如何將備用的域控制器升級到主域控制器111

2023年12月8日發(fā)(作者：新聞特寫范文)

-

如前面一片文章所提到的。比較麻煩的是，Exchange 2003的郵件服務(wù)器是安裝在主域控制器上的，所以，主域控制器也被干掉了。

型號，做文件服務(wù)器的那臺服務(wù)器也是域控制器，就要將這臺文件服務(wù)器，升級到主域控制器了。

如果你沒有執(zhí)行過這樣的動作，會覺得這是個很麻煩的事情。當(dāng)我們操作過之后，你就會發(fā)現(xiàn)，其實這個不難。

首先，我們執(zhí)行【netdom query fsmo】命令，來看一下目前的主域控制器是哪臺。

然后依次執(zhí)行下面的命令

ntdsutil

roles

connections

connect to rver

下面就開始奪取主域控制器的命令了

ize domain naming master

ize infrastructure master

ize pdc

ize rid master

ize schema master

slect operation target

q命令式退出命令。

這樣，我們這臺域控制器，就成為了主域了。

最后，我們還要將這臺服務(wù)器成為全局編目服務(wù)器。方法如下：

管理工具——Active Directory站和服務(wù)——站點——Default-First-Site-Name——服務(wù)器——域控制器——NTDS設(shè)置——全局編目，把空格勾上就好

本文轉(zhuǎn)自 ☆★ 黑白前線 ★☆ - 轉(zhuǎn)載請注明出處，侵權(quán)必究！

原文鏈接：/a/special/qyaq/rver/2010/0429/

將額外控制器升級為主域控制器 [原] 前兩天打雷，一臺額外域控制器（windows 2003 DC服務(wù)器）主板擊壞，無法維修，還好，主域控服務(wù)器(Windows 2003 )沒有什么事，現(xiàn)購買一臺新機(jī)作為服務(wù)器，打算把新機(jī)升級為主域控制器，原來的主域降級為額外域控制器；

一、新服務(wù)器安裝好Windows 2003企業(yè)版操作系統(tǒng)及更新補丁，具體大家都會做，不用多說了；

二、在控制面板--添加刪除程序--點擊添加刪除組件，出現(xiàn)新窗口，點擊網(wǎng)絡(luò)服務(wù)，選擇如下服務(wù)（WINS,DHCP,DNS,簡單TCP/IP服務(wù)）；

點擊確定，放入windows2003光盤到光驅(qū)；

三、將Windows 2003升級為額外域控制器，使用Dcpromo命令，出現(xiàn)升級向?qū)В缦聢D：

點擊下一步，選擇現(xiàn)在域的額外域控制器；接下來輸入域控制器的管理員帳號和密碼及域名（例：）；

輸入完成后點擊下一步，直到完成（中間步驟省略），重啟服務(wù)器；這樣就安裝成功額外域控制器；

四、接下來，在管理工具中，點擊Active Directory 站點和服務(wù)，自動創(chuàng)建了連接，出現(xiàn)如下窗口，如圖：

在主域控打開Active Directory 站點和服務(wù)，立即復(fù)制副本，（如上圖）正常會提示Active Directory 已復(fù)制了連接；

在額外域控打開Active Directory 站點和服務(wù)，立即復(fù)制副本，（如上圖）正常會提示Active Directory 已復(fù)制了連接； 最好查看一下日志看有沒有錯誤；同時檢查一下DNS看有沒有同步；

五、將額外域升級為主域控制器；

1、 將DC-SRV主域的FSMO，五種角色轉(zhuǎn)移到BDC-SRV上，別忘了在Active Directory 站點和服務(wù)將BDC-SRV也標(biāo)識成GC。

2、奪取五種角色的方法：

首先要查看FSMO，運行regsvr32 注冊，注冊成功按確定。

<1>更改操作主機(jī)，

運行MMC---添加AD架構(gòu)---運行AD架構(gòu)：顯示，為操作主機(jī);選擇更改域控制器,輸入額外域控制器的主機(jī)全名;

點擊確定;

<二> 更改域命名主機(jī)，運行Active Directory 域和信任關(guān)系, 在Active Directory 域和信任關(guān)系右鍵點擊操作主機(jī)：顯示：域命名主機(jī)為

點擊更改，確定。

<3>、更改RID、pdc仿真器、基本結(jié)構(gòu)主機(jī)，運行Active Directory 用戶和計算機(jī)，彈出窗口，顯示域名為： 右鍵點擊---操作主機(jī)，RID，PDC，基本結(jié)構(gòu)主機(jī)顯示為：,依次更改它們；

點擊“是” RID更改成功；

PDC更改同上；

點擊“是”，結(jié)構(gòu)主機(jī)更改成功！！

到此為止，已經(jīng)成功將一臺新服務(wù)器由成員升級為額外域控，再提升到主域控制器；

本文是依照此次更換主機(jī)過程而寫，希望能給有需要朋友一些幫助！！

（原創(chuàng)）額外域控制器升級為主域控制器

AD恢復(fù)主域控制器

本文講述了在多域控制器環(huán)境下，主域控制器由于硬件故障突然損壞，而又事先又沒有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常運行，并在硬件修理好之后，如何使損壞的主域控制器恢復(fù)。

----------------------------------------------------------------------

目錄

Active Directory操作主機(jī)角色概述

環(huán)境分析

從AD中清除主域控制器 對象

在額外域控制器上通過工具執(zhí)行奪取五種ＦＭＳＯ操作 設(shè)置額外域控制器為ＧＣ（全局編錄）

重新安裝并恢復(fù)損壞主域控制器 附:用于檢測AD中五種操作主機(jī)角色的腳本

----------------------------------------------------------------------

一、Active Directory操作主機(jī)角色概述

Active Directory 定義了五種操作主機(jī)角色（又稱ＦＳＭＯ）：

架構(gòu)主機(jī) schema master、

域命名主機(jī) domain naming master

相對標(biāo)識號 (RID) 主機(jī) RID master

主域控制器模擬器 (PDCE)

基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master

而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能：

架構(gòu)主機(jī)

具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機(jī)是基于目錄林的，整個目錄林中只有一個架構(gòu)主機(jī)。

域命名主機(jī)

具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC： 向目錄林中添加新域。 從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對象。

相對標(biāo)識號 (RID)

主機(jī)此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體（例如用戶、組或計算機(jī)）時，需要將 RID 與域范圍內(nèi)的標(biāo)識符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識符 (SID)。 每一個 Windows 2000 DC 都會收到用于創(chuàng)建對象的 RID 池（默認(rèn)為 512）。RID 主機(jī)通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。通過 RID 主機(jī)，還可以在同一目錄林中的不同域之間移動所有對象。

域命名主機(jī)是基于目錄林的，整個目錄林中只有一個域命名主機(jī)。相對標(biāo)識號（RID）主機(jī)是基于域的，目錄林中的每個域都有自己的相對標(biāo)識號（RID）主機(jī)

PDCE

主域控制器模擬器提供以下主要功能：

向后兼容低級客戶端和服務(wù)器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE。每當(dāng) DC 驗證密碼失敗后，它會與 PDCE 取得聯(lián)系，以查看該密碼是否可以在那里得到驗證，也許其原因在于密碼更改還沒有被復(fù)制到驗證 DC 中。

時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進(jìn)行同步。

PDCE是基于域的，目錄林中的每個域都有自己的PDCE。

基礎(chǔ)結(jié)構(gòu)主機(jī)

基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對象的一致性。當(dāng)引用另一個域中的對象時，此引用包含該對象的

全局唯一標(biāo)識符 (GUID)、安全標(biāo)識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動，則在域中擔(dān)

當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN。 基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)

默認(rèn)，這五種ＦＭＳＯ存在于目錄林根域的第一臺DC（主域控制器）上，而子域中的相對標(biāo)識號 (RID) 主機(jī)、PDCE 、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺DC。

--------------------------------------------------------------------------------

二、環(huán)境分析

公司（虛擬）有一臺主域控制器，還有一臺額外域控制器。現(xiàn)主域控制器（）由于硬件故障突然損壞，事先又沒有的系統(tǒng)狀態(tài)備份，沒辦法通過備份修復(fù)主域控制器（），我們怎么讓額外域控制器（）替代主域控制器，使Acitvie Directory繼續(xù)正常運行，并在損壞的主域控制器硬件修理好之后，如何使損壞的主域控制器恢復(fù)。

如果你的第一臺ＤＣ壞了，還有額外域控制器正常，需要在一臺額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設(shè)置為GC。

----------------------------------------------------------------------

三、從AD中清除主域控制器對象

3.1在額外域控制器()上通過工具把主域控制器()從ＡＤ中刪除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: lect operation target

lect operation target: connections

rver connections: connect to domain

rver connections:quit

lect operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

lect operation target: lect site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current rver

No current Naming Context

lect operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

lect operation target: lect domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current rver

No current Naming Context

lect operation target: List rvers for domain in site

Found 2 rver(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

lect operation target: lect rver ０

lect operation target: quit

metadata cleanup:Remove lected rver

出現(xiàn)對話框，按“確定“刪除DC-01主控服務(wù)器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具刪除Active Directory urs and computers中的Domain

controllers中DC-01服務(wù)器對象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安裝Windows 2000

support tool，安裝程序在windows 2000光盤中的supporttools目錄下。先把adsi 和拷到system32下﹐再運行regsvr32

﹐再用mmc添加adsi﹐再在adsi中connect domain nc,打開ADSI

EDIT工具，展開Domain NC[]，展開OU=Domain controllers，右擊CN=DC-01，然后選擇Delete，把DC-01服務(wù)器對象刪除，如圖1：

3.3 在Active Directory Sites and Service中刪除DC-01服務(wù)器對象

打開Administrative tools中的Active Directory Sites and Service，展開Sites，展開Default-First-Site-Name，展開Servers，右擊DC-01，選擇Delete，單擊Yes按鈕，如圖2：

----------------------------------------------------------------------

四、在額外域控制器上通過工具執(zhí)行奪取五種ＦＭＳＯ操作

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

lect operation target: connections

rver connections: connect to domain

rver connections:quit

lect operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com lect operation target: lect site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current rver

No current Naming Context

lect operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

lect operation target: lect domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current rver

No current Naming Context

lect operation target: List rvers for domain in site

Found 1 rver(s)

0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

lect operation target: lect rver ０

lect operation target: quit

fsmo maintenance:Seize domain naming master

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize infrastructure master

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize PDC

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize RID master

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize schema master

出現(xiàn)對話框，按“確定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不在線時進(jìn)行操作，如果原FSMO在線，需要使用Transfer操作）

---------------------------------------------------------------------

五、設(shè)置額外控制()為ＧＣ（全局編錄）

打開Administrative Tools中的Active Directory Sites and Services，展開Sites，展開Default-First-Site-Name，展開Servers，展開(額外控制器)，右擊NTDS Settings選擇Properties，然后在"Global Catalog"前面打勾，單擊"確定"按鈕，然后重新啟動服務(wù)器。

----------------------------------------------------------------------

六、重新安裝并恢復(fù)損壞主域控制器

修理好損壞的硬件之后，在服務(wù)器重新安裝Windows 2000 Server，安裝好Windows 2000 Server之后，再運行Dcpromo升成額外的域控制器；如果你需要使擔(dān)任五種FMSO角色，通過ntdsutil工具進(jìn)行角色轉(zhuǎn)換，進(jìn)行Transfer操作就行了（注意：不能用Seize）。并通過Active Directory Sites and Services設(shè)置為GC，取消的GC功能。

建議domain naming master不要和RID master在一臺DC上，而domain naming

master同時必須為GC。

主域 Windows 2000 SP4 (2000年的時候安裝的,硬件有故障,經(jīng)常死機(jī))

額外域 Windows 2003 (集成Exchange2003)

方案:新建一個額外域, 替換主域

操作步驟:

1. 安裝 Windows 2000 SP4

2. DCPROMO 升級為額外域

3.通過Ntdsutil將角色轉(zhuǎn)移

C:>ntdsutil

ntdsutil: roles

fsmo maintenance: connection

rver connections: connect to rver backupad(后面寫你的備用服務(wù)器的域名)

綁定到 backupad ...

用本登錄的用戶的憑證連接 backupad。

rver connections: quit

fsmo maintenance: transfer schema master 轉(zhuǎn)移架構(gòu)主機(jī)角色

fsmo maintenance: transfer domain naming master 轉(zhuǎn)移域命名主機(jī)角色

fsmo maintenance: transfer RID master 轉(zhuǎn)移 RID 主機(jī)角色

fsmo maintenance: transfer PDC 轉(zhuǎn)移 PDC 模擬器角色

fsmo maintenance: transfer infrastructure master 轉(zhuǎn)移結(jié)構(gòu)主機(jī)角色

4.再設(shè)置為 全局編錄

管理工具 - Active Directory 站點和服務(wù) - backupad - NTDS Settings屬性,

全局編錄的"勾"選中即可

5.重建DNS,且與主域同步,再正向搜索區(qū)域中的 根(.)將名稱服務(wù)器改為"backupad"即可.

‘’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’-----------------------------------------------------------------------

這里的環(huán)境如下:

一臺舊的WIN2K SERVER域為,PDC FSMO GC

新的服務(wù)器也是WIN2K系統(tǒng) 目的:將舊的服務(wù)器的AD數(shù)據(jù)庫遷移到新的服務(wù)器上,頂替舊服務(wù)器工作!

首先安裝完成新的服務(wù)器的操作系統(tǒng)后,配置TCP/IP和舊服務(wù)器在一個網(wǎng)段,然后設(shè)置首要的DNS為舊服務(wù)器[DC]的DNSIP,然后確定退出,然后選擇開始---->運行--->dcpromo開始提升為輔助域控制器,選擇加入現(xiàn)有的域,輸入DC的域名,然后會提示你權(quán)限,你用administrator用戶,然后下一步,等待漫長的時間過去后,完成了,開始重新啟動!等啟動起來后進(jìn)入命令行輸入

ntdsutil

roles

connections

connect to rver 后面寫你的舊服務(wù)器的域名

然后提示連接成功!輸入

quit

這下退到了roles的命令行下面,打?看看那些命令依次將

Transfer domain naming master

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

轉(zhuǎn)移到你的新服務(wù)器上!

格式如下:Transfer domain naming master 回車

會提示問你是否轉(zhuǎn)移

關(guān)于FSMO的相信信息如下:

架構(gòu)主機(jī) (Schema master) - 目錄林范圍的角色，每目錄林一個。 定義了對象和屬性

域命名主機(jī) (Domain naming master) - 目錄林范圍的角色，每個目錄林一個。

決定了目錄林的域添加和刪除,必須和GC在一臺服務(wù)器,因為他不能查詢GC

RID 主機(jī) (RID master) - 特定于域的角色，每個域一個。 每一個域都有一個唯一的RID池,RID池將分配給域一個RID塊,當(dāng)域創(chuàng)建安全主體的時候又將這個塊分配給用戶

PDC - PDC 仿真器是特定于域的，每個域一個。 定義了與NT4.0的PDC,而且負(fù)責(zé)時間的同步,還有用戶身份的改變和密碼的更改

結(jié)構(gòu)主機(jī) (Infrastructure master) - 特定于域的角色，每個域一個。 他包含了域中的對象的索引信息,他最好不要和GC放在一臺服務(wù)器上,因為基礎(chǔ)結(jié)構(gòu)主機(jī)和GC在一臺服務(wù)器上,基礎(chǔ)結(jié)構(gòu)將沒有任何效果

然后設(shè)置為GC

單擊開始，指向程序，指向管理工具，然后單擊 Active Directory 站點和服務(wù)。

雙擊左窗格中的站點，然后瀏覽到適當(dāng)?shù)恼军c，或者，在沒有其他站點可用時單擊默認(rèn)的第一個站點的名稱。

打開服務(wù)器文件夾，然后單擊該域控制器。

在域控制器的文件夾中，雙擊 NTDS 設(shè)置。

在操作菜單上，單擊屬性。 在“常規(guī)”選項卡上，找到全局編錄復(fù)選框以查看其是否選中.

這樣就完全設(shè)置完成,然后將舊的服務(wù)器的AD卸載掉舊OK了!

-