的話, 就可以暫時不管 FSMO 移轉, 等他修完上線就自動恢復; 但若原主機已經無法修復回原狀, 那麼就需要盡快移轉 FSMO.

花輪 iT邦大師 1 級 ‧ 2010-09-30 22:10:48 檢舉

謝謝ray老師的補充!
如果版大要將 FSMO 轉移至 DC2 後再將 DC1 關機或降級,那仍是只有一台 DC 的狀況,對 AD 來說是有一定風險的,正如老師所說,不管轉不轉移,讓兩台 DC 都留著自動備援,不但保險,更對前端的使用有助益。
最後,順便再把 DNS 作成 AD 整合區域吧!

10
infornet
iT邦高手 1 級 ‧ 2010-09-30 09:02:02

1.請確認 DC1 及 DC2 電腦名稱。
2. 執行 netdom query fsmo 查詢腳色目前的位置為何。
3. 執行 DCDiag
給二篇連結您看看先吧。
疑難排解Active Directory
http://life.iiietc.ncu.edu.tw/xms/content/show.php?id=4375
網域控制站診斷工具
http://azrael.0uu.net/index.php?topic=24.0

我要發表回答

立即登入回答