遷移域控之路

       我不知道搞技術是不是都有強迫症，最近就遇到一個讓自己犯下無數強迫症并為其買單的案例，感覺自己死裡複活了一遍。

       廢話不說，上主題，公司的域控最近總是遇到問題，早就想幹掉另起東山，這個域控是基于server2012架構的，這個二愣子系統呢用過的都知道和win8一樣是個夾生版本，既沒有下面的2008穩定也沒有上面的2016好用，我估計架構者恰好就遇到這個短命作業系統的出生年代，慌不擇路選擇了它。

外資企業上的是英文版本，畢竟不是第一母語，雖然不難但是真的要操作起來也是要看三遍，夠煩，界面連個關機選項都沒有，win8式的觸摸屏開始菜單讓人很是頭疼，這些，我想就算沒有強迫症的人也想要換了它。

于是乎開幹：

開始部署副域，安裝的2016，将域和DNS同步複制過去。

使用指令行Ntdsutil遷移五大FSMO角色到副域，将副域提拔為主要。

事情要是這麼簡單就好了，誰料公司所有辦公文檔共享NAS伺服器都是關聯MS AD，将AD驗證指向新域控，設定是成功的，但是死活驗證不了，不知道是域控的問題還是NAS的問題，但是一指回原來的舊域控就正常了，難道死活不讓我遷移？

強迫症又一次犯了，信了你的邪，我重頭部署了第三台域控作為副域，并将域控指向這台新域控，發現依然如故，這是死磕那台舊域控啊。

終于在域控上發現問題，後面架構的域控sysvol和netlogon共享都沒有開啟，這就是赤裸裸的問題，我驚奇的發現AD和DNS也打不開了，在主副域控都存在的情況下居然有這麼邪門的事。反複重試，發現連上了，因為提前建好了副域，還好OU還在。百度後使用以下辦法解決了：

打開系統資料庫編輯器，找到如下鍵值：

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup

然後在右邊找到BurFlags，将其值改為D4（16進制）後退出

分别運作如下指令重新開機相關服務

Net stop netlogon

net start netlogon

Net stop ntfrs

net start ntfrs

sysvol和netlogon是重建了，但是很慘痛，所有GPO都不正常了，所有腳本也丢失殆盡，還好，之前做了一次備份，但是無法導入，找到腳本一條條坐回去也不難，隻是費點時間。

最後發現連預設的域政策和預設的域控制器政策都不正常，詳細資訊顯示sysvol不可用，喵了個咪，自定義組政策可以重建，預設的組政策你敢動嗎？搞不好域直接崩潰。好的，哥承認當時怕了，耐心研究，根據顯示的GUID找到硬碟上對應的組政策配置檔案，和之前備份的GPO對照，發現缺少GPT檔案，複制過去居然直接OK了，别問為啥出這問題，我也想知道GPT怎麼就沒了。搞定一系列AD和GPO問題，剩下的路就通暢多了。

現在有了三台域控，我決定将第二台設為主要，第三台設為副控，舊的那台登出掉，讓它人間蒸發，有多遠走多遠。

于是，我将DHCP角色從原理舊的域控遷移到第二台新的域控上，倒也不難，用DHCP導入導出即可瞬間搞定，回收原來DHCP的授權并停用，啟動新伺服器授權并啟用，遷移比較簡單。

值得注意的是DNS伺服器的指向要改為新的兩台域控的DNS。

好了，開始測試遷移的效果，停掉原來作為主域控的伺服器，讓它下線，看所有工作是不是正常運作，經過無數調試，NAS的域驗證也成功遷移到新的域控，DHCP，DNS，還有外網轉發，跨域的信任都是成功運作的。

觀察了一下沒有什麼問題，開始對舊的主要動刀，将它從域控中解除安裝登出。

首先，重新開啟舊域控伺服器，進入伺服器管理器，将AD角色和工具解除安裝，中間會提示降級，降級完成就可以順利解除安裝并自動重新開機，然後停掉伺服器永久下線并删除虛拟機,我的虛拟磁盤空間總算是釋放出來了。

然後登入目前的主域控，進入AD站點和服務将其删除，并登入AD将域控制器主機删除，最後清理DNS靜态設定，以為完美收工，還有麻煩事。

按照網友的文章如下操作：

nslookup set type=srv或set q=srv

然後_ldap._tcp.dc._msdcs.你的域名

可以看到兩個伺服器的SRV記錄

發現解除安裝的域控資訊還是存在，還是要去DNS配置下手工删除_ldap和_kerberos檔案：

為了盡快驗證主域的功能，将副域的權重降為0（主域控預設為100無需改動），将所有使用者都登入到主域上來，按照壇友的文章操作

改變域控制器的Priority和Weight不能直接在DNS中更改，因為一旦域控制器重新啟動這兩個參數就又變回原來的值了，其實不用重新啟動隻需把域控制器的Net logon服務重新啟動一下就行了，域控制器會自動注冊DNS區域，重新寫入資料。在DC上的系統資料庫的如下位置添加兩條DWORD值（LdapSrvpriority和Ldapsrvweight）

HK_L_M\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

改完後發現DNS區域配置裡面副域控有兩條不同權重的_ldap和_kerberos記錄，需要手工删除原來的預設的記錄，保留現在修改後權重後的記錄。

最後，開始優化一下域的組織架構，把很久沒有登入的計算機剔除出AD，友善組政策管理：

查超過10周未登入的計算機 dsquery computer -inactive 10

查超過10周未登入的使用者 dsquery user -inactive 10

在主域控上查詢，在副域上對照删除，順便驗證下主從複制是否成功并檢測同步速度，大概有個幾秒的延遲，但還是同步的。

總結：