none
AD一問~ RRS feed

  • 問題

  • 目前有一台DC,上面有綁DNS和FILE SERVER的功能,想把DC的角色移出,該如何著手,有相關文件可參閱嗎?ROOT DC若在F/W外,想把機器移到LAN中,改IP會影響它原本運作嗎?若把原為MEMBER DC移到F/W外,會WORK嗎?
    2006年3月16日 上午 10:27

解答


  • 您如果要將 DC 角色移到新的 Server 上,可以參考下列步驟:

    1. 安裝新的 Member Server 並加入網域或選用既有 Member Server
    2. 在 Member Server 上執行 DCPromo 升級成 DC
    3. 在原來 DC 上執行 DCPromo 進行 DC 降級精靈,過程中會強迫 AD Replication、轉移 FSMO 角色到新 DC 即可。
    2006年3月16日 下午 03:08

  • 因為連續 Po 兩次都失敗,所以分開來回答。

    如果要將 Root DC 從 FW 外移到 LAN 中,您只要確定 Client 使用的 DNS 上 DC 相關紀錄 A/PTR/SRV 是正確的,Client 就能夠透過 DNS 找到 DC 來進行登入動作。DNS 紀錄部分如果使用 Windows DNS 而且有啟動 Dynamic Update,在 DC 的 Netlogon 服務啟動的時候就會去 DNS 上更新紀錄。

    如果要將 Member DC 移到 FW 外,則 FW 上必須要開啟 AD 運作需要的相關 Port:包括 如何設定網域和信任的防火牆、FRS 所需 Port: How to restrict FRS replication traffic to a specific static port、AD Replication 所需 Port: Restricting Active Directory replication traffic to a specific port 等洋洋灑灑一大堆 Port

    如果嫌以上 Port Rule 太多(或是開太多 Port 不安全),你也可以使用在 DC 間起用 IPSec 功能,這樣在 FW 上只需要開下列 Port:

    • IP Protocol ID 51
    • IP Protocol ID 50
    • UDP 500

    這樣是不是少多了,而且也比較安全。詳細的設定您可以參考 Active Directory in Networks Segmented by Firewalls 白皮書。

    2006年3月16日 下午 03:17

所有回覆


  • 您如果要將 DC 角色移到新的 Server 上,可以參考下列步驟:

    1. 安裝新的 Member Server 並加入網域或選用既有 Member Server
    2. 在 Member Server 上執行 DCPromo 升級成 DC
    3. 在原來 DC 上執行 DCPromo 進行 DC 降級精靈,過程中會強迫 AD Replication、轉移 FSMO 角色到新 DC 即可。
    2006年3月16日 下午 03:08

  • 因為連續 Po 兩次都失敗,所以分開來回答。

    如果要將 Root DC 從 FW 外移到 LAN 中,您只要確定 Client 使用的 DNS 上 DC 相關紀錄 A/PTR/SRV 是正確的,Client 就能夠透過 DNS 找到 DC 來進行登入動作。DNS 紀錄部分如果使用 Windows DNS 而且有啟動 Dynamic Update,在 DC 的 Netlogon 服務啟動的時候就會去 DNS 上更新紀錄。

    如果要將 Member DC 移到 FW 外,則 FW 上必須要開啟 AD 運作需要的相關 Port:包括 如何設定網域和信任的防火牆、FRS 所需 Port: How to restrict FRS replication traffic to a specific static port、AD Replication 所需 Port: Restricting Active Directory replication traffic to a specific port 等洋洋灑灑一大堆 Port

    如果嫌以上 Port Rule 太多(或是開太多 Port 不安全),你也可以使用在 DC 間起用 IPSec 功能,這樣在 FW 上只需要開下列 Port:

    • IP Protocol ID 51
    • IP Protocol ID 50
    • UDP 500

    這樣是不是少多了,而且也比較安全。詳細的設定您可以參考 Active Directory in Networks Segmented by Firewalls 白皮書。

    2006年3月16日 下午 03:17
  • Robert您好:

         謝謝您的回覆~

        假如,F/W外的ROOT DC 的IP是167.1.1.1機器名:RDC,LAN中的MEMBER DC(未降級兼綁DNS及FILE SERVER)是192.1.1.1機器名:DCF,原F/W設定167.1.1.1與192.1.1.1是通的,還有一台新機器,新IP(192.1.1.2)機器名NDC ,以下作法是否可行?

       1.將新機器升級成MEMBER DC綁DNS,移到F/W外,IP設為167.1.1.1,名稱改

          成原ROOT DC的,請問這邊電腦名稱要改嗎????還是不用改?

       2.將ROOT DC 移到LAN中,IP改成192.1.1.1,名稱????

       3.原MEMBER DC降級並將DNS拿掉,改成新IP:192.1.1.2,單純成為FILE SERVER。

            

     

     

    2006年3月17日 上午 01:05
  •  FLY007 寫信:

       1.將新機器升級成MEMBER DC綁DNS,移到F/W外,IP設為167.1.1.1,名稱改

          成原ROOT DC的,請問這邊電腦名稱要改嗎????還是不用改?

    如果您有很多機器用到原 Root DC 的共用磁碟與印表機並且這些資源與用戶端對應無法轉移到新機器,您才需要考慮 Rename DC。不過 Rename DC 也有需要注意的步驟,您可以參考 KB How to Rename a Windows 2000 Domain Controller

     FLY007 寫信:

       2.將ROOT DC 移到LAN中,IP改成192.1.1.1,名稱????

    同上,如果新 DC 不用改名,Root DC 維持原樣即可

     FLY007 寫信:

       3.原MEMBER DC降級並將DNS拿掉,改成新IP:192.1.1.2,單純成為FILE SERVER。

    如果您原來的 Root DC 上有啟用 DNS,這時候把 DNS 移除就沒有問題。

    2006年3月19日 下午 02:11
  •  Robert您好:

      根據之前您所說的第三點,進行測試,在進行DC降級時,似乎沒有強迫AD Replication、轉移FSMO角色到新DC。

    2006年3月22日 上午 12:44

  • 您好,之前回答您的問題的時候是假設您只有一台DC, 在這種情況下該台 DC 是 Root DC,預設是會有五種 FSMO 角色。所以在降級的時候 DCPromo 執行的過程中您會看到強制 Replication 和 FSMO 角色轉移。

    在您實際的例子中,您並沒有降級 Root DC,而是降級 Member DC。沒有 FSMO 腳色的 Member DC 是不需要轉移 FSMO 的動作。而 這台 Member DC 如果沒有還未 Replicate 的資料的話也不需要強迫 AD Replication。

    2006年3月23日 下午 04:41
  • Robert您好:

      謝謝您的回覆,現在我的root dc要從防火牆外移到lan中,原root dc要由另外一台member dc取代(ip是原root dc在用的),root dc直接移到lan中,改成lan中的ip(原lan中member dc在用的ip),lan中的member dc 降級為一般server(給新ip),除了您說的防火牆要注意外,這樣是不是就可以work了。

    2006年3月27日 上午 06:15