將輔助域控升級成主域控

將輔助域控升級成主域控本文主要闡述在AD域控制器集群中，PDC與BDC之間的角色轉(zhuǎn)換過程，介紹了2種方法：1、從主域控制器上轉(zhuǎn)換角色；2、從域控制器搶占角色。一、 實驗環(huán)境：域名為1、 原主域控制器System:windows20003ServerFQDN:PDC.IP：Mask:DNS:2、 輔助域控制器System:windows2003ServerFQDN：BDC.IP：Mask:DNS:3、 Exchange2003ServerFQDN:IP:Mask:DNS:也許有人會問，做輔域升級要裝個Exchange干什么？其實我的目的是為了證明我的升級是否成功，因為Exchange和AD是緊密集成的，如果升級失敗的話，Exchange應該就會停止工作。如果升級成功，對Exchange應該就沒有影響，其實現(xiàn)在我們很多的生產(chǎn)環(huán)境中有很多這樣的情況。二、 實驗目的：在主域控制器(PDC)出現(xiàn)故障的時候通過提升輔域控制器(BDC)為主域控制，從而不影響所有依靠AD的服務。三、 實驗步驟I、PDC角色轉(zhuǎn)換(適用于PDC與BDC均正常的情況)1、安裝域控制器。第一臺域控制器的安裝我這里就不在說明了，但要注意一點的是，兩臺域控器都要安裝DNS組件。在第一臺域控制安裝好后，下面開始安裝第二臺域控制器(BDC)，首先將要提升為輔助域控制的計算機的計算機名,IP地址及DNS跟據(jù)上面設置好以后，并加入到現(xiàn)有域，加入域后以域管理員的身份登陸，開始進行安裝第二臺域控制器。2、 在安裝輔助域控器前先看一下我們的ExchangeServer工作是否正常，到ExchangeServer中建立兩個用戶testl和test2，并為他們分別建立一個郵箱，下面使用他們相互發(fā)送郵件進行測試。3、 我們發(fā)現(xiàn)發(fā)送郵件測試成功，這證明Exchange是正常的。下面正式開始安裝第二臺域控制器。也是就輔助域控制器（BDC）。4、以域管理員身份登陸要提升為輔助域控制器的計算機，點【開始】->【運行】在運行里輸入dcpromo打開活動目錄安裝向?qū)В?點兩個【下一步】，打開.5、 這里由于是安裝第二臺域控制器，所以選擇【現(xiàn)有域的額外域控制器】，點【下一步】。6、 這里輸入你的域管理員的用戶名和密碼，點【下一步】。7、 這里提示你的這臺域控制將成為哪個域的額外域控制器，如果正確，點【下一步】，再連續(xù)點三個下一步，就開始安裝了，安裝完成大概要幾分鐘，你就耐心的等待吧8、 幾分鐘后安裝完成，提示重新啟動計算機，重新啟動計算機，此時你的計算機已經(jīng)成為了域的輔助域控制了。此時在活動目錄用戶和計算機的域控制器里已經(jīng)有兩臺域控制了9、 再查看一下FSMO（五種主控角色）的owner，安裝WindowsServer安裝光盤中的Support目錄下的supporttools工具，然后打開提示符輸入:netdomqueryfsmo以輸出FSMO的owner，10、 現(xiàn)在五個角色的woner都是PDC，我的就是要把這個五個角色轉(zhuǎn)移到BDC上，使BDC成為這五個角色的ownero11、 現(xiàn)在登陸PDC（主域控制器），進入命令提示符窗口，在命令提示符下輸入：ntdsutil回車，再輸入:roles回車，再輸入connections回車，再輸入connecttoserverBDC-->（備注：這里的dc-1是指服務器名稱），提示綁定成功后，輸入q退出12、 輸入？回車可看到以下信息：Connections -連接到一個特定域控制器Help -顯示這個幫助信息Quit -返回到上一個菜單Seizedomainnamingmaster-在已連接的服務器上覆蓋域角色Seizeinfrastructuremaster-在已連接的服務器上覆蓋結(jié)構角色SeizePDC -在已連接的服務器上覆蓋PDC角色SeizeRIDmaster-在已連接的服務器上覆蓋RID角色Seizeschemamaster-在已連接的服務器上覆蓋架構角色Selectoperationtarget-選擇的站點，服務器，域，角色和命名上下文Transferdomainnamingmaster-將已連接的服務器定為域命名主機Transferinfrastructuremaster-將已連接的服務器定為結(jié)構主機TransferPDC -將已連接的服務器定為PDCTransferRIDmaster-將已連接的服務器定為RID主機Transferschemamaster-將已連接的服務器定為架構13、 然后分別輸入：Transferdomainnamingmaster回車Transferinfrastructuremaster回車TransferPDC 回車TransferRIDmaster回車Transferschemamaster回車以上的命令在輸入完成一條后都會有提示是否傳送角色到新的服務器，選擇YES,然后接著一條一條完成既可，完成以上按Q退出界面，14、 這五個步驟完成以后，檢查一下是否全部轉(zhuǎn)移到BDC上了，打開在第9步時裝windowssupporttools,開始一>程序->windowssupporttools->commandprompt,輸入netdomqueryfsmo,全部轉(zhuǎn)移成功.現(xiàn)在五個角色的owner都是BDC了.15、 角色轉(zhuǎn)移成功以后，還要把GC也轉(zhuǎn)移過去，打開活動目錄站點和服務，展開site->default-first-site-name->servers，你會看到兩臺域控制器都在下面。展開BDC，右擊【NTDSSettings!點【屬性】，勾上全局編錄前面的勾，點確定16、 然后展開PDC，右擊【NTDSSettings】點【屬性】，去掉全局編錄前面的勾。這樣全局編錄也轉(zhuǎn)到BDC上去了，致此主域控制器已經(jīng)變成BDC了。而PDC就成了輔助域控制器了。17、 現(xiàn)在已經(jīng)可以把原來的主域控制器（PDC）刪除掉了，在（PDC）現(xiàn)在的輔助域控制器上運行dcpromo按照提示一步一步的刪除它，然后將它退出域。就完成了整個升級過程。這里還有一點要注要的：升級完以后，你現(xiàn)在的主域控制器的IP地址是新的，而不是原來的那個IP地址了，而下面所有的客戶端的DNS都是指向原來的主域控制器的，這樣就會出現(xiàn)很多問題，包括你的Exchange就找不到域控制器，所以我最簡單的方法就是把BDC（現(xiàn)在的主域控制器）的IP改為PDC（原來的主域控制器）的IP就好了。18、 這些改完以后啟動Exchange，exchange不要做任何更改就可以正常工作了，但這時在exchange的日志里是有一項錯誤（MSExchangeAL事件8026和8260）。原因為收件人更新服務配置為使用Windows域控制器被降級，。收件人更新服務嘗試查詢有關該更新Windows無法聯(lián)系域控制器。解決辦法:打開Exchange系統(tǒng)管理器。展開”收件人”容器，然后單擊收件人更新服務。雙擊每個收件人更新服務，然后再將Windows域控制器設置更改為新域中Windows域控制器。這樣設置完以后，重新啟動計算機，一切正常了，發(fā)封郵件試試，一切正常。致此全部完成了。FSMO角色介紹：架構主機（Schemamaster）一架構主機角色是林范圍的角色，每個林一個。此角色用于擴展ActiveDirectory林的架構或運行adprep/domainprep命令。

域命名主機(Domainnamingmaster)一域命名主機角色是林范圍的角色，每個林一個。此角色用于向林中添加或從林中刪除域或應用程序分區(qū)。RID主機(RIDmaster)—RID主機角色是域范圍的角色，每個域一個。此角色用于分配RID池，以便新的或現(xiàn)有的域控制器能夠創(chuàng)建用戶帳戶、計算機帳戶或安全組。結(jié)構主機(Infrastructuremaster)—結(jié)構主機角色是域范圍的角色，每個域一個。此角色供域控制器使用，用于成功運行adprep/forestprep命令，以及更新跨域引用的對象的SID屬性和可分辨名稱屬性。PDC模擬器(PDCemulator)—PDC模擬器角色是域范圍的角色，每個域一個。將數(shù)據(jù)庫更新發(fā)送到WindowsNT備份域控制器的域控制器需要具備這個角色。此外，擁有此角色的域控制器也是某些管理工具的目標，它還可以更新用戶帳戶密碼和計算機帳戶密碼。主域控制器的重要性對大家來說是不言而喻的，但是如果說在沒有做備份域控制器的情況下主域控制器出故障了，那如何恢復活動目錄的賬號以及如何將額外域控制器遷移到主域控制器中來呢？下文將用具體實例來給大家詳細描述。實例：公司主域控制器故障了，重新安裝了系統(tǒng)，2000server,重裝系統(tǒng)前沒有做系統(tǒng)狀態(tài)備份，但是我們有額外域控制器，主域控制器重裝完系統(tǒng)后是不是要新建AD，如何把額外域控制器中的賬戶導入到主域控制器中來？1、 先用你的額外域控制器奪取fsmo角色，使之成為主域控制器，這時候你的AD網(wǎng)絡應該是正常的(如果沒出問題的話)。操作前請備份系統(tǒng)狀態(tài)，否則出現(xiàn)問題你將一無所有。2、 給那臺壞了的機器重裝系統(tǒng)，并使之成為額外域控制器。3、 如果你想用繼續(xù)使用此臺機器做主域控制器的話，那么把fsmo角色轉(zhuǎn)移到此機器即可，第一步那臺就又成了額外域控制器了，如果沒此需要的話那到第二步就結(jié)束了。

問題1：原來的額外域控制器變成主域控制器時設置成了GC,那我想還把原來的主域控制器做主域控制器，是不是要把原來額外域控制器的那個GC去掉？這個不需要!GC不是唯一的，可以設置多臺！問題2：角色轉(zhuǎn)移是只需要步驟三呢還是一二三都需要？一從AD中清除主域控制器DC-01.對象在額外域控制器(DC-02.)上通過ntdsutil.exe工具把主域控制器(DC-01.)從AD中刪除；c:>ntdsutil2.ntdsutil:metadatacleanup4.metadatacleanup:selectoperationtarget6.selectoperationtarget:connections8.serverconnections:connecttodomain10.selectoperationtarget:listsites12.Found1site(s)14.15.0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com16.selectoperationtarget:selectsite018.Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com20.Nocurrentdomain22.Nocurrentserver24.NocurrentNamingContext26.selectoperationtarget:Listdomainsinsite28.29.Found1domain(s)

30.31.0-DC=test,DC=com32.Found1domain(s)34.35.0-DC=test,DC=com36.selectoperationtarget:selectdomain038.9.Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com40.Domain-DC=test,DC=com42.3.Nocurrentserver44.45.NocurrentNamingContext46.selectoperationtarget:Listserversfordomaininsite48.Found2server(s)50.51.0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te52.st,DC=com54.55.1-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te56.st,DC=com58.selectoperationtarget:selectserver060.selectoperationtarget:quit62.metadatacleanup:Removeselectedserver出現(xiàn)對話框，按“確定“刪除DC-01主域控制器服務器。metadatacleanup:quit2.3.ntdsutil:quit

3.ntdsutil:quit二使用ADSIEDIT工具刪除ActiveDirectoryusersandcomputers中的Domaincontrollers中DC-01服務器對象，ADSIEDIT是Windows2000supporttools中的工具，你需要安裝Windows2000supporttool，安裝程序在windows2000光盤中的support\tools目錄下。打開ADSIEDIT工具，展開DomainNC[DC-02.]，展開OU=Domaincontrollers，右擊CN=DC-01，然后選擇Delete，把DC-01服務器對象刪除，如圖1：3.3在ActiveDirectorySitesandService中刪除DC-01服務器對象打開Administrativetools中的ActiveDirectorySitesandService，展開Sites，展開Default-First-Site-Name，展開Servers，右擊DC-01，選擇Delete，單擊Yes按鈕，如圖2：三、在額外域控制器上通過ntdsutil.exe工具執(zhí)行奪取五種FMSO操作c:>ntdsutil2.ntdsutil:roles4.fsmomaintenance:Selectoperationtarget6.selectoperationtarget:connections8.serverconnections:connecttodomain10.selectoperationtarget:listsites12.Found1site(s)14.15.0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com16.selectoperationtarget:selectsite018.Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com20.Nocurrentdomain22.

Nocurrentserver24.NocurrentNamingContext26.selectoperationtarget:Listdomainsinsite28.Found1domain(s)30.31.0-DC=test,DC=com32.selectoperationtarget:selectdomain034.Site-CN=De