如何把舊網域的user profile轉移至新網域?

domain controller

眼睛想旅行 2023-03-12 23:17:49 ‧ 1798 瀏覽

分享至

小弟公司的兩台網域控制器(windows server 2019)因為主DC的vm host硬件問題掛了
結果PDC救不回來, 於是鬼迷心竅restore了一個2個月前的PDC backup到另一台vm host
然後跟沒死的sub DC一起繼續運行, 然後就是各種replication error, 現在後悔想轉移5大角色然後退休本來的PDC已經做不到...
我沒有信心救得回來而且網域好像也快掛的樣子, 我是準備做要重新建整個網域的心理準備...

但突然發現user profile好像不能隨意從舊網域轉移的樣子, 想問問有什麼方法可以轉移user profile? 我是打算新舊網域是同名

根據大大的建議, 補貼dcdiag和repadmin的結果

我說漏了一點資訊,現在的dcdiag跟repadmin是demote了subDC後的,因為我想重新promote新的subDC然後觀察replication但結果promote一直失敗(還在troubleshoot)
以下的dcdiag顯示的error才是demote subDC前在PDC做的

至於在subDC做dcdiag的error圖好像沒存下,但跟以下的error是一樣的, 感覺跟大大說的USN順序情況有吻合, 可以請大大詳細說明一下嗎? 萬分感謝
arning: [ServerName] is the Schema Owner, but is not responding to DS RPC
Bind.
Ldap search capabality attribute search failed on server [ServerName],
return value = 81
Warning: [ServerName] is the Schema Owner, but is not responding to LDAP
Bind.
Warning: [ServerName] is the Domain Owner, but is not responding to DS RPC
Bind.
Warning: [ServerName] is the Domain Owner, but is not responding to LDAP
Bind.
Warning: [ServerName] is the PDC Owner, but is not responding to DS RPC
Bind.
Warning: [ServerName] is the PDC Owner, but is not responding to LDAP Bind.
Warning: [ServerName] is the Rid Owner, but is not responding to DS RPC
Bind.
Warning: [ServerName] is the Rid Owner, but is not responding to LDAP Bind.
Warning: [ServerName] is the Infrastructure Update Owner, but is not
responding to DS RPC Bind.
Warning: [ServerName] is the Infrastructure Update Owner, but is not
responding to LDAP Bind.

看更多先前的討論...收起先前的討論...

aaron3399 iT邦好手 1 級 ‧ 2023-03-13 01:36:00 檢舉

再promo一個新的DC試試?

窮嘶發發發 iT邦高手 1 級 ‧ 2023-03-13 09:28:01 檢舉

Profwiz 還有 USMT，大概這兩個工具
但是轉移前，請務必要解EFS 還有 BITLOCKER
不解的話，轉移後就再也解不開了
不然就是請先備份金鑰，萬一有需要才能復原

ZongXianLi iT邦研究生 5 級 ‧ 2023-03-13 12:04:16 檢舉

先把dcdiag /a ， repadmin /showrepl 的結果貼上來吧...
作還原之後 DC的 USN就已經錯亂了
原本FSMO的USN領先變成第二台USN領先

眼睛想旅行 iT邦新手 5 級 ‧ 2023-03-13 14:58:39 檢舉

窮嘶發發發謝謝, 我晚點再了解一下這兩個工具

眼睛想旅行 iT邦新手 5 級 ‧ 2023-03-13 14:59:49 檢舉

aaron3399, 剛剛重新promo一個DC為sub DC成功了(昨晚還是失敗, 算是證實了DC的狀態很不穩) 不過erorr還在, 我先根據USN的方向troubleshoot, 先謝謝你的建議

setsuna iT邦新手 2 級 ‧ 2023-03-13 15:07:04 檢舉

當初直接把舊PDC踢掉，將好的sub DC直接取得五大角色應該比較好。
然後你又把正常的sub DC demote...

眼睛想旅行 iT邦新手 5 級 ‧ 2023-03-13 15:14:26 檢舉

setsuna 本來我對DC不太熟, 我是信了一個同事才這樣做, 我現在也很後悔

ZongXianLi iT邦研究生 5 級 ‧ 2023-03-13 16:20:15 檢舉

有辦法做FSMO轉移?

眼睛想旅行 iT邦新手 5 級 ‧ 2023-03-13 16:47:37 檢舉

現在雖然把一部新DC promote為sub DC, 但好像狀態不太穩定, 想先從大大提到的USN找找問題所在, 才考慮轉移fsmo

ZongXianLi iT邦研究生 5 級 ‧ 2023-03-13 16:51:18 檢舉

你現在DC1的 FSMO已經因為USN落後的問題被擋在外面了
FSMO如果可以轉先轉去DC2 等一段時間再觀察複寫狀態
如果有恢復就把你還原的那台下下來

ZongXianLi iT邦研究生 5 級 ‧ 2023-03-13 16:59:30 檢舉

但你現在已經降級了....好像不能這樣做了

眼睛想旅行 iT邦新手 5 級 ‧ 2023-03-13 17:50:42 檢舉

抱歉我說得太混亂, 用舊backup還原的是DC2(主DC), 一直沒有問題的是DC1
而降級了的是DC1, 我應該直接把fsmo轉移到DC1, 然後重新升級一部中DC去取代DC2, 我今天成功升級了一部全新的DC代替DC1, 正在查看USN

窮嘶發發發 iT邦高手 1 級 ‧ 2023-03-13 17:54:23 檢舉

新舊網域同名只能相互間不同網段且在實體網路上互不相識
現在網域掛了，不只DC要重做，包括所有的檔案權限、DFS、DNS、DHCP、GPO、以及所有跟AD有關的服務全部要重新架設過一次，還有怎麼還有人停留在AD 還有 PDC 這個觀念，幫幫忙，AD 網域有五大角色，而且會因為網域的拓樸，經過分散管理下，根本沒有哪台是PDC 這種問題
我是不知道有幾台用戶端啦，光上面說的服務要重架，真的要花不少時間，除非樓主已經很熟，不然絕對不可能，還有就是你要用相同域名，那用戶端的PROFILE的轉移會讓你很頭痛，你必須轉兩次，而且每台用戶端要先退出網域再加入到新網域，一台用戶端處理至少花掉你15分鐘的時間，真的如果上百台電腦，真的會想哭的