说说近期的域切换过程和遇到的问题

mark_mark

1起因：公司内有多个独立的森林域，有交流人员时就需要重新加入到域中，曾经想通过建立信任解决，但后期因为考虑为邮件系统打基础，也就有了整合为一个域的想法；
2目标：整合为一个域，各分支机构作为单独的站点来运行。
3大概步骤：总部先建立好域，然后进行总部的切换，待切换完毕后，各分支机构逐步进行切换；切换中使用admt进行账号迁移；
4环境：公司内的局域网环境是通过专线或VPN连接的，带宽上可以有一定的保证，为了节省带宽，在两端的路由器上启用了少量的限制策略；操作系统为win2003；
5过程1：第一次测试时，先将我所在的分支的一台DC降级后加入到了正式的域中，加入过程正常，但在尝试建立信任关系时，经过多次检查配置，均提示无法完成操作或联系不到域（已经完成DNS转发，用ping和nslookup测试都正常），检查了限制策略后确认不是因为策略限制导致后，暂时先将所有设置还原；
过程2：利用周末的时间进行了上述测试，仍提示无法建立信任；在查找相关技术资料后，我个人的判断结论是因为两个域（非单标签域名）的netbios名称相同导致信任无法建立（如a.com和a.net），可以采取两种方法进行测试：a）用一台微机升级为我所在机构的DC，然后断开网络，强行夺取5个角色，然后用域重命名工具将该域改名，用改名后的域去和总部的正式域建立信任；b）建立第3个域，先用这第3个域与我的机构域建立信任，然后用admt完成用户迁移，在断开信任后，域总部的正式域建立信任，进行第2次用户迁移；
待续..

[ 本帖最后由 mark_mark 于 2008-5-20 09:30 编辑 ]

mark_mark

过程3：经过测试，用rendom.exe重命名的域在和正式域建立信任时还是出现问题，具体原因不知道是重命名不够彻底还是内部有冲突；最终经过测试，采用了b方案，测试也证实了迁移需要的sidhistory可以多次保留，即每迁移一次会保留一次sidhistory，除非在迁移后用清楚sidhistory的脚步进行了历史清除。
过程4正式迁移：正式迁移的过程这里不多说，给大家一个参考的文档，作者写的非常的详细（针对admt2.0版本，目前3.0版本已经可以下载到了，03年用1.0版本迁移过公司的域，但时间久都没印象了，呵呵）；
admt v3.0下载地址：（需要数据库或MSDE支持）
http://www.microsoft.com/downloa ... &displaylang=en
admt v2.0下载地址：
http://www.microsoft.com/downloa ... &DisplayLang=en
文档连接：（江小帅出品）
http://www.winmag.com.cn/forum/i ... did=5&id=457220
清楚sidhistory脚本和方法：
http://support.microsoft.com/kb/295758/zh-cn

[ 本帖最后由 mark_mark 于 2008-5-20 09:43 编辑 ]

mark_mark

小结：
这次迁移虽然说工作量主要在客户端的切换，因为本次在用户迁移后重新进行了用户名的规范，这样也就需要调整客户端的用户配置文件，当然也就出现了不少的应用程序不能使用，需要重新安装；
清理sidhistory时，因为不是所有的用户都有这个属性，因此我使用csvde.exe工具把用户相关属性导出了一份csv格式，我用户多，竟然有130+MB，用excel编辑筛选，保留有sidhistory的用户，然后手工整理一个批处理文件，一次清理完成。
同netbios域名的域无法建立信任关系；
域改名后，无法和原来的域建立信任，会提示：你正在操作同一个域请连接到其他的域（好像是这样的内容），估计是域的啥id是相同的？
熟悉了几次ntdstuil工具进行角色的迁移、夺取以及数据的清理；
新建立的第3个域，无法同时和两个netbios名称的域建立信任；
我这几次迁移用户和密码都正常，但迁移计算机账号不行，所以都是手工修改的（哪位有好方法可以交流哈）。
补充：a方法也可以建立信任，估计是测试用的系统太乱，重新找台微机新安装系统，然后夺取域角色后可以了；
域模式和林模式都是2003的；
好像就这么多了；如果想起来随时补充

[ 本帖最后由 mark_mark 于 2008-5-20 10:40 编辑 ]

erjing

写的不错。俺加几句：）
1.在域融合之前，都会进行给一个域改名。比如：
你的主域是：
ds.123.com
那么要融合一个域过来，一般首先要做的是给域改名字，如果哪个域也是ds.456.com，那么可以把这个域先改名字成sd.456.com，如楼主所说，netbios名不能一样。
2、分支节点，一定要有自己的域服务器，并且是子域。要不以后域同步的时候问题就大了。也就说会有多个同级别的域服务器在很差并且不稳定的情况下分布出去。
3、对于邮件系统来说，一般融合的时候先不做这一步，等到域问稳定了才去动邮件系统。 解决方法可以是通过别名，或者是通过过转发来做临时解决方案。
4、使用exchange的...俺为你感到悲痛....你的好日子没几天了....用qmail+ldap和域融合到一起多好？好管理，账户集中，功能强大，远远比exhange强大。
5、就我的经验exchange出现的90%的问题都是由于域服务器的问题。优化你的域环境相当重要。
6、多备份。备份多少次都不嫌多。给域做配置之前，一定要先做测试。特别是这样大的项目，其实你在微软的官方可以下载到迁移域的步骤。里面写的很清楚，先做模拟测试。

[ 本帖最后由 erjing 于 2008-5-20 18:54 编辑 ]

ppxx

收藏了，不知何时会用到。

mark_mark

1.在域融合之前，都会进行给一个域改名。比如：
你的主域是：
ds.123.com
那么要融合一个域过来，一般首先要做的是给域改名字，如果哪个域也是ds.456.com，那么可以把这个域先改名字成sd.456.com，如楼主所说，netbios名不能一样。
针对这个问题因为以前也没有遇到过甚至都没有类似的资料提及过，也是在测试过程中发现的，算是一种经验的积累吧；
2、分支节点，一定要有自己的域服务器，并且是子域。要不以后域同步的时候问题就大了。也就说会有多个同级别的域服务器在很差并且不稳定的情况下分布出去。
  开始规划的时候有两个方案，一个是父域子域方式，总部用父域，各分支用子域；一个方案是总部和分支都在一个域里，各地都有域控，使用站点方式解决；我个人更倾向于父子域方式，但总部说咨询了不少技术，单域方式可以更好的满足需求，毕竟决定权不在我这里，呵呵
3、对于邮件系统来说，一般融合的时候先不做这一步，等到域问稳定了才去动邮件系统。 解决方法可以是通过别名，或者是通过过转发来做临时解决方案。
邮件还没搞，只是计划，如你所想，确实是要等稳定了再进行测试；
4、使用exchange的...俺为你感到悲痛....你的好日子没几天了....用qmail+ldap和域融合到一起多好？好管理，账户集中，功能强大，远远比exhange强大。
其实我们的目的大概有两个，一是为了实现账号联动，也就是域账号和邮件联动，不需要在额外多开账号增加管理；二是解决地址簿问题，能够实现全球地址簿，当然邮件客户端更换也难以避免；不知道你提及的qmail+ldap和域融合具体如何实现，有没有可以参考的文档连接？
5、就我的经验exchange出现的90%的问题都是由于域服务器的问题。优化你的域环境相当重要。
   我还没接触过ex，但听说的不少，据说是架设比较容易，但要管好实在是很难，比较这个系统太庞大复杂了。也很是担心
6、多备份。备份多少次都不嫌多。给域做配置之前，一定要先做测试。特别是这样大的项目，其实你在微软的官方可以下载到迁移域的步骤。里面写的很清楚，先做模拟测试。
   多谢提醒，呵呵，有不少问题确实是在ms网站得到解决思路的。

[ 本帖最后由 erjing 于 2008-5-21 10:22 编辑 ]

czking

很有用的经验积累分享，关注中

mark要注意身体，多吃肉。

mark_mark

原帖由 czking 于 2008-5-21 12:06 发表
很有用的经验积累分享，关注中

mark要注意身体，多吃肉。

还是多吃蔬菜的好，哈哈

雨夜咖啡

靠 楼主都9个精华了！
都那骗来的！出卖色相了吧！

yuechu

马娃，因为邮件服务器，估计你半条命搭里面了。
exchange服务器肯定涉及到域，按照经验，只要域动了你的exchange肯定出问题。而且很难解决。
比起你调查原因想办法解决，可能在新环境下重新搭建会快很多