服务器迁移改造 如何将旧域服务器迁移新域服务器

很多朋友对于服务器迁移改造和如何将旧域服务器迁移新域服务器不太懂，今天就由小编来为大家分享，希望可以帮助到大家，下面一起来看看吧！

一、服务器迁移

客户由于以下原因可能会要进行OA的迁移

1)项目实施阶段，通过某项测试，把通过测试的机器的OA环境搬迁到另一台机上

2) OA应用服务器硬件升级或故障，为了不影响OA正常使用，需要搬迁

3) OA应用做双机互备，双机热备等

此OA应用服务迁移如果涉及OA数据库的变动，请参考『迁移OA数据库』。

1.相同操作系统间迁移，如从一台windows2003系统机器迁移到另一台windows2003系统机器

把$OA_HOME目录拷贝到另一台机器相同路径下（如果拷贝到另一台机器的路径不相同，方法请参考跨操作系统迁移，来修改路径参数）；

2.跨操作系统迁移（如从windows操作系统迁移到linux）或者在同一台机器下不同路径下迁移

将$OA_HOME目录压缩成.tar格式，然后上传到目录机器上，解压到需要的路径下

请检查以下这些文件，将路径修改成实际的路径：

1．$OA_HOME/TomcatX/conf/server.xml文件Context path="/oa" docBase=" E:/OA/firstframe/web"中docBase的值

或者$OA_HOME/ApusicX/config/server.xml文件lication name="oa" base=" E:/OA/firstframe/web"中base的值

2．$OA_HOME/firstframe/bin/set-server-env.bat(非windows环境：$OA_HOME/firstframe/bin/init.sh)文件中OA_HOME，J*A_HOME，JRE_HOME等参数的路径值

3．$OA_HOME/firstframe/resources/firstframe.properties文件中constant.main_storage_dir的值（OA公文处理表单等文件的存放目录路径）

注意：由windows操作系统迁移至其他操作系统，要将数据库中各模块附件中路径的反斜杠全部改成正斜杠，脚本如下：

--oracle脚本:update archive2_attach set serverfile=replace(serverfile,'

','/');update archives_attach set serverfile=replace(serverfile,'

','/');update books_info set serverfile=replace(serverfile,'

','/');update bulletins_attach set serverfile=replace(serverfile,'

','/');update calendar_attach set serverfile=replace(serverfile,'

','/');update docex_fileattach set serverfile=replace(serverfile,'

','/');update fileman set serverfile=replace(serverfile,'

','/');update forum_attachment set serverfile=replace(serverfile,'

','/');update knowledge_attach set serverfile=replace(serverfile,'

','/');update meeting_attach set serverfile=replace(serverfile,'

','/');update messages_attach set serverfile=replace(serverfile,'

','/');update news_attach set serverfile=replace(serverfile,'

','/');update workflow_fileattach set serverfile=replace(serverfile,'

','/');update workflow_signature set serverfile=replace(serverfile,'

','/');update workflow_wordtemplate set serverfile=replace(serverfile,'

','/');update workflow_websign set serverfile=replace(serverfile,'

','/');mit;

--mssql脚本:update archive2_attach set serverfile=replace(serverfile,'

','/')update archives_attach set serverfile=replace(serverfile,'

','/')update books_info set serverfile=replace(serverfile,'

','/')update bulletins_attach set serverfile=replace(serverfile,'

','/')update calendar_attach set serverfile=replace(serverfile,'

','/')update docex_fileattach set serverfile=replace(serverfile,'

','/')update fileman set serverfile=replace(serverfile,'

','/')update forum_attachment set serverfile=replace(serverfile,'

','/')update knowledge_attach set serverfile=replace(serverfile,'

','/')update meeting_attach set serverfile=replace(serverfile,'

','/')update messages_attach set serverfile=replace(serverfile,'

','/')update news_attach set serverfile=replace(serverfile,'

','/')update workflow_fileattach set serverfile=replace(serverfile,'

','/')update workflow_signature set serverfile=replace(serverfile,'

','/')update workflow_wordtemplate set serverfile=replace(serverfile,'

','/')update workflow_websign set serverfile=replace(serverfile,'

','/')go

因为中间件缓存中保存了原来路径参数，影响OA使用，所以在启动OA服务之前请清删除OA缓存文件，$OA_HOME/ApusicX/deploy或$OA_HOME/TomcatX/work/Catalina/localhost目录下的所有文件夹，启动OA服务后重新申请license，如中间件是apusic，还需要重新申请apusic的license，请联系实施人员申请。

二、如何迁移iptables防火墙规则到新服务器

将Linux系统设置成REJECT拒绝动作策略后，对方会看到本机的端口不可达的响应：

[root@linuxprobe~]# ping-c 4 192.168.10.10

PING 192.168.10.10(192.168.10.10) 56(84) bytes of data.

From 192.168.10.10 icmp_seq=1 Destination Port Unreachable

From 192.168.10.10 icmp_seq=2 Destination Port Unreachable

From 192.168.10.10 icmp_seq=3 Destination Port Unreachable

From 192.168.10.10 icmp_seq=4 Destination Port Unreachable

--- 192.168.10.10 ping statistics---

4 packets transmitted, 0 received,+4 errors, 100% packet loss, time 3002ms

将Linux系统设置成DROP拒绝动作策略后，对方会看到本机响应超时的提醒，无法判断流量是被拒绝，还是对方主机当前不在线：

[root@localhost~]# ping-c 4 192.168.10.10

PING 192.168.10.10(192.168.10.10) 56(84) bytes of data.

--- 192.168.10.10 ping statistics---

4 packets transmitted, 0 received, 100% packet loss, time 3000ms

8.2.2基本的命令参数

iptables是一款基于命令行的防火墙策略管理工具，由于该命令是基于终端执行且存在有大量参数的，咱们学习起来难度还是较大的，好在对于日常控制防火墙策略来讲，您无需深入的了解诸如“四表五链”的理论概念，只需要掌握常用的参数并做到灵活搭配即可，以便于能够更顺畅的胜任工作所需。iptables命令可以根据数据流量的源、目的、传输协议、服务类型等等信息项进行匹配，一旦数据包与策略匹配上后，iptables就会根据策略所预设的动作来处理这些数据包流量，另外再来提醒下同学们防火墙策略的匹配顺序规则是从上至下的，因此切记要把较为严格、优先级较高的策略放到靠前位置，否则有可能产生错误。下表中为读者们总结归纳了几乎所有常用的iptables命令参数，刘遄老师遵循《Linux就该这么学》书籍的编写初衷而设计了大量动手实验，让您无需生背硬记这些参数，可以结合下面的实例来逐个参阅即可。

编辑

参数作用

-P设置默认策略:iptables-P INPUT(DROP|ACCEPT)

-F清空规则链

-L查看规则链

-A在规则链的末尾加入新规则

-I num在规则链的头部加入新规则

-D num删除某一条规则

-s匹配来源IP/MASK，加叹号"!"表示除这个IP外。

-d匹配目标

-i网卡名称匹配从这块网卡流入的数据

-o网卡名称匹配从这块网卡流出的数据

-p匹配协议,如tcp,udp,icmp

--dport num匹配目标端口号

--sport num匹配来源端口号

使用iptables命令-L参数查看已有的防火墙策略：

[root@linuxprobe~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

ACCEPT all-- anywhere anywhere ctstate RELATED,ESTABLISHED

ACCEPT all-- anywhere anywhere

INPUT_direct all-- anywhere anywhere

INPUT_ZONES_SOURCE all-- anywhere anywhere

INPUT_ZONES all-- anywhere anywhere

ACCEPT icmp-- anywhere anywhere

REJECT all-- anywhere anywhere reject-with icmp-host-prohibited

………………省略部分输出信息………………

使用iptables命令-F参数清空已有的防火墙策略：

[root@linuxprobe~]# iptables-F

[root@linuxprobe~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

………………省略部分输出信息………………

将INPUT链的默认策略设置为拒绝：

如前面所提到的防火墙策略设置无非有两种方式，一种是“通”，一种是“堵”，当我们将INPUT链设置为默认拒绝后，咱们就要往里面写入允许策略了，否则所有流入的数据包都会被默认拒绝掉，同学们需要留意规则链的默认策略拒绝动作只能是DROP，而不能是REJECT。

[root@linuxprobe~]# iptables-P INPUT DROP

[root@linuxprobe~]# iptables-L

Chain INPUT(policy DROP)

target prot opt source destination

…………省略部分输出信息………………

向INPUT链中添加允许icmp数据包流入的允许策略：

在日常运维工作中经常会使用到ping命令来检查对方主机是否在线，而我们向防火墙INPUT链中添加一条允许icmp协议数据包流入的策略就是默认允许了这种ping命令检测行为。

[root@linuxprobe~]# ping-c 4 192.168.10.10

PING 192.168.10.10(192.168.10.10) 56(84) bytes of data.

--- 192.168.10.10 ping statistics---

4 packets transmitted, 0 received, 100% packet loss, time 3000ms

[root@linuxprobe~]# iptables-I INPUT-p icmp-j ACCEPT

[root@linuxprobe~]# ping-c 4 192.168.10.10

PING 192.168.10.10(192.168.10.10) 56(84) bytes of data.

64 bytes from 192.168.10.10: icmp_seq=1 ttl=64 time=0.156 ms

64 bytes from 192.168.10.10: icmp_seq=2 ttl=64 time=0.117 ms

64 bytes from 192.168.10.10: icmp_seq=3 ttl=64 time=0.099 ms

64 bytes from 192.168.10.10: icmp_seq=4 ttl=64 time=0.090 ms

--- 192.168.10.10 ping statistics---

4 packets transmitted, 4 received, 0% packet loss, time 2999ms

rtt min/*g/max/mdev= 0.090/0.115/0.156/0.027 ms

删除INPUT链中的那条策略，并将默认策略还原为允许：

[root@linuxprobe~]# iptables-D INPUT 1

[root@linuxprobe~]# iptables-P INPUT ACCEPT

[root@linuxprobe~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

………………省略部分输出信息………………

设置INPUT链只允许指定网段访问本机的22端口，拒绝其他所有主机的数据请求流量：

防火墙策略是按照从上至下顺序匹配的，因此请同学们一定要记得将允许动作放到拒绝动作上面，否则所有的流量就先被拒绝掉了，任何人都获取不到咱们的业务。文中提到的22端口是下面第九章节讲的ssh服务做占用的资源，这里再挖个小坑~等同学们稍后学完再回来验证这个实验效果吧~

[root@linuxprobe~]# iptables-I INPUT-s 192.168.10.0/24-p tcp--dport 22-j ACCEPT

[root@linuxprobe~]# iptables-A INPUT-p tcp--dport 22-j REJECT

[root@linuxprobe~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

ACCEPT tcp-- 192.168.10.0/24 anywhere tcp dpt:ssh

REJECT tcp-- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

………………省略部分输出信息………………

使用IP在192.168.10.0/24网段内的主机访问服务器的22端口：

[root@Client A~]# ssh 192.168.10.10

The authenticity of host'192.168.10.10(192.168.10.10)' can't be established.

ECDSA key fingerprint is 70:3b:5d:37:96:7b:2e:a5:28:0d:7e:dc:47:6a:fe:5c.

Are you sure you want to continue connecting(yes/no)? yes

Warning: Permanently added'192.168.10.10'(ECDSA) to the list of known hosts.

's password:

Last login: Sun Feb 12 01:50:25 2017

[root@Client A~]#

使用IP在192.168.20.0/24网段外的主机访问服务器的22端口：

[root@Client B~]# ssh 192.168.10.10

Connecting to 192.168.10.10:22...

Could not connect to'192.168.10.10'(port 22): Connection failed.

向INPUT链中添加拒绝所有人访问本机12345端口的防火墙策略：

[root@linuxprobe~]# iptables-I INPUT-p tcp--dport 12345-j REJECT

[root@linuxprobe~]# iptables-I INPUT-p udp--dport 12345-j REJECT

[root@linuxprobe~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

REJECT udp-- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable

REJECT tcp-- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable

ACCEPT tcp-- 192.168.10.0/24 anywhere tcp dpt:ssh

REJECT tcp-- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

………………省略部分输出信息………………

向INPUT链中添加拒绝来自于指定192.168.10.5主机访问本机80端口（web服务）的防火墙策略：

[root@linuxprobe~]# iptables-I INPUT-p tcp-s 192.168.10.5--dport 80-j REJECT

[root@linuxprobe~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

REJECT tcp-- 192.168.10.5 anywhere tcp dpt: reject-with icmp-port-unreachable

REJECT udp-- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable

REJECT tcp-- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable

ACCEPT tcp-- 192.168.10.0/24 anywhere tcp dpt:ssh

REJECT tcp-- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

………………省略部分输出信息………………

向INPUT链中添加拒绝所有主机不能访问本机1000至1024端口的防火墙策略：

[root@linuxprobe~]# iptables-A INPUT-p tcp--dport 1000:1024-j REJECT

[root@linuxprobe~]# iptables-A INPUT-p udp--dport 1000:1024-j REJECT

[root@localhost~]# iptables-L

Chain INPUT(policy ACCEPT)

target prot opt source destination

REJECT tcp-- 192.168.10.5 anywhere tcp dpt: reject-with icmp-port-unreachable

REJECT udp-- anywhere anywhere udp dpt:italk reject-with icmp-port-unreachable

REJECT tcp-- anywhere anywhere tcp dpt:italk reject-with icmp-port-unreachable

ACCEPT tcp-- 192.168.10.0/24 anywhere tcp dpt:ssh

REJECT tcp-- anywhere anywhere tcp dpt:ssh reject-with icmp-port-unreachable

REJECT tcp-- anywhere anywhere tcp dpts:cadlock2:1024 reject-with icmp-port-unreachable

REJECT udp-- anywhere anywhere udp dpts:cadlock2:1024 reject-with icmp-port-unreachable

………………省略部分输出信息………………

是不是还意犹未尽？但是同学们对于iptables防火墙管理命令的学习到此就可以结束了，考虑到以后防火墙的发展趋势，同学们只要能把上面的实例看懂看熟就可以完全搞定日常的iptables防火墙配置工作了。但请特别留意下，iptables命令配置的防火墙规则默认会在下一次重启时失效，所以如果您想让配置的防火墙策略永久的生效下去，还要执行一下保存命令：

[root@linuxprobe~]# service iptables s*e

iptables: S*ing firewall rules to/etc/sysconfig/iptables: [ OK ]

具体iptable还有很多的知识点：

三、如何将旧域服务器迁移新域服务器

关于更换或者迁移域服务器:关于域服务器迁移的请教我通过部署一个简单的域管理公司40台左右的机器。域的作用主要是通过域用户来管理客户端，回收大部分的权限，使客户端系统非常稳定！整个域系统已经用了快4年了。另外域服务器还兼任文件服务器，授权和设置了共享文件目录，让客户端可以通过这些共享目录交流和保存信息。现在公司购置了新的机器，需要将现在旧的域服务器迁移到这台新机上，旧的机器另有用途，我在考虑如何做才能让客户端受到的影响最小！先讲一下我现在的网络系统架构：ip段：192.168.76.0 255.255.255.0DNS：192.168.76.21DC(old)：192.168.76.21我想的迁移办法是：1.先在新机上装好dc(new)：192.168.76.312.在dc(new)上设置dns指向192.168.76.21，然后作为DC(old)的额外域建立域，将dc(new)的域信息复制过来，然后配置dc(new）的dns中的ad zone，将dc(old)的dns资料也复制过来，使dc(new)完全成为dc(old)的冗余备份！3.将dc(old)的域正常卸载，让dc(new)承担起域的管理以上只是我以现有知识的设计方案，还没有实际实践，所以想请教几个问题：1.dc(old)正常卸载后，dc(new)是否会自动管理起整个域？还需要什么后续的步骤吗？2.另一个*的问题是如何使原客户端的dns指向新的dns，我想将dc(old)从网络下线后，修改dc(new)的ip为dc(old)的ip，但是觉得会有问题，不知道是否可行，或者有其他更好的办法。否则我还是要修改40多台客户端的dns指向新的dc(new）！回答： 1.这里要澄清一个问题，所有dc如果获得了完全复制，那么它们上面的数据库是完全同步的，这个通过过程是后台自动完成的，不需要人为干预。如果您的dns选择了与ad同步，那么dns的同步也是自动的。那么在新的dc作为additional dc添加进来并获得完全同步后，您所需要做的动作是，将原有primary dc所承担的角色转移过来，比如5个om，gc，如果有多站点，还有istg。注意是transfer，而不是seize。等待dc的状态稳定后，降级原来的primary dc就好了。相关的资料请参考： 2.更改dc ip的想法是可行的。但您要注意更改dns中的srv记录，更改完成后，要注意ad中的各事件日志，确保ad的正常运作。需要提到一点的是，整个操作需要有个过程，最好能够持续1、2天，分步骤实施，实施之间最好能够在测试环境中测试后，并对现有dc进行备份后，再行动作！关于dns client的配置问题，这里您可以看一个kb 最关键的一个地方就是primary dns互相指向，否则容易导致dns解析的问题，从而客户端、dc复制都有可能出现问题。

求采纳