作者 主題: AD同步與轉移  (閱讀 22755 次)

0 會員 與 1 訪客 正在閱讀本文。

bati

  • 懷疑的國中生
  • **
  • 文章數: 44
    • 檢視個人資料
AD同步與轉移
« 於: 2008-02-12 17:32 »
小弟剛上任一家公司網管
目前碰到狀況如下:
1.有三台2000 SERVER ,有二台同網域DC,一台BDC,但是同步完全沒成功過,至於為何有三台聽說是有問題所以一台一台加,但是最後也沒搞好,變成目前每台DC都有資料使用

我想請教的是我現在想把三台廢掉一台,變成一台PDC,一台BDC的話,我該如何者手?有何注意事項?因為之前沒碰過轉移問題,所以頭粉大
目前我知道的是要用ADMT轉移使用者權限與群組,不然如果自己重建後SID與SSID也不同.會造成使用者無法登入的狀況!!

2.有關WEB SERVER的問題:
小弟目前發現公司的子公司網頁因為之前被駭客攻擊當作跳板,所以子公司想加入總公司硬體防火牆內,總公司與分公司在同一樓內但是網路彼此不相通

現在我目前完成的事是把子公司的WEB DOMAIN與IP導入了總公司的DNS1內,但是對於後面的方向沒捨概念
所以想請問一下:
1.目前我把子公司domain導入了dns1內正反解也設好了,子公司網頁目前運作完全正常,我都沒去改子公司web server上的設定只把domain導過來而已,這樣子算正常嗎?還是我應該去server更改設定?如果要需要改捨設定
2.WEB這段搞定後,要如何把子公司web server加入總公司硬體防火牆內?

新任網管可能敘述不清楚,如有不清楚地方請指出,並感謝各位大大辛苦的回應



eose

  • 活潑的大學生
  • ***
  • 文章數: 499
  • 性別: 男
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #1 於: 2008-02-13 10:04 »
1.是一個domain有3台DC ? 還是有2個以上的domain? 先搞清楚那台是主要在用的吧!

2.子公司網路要跟總公司內部連才能被總公司Firewall保護阿
  2-1. dns1是DC上的dns嗎?是對內還是對外的?
  2-2. 先把整個架構規劃好再來動手吧!免的為了子公司搞的總公司也出問題.

建議把公司內的情況完全掌握再來動手吧!感覺你沒很清楚你公司內的情形.

lcn0

  • 憂鬱的高中生
  • ***
  • 文章數: 191
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #2 於: 2008-02-13 10:55 »
如eose所言,請確定你到底是有幾個domain?FSMO在哪台上面??如果是一個domain而三台DC卻不同步,
那event log應該有錯誤紀錄吧. 建議您先釐清架構再進行.

HeterCea

  • 可愛的小學生
  • *
  • 文章數: 9
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #3 於: 2008-02-14 11:18 »
妳好  這樣述說好像有點難懂
我的Mail給妳  jovi@greenware.com.tw
妳可以與我聯絡,我再看看如何幫妳

bati

  • 懷疑的國中生
  • **
  • 文章數: 44
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #4 於: 2008-02-14 18:47 »
小弟經過這幾天的模索終於比較清楚公司狀況了!!
現在狀況是這樣:
問題一
1.目前有三台2000 server DC,都在同一個網域[並無樹系關係],從domain可看出,應為獨立DC,彼此已互相信任
假設三台DC為A-bdc.infor,B-info.info,C-web.info
目前我確定A與B有同步,C無同步!!
所以小弟我打算廢掉C這台無同步DC,但是需要把這台DC裡面的資料轉至A或B其中一台去同步,因為之前沒有玩過轉移,所以不知道該如何轉移比較安全與保險[因為是公司資料怕被殺頭~~],目前只知道ADMT這方法,不知是否有人可告知小弟我詳細流程與須注意事項
問題二
2.因為前人種的好樹,這台無同步C-DC裡面還包含了SQL,內部網頁測試平台,一些分享檔案,WINROUTE我也要想辦法處理!!
所以我想請問1:SQL與內步測試平台如何備份至另一台DC可以跟以往一樣使用?
                2:WINROUTE這程式我如果不動他,把我其他要轉移的資料轉到A或B DC後會有影響嗎?
                   還是我另外在另一台DC上安裝一次WINROUTE即可?
其實還有其他問題但是怕一次寫太多,可能又有地方敘述不夠了解所以先寫到這,請多開導小弟我~~ ;D ;D

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #5 於: 2008-02-14 22:51 »
小弟經過這幾天的模索終於比較清楚公司狀況了!!
現在狀況是這樣:
問題一
1.目前有三台2000 server DC,都在同一個網域[並無樹系關係],從domain可看出,應為獨立DC,彼此已互相信任
假設三台DC為A-bdc.infor,B-info.info,C-web.info
目前我確定A與B有同步,C無同步!!

嗯~ 照你的描述來看, 您可能還不太了解AD的運作, 看起來像是一個domain裡有3台DC,
不過您的假設上又有點奇怪, A-bdc.infor 是打錯字了嗎? 先假設是打錯字的情況下.
建議您可以先了解每台DC所扮演的角色為何? 還有你為什麼認為C沒有同步, 有什麼錯誤訊息,還是什麼情況?
比如在A建立帳號, 在C中找不到之類的情況.
還有在您之前的描述中, "每台DC都有資料使用"  所指的又是什麼, 為什麼您會這樣認為?


bati

  • 懷疑的國中生
  • **
  • 文章數: 44
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #6 於: 2008-02-15 10:41 »
嗯~ 照你的描述來看, 您可能還不太了解AD的運作, 看起來像是一個domain裡有3台DC,
不過您的假設上又有點奇怪, A-bdc.infor 是打錯字了嗎? 先假設是打錯字的情況下.
建議您可以先了解每台DC所扮演的角色為何? 還有你為什麼認為C沒有同步, 有什麼錯誤訊息,還是什麼情況?
比如在A建立帳號, 在C中找不到之類的情況.
還有在您之前的描述中, "每台DC都有資料使用"  所指的又是什麼, 為什麼您會這樣認為?

1.的確是一台domain有三台dc,但是因為三台不是一起架的,是一台有問題又架一台起來也沒搞好結果又搞了第三台,結果每一台DC都有各自的資料,所以我說三台應該各自獨立,這樣說法不知是否正確!!
2.字沒打錯我是照原本dc名稱打的,名字就叫bdc,老實說ad從nt後就無pdc與bdc這樣分法了,所以這方面無所謂錯不錯字問題,重點是要搞清楚彼此關係!!
3.我認為c沒同步原因很簡單,我在a或b裡面新增一個帳戶,不久後a跟b就會同步但是c不會,這就明顯指出c無法與a或b同步!

另外我原本指出的二打問題可否請指點小弟迷津!!現在頭跟吳宗憲一樣大了~~ :-X :-X :-X

shiemar

  • 懷疑的國中生
  • **
  • 文章數: 56
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #7 於: 2008-02-15 12:21 »
不好意思,小弟不知道這樣是否有誤?
只是看到一些地方不明白,
1.如果是同一個DOMAIN內有三台DC,
那A-bdc.infor的尾碼應該會與其他兩台相同
but 沒有...是不是做成不同網域了?
2.還有您一直提到信任的問題,
同一個網域內應該是不用作信任,
不知道這樣對不對?
3.前面有前輩請您先確認網路架構,
不知道您有沒有查看五大角色以及GC的分配了,
這個沒有先確認的話,
DC降級會遇到問題。
4.C與其他兩台無法同步,
請問您有沒有查看過EVENT LOG,
裡面應該會有相關的錯誤LOG。 
5.C如果與其他兩台無法同步,
那USER又如何存取上面的資源?
« 上次編輯: 2008-02-15 12:25 由 shiemar »

lcn0

  • 憂鬱的高中生
  • ***
  • 文章數: 191
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #8 於: 2008-02-15 12:48 »

1.結果每一台DC都有各自的資料,所以我說三台應該各自獨立,這樣說法不知是否正確!!
1.不太可能吧,那資料怎麼Replication??

有沒有跟A,B同步,在A或B上看看Active directory site & services裡面有沒有出現C的電腦名稱就知道了。確認A/B上面event log有沒有附寫失敗的紀錄,如果都沒有,我懷疑C沒有加入此網域。

如果有的話,將C強制demote,若不成功,用Ntdsutil與ADSIedit將C清掉,微軟有KB可以參考

2.或是在B與C上面各新增一個帳號,於client端嘗試用這兩個帳號登入到相同Domain,看是否成功。

3.請確認FSMO與GC在哪台上

4.照你的說法真的很詭異,大伙在這裡隔空抓藥可能也沒法知道確切的狀況,恕小弟直言,您在不熟的狀況下要做轉移(不管是問題一或二),風險是很大的,萬一有什麼差錯的話,那責任歸屬就讓你頭痛了...




bati

  • 懷疑的國中生
  • **
  • 文章數: 44
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #9 於: 2008-02-15 15:58 »
引用
[1.如果是同一個DOMAIN內有三台DC,那A-bdc.infor的尾碼應該會與其他兩台相同but 沒有...是不是做成不同網域了?]
那我打完整名稱好了:
a:bdcserver.info.com.tw
b:infoserver.info.com.tw
c:webserver.info.com.tw
以上是完整dc名稱
但是a,b,c三台資料可互相查詢,只是c無法同步,這樣架構不算獨立嗎?


而我想請教的是:我在a或b新增帳戶,a或b會自動更新,而c不會這樣還不夠明確指出c無法與a,b同步嗎?
另外我補充一點:
因為我本來就是打算廢掉一台dc才做其他功用,所以並不打算搞好他的同步,只是需要把他的五大角色轉至a或b即可
當然因為我沒轉過所以不太熟悉該注意那些事項~~
不過我現在的重點是
1.把c轉至a或b,廢掉c
2.c上面尚有內部測試網頁,winroute,sql等服務與程式,問題如上所說內網測試只需在IIS裡面把目錄都備份下來移致新主機即可嗎?
3.winroute是否可直接在a或b上面安裝就可?有無需要注意的地方?

damon

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 4227
    • 檢視個人資料
    • http://blog.damon.tw/
回覆: AD同步與轉移
« 回覆 #10 於: 2008-02-15 16:15 »
良心的建議,既然自己不懂,找專業的廠商來看看在規畫吧,順便學起來
看你的回答,其實你幾乎完全不懂ad,別把公司重要的資料這樣玩,交給專業的廠商來吧

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #11 於: 2008-02-15 23:49 »
引用
[1.如果是同一個DOMAIN內有三台DC,那A-bdc.infor的尾碼應該會與其他兩台相同but 沒有...是不是做成不同網域了?]
那我打完整名稱好了:
a:bdcserver.info.com.tw
b:infoserver.info.com.tw
c:webserver.info.com.tw
以上是完整dc名稱
但是a,b,c三台資料可互相查詢,只是c無法同步,這樣架構不算獨立嗎?


而我想請教的是:我在a或b新增帳戶,a或b會自動更新,而c不會這樣還不夠明確指出c無法與a,b同步嗎?
另外我補充一點:
因為我本來就是打算廢掉一台dc才做其他功用,所以並不打算搞好他的同步,只是需要把他的五大角色轉至a或b即可

如之前所說..我才會先確認您是否打錯了.
假設三台DC為A-bdc.infor,B-info.info,C-web.info

當然, 如果3台確定都是DC(在domain controller OU裡), 在您的描述中, 確實C並沒有同步成功.
但是, 如果C有扮演某些角色, 我想貴公司的AD早就問題一堆了, A跟B不可能獨善其身讓AD正常運作.
如果貴公司的AD還能一切正常使用, 我想您也不用想如何移轉C主機的角色了.

還是那句話, 從您的描述中, 大概可以了解您還不太了解AD的運作. 不過沒關係, 多做工累積經驗.
處理事情一步一步的來, 趁這個機會把AD的運作熟悉一下, 也是好事一件.
MIS不用有多強的技術, 但是對於自己公司的架構一定要夠了解.

lcn0

  • 憂鬱的高中生
  • ***
  • 文章數: 191
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #12 於: 2008-02-17 01:21 »


以上是完整dc名稱
但是a,b,c三台資料可互相查詢,只是c無法同步,這樣架構不算獨立嗎?

我說:DC不是這麼玩滴...

同一個Domain之中的DC怎麼會有"獨立"這種架構?? 請不要將DC當作Stand alone的server來玩,
你現在的狀況是AB與C之間的replication出問題了,我猜如果有某些帳號是AB上沒有只有C上面有,這種帳號應該無法登入,

而我想請教的是:我在a或b新增帳戶,a或b會自動更新,而c不會這樣還不夠明確指出c無法與a,b同步嗎?
另外我補充一點:
因為我本來就是打算廢掉一台dc才做其他功用,所以並不打算搞好他的同步,只是需要把他的五大角色轉至a或b即可
當然因為我沒轉過所以不太熟悉該注意那些事項~~
不過我現在的重點是
1.把c轉至a或b,廢掉c
2.c上面尚有內部測試網頁,winroute,sql等服務與程式,問題如上所說內網測試只需在IIS裡面把目錄都備份下來移致新主機即可嗎?
3.winroute是否可直接在a或b上面安裝就可?有無需要注意的地方?

你說的C無法跟AB同步,沒有人懷疑你,只是你對DC之間的關係不清楚,作錯的機率很大,洞越補越大...
最簡單的作法是像我上面講的,將C demote,要不然過了,tombstone lifetime之後,
C上面的東西就會不見(沒記錯應該是自無法覆寫那天算起過60天就會被清掉了)...

小弟處裡過的一個CASE是管理者對DC做GHOST,隔日後DC發生小問題,就將GHOST檔倒回,然後就發生無法複寫的問題。
至於C上面的帳號就重建吧,你想用ADMT來遷移帳號,這樣做是行不通的。

FSMO在C上面,又跟AB不同步,那就在A或B上將FSMO搶回即可.
winroute...不了解,
其他的話嗎:安裝一個VM的環境,裝好服務,然後將資料倒回去,到client端試試,不就知道會遇到什麼狀況了嗎?

建議您三個方法:
1.自己找資料作處理
2.花筆小錢,請PSS協助你完成
3.請廠商處理

但是, 如果C有扮演某些角色, 我想貴公司的AD早就問題一堆了, A跟B不可能獨善其身讓AD正常運作.
如果貴公司的AD還能一切正常使用, 我想您也不用想如何移轉C主機的角色了.

某些狀況下是是可以的,但event log應該會反應出一堆問題,只是如上所言,過了tombstone後就會出現狀況。

DDIMM

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #13 於: 2008-02-26 12:30 »
小弟不才...看到各位的意見提供,也想加入討論
我建議先找到操作主機....然後作轉移或強制抓取到主機A
(我想即使該環境在even log會有類似存取錯誤或是crash...等
但ADdomain功能應該還是能提供公司使用....不然早就慘CC了)
然後主機C的SQL和相關資料備分(很抱歉SQL也是我很想摸會的東西...幫不上忙)
我個人想法是主機B下線,重新安裝後再同步於主機A
然後重複操作主機轉移的步驟....將主機A和主機C分別下線重新安裝,來嘗試得到一個完整的AD
以上為小弟愚建

PS另外請問有看到此文先進
如果以該環境為例,主機B下線後重新安裝成為DC(不上網路線,且電腦名稱與主機A同),利用工具將主機A帳號及權限匯出
然後在主機B匯入(此時還是不上網路),最後將主機A下線,再將主機B上線(注意此時電腦名稱跟主機A一樣)
請問這樣的話AD架構會有影響嗎......

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #14 於: 2008-02-27 00:24 »
PS另外請問有看到此文先進
如果以該環境為例,主機B下線後重新安裝成為DC(不上網路線,且電腦名稱與主機A同),利用工具將主機A帳號及權限匯出
然後在主機B匯入(此時還是不上網路),最後將主機A下線,再將主機B上線(注意此時電腦名稱跟主機A一樣)
請問這樣的話AD架構會有影響嗎......

不連網路, 主機B勢必要重新建立一個新的AD. 嗯~大概是災難的開始吧.

jacktseng

  • 鑽研的研究生
  • *****
  • 文章數: 934
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #15 於: 2008-02-27 09:04 »
PS另外請問有看到此文先進
如果以該環境為例,主機B下線後重新安裝成為DC(不上網路線,且電腦名稱與主機A同),利用工具將主機A帳號及權限匯出
然後在主機B匯入(此時還是不上網路),最後將主機A下線,再將主機B上線(注意此時電腦名稱跟主機A一樣)
請問這樣的話AD架構會有影響嗎......
主機名稱一樣?為何?想讓client端覺得是同一台主機嗎????
基本上主機名稱相同.client端也不會認為是同一台主機.在網域中,主要是認主機的SID
SID不會一樣.所以你的B主機就算起來work了.client端還是一樣要重新加入網域

lcn0

  • 憂鬱的高中生
  • ***
  • 文章數: 191
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #16 於: 2008-02-27 09:41 »
PS另外請問有看到此文先進
如果以該環境為例,主機B下線後重新安裝成為DC..

這樣做會產生兩個看起來名稱一樣,骨子裡卻完全不同的AD Site,行不通地...

DDIMM

  • 可愛的小學生
  • *
  • 文章數: 26
    • 檢視個人資料
回覆: AD同步與轉移
« 回覆 #17 於: 2008-02-27 10:18 »
感謝回覆小弟的疑惑
也不曉得為啥會問這問題.....因為之前就搞過且當然是搞雜(Sorry我忘了)
機碼.SID....恩我再一次的記下了