兩個(gè)主控域,五角色等

1、其實(shí)2003以后的域控,主域控和備份域控區(qū)別不大,而是有各種主機(jī)角色我找到篇文章,復(fù)制過來(lái)你看下本文主要闡述在AD域控制器集群中,PDC與BDC之間的角色轉(zhuǎn)換過程,介紹了2種方法:1、從主域控制器上轉(zhuǎn)換角色;2、從域控制器搶占角色。一、實(shí)驗(yàn)環(huán)境:域名為1、原主域控制器System: windows 20003 Server2、輔助域控制器System: windows 2003 Server3、 Exchange 2003 Server也許有人會(huì)問,做輔域升級(jí)要裝個(gè)Exchange干什么?其實(shí)我的目的是為了證明我的升級(jí)是否成功,因?yàn)镋xchange和AD是緊密集成的,如果升級(jí)失敗的話,Exch

2、ange 應(yīng)該就會(huì)停止工作。如果升級(jí)成功,對(duì)Exchange應(yīng)該就沒有影響,其實(shí)現(xiàn)在我們很多的生產(chǎn)環(huán)境中有很多這樣的情況。二、實(shí)驗(yàn)?zāi)康?在主域控制器(PDC出現(xiàn)故障的時(shí)候通過提升輔域控制器(BDC為主域控制,從而不影響所有依靠AD的服務(wù)。三、實(shí)驗(yàn)步驟、PDC角色轉(zhuǎn)換(適用于PDC與BDC均正常的情況1、安裝域控制器。第一臺(tái)域控制器的安裝我這里就不在說明了,但要注意一點(diǎn)的是,兩臺(tái)域控器都要安裝DNS 組件。在第一臺(tái)域控制安裝好后,下面開始安裝第二臺(tái)域控制器(BDC,首先將要提升為輔助域控制的計(jì)算機(jī)的計(jì)算機(jī)名,IP地址及DNS跟據(jù)上面設(shè)置好以后,并加入到現(xiàn)有域,加入域后以域管理員的身份登陸,開始進(jìn)

3、行安裝第二臺(tái)域控制器。2、在安裝輔助域控器前先看一下我們的Exchange Server工作是否正常,到Exchange Server 中建立兩個(gè)用戶test1和test2,并為他們分別建立一個(gè)郵箱,下面使用他們相互發(fā)送郵件進(jìn)行測(cè)試。3、我們發(fā)現(xiàn)發(fā)送郵件測(cè)試成功,這證明Exchange是正常的。下面正式開始安裝第二臺(tái)域控制器。也是就輔助域控制器(BDC。4、以域管理員身份登陸要提升為輔助域控制器的計(jì)算機(jī),點(diǎn)【開始】->【運(yùn)行】在運(yùn)行里輸入dcpromo打開活動(dòng)目錄安裝向?qū)?.點(diǎn)兩個(gè)【下一步】, 打開.5、這里由于是安裝第二臺(tái)域控制器,所以選擇【現(xiàn)有域的額外域控制器】,點(diǎn)【下一步】。6、這

4、里輸入你的域管理員的用戶名和密碼,點(diǎn)【下一步】。7、這里提示你的這臺(tái)域控制將成為哪個(gè)域的額外域控制器,如果正確,點(diǎn)【下一步】,再連續(xù)點(diǎn)三個(gè)下一步,就開始安裝了,安裝完成大概要幾分鐘,你就耐心的等待吧8、幾分鐘后安裝完成,提示重新啟動(dòng)計(jì)算機(jī),重新啟動(dòng)計(jì)算機(jī),此時(shí)你的計(jì)算機(jī)已經(jīng)成為了域的輔助域控制了。此時(shí)在活動(dòng)目錄用戶和計(jì)算機(jī)的域控制器里已經(jīng)有兩臺(tái)域控制了9、再查看一下FSMO(五種主控角色的owner,安裝Windows Server安裝光盤中的Support目錄下的supporttool s工具,然后打開提示符輸入:netdom query fsmo 以輸出FSMO的owner,10、現(xiàn)在五個(gè)

5、角色的woner 都是PDC,我的就是要把這個(gè)五個(gè)角色轉(zhuǎn)移到BDC上,使BDC成為這五個(gè)角色的owner。11、現(xiàn)在登陸PDC(主域控制器,進(jìn)入命令提示符窗口,在命令提示符下輸入:ntdsutil 回車,再輸入:roles回車,再輸入connections 回車,再輸入connect to server BDC -> (備注:這里的dc-1是指服務(wù)器名稱,提示綁定成功后,輸入q退出12、輸入?回車可看到以下信息:Connections - 連接到一個(gè)特定域控制器Help - 顯示這個(gè)幫助信息Quit - 返回到上一個(gè)菜單Seize domain naming master - 在已連接的

6、服務(wù)器上覆蓋域角色Seize infrastructure master - 在已連接的服務(wù)器上覆蓋結(jié)構(gòu)角色Seize PDC - 在已連接的服務(wù)器上覆蓋PDC 角色Seize RID master - 在已連接的服務(wù)器上覆蓋RID 角色Seize schema master - 在已連接的服務(wù)器上覆蓋架構(gòu)角色Select operation target - 選擇的站點(diǎn),服務(wù)器,域,角色和命名上下文Transfer domain naming master - 將已連接的服務(wù)器定為域命名主機(jī)Transfer infrastructure master - 將已連接的服務(wù)器定為結(jié)構(gòu)主機(jī)Tran

7、sfer PDC - 將已連接的服務(wù)器定為PDCTransfer RID master - 將已連接的服務(wù)器定為RID 主機(jī)Transfer schema master - 將已連接的服務(wù)器定為架構(gòu)13、然后分別輸入:Transfer domain naming master 回車Transfer infrastructure master 回車Transfer PDC 回車Transfer RID master 回車Transfer schema master 回車以上的命令在輸入完成一條后都會(huì)有提示是否傳送角色到新的服務(wù)器,選擇YES,然后接著一條一條完成既可,完成以上按Q退出界面,14、

8、這五個(gè)步驟完成以后,檢查一下是否全部轉(zhuǎn)移到BDC上了,打開在第9步時(shí)裝windows support tools,開始->程序->windows support tools->command prompt,輸入netdom query fsmo,全部轉(zhuǎn)移成功.現(xiàn)在五個(gè)角色的owner都是BDC了.15、角色轉(zhuǎn)移成功以后,還要把GC也轉(zhuǎn)移過去,打開活動(dòng)目錄站點(diǎn)和服務(wù),展開site->default-first-site-name->servers,你會(huì)看到兩臺(tái)域控制器都在下面。展開BDC,右擊【NTDS Settings】點(diǎn)【屬性】,勾上全局編錄前面的勾,點(diǎn)確定16

9、、然后展開PDC,右擊【NTDS Settings】點(diǎn)【屬性】,去掉全局編錄前面的勾。這樣全局編錄也轉(zhuǎn)到BDC上去了,致此主域控制器已經(jīng)變成BDC了。而PDC就成了輔助域控制器了。17、現(xiàn)在已經(jīng)可以把原來(lái)的主域控制器(PDC刪除掉了,在(PDC現(xiàn)在的輔助域控制器上運(yùn)行dcpromo按照提示一步一步的刪除它,然后將它退出域。就完成了整個(gè)升級(jí)過程。這里還有一點(diǎn)要注要的:升級(jí)完以后,你現(xiàn)在的主域控制器的IP地址是新的,而不是原來(lái)的那個(gè)IP地址了,而下面所有的客戶端的DNS都是指向原來(lái)的主域控制器的,這樣就會(huì)出現(xiàn)很多問題,包括你的Exchange 就找不到域控制器,所以我最簡(jiǎn)單的方法就是把BDC(現(xiàn)在

10、的主域控制器的IP改為PDC(原來(lái)的主域控制器的IP就好了。18、這些改完以后啟動(dòng)Exchange ,exchange不要做任何更改就可以正常工作了,但這時(shí)在exchange的日志里是有一項(xiàng)錯(cuò)誤(MSExchangeAL 事件8026 和8260。原因?yàn)槭占烁路?wù)配置為使用 Windows 域控制器被降級(jí),。收件人更新服務(wù)嘗試查詢有關(guān)該更新, Windows無(wú)法聯(lián)系域控制器。解決辦法:打開Exchange 系統(tǒng)管理器。展開" 收件人" 容器, 然后單擊收件人更新服務(wù)。雙擊每個(gè)收件人更新服務(wù), 然后再將Windows 域控制器設(shè)置更改為新域中 Windows 域控制器。這

11、樣設(shè)置完以后,重新啟動(dòng)計(jì)算機(jī),一切正常了,發(fā)封郵件試試,一切正常。致此全部完成了。FSMO角色介紹:架構(gòu)主機(jī)(Schema master -架構(gòu)主機(jī)角色是林范圍的角色,每個(gè)林一個(gè)。此角色用于擴(kuò)展Active Directory 林的架構(gòu)或運(yùn)行adprep /domainprep 命令。域命名主機(jī)(Domain naming master -域命名主機(jī)角色是林范圍的角色,每個(gè)林一個(gè)。此角色用于向林中添加或從林中刪除域或應(yīng)用程序分區(qū)。RID 主機(jī)(RID master -RID 主機(jī)角色是域范圍的角色,每個(gè)域一個(gè)。此角色用于分配RID 池,以便新的或現(xiàn)有的域控制器能夠創(chuàng)建用戶帳戶、計(jì)算機(jī)帳戶或安全

12、組。結(jié)構(gòu)主機(jī)(Infrastructure master -結(jié)構(gòu)主機(jī)角色是域范圍的角色,每個(gè)域一個(gè)。此角色供域控制器使用,用于成功運(yùn)行adprep /forestprep 命令,以及更新跨域引用的對(duì)象的 SID 屬性和可分辨名稱屬性。PDC 模擬器(PDC emulator -PDC 模擬器角色是域范圍的角色,每個(gè)域一個(gè)。將數(shù)據(jù)庫(kù)更新發(fā)送到Windows NT 備份域控制器的域控制器需要具備這個(gè)角色。此外,擁有此角色的域控制器也是某些管理工具的目標(biāo),它還可以更新用戶帳戶密碼和計(jì)算機(jī)帳戶密碼。今天早上接的case,客戶是一小公司,唯一的DC由于硬件故障啟動(dòng)不了,更換硬件后,提示目錄服務(wù)無(wú)法啟動(dòng),

13、只能進(jìn)active directory restore mode。查閱KB258062,還是無(wú)法修復(fù),提示:Open DIT database . Could not initialize the jet engine Jet error -255 Failed看來(lái)無(wú)法修復(fù)?？墒强蛻粲譀]有備份,只能重建active directory。如果有其他域控制器,則情況就簡(jiǎn)單了,把這臺(tái)DC offline,然后在其他DC上刪掉這臺(tái)DC,清理一下active directory,網(wǎng)上可以找到大量參考文章。可是現(xiàn)在沒有其他DC,顯然無(wú)損恢復(fù)是不可能了,如何讓這臺(tái)機(jī)盡快back online,因?yàn)檫@臺(tái)機(jī)上還

14、有大量其他的應(yīng)用軟件,如果重裝OS,太費(fèi)時(shí)間。最快的辦法是將active directory刪掉,然后重建active directory。如何刪AD,一般用dcpromo.exe,可是dcpromo不能在ad restore mode用,而正常模式又進(jìn)不去,怎么辦?在ad restore mode用regedit,編輯HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControl ProductOptions下的ProductType,改成ServerNT(大小寫敏感,然后reboot。啟動(dòng)時(shí)windows會(huì)認(rèn)為這是一臺(tái)普通server,成功進(jìn)入window

15、s,用dcpromo將該機(jī)提升為DC,新建一個(gè)臨時(shí)域,并且一定要是新的forest。重起之后再用dcpromo降級(jí),至此所有無(wú)用的ad信息全部刪除,系統(tǒng)恢復(fù)成普通server?？偨Y(jié),網(wǎng)上可以找到大量文章講"how to remove dc from active directory",卻找不到"how to remove active directory from a failed dc"。今天自己實(shí)踐了一下,并把過程寫下,希望對(duì)大家有一些幫助。問題1:如何降低B,以便再?gòu)?fù)制一次AD使2者同步.問題2:DNS會(huì)導(dǎo)致加不了域?我不確定是重新搞了DNS讓系統(tǒng)

16、正常的,還是其他操作.問題補(bǔ)充:"但兩者的AB已經(jīng)不同步" 應(yīng)為兩者的"AD"已經(jīng)不同步.用你們的dcpromo.顯示參數(shù)不對(duì),我的是2003S,能否補(bǔ)充一下?2009-5-22 15:33最佳答案巧的很,我剛解決了一個(gè)和你一樣的問題。呵呵。使用dcpromo /forceremoval將你的B域控強(qiáng)制降級(jí),然后在A域控上手動(dòng)清除元數(shù)據(jù),清除OLD DNS就行了。附我的清除元數(shù)據(jù)操作步驟:1. 在命令提示符下,鍵入:ntdsutil。2. 鍵入:metadata cleanup,然后按ENTER 鍵。3. 鍵入:connections,然后按ENTER 鍵。4. 鍵入:connect to server 服務(wù)器名(例如:connect to server mcse5. 鍵入:quit,然后按ENTER 鍵。Metadata Cleanup(元數(shù)據(jù)清除菜單將顯示出來(lái)。6. 鍵入:sel