作者smallpuma (小山狮)
看板MIS
标题[请益] AD重建问题请教
时间Wed Aug 26 14:44:46 2015
想请教
假设目前我的环境是2台DC、2台AD,且同网域
若要重新建立DC
如果网域内有多台电脑
这样不就要个别从新退出网域再进入
有方法可避免这情况发生吗
--
╭''''''╮
╭╮ )) ˋ
╭⊙│ ╯ )
╰﹏╯ 〃
╰╤-—-╤╯ ....小波....
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 219.87.159.233
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1440571489.A.B15.html
1F:→ deadwood: 你是想打掉Domain重建,还是只想用新的DC取代旧的DC? 08/26 15:17
建新的DC 但Domain Name要一样
2F:→ JohnsonWang: AC是什麽角色? 08/26 15:30
3F:→ JohnsonWang: 另外根据经验,不要直接回答这个问题,重新问一次发 08/26 15:30
4F:→ JohnsonWang: 问的人,你是想要做什麽事情所以来问这个问题? 08/26 15:31
5F:→ JohnsonWang: 因为往往发现,当知道他真正的问题是什麽时,会有其 08/26 15:31
6F:→ JohnsonWang: 它解决的办法出现,而且通常还更好。 08/26 15:31
谢谢大大指教
因为我们家的AD会在固定时间点挂点
厂商跟大头建议DC与AD重建
但上头表示要在Domain Name不更改的情况下直接做更换
7F:推 tnshoho: 推楼上!非常推! 08/26 16:43
8F:推 trumpete: 看叙述是要换掉整个domain ? 08/26 16:57
9F:→ fujay10: AC 是指access point 吗? 不记得AD 架构里有AC 这个角色 08/26 18:11
是AD SORRY 打错字
10F:→ fujay10: 另外,就算你重建一个一模一样的Domain ,SID 和 GUID都 08/26 18:12
11F:→ fujay10: 不同,所以势必要加入Rejoin Domain 一次 08/26 18:13
12F:→ fujay10: 很久没更新这部份的资讯了,如果有错误请指正,谢谢。 08/26 18:14
现在想重建一个一模一样的Domain
但因为PC数太多 如果每台PC要加入Rejoin Domain 会是个问题
所以想偷懒做出一台一模一样的然後直接做更换
但这样又会有SID的问题出现
所以想问问看有什麽方法能在不用Rejoin Domain的情况下处理
13F:→ asdfghjklasd: DC AD? 08/26 18:17
是AD
14F:推 rock5101437: 借题寻问一下,在VM底下如用converter AD到其他VM , 08/26 20:26
15F:→ rock5101437: 是否有不可预期的情况? 08/26 20:26
16F:推 Swampert: AD:是所谓中大型网路集中管理目录 背後有一个DB的存在 08/26 20:47
17F:→ Swampert: 现在应该只是要把有问题的DC"退出网域" 加入新的DC 08/26 20:47
18F:→ Swampert: 可是感觉上层的意思是要把整个AD重建 因为不知道问在哪 08/26 20:49
19F:→ Swampert: 最快的方法之一是把AD"备份"到新的DC上 或是找RODC 08/26 20:50
20F:→ Swampert: 升级DC 08/26 20:51
21F:→ Swampert: 如果还有问题 代表是AD本就有问题(软体) 不是Server 08/26 20:52
22F:→ Swampert: (硬体) 08/26 20:53
23F:推 Swampert: 个人看法是AD里面不知道被设定甚麽 导致你说的问题 08/26 20:56
是的
但因为AD之前的人都没管理 所以上头没有要把把AD"备份"到新的DC上
打算藉这次机会 全部砍掉重练
24F:→ tnshoho: converter AD到VM,没记错整个DB会葛屁... 08/26 21:11
25F:→ tnshoho: 原PO的问题基本上PC就是得重加Domain,这傻事以前被婊过 08/26 21:12
26F:→ tnshoho: 当时还不是网管,结果就是DC想重建一样的到VM..结果就是 08/26 21:13
27F:→ tnshoho: 全公司一千多台PC重加Domain...草他奶奶的 08/26 21:13
对~我就是不想让这种事发生T^T
所以想问版上大大们 该如何避免
※ 编辑: smallpuma (118.166.166.239), 08/26/2015 21:22:02
28F:推 asdfghjklasd: 当然花钱找SI来做 08/26 21:26
公司觉得已经有外包驻厂
但...该外包驻厂常常一问三不知
我真的很怕他弄到最後我要把全公司PC重加Domain...
※ 编辑: smallpuma (118.166.166.239), 08/26/2015 21:30:47
29F:推 Swampert: 同意楼上+1 最好提出"备份方案" 不然感觉没完没了 08/26 21:31
30F:推 asdfghjklasd: SI弄坏当然SI弄好啊,能力不好就换掉,搞AD的专家很多 08/26 21:37
现在问题是约还没到不能换 且换不换还要看上头的意思
而且由於这个问题已经发生快1个月 还搞不定 上面的人都有点想把外包驻厂经费都砍了
※ 编辑: smallpuma (118.166.166.239), 08/26/2015 21:43:40
31F:推 lu760423: 推文中很多值得的外包驻厂xd 08/26 22:11
32F:→ smallpuma: 楼上大大 换不换不是我能决定的呀XDD 08/26 22:17
33F:推 byebye0714: 会在固定时间挂点,event log有看过吗? SI厂商是哪间? 08/26 22:17
正确来说是是会在特定时段挂点才对
event log SI有看过但找不到问题
SI的说法从 SEVER中毒 一直到最近的说法是domain要重建
34F:→ smallpuma: 那家SI 不方便透露 怕被该SI看到 他就会知道我公司了XD 08/26 22:24
※ 编辑: smallpuma (118.166.166.239), 08/26/2015 22:31:16
35F:推 byebye0714: vm架构你们是用esxi吗? 有看过上面log吗? 08/26 22:35
36F:→ smallpuma: 我家没VM 我建议过 但~上头说没经费 08/26 22:37
37F:推 lu760423: 其实vm用免费...我个人觉得就很足够 很多功能还不定用 08/26 23:09
38F:→ coflame: AD DC不也可以建成High Availability? 08/26 23:20
39F:→ coflame: 有需要到重新打掉整个Domain吗? 08/26 23:20
40F:→ smallpuma: 外包驻厂 他们家顾问建议的 08/26 23:34
41F:→ d19390023: 建2台新的DC先取代现有DC再观察看看,是否会有同样问题 08/26 23:47
42F:→ d19390023: 再决定吧 08/26 23:47
43F:→ coflame: 那家顾问建议这种方式....给大家参考一下? 08/26 23:47
44F:→ smallpuma: 不要害我拉 ~"~ 08/26 23:51
45F:推 epenpal: 绝对不用重建 08/27 00:06
46F:→ deadwood: 几个月前不是有人问过,五大角色转移的方式不行吗? 08/27 00:16
47F:推 EHSIEH: 我也觉得做DC移转到新的主机上先试试看,不行要砍AD再砍 08/27 07:06
48F:→ smallpuma: 谢谢大大们指点 08/27 08:35
49F:→ hhyu0627: 先看看DC之间的复写正不正常,另外dns有问题也是会造成D 08/27 14:43
50F:→ hhyu0627: C异常,所以也要一并检查 08/27 14:43
52F:→ AskaSu: 有检查到错误的话,也会有一些基本提示及说明 08/27 16:29
53F:→ Dino9021: 砍掉重练是非常稀有的解决方案,需要高层的全力支持,你 08/27 20:37
54F:→ Dino9021: 要做的事情是开始确认 PC 重新加入 Domain 会影响 User 08/27 20:37
55F:→ Dino9021: 哪些使用习惯或占用时间,然後规划进度、时程,以及与各 08/27 20:37
56F:→ Dino9021: 部门协调,将之写成报告请上头批示然後当尚方宝剑请各部 08/27 20:37
57F:→ Dino9021: 门配合。一直纠结在不想做,你所谓的上头只会觉得你没有 08/27 20:37
58F:→ Dino9021: 执行力,现在想砍厂商,接着就砍你了。换个角度想吧,这 08/27 20:37
59F:→ Dino9021: 麽难得可以让你完全掌握一个乾乾净净的 AD,由你接生、 08/27 20:37
60F:→ Dino9021: 照顾、抚养长大的机会有多少,多少 MIS 都是去接人家已 08/27 20:37
61F:→ Dino9021: 经千疮百孔的 AD,修不好一堆问题上头还不想砍掉重练, 08/27 20:37
62F:→ Dino9021: 你的机会是难得的。 08/27 20:37
63F:→ Dino9021: 然後如果不想搞这种基础工程因为可能有 Exchange、Lync 08/27 20:48
64F:→ Dino9021: 或其他 LDAP 相关的服务,整个必须要有非常详细的计画才 08/27 20:48
65F:→ Dino9021: 能施行,只能建议你换 SI 或是直接找微软进来,我认为大 08/27 20:48
66F:→ Dino9021: 部份的怪事都有解只是功力够不够,但你没提到 DC 作业系 08/27 20:48
67F:→ Dino9021: 统版本,2003 以前的已经不 Support 了,前面有推文说实 08/27 20:48
68F:→ Dino9021: 体 DC 虚拟化会 GG 不过我有做过而且成功的,你可以试试 08/27 20:48
69F:→ Dino9021: 看先把其中一台 DC P2V 到 Lab 环境,在 Lab 环境另起一 08/27 20:48
70F:→ Dino9021: 台 DC Join 进去再把原本的 DC 降级移除,然後测试原本 08/27 20:48
71F:→ Dino9021: 的问题还会不会发生,相关操作包括五大角色以及遗失的其 08/27 20:48
72F:→ Dino9021: 他 DC 等等记得先处理,如果这样能跑的话再做一次把每一 08/27 20:48
73F:→ Dino9021: 个步骤都记录下来,再去实体做,但是永远要有备案,你要 08/27 20:48
74F:→ Dino9021: 是某个周末在实体环境做了结果失败了隔两天全公司无法上 08/27 20:48
75F:→ Dino9021: 班就不只是被钉到墙壁上那麽简单的事了 08/27 20:48
76F:→ smallpuma: 谢谢D大 08/27 22:48
77F:→ smallpuma: 我就是怕功力不够被钉到墙壁 08/27 22:53
78F:推 trumpete: DC P2V 我在production 环境实作5~6次了 没啥问题啊 08/28 01:26
79F:→ trumpete: 要动DC之前 我习惯先P2V 然後在lab 环境尽量测试 08/28 01:26
80F:推 epenpal: 最好不要p2v 不如建新dc 08/28 01:27
81F:→ smallpuma: 可是 之前曾在LAB下测试把SEVER升级为2008 08/28 09:08
82F:→ smallpuma: 测试时一切正常 测试後 仍无法解决现在面临的问题 08/28 09:09
83F:→ smallpuma: 其实 我只是想知道 我家外网常出问题 更改DNS後 08/28 09:10
84F:→ smallpuma: 更改DNS为GOOGLE後就正常 08/28 09:10
85F:→ smallpuma: 应该说加了一组DNS的GOOGLE後WIN7的OS版本就正常 08/28 09:11
86F:→ smallpuma: 但XP还是依样会有问题 08/28 09:11
87F:→ smallpuma: 且有时与AD的认证会出问题连不上 08/28 09:11
88F:→ smallpuma: 过了使用者尖峰时期就正常 08/28 09:12
89F:→ smallpuma: 但~这些问题在LAB环境时都正常 上线後就.... 08/28 09:12
90F:→ deadwood: 那你们要不要找厂商诊断一下网路环境? 08/28 10:03
91F:→ deadwood: 不然要是重作domain,电脑全部重加然後还是有问题就囧了 08/28 10:06
92F:→ asdfghjklasd: 我都说换付钱换一家会做的SI了啊。讲那麽多是能动? 08/28 10:14
93F:→ smallpuma: 上面的就不肯呀 T^TY 08/28 10:59
94F:→ yolin1111: 五大角色搬移应该可以解决大部分的问题(推测) 08/28 13:05
95F:推 slime756: 同意楼上大大所说 势必必需把主 AD的fsmo五大角色抢夺 08/28 19:36
96F:→ slime756: 後 再把它降级及退出网域 08/28 19:36
97F:→ smallpuma: 谢谢大大们指导 08/28 21:52
98F:→ Dino9021: 这个 SI 不想找出问题只想砍掉重练,真得最好换一家 08/29 16:52
99F:→ smallpuma: 合约未到期所以上面也无法换 到是这个SI让上面的在考虑 08/29 17:02
100F:→ smallpuma: 考虑是否有需要SI的经费 08/29 17:03
101F:→ smallpuma: 这个 SI目前找到的问题解法 是更换DOMAIN NAME 08/29 17:04
102F:→ smallpuma: 只是我不知道为什麽更换DOMAIN NAME能解决问题 08/29 17:04
103F:→ AskaSu: 更换网域名?? SI提供这样的解法,没有说明原因?? 08/29 17:54
104F:→ AskaSu: 另外,DC可以P2V没问题,但要留意是用什麽P2V工具/软体 08/29 18:53
105F:→ AskaSu: 有的会用备份还原软体做P2V,还原时选择的设定不对 08/29 18:55
106F:→ AskaSu: 造成还原时被强制做了Sysprep或其他动作,导致SID被异动 08/29 18:56
107F:→ AskaSu: 就无法正常跟原来的AD环境沟通运作了 08/29 18:57
108F:推 lu760423: 苏大先不说ad啦...版聚耶! 08/29 20:37
109F:→ smallpuma: 谢谢苏大 08/29 22:33
110F:→ smallpuma: SI有没有说原因不太清楚 因为上面的只说是SI说的Y 08/29 22:33
111F:推 slime756: 苏大 难不成就是苏老碎碎年本人!!! 08/30 11:24
112F:推 JohnsonWang: 找微软进来花个六千元几乎保修到好,我用过两三次了 08/31 10:41
113F:→ JohnsonWang: 修不好的疑难杂症就花钱找微软,不要找这种没有技术 08/31 10:41
114F:→ JohnsonWang: 含量的SI厂商 XD 08/31 10:42
115F:→ JohnsonWang: 技术支援专线:0800-008833 这我之前用的,给你参考 08/31 11:13
116F:→ smallpuma: 谢谢 09/01 11:07
117F:→ AskaSu: 微软的技术支援能力是绝对可以放心的,不过使用的产品 09/01 14:55
118F:→ AskaSu: 如果不在微软主流支援范围,就可能无法提供协助了 09/01 14:56
119F:→ smallpuma: 上面的目前倾向 把XP的电脑换成WI7 09/01 15:59
120F:→ smallpuma: 网路磁路径从IP改成电脑名称方式处理 = = 09/01 16:00
121F:推 lu760423: XP电脑换成WIN7不就正合重整的意了 09/01 17:09
122F:→ giogibyeie: AD是一个目录服务的环境,里面一定会有DC,两台DC, 09/01 18:14
123F:→ giogibyeie: 两台AD是什麽鬼?你的AD版本?挂掉是怎麽挂法?这些你 09/01 18:14
124F:→ giogibyeie: 都没描述清楚! 09/01 18:14
125F:→ lu760423: 其实还是很多人会把 AD DC 说错...包含我主管 09/01 19:38
126F:→ tnshoho: 呵 09/02 00:00
127F:→ smallpuma: 因为外包厂商认为DNS有问题且SEVER的OS太旧 09/02 00:07
128F:→ smallpuma: 所以建议架一台2008SEVER板本的AD 09/02 00:07
129F:→ smallpuma: 於是乎我家有一台2003的AD与2008的AD 09/02 00:09
130F:→ smallpuma: 至於会说AD挂了因为认证方面会有问题 09/02 00:11
131F:→ smallpuma: 有时一些USER会无法登入电脑 有时网路磁碟会无法开启 09/02 00:12
132F:→ smallpuma: 有时一些後DNS会挂点 09/02 00:12
133F:→ smallpuma: 有时一些後PING 不到AD 09/02 00:13
134F:→ AskaSu: 原来的AD环境有几台DC??有两台的话,我的经验几乎是可以救 09/02 00:30
135F:→ AskaSu: 会无法登入电脑或网路磁碟不能开启,应该是因为身分验证时 09/02 00:32
136F:→ AskaSu: 找到有问题的DC做验证所导致,至於Ping不到DC就很怪了 09/02 00:32
137F:→ smallpuma: 原来的AD环境只有1台DC 09/02 01:09
138F:→ smallpuma: 就是因为很怪 所以我家外包驻厂 现在只会说 他不知道 09/02 01:11
139F:→ smallpuma: 我家外包驻厂 现在只会说 不知道 无解 09/02 01:12
140F:→ smallpuma: 我昨天还遇到XP的电脑 把DNS乱改後还能开网页(非IP) 09/02 01:13
141F:→ smallpuma: 而HOST 并没有写上有关该网页的IP位置 09/02 01:14
142F:→ smallpuma: 感觉XP的PC上把DNS停用 还会抓到某地方的DNS 09/02 01:16
143F:→ smallpuma: 问外包 外包说他也不知道原因 可能有鬼 09/02 01:16
144F:→ giogibyeie: 本人衷心的建议你换外包! 09/02 11:24
145F:→ giogibyeie: 另外请你顺便检查一下,你的AD是Native mode 或是Mixe 09/02 11:24
146F:→ giogibyeie: d mode比较方便判断问题。 09/02 11:24
147F:→ smallpuma: AD是混合模式 09/03 11:07
148F:→ giogibyeie: 建议你先把AD转成Native mode 09/03 18:22
149F:→ smallpuma: 最新进展是 我把XP的PC重新加入DOAIM後 就没DNS被咬住 09/03 19:21
150F:→ smallpuma: 就没DNS被咬住的问题 09/03 19:21
151F:→ smallpuma: DNS被咬住的问题(无论怎麽改DNS DNS还是走原本的设定) 09/03 19:22
152F:→ smallpuma: 但在IPCONFI/ALL的下会显示以改过的DNS) 09/03 19:23