如何將備用的域控制器升級到主域控制器111

2023年12月8日發(作者：新聞特寫范文)

-

如前面一片文章所提到的。比較麻煩的是，Exchange 2003的郵件服務器是安裝在主域控制器上的，所以，主域控制器也被干掉了。

型號，做文件服務器的那臺服務器也是域控制器，就要將這臺文件服務器，升級到主域控制器了。

如果你沒有執行過這樣的動作，會覺得這是個很麻煩的事情。當我們操作過之后，你就會發現，其實這個不難。

首先，我們執行【netdom query fsmo】命令，來看一下目前的主域控制器是哪臺。

然后依次執行下面的命令

ntdsutil

roles

connections

connect to rver

下面就開始奪取主域控制器的命令了

ize domain naming master

ize infrastructure master

ize pdc

ize rid master

ize schema master

slect operation target

q命令式退出命令。

這樣，我們這臺域控制器，就成為了主域了。

最后，我們還要將這臺服務器成為全局編目服務器。方法如下：

管理工具——Active Directory站和服務——站點——Default-First-Site-Name——服務器——域控制器——NTDS設置——全局編目，把空格勾上就好

本文轉自 ☆★ 黑白前線 ★☆ - 轉載請注明出處，侵權必究！

原文鏈接：/a/special/qyaq/rver/2010/0429/

將額外控制器升級為主域控制器 [原] 前兩天打雷，一臺額外域控制器（windows 2003 DC服務器）主板擊壞，無法維修，還好，主域控服務器(Windows 2003 )沒有什么事，現購買一臺新機作為服務器，打算把新機升級為主域控制器，原來的主域降級為額外域控制器；

一、新服務器安裝好Windows 2003企業版操作系統及更新補丁，具體大家都會做，不用多說了；

二、在控制面板--添加刪除程序--點擊添加刪除組件，出現新窗口，點擊網絡服務，選擇如下服務（WINS,DHCP,DNS,簡單TCP/IP服務）；

點擊確定，放入windows2003光盤到光驅；

三、將Windows 2003升級為額外域控制器，使用Dcpromo命令，出現升級向導，如下圖：

點擊下一步，選擇現在域的額外域控制器；接下來輸入域控制器的管理員帳號和密碼及域名（例：）；

輸入完成后點擊下一步，直到完成（中間步驟省略），重啟服務器；這樣就安裝成功額外域控制器；

四、接下來，在管理工具中，點擊Active Directory 站點和服務，自動創建了連接，出現如下窗口，如圖：

在主域控打開Active Directory 站點和服務，立即復制副本，（如上圖）正常會提示Active Directory 已復制了連接；

在額外域控打開Active Directory 站點和服務，立即復制副本，（如上圖）正常會提示Active Directory 已復制了連接； 最好查看一下日志看有沒有錯誤；同時檢查一下DNS看有沒有同步；

五、將額外域升級為主域控制器；

1、 將DC-SRV主域的FSMO，五種角色轉移到BDC-SRV上，別忘了在Active Directory 站點和服務將BDC-SRV也標識成GC。

2、奪取五種角色的方法：

首先要查看FSMO，運行regsvr32 注冊，注冊成功按確定。

<1>更改操作主機，

運行MMC---添加AD架構---運行AD架構：顯示，為操作主機;選擇更改域控制器,輸入額外域控制器的主機全名;

點擊確定;

<二> 更改域命名主機，運行Active Directory 域和信任關系, 在Active Directory 域和信任關系右鍵點擊操作主機：顯示：域命名主機為

點擊更改，確定。

<3>、更改RID、pdc仿真器、基本結構主機，運行Active Directory 用戶和計算機，彈出窗口，顯示域名為： 右鍵點擊---操作主機，RID，PDC，基本結構主機顯示為：,依次更改它們；

點擊“是” RID更改成功；

PDC更改同上；

點擊“是”，結構主機更改成功！！

到此為止，已經成功將一臺新服務器由成員升級為額外域控，再提升到主域控制器；

本文是依照此次更換主機過程而寫，希望能給有需要朋友一些幫助！！

（原創）額外域控制器升級為主域控制器

AD恢復主域控制器

本文講述了在多域控制器環境下，主域控制器由于硬件故障突然損壞，而又事先又沒有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常運行，并在硬件修理好之后，如何使損壞的主域控制器恢復。

----------------------------------------------------------------------

目錄

Active Directory操作主機角色概述

環境分析

從AD中清除主域控制器 對象

在額外域控制器上通過工具執行奪取五種ＦＭＳＯ操作 設置額外域控制器為ＧＣ（全局編錄）

重新安裝并恢復損壞主域控制器 附:用于檢測AD中五種操作主機角色的腳本

----------------------------------------------------------------------

一、Active Directory操作主機角色概述

Active Directory 定義了五種操作主機角色（又稱ＦＳＭＯ）：

架構主機 schema master、

域命名主機 domain naming master

相對標識號 (RID) 主機 RID master

主域控制器模擬器 (PDCE)

基礎結構主機 infrastructure master

而每種操作主機角色負擔不同的工作，具有不同的功能：

架構主機

具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機復制到目錄林中的所有其它域控制器中。 架構主機是基于目錄林的，整個目錄林中只有一個架構主機。

域命名主機

具有域命名主機角色的 DC 是可以執行以下任務的唯一 DC： 向目錄林中添加新域。 從目錄林中刪除現有的域。

添加或刪除描述外部目錄的交叉引用對象。

相對標識號 (RID)

主機此操作主機負責向其它 DC 分配 RID 池。只有一個服務器執行此任務。在創建安全主體（例如用戶、組或計算機）時，需要將 RID 與域范圍內的標識符相結合，以創建唯一的安全標識符 (SID)。 每一個 Windows 2000 DC 都會收到用于創建對象的 RID 池（默認為 512）。RID 主機通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。通過 RID 主機，還可以在同一目錄林中的不同域之間移動所有對象。

域命名主機是基于目錄林的，整個目錄林中只有一個域命名主機。相對標識號（RID）主機是基于域的，目錄林中的每個域都有自己的相對標識號（RID）主機

PDCE

主域控制器模擬器提供以下主要功能：

向后兼容低級客戶端和服務器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環境。 本機 Windows 2000 環境將密碼更改轉發到 PDCE。每當 DC 驗證密碼失敗后，它會與 PDCE 取得聯系，以查看該密碼是否可以在那里得到驗證，也許其原因在于密碼更改還沒有被復制到驗證 DC 中。

時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。

PDCE是基于域的，目錄林中的每個域都有自己的PDCE。

基礎結構主機

基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時，此引用包含該對象的

全局唯一標識符 (GUID)、安全標識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動，則在域中擔

當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。 基礎結構主機是基于域的，目錄林中的每個域都有自己的基礎結構主機

默認，這五種ＦＭＳＯ存在于目錄林根域的第一臺DC（主域控制器）上，而子域中的相對標識號 (RID) 主機、PDCE 、基礎結構主機存在于子域中的第一臺DC。

--------------------------------------------------------------------------------

二、環境分析

公司（虛擬）有一臺主域控制器，還有一臺額外域控制器。現主域控制器（）由于硬件故障突然損壞，事先又沒有的系統狀態備份，沒辦法通過備份修復主域控制器（），我們怎么讓額外域控制器（）替代主域控制器，使Acitvie Directory繼續正常運行，并在損壞的主域控制器硬件修理好之后，如何使損壞的主域控制器恢復。

如果你的第一臺ＤＣ壞了，還有額外域控制器正常，需要在一臺額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設置為GC。

----------------------------------------------------------------------

三、從AD中清除主域控制器對象

3.1在額外域控制器()上通過工具把主域控制器()從ＡＤ中刪除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: lect operation target

lect operation target: connections

rver connections: connect to domain

rver connections:quit

lect operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

lect operation target: lect site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current rver

No current Naming Context

lect operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

lect operation target: lect domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current rver

No current Naming Context

lect operation target: List rvers for domain in site

Found 2 rver(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

lect operation target: lect rver ０

lect operation target: quit

metadata cleanup:Remove lected rver

出現對話框，按“確定“刪除DC-01主控服務器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具刪除Active Directory urs and computers中的Domain

controllers中DC-01服務器對象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安裝Windows 2000

support tool，安裝程序在windows 2000光盤中的supporttools目錄下。先把adsi 和拷到system32下﹐再運行regsvr32

﹐再用mmc添加adsi﹐再在adsi中connect domain nc,打開ADSI

EDIT工具，展開Domain NC[]，展開OU=Domain controllers，右擊CN=DC-01，然后選擇Delete，把DC-01服務器對象刪除，如圖1：

3.3 在Active Directory Sites and Service中刪除DC-01服務器對象

打開Administrative tools中的Active Directory Sites and Service，展開Sites，展開Default-First-Site-Name，展開Servers，右擊DC-01，選擇Delete，單擊Yes按鈕，如圖2：

----------------------------------------------------------------------

四、在額外域控制器上通過工具執行奪取五種ＦＭＳＯ操作

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

lect operation target: connections

rver connections: connect to domain

rver connections:quit

lect operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com lect operation target: lect site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current rver

No current Naming Context

lect operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

lect operation target: lect domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current rver

No current Naming Context

lect operation target: List rvers for domain in site

Found 1 rver(s)

0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

lect operation target: lect rver ０

lect operation target: quit

fsmo maintenance:Seize domain naming master

出現對話框，按“確定“

fsmo maintenance:Seize infrastructure master

出現對話框，按“確定“

fsmo maintenance:Seize PDC

出現對話框，按“確定“

fsmo maintenance:Seize RID master

出現對話框，按“確定“

fsmo maintenance:Seize schema master

出現對話框，按“確定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不在線時進行操作，如果原FSMO在線，需要使用Transfer操作）

---------------------------------------------------------------------

五、設置額外控制()為ＧＣ（全局編錄）

打開Administrative Tools中的Active Directory Sites and Services，展開Sites，展開Default-First-Site-Name，展開Servers，展開(額外控制器)，右擊NTDS Settings選擇Properties，然后在"Global Catalog"前面打勾，單擊"確定"按鈕，然后重新啟動服務器。

----------------------------------------------------------------------

六、重新安裝并恢復損壞主域控制器

修理好損壞的硬件之后，在服務器重新安裝Windows 2000 Server，安裝好Windows 2000 Server之后，再運行Dcpromo升成額外的域控制器；如果你需要使擔任五種FMSO角色，通過ntdsutil工具進行角色轉換，進行Transfer操作就行了（注意：不能用Seize）。并通過Active Directory Sites and Services設置為GC，取消的GC功能。

建議domain naming master不要和RID master在一臺DC上，而domain naming

master同時必須為GC。

主域 Windows 2000 SP4 (2000年的時候安裝的,硬件有故障,經常死機)

額外域 Windows 2003 (集成Exchange2003)

方案:新建一個額外域, 替換主域

操作步驟:

1. 安裝 Windows 2000 SP4

2. DCPROMO 升級為額外域

3.通過Ntdsutil將角色轉移

C:>ntdsutil

ntdsutil: roles

fsmo maintenance: connection

rver connections: connect to rver backupad(后面寫你的備用服務器的域名)

綁定到 backupad ...

用本登錄的用戶的憑證連接 backupad。

rver connections: quit

fsmo maintenance: transfer schema master 轉移架構主機角色

fsmo maintenance: transfer domain naming master 轉移域命名主機角色

fsmo maintenance: transfer RID master 轉移 RID 主機角色

fsmo maintenance: transfer PDC 轉移 PDC 模擬器角色

fsmo maintenance: transfer infrastructure master 轉移結構主機角色

4.再設置為 全局編錄

管理工具 - Active Directory 站點和服務 - backupad - NTDS Settings屬性,

全局編錄的"勾"選中即可

5.重建DNS,且與主域同步,再正向搜索區域中的 根(.)將名稱服務器改為"backupad"即可.

‘’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’-----------------------------------------------------------------------

這里的環境如下:

一臺舊的WIN2K SERVER域為,PDC FSMO GC

新的服務器也是WIN2K系統 目的:將舊的服務器的AD數據庫遷移到新的服務器上,頂替舊服務器工作!

首先安裝完成新的服務器的操作系統后,配置TCP/IP和舊服務器在一個網段,然后設置首要的DNS為舊服務器[DC]的DNSIP,然后確定退出,然后選擇開始---->運行--->dcpromo開始提升為輔助域控制器,選擇加入現有的域,輸入DC的域名,然后會提示你權限,你用administrator用戶,然后下一步,等待漫長的時間過去后,完成了,開始重新啟動!等啟動起來后進入命令行輸入

ntdsutil

roles

connections

connect to rver 后面寫你的舊服務器的域名

然后提示連接成功!輸入

quit

這下退到了roles的命令行下面,打?看看那些命令依次將

Transfer domain naming master

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

轉移到你的新服務器上!

格式如下:Transfer domain naming master 回車

會提示問你是否轉移

關于FSMO的相信信息如下:

架構主機 (Schema master) - 目錄林范圍的角色，每目錄林一個。 定義了對象和屬性

域命名主機 (Domain naming master) - 目錄林范圍的角色，每個目錄林一個。

決定了目錄林的域添加和刪除,必須和GC在一臺服務器,因為他不能查詢GC

RID 主機 (RID master) - 特定于域的角色，每個域一個。 每一個域都有一個唯一的RID池,RID池將分配給域一個RID塊,當域創建安全主體的時候又將這個塊分配給用戶

PDC - PDC 仿真器是特定于域的，每個域一個。 定義了與NT4.0的PDC,而且負責時間的同步,還有用戶身份的改變和密碼的更改

結構主機 (Infrastructure master) - 特定于域的角色，每個域一個。 他包含了域中的對象的索引信息,他最好不要和GC放在一臺服務器上,因為基礎結構主機和GC在一臺服務器上,基礎結構將沒有任何效果

然后設置為GC

單擊開始，指向程序，指向管理工具，然后單擊 Active Directory 站點和服務。

雙擊左窗格中的站點，然后瀏覽到適當的站點，或者，在沒有其他站點可用時單擊默認的第一個站點的名稱。

打開服務器文件夾，然后單擊該域控制器。

在域控制器的文件夾中，雙擊 NTDS 設置。

在操作菜單上，單擊屬性。 在“常規”選項卡上，找到全局編錄復選框以查看其是否選中.

這樣就完全設置完成,然后將舊的服務器的AD卸載掉舊OK了!

-