win2003额外域控制器升级为主域控制器

更新时间：2024-01-15 14:32:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

创建额外域控制器推荐度：
相关推荐

2010-03-19 23:46:46 标签：控制器

win2003额外域控制器升级为主域控制器

公司Test.com（虚拟）有一台主域控制器DC-01.test.com，还有一台额外域控制器DC-02.test.com。现主域控制器（DC-01.test.com）由于硬件故障突然损坏，事先又没有DC-01.test.com的系统状态备份，没办法通过备份修复主域控制器（DC-01.test.com），我们怎么让额外域控制器（DC-02.test.com）替代主域控制器，使Activate Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

--------------------------------------------------------------- 一、从AD中清除主域控制器DC-01.test.com对象

3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe工具把主域控制器(DC-01.test.com)从ＡＤ中删除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target select operation target: connections

server connections: connect to Domain test.com server connections: quit

select operation target: list sites Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server

No current Naming Context

select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server

No current Naming Context

select operation target: List servers for domain in site Found 2 server(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com 1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０ select operation target: quit

metadata cleanup:Remove selected server

出现对话框，按“确定“删除DC-01主控服务器。 metadata cleanup:quit ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象，ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000 support tool，安装程序在windows 2000光盘中的support\\tools目录下。打开ADSI EDIT工具，展开Domain NC[DC-02.test.com]，展开OU=Domain controllers，右击CN=DC-01，然后选择，把DC-01服务器对象删除，如图1：Delete

3.3 在Active Directory Sites and Service中删除DC-01服务器对象打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete，单击 Yes按钮，如图2：

--------------------------------------------------------------------------------

二、在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作 c:>ntdsutil ntdsutil: roles

fsmo maintenance: Select operation target select operation target: connections

server connections: connect to domain test.com server connections:quite

select operation target: list sites Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server

No current Naming Context

select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site Found 1 server(s) 0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０ select operation target: quit

fsmo maintenance:Seize domain naming master 出现对话框，按“确定“

fsmo maintenance:Seize infrastructure master 出现对话框，按“确定“ fsmo maintenance:Seize PDC 出现对话框，按“确定“

fsmo maintenance:Seize RID master 出现对话框，按“确定“

fsmo maintenance:Seize schema master 出现对话框，按“确定“ fsmo maintenance:quit ntdsutil: quit

（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）

--------------------------------------------------------------------------------

三、设置额外控制(DC-02.test.com)为ＧＣ（全局编录）打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开DC-02.test.com(额外控制器)，右击NTDS Settings选择Properties，然后在\Catalog\前面打勾，单击\确定\按钮，然后重新启动服务器。

--------------------------------------------------------------------------------

四、重新安装并恢复损坏主域控制器

修理好DC-01.test.com损坏的硬件之后，在DC-01.test.com服务器重新安装Windows 2000 Server，安装好Windows 2000 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使DC-01.test.com担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置DC-01.test.com为GC，取消DC-02.test.com的GC功能。

建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。

--------------------------------------------------------------------------------

五、使用DCPROMO/FORCEREMOVAL命令强制将ActiveDirectory域控制器降级

单击“开始”，单击“运行”，然后键入以下命令： dcpromo /forceremoval

额外域控制升级为主域控制器

2010-12-14 12:09 已有8人次浏览评论0条

核心提示：额外域控制升级为主域控制器

一、

实验环境：

域名为test.com 1、

原主域控制器

System: windows 20003 Server FQDN:

PDC.test.com IP：192.168.50.1 Mask:255.255.255.0 DNS:192.168.50.1 2、

辅助域控制器

System: windows 2003 Server FQDN：BDC.test.com IP： 192.168.50.2 Mask: 255.255.255.0 DNS:192.168.50.1 3、

Exchange 2003 Server FQDN:mail.test.com IP:192.168.50.3 Mask:255.255.255.0 DNS:192.168.50.1

也许有人会问，做辅域升级要装个Exchange干什么？

其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：

在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤 1、

安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、

我们发现发送邮件测试成功，这证明Exchange是正常的。下面正式开始安装第二台域控制器。也是就辅助域控制器（BDC）。 4、

以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.

5、

这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。如图

6、

这里输入你的域管理员的用户名和密码，点【下一步】。如图：

7、这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，如图，安装完成大概要几分钟，你就耐心的等待吧，如图：

8、几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了test.com域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了，如图：

9、再查看一下FSMO（五种主控角色）的owner，安装Windows Server安装光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，如图：

10、

现在五个角色的woner 都是PDC，我的就是要把这个五个角色转移到BDC上，使BDC成为这五个角色的owner。

11、现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server

BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出，如图：

12、

输入？回车可看到以下信息：

Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息 Quit - 返回到上一个菜单

Seize domain naming master - 在已连接的服务器上覆盖域角色

Seize infrastructure master - 在已连接的服务器上覆盖结构角色 Seize PDC - 在已连接的服务器上覆盖 PDC 角色 Seize RID master - 在已连接的服务器上覆盖 RID 角色 Seize schema master - 在已连接的服务器上覆盖架构角色

Select operation target - 选择的站点，服务器，域，角色和命名上下文

Transfer domain naming master - 将已连接的服务器定为域命名主机 Transfer infrastructure master - 将已连接的服务器定为结构主机 Transfer PDC - 将已连接的服务器定为 PDC Transfer RID master - 将已连接的服务器定为 RID 主机 Transfer schema master - 将已连接的服务器定为架构

如图：

额外域控制升级为主域控制器（二）

13、然后分别输入：

Transfer domain naming master 回车 Transfer infrastructure master 回车 Transfer PDC 回车 Transfer RID master 回车 Transfer schema master 回车

以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，如图：然后接着一条一条完成既可，完成以上按Q退出界面，

14、

这五个步骤完成以后，检查一下是否全部转移到BDC上了，打开在第9步时装windows support tools,开始－>程序->windows support tools->command prompt,输入netdom query fsmo,如图:全部转移成功.现在五个角色的owner都是BDC了.

15、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。展开BDC，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾，点确定，如图： [size=+0]

额外域控制升级为主域控制器（三）

前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:

一、这时我们的PDC已经出现了问题并开不起来了。这时我们来到BDC上，打开AD用户和计算机，在你的域名处点右键――>操作主机打开如图：此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC，所以我们要把BDC更改为操作主机。各位可能就会看到下面不是有个更改按钮吗，直接点更改按钮不就转移过去了吗？其实这我也想到了，但是你在这里点更改会报错的，点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。不能连接当前的 FSMO 盒”，所以我们又要回到命令行模式下进行强制夺取了。

16、然后展开PDC，右击【NTDSSettings】点【属性】，去掉全局编录前面的勾。如图：这样全局编录也转到BDC上去了，致此主域控制器已经变成BDC了。而PDC就成了辅助域控制器了。

17、

现在已经可以把原来的主域控制器（PDC）删除掉了，在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了，而下面所有的客户端的DNS都是指向原来的主域控制器的，这样就会出现很多问题，包括你的Exchange 就找不到域控制器，所以我最简单的方法就是把BDC（现在的主域控制器）的IP改为PDC（原来的主域控制器）的IP就好了。 18、

这些改完以后启动Exchange ，exchange不要做任何更改就可以正常工作了，但这时在exchange的日志里是有一项错误（MSExchangeAL 事件 8026 和8260）。原因为收件人更新服务配置为使用 Windows 域控制器被降级，。收件人更新服务尝试查询有关该更新, Windows无法联系域控制器。

解决办法：打开 Exchange 系统管理器。展开 \收件人 \容器, 然后单击收件人更新服务。双击每个收件人更新服务, 然后再将 Windows 域控制器设置更改为新域中 Windows 域控制器。这样设置完以后，重新启动计算机，一切正常了，发封邮件试试，一切正常。致此全部完成了。

FSMO角色介绍：

架构主机 (Schema master)

－架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep

命令。

域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。 RID 主机 (RID master)

－ RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

结构主机 (Infrastructure master)

－结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用，用于成功运行 adprep /forestprep

命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

PDC 模拟器 (PDC emulator)

－ PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

二、在上面的操作中我们已经安装了windows 2003 的support tools了，所以

我现在在找开support tools，在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁，如图：

我们看到当前五个角色的owner还是PDC。下面我们就开始强制夺取吧。

三、再次打开 support tools 在命令提示符下输入ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server test.com(其实上面这里我写的是BDC的计算机名，而现在输入的又是域名了) ，提示绑定成功后，输入q退出，如图：

四、输入问号可以看到一些帮助信息，上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了，分别输入： Seize domain naming master

Seize infrastructure master

Seize PDC

Seize RID master

Seize schema master

Select operation target

以上的命令在输入完成一条后都会确认要占用角色，选择是，如图：然后接着一条一条完成既可，完成以上按Q退出界面，

五、选择是以后。如图：我们看到报错了，呵呵，不过没关系，这是正常的，因为主域PDC不在线，所以在夺取时会有这个出错信息。，所以结构角色会夺取到BDC上，接下来的各个角色的夺取也会有这出错信息。

六、以上命令全部完成以后，我们按Q退出，此时我们再查看一下五个角色的owner已经是我们的BDC了，如图：

七、以上全部完成以后还要把全局编录转移到BDC上，这些步骤和上面的操作方法一样，所以我这里就不在写了。

备份域升为主域控制器

[日期：2007-10-01] 来源：作者： [字体：大中小] AD恢复主域控制器

本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

---------------------------------------------------------------------- 目录

Active Directory操作主机角色概述环境分析

从AD中清除主域控制器DC-01.test.com 对象

在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）

重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本 ----------------------------------------------------------------------

一、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、

域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE)

基础结构主机 infrastructure master

而每种操作主机角色负担不同的工作，具有不同的功能：架构主机

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。域命名主机

具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。相对标识号 (RID)

主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的

不同域之间移动所有对象。域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机 PDCE

主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。

PDCE是基于域的，目录林中的每个域都有自己的PDCE。基础结构主机

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担

当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

-------------------------------------------------------------------------------- 二、环境分析

公司Test.com（虚拟）有一台主域控制器DC-01.test.com，还有一台额外域控制器DC-02.test.com。现主域控制器（DC- 01.test.com）由于硬件故障突然损坏，事先又没有DC-01.test.com的系统状态备份，没办法通过备份修复主域控制器（DC- 01.test.com），我们怎么让额外域控制器（DC-02.test.com）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

----------------------------------------------------------------------

三、从AD中清除主域控制器DC-01.test.com对象

3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe工具把主域控制器(DC-01.test.com)从ＡＤ中删除； c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target select operation target: connections

server connections: connect to domain test.com server connections:quit

select operation target: list sites Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain No current server

No current Naming Context

select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com No current server

No current Naming Context

select operation target: List servers for domain in site Found 2 server(s)

0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

select operation target: select server ０ select operation target: quit

metadata cleanup:Remove selected server

出现对话框，按“确定“删除DC-01主控服务器。 metadata cleanup:quit ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000 support tool，安装程序在windows 2000光盘中的support\\tools目录下。先把adsi edit.msc 和adsiedit.dll拷到system32下﹐再運行regsvr32 adsiedit.dll﹐再用mmc添加adsi﹐再在adsi中connect domain nc,打开ADSI EDIT工具，展开Domain NC[DC-02.test.com]，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把DC-01服务器对象删除，如图1： 3.3 在Active Directory Sites and Service中删除DC-01服务器对象

打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete，单击 Yes按钮，如图2：

----------------------------------------------------------------------

四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作 c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target select operation target: connections

server connections: connect to domain test.com server connections:quit

select operation target: list sites Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain No current server

No current Naming Context

select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com No current server

No current Naming Context

select operation target: List servers for domain in site Found 1 server(s)

0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com

select operation target: select server ０ select operation target: quit

fsmo maintenance:Seize domain naming master 出现对话框，按“确定“

fsmo maintenance:Seize infrastructure master 出现对话框，按“确定“ fsmo maintenance:Seize PDC 出现对话框，按“确定“

fsmo maintenance:Seize RID master 出现对话框，按“确定“

fsmo maintenance:Seize schema master 出现对话框，按“确定“ fsmo maintenance:quit ntdsutil: quit

（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）

--------------------------------------------------------------------- 五、设置额外控制(DC-02.test.com)为ＧＣ（全局编录）

打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开DC-02.test.com(额外控制器)，右击NTDS Settings选择Properties，然后在\log\前面打勾，单击\确定\按钮，然后重新启动服务器。

----------------------------------------------------------------------

六、重新安装并恢复损坏主域控制器

建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。

主域 Windows 2000 SP4 (2000年的时候安装的,硬件有故障,经常死机) 额外域 Windows 2003 (集成Exchange2003) 方案:新建一个额外域, 替换主域操作步骤:

1. 安装 Windows 2000 SP4 2. DCPROMO 升级为额外域 3.通过Ntdsutil将角色转移 C:\\>ntdsutil ntdsutil: roles

fsmo maintenance: connection

server connections: connect to server backupad(后面写你的備用服务器的域名)

绑定到 backupad ...

用本登录的用户的凭证连接 backupad。 server connections: quit

fsmo maintenance: transfer schema master 转移架构主机角色

fsmo maintenance: transfer domain naming master 转移域命名主机角色 fsmo maintenance: transfer RID master 转移 RID 主机角色

fsmo maintenance: transfer PDC 转移 PDC 模拟器角色

fsmo maintenance: transfer infrastructure master 转移结构主机角色 4.再设置为全局编录

管理工具 - Active Directory 站点和服务 - backupad - NTDS Settings属性, 全局编录的\勾\选中即可

5.重建DNS,且与主域同步,再正向搜索区域中的根(.)将名称服务器改为%upad\即可.

‘’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’-----------------------------------------------------------------------

这里的环境如下:

一台旧的WIN2K SERVER域为msft.com,PDC FSMO GC 新的服务器也是WIN2K系统

目的:将旧的服务器的AD数据库迁移到新的服务器上,顶替旧服务器工作!

首先安装完成新的服务器的操作系统后,配置TCP/IP和旧服务器在一个网段,然后设置首要的DNS为旧服务器[DC]的DNSIP,然后确定退出,然后选择开始---->运行--->dcpromo开始提升为辅助域控制器,选择加入现有的域,输入DC的域名,然后会提示你权限,你用administrator用户,然后下一步,等待漫长的时间过去后,完成了,开始重新启动!等启动起来后进入命令行输入 ntdsutil roles

connections

connect to server 后面写你的旧服务器的域名然后提示连接成功!输入 quit

这下退到了roles的命令行下面,打?看看那些命令依次将 Transfer domain naming master Transfer infrastructure master Transfer PDC

Transfer RID master Transfer schema master 转移到你的新服务器上!

格式如下:Transfer domain naming master 回车会提示问你是否转移

关于FSMO的相信信息如下:

架构主机 (Schema master) - 目录林范围的角色，每目录林一个。定义了对象和属性

域命名主机 (Domain naming master) - 目录林范围的角色，每个目录林一个。

决定了目录林的域添加和删除,必须和GC在一台服务器,因为他不能查询GC

RID 主机 (RID master) - 特定于域的角色，每个域一个。每一个域都有一个唯一的RID池,RID池将分配给域一个RID块,当域创建安全主体的时候又将这个块分配给用户

PDC - PDC 仿真器是特定于域的，每个域一个。定义了与NT4.0的PDC,而且负责时间的同步,还有用户身份的改变和密码的更改

结构主机 (Infrastructure master) - 特定于域的角色，每个域一个。他包含了域中的对象的索引信息,他最好不要和GC放在一台服务器上,因为基础结构主机和GC在一台服务器上,基础结构将没有任何效果