如何将备用的域控制器升级到主域控制器111

2023年12月8日发(作者：新闻特写范文)

-

如前面一片文章所提到的。比较麻烦的是，Exchange 2003的邮件服务器是安装在主域控制器上的，所以，主域控制器也被干掉了。

型号，做文件服务器的那台服务器也是域控制器，就要将这台文件服务器，升级到主域控制器了。

如果你没有执行过这样的动作，会觉得这是个很麻烦的事情。当我们操作过之后，你就会发现，其实这个不难。

首先，我们执行【netdom query fsmo】命令，来看一下目前的主域控制器是哪台。

然后依次执行下面的命令

ntdsutil

roles

connections

connect to rver

下面就开始夺取主域控制器的命令了

ize domain naming master

ize infrastructure master

ize pdc

ize rid master

ize schema master

slect operation target

q命令式退出命令。

这样，我们这台域控制器，就成为了主域了。

最后，我们还要将这台服务器成为全局编目服务器。方法如下：

管理工具——Active Directory站和服务——站点——Default-First-Site-Name——服务器——域控制器——NTDS设置——全局编目，把空格勾上就好

本文转自 ☆★ 黑白前线 ★☆ - 转载请注明出处，侵权必究！

原文链接：/a/special/qyaq/rver/2010/0429/

将额外控制器升级为主域控制器 [原] 前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；

一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；

二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；

点击确定，放入windows2003光盘到光驱；

三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：

点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；

输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；

四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：

在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；

在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接； 最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；

五、将额外域升级为主域控制器；

1、 将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：

首先要查看FSMO，运行regsvr32 注册，注册成功按确定。

<1>更改操作主机，

运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;

点击确定;

<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为

点击更改，确定。

<3>、更改RID、pdc仿真器、基本结构主机，运行Active Directory 用户和计算机，弹出窗口，显示域名为： 右键点击---操作主机，RID，PDC，基本结构主机显示为：,依次更改它们；

点击“是” RID更改成功；

PDC更改同上；

点击“是”，结构主机更改成功！！

到此为止，已经成功将一台新服务器由成员升级为额外域控，再提升到主域控制器；

本文是依照此次更换主机过程而写，希望能给有需要朋友一些帮助！！

（原创）额外域控制器升级为主域控制器

AD恢复主域控制器

本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

----------------------------------------------------------------------

目录

Active Directory操作主机角色概述

环境分析

从AD中清除主域控制器 对象

在额外域控制器上通过工具执行夺取五种ＦＭＳＯ操作 设置额外域控制器为ＧＣ（全局编录）

重新安装并恢复损坏主域控制器 附:用于检测AD中五种操作主机角色的脚本

----------------------------------------------------------------------

一、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：

架构主机 schema master、

域命名主机 domain naming master

相对标识号 (RID) 主机 RID master

主域控制器模拟器 (PDCE)

基础结构主机 infrastructure master

而每种操作主机角色负担不同的工作，具有不同的功能：

架构主机

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机

具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC： 向目录林中添加新域。 从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID)

主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。 每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机

PDCE

主域控制器模拟器提供以下主要功能：

向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。

时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。

PDCE是基于域的，目录林中的每个域都有自己的PDCE。

基础结构主机

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担

当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。 基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

--------------------------------------------------------------------------------

二、环境分析

公司（虚拟）有一台主域控制器，还有一台额外域控制器。现主域控制器（）由于硬件故障突然损坏，事先又没有的系统状态备份，没办法通过备份修复主域控制器（），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

----------------------------------------------------------------------

三、从AD中清除主域控制器对象

3.1在额外域控制器()上通过工具把主域控制器()从ＡＤ中删除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: lect operation target

lect operation target: connections

rver connections: connect to domain

rver connections:quit

lect operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

lect operation target: lect site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current rver

No current Naming Context

lect operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

lect operation target: lect domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current rver

No current Naming Context

lect operation target: List rvers for domain in site

Found 2 rver(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

lect operation target: lect rver ０

lect operation target: quit

metadata cleanup:Remove lected rver

出现对话框，按“确定“删除DC-01主控服务器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory urs and computers中的Domain

controllers中DC-01服务器对象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000

support tool，安装程序在windows 2000光盘中的supporttools目录下。先把adsi 和拷到system32下﹐再運行regsvr32

﹐再用mmc添加adsi﹐再在adsi中connect domain nc,打开ADSI

EDIT工具，展开Domain NC[]，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把DC-01服务器对象删除，如图1：

3.3 在Active Directory Sites and Service中删除DC-01服务器对象

打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete，单击Yes按钮，如图2：

----------------------------------------------------------------------

四、在额外域控制器上通过工具执行夺取五种ＦＭＳＯ操作

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

lect operation target: connections

rver connections: connect to domain

rver connections:quit

lect operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com lect operation target: lect site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current rver

No current Naming Context

lect operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

lect operation target: lect domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current rver

No current Naming Context

lect operation target: List rvers for domain in site

Found 1 rver(s)

0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

lect operation target: lect rver ０

lect operation target: quit

fsmo maintenance:Seize domain naming master

出现对话框，按“确定“

fsmo maintenance:Seize infrastructure master

出现对话框，按“确定“

fsmo maintenance:Seize PDC

出现对话框，按“确定“

fsmo maintenance:Seize RID master

出现对话框，按“确定“

fsmo maintenance:Seize schema master

出现对话框，按“确定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）

---------------------------------------------------------------------

五、设置额外控制()为ＧＣ（全局编录）

打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开(额外控制器)，右击NTDS Settings选择Properties，然后在"Global Catalog"前面打勾，单击"确定"按钮，然后重新启动服务器。

----------------------------------------------------------------------

六、重新安装并恢复损坏主域控制器

修理好损坏的硬件之后，在服务器重新安装Windows 2000 Server，安装好Windows 2000 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置为GC，取消的GC功能。

建议domain naming master不要和RID master在一台DC上，而domain naming

master同时必须为GC。

主域 Windows 2000 SP4 (2000年的时候安装的,硬件有故障,经常死机)

额外域 Windows 2003 (集成Exchange2003)

方案:新建一个额外域, 替换主域

操作步骤:

1. 安装 Windows 2000 SP4

2. DCPROMO 升级为额外域

3.通过Ntdsutil将角色转移

C:>ntdsutil

ntdsutil: roles

fsmo maintenance: connection

rver connections: connect to rver backupad(后面写你的備用服务器的域名)

绑定到 backupad ...

用本登录的用户的凭证连接 backupad。

rver connections: quit

fsmo maintenance: transfer schema master 转移架构主机角色

fsmo maintenance: transfer domain naming master 转移域命名主机角色

fsmo maintenance: transfer RID master 转移 RID 主机角色

fsmo maintenance: transfer PDC 转移 PDC 模拟器角色

fsmo maintenance: transfer infrastructure master 转移结构主机角色

4.再设置为 全局编录

管理工具 - Active Directory 站点和服务 - backupad - NTDS Settings属性,

全局编录的"勾"选中即可

5.重建DNS,且与主域同步,再正向搜索区域中的 根(.)将名称服务器改为"backupad"即可.

‘’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’’-----------------------------------------------------------------------

这里的环境如下:

一台旧的WIN2K SERVER域为,PDC FSMO GC

新的服务器也是WIN2K系统 目的:将旧的服务器的AD数据库迁移到新的服务器上,顶替旧服务器工作!

首先安装完成新的服务器的操作系统后,配置TCP/IP和旧服务器在一个网段,然后设置首要的DNS为旧服务器[DC]的DNSIP,然后确定退出,然后选择开始---->运行--->dcpromo开始提升为辅助域控制器,选择加入现有的域,输入DC的域名,然后会提示你权限,你用administrator用户,然后下一步,等待漫长的时间过去后,完成了,开始重新启动!等启动起来后进入命令行输入

ntdsutil

roles

connections

connect to rver 后面写你的旧服务器的域名

然后提示连接成功!输入

quit

这下退到了roles的命令行下面,打?看看那些命令依次将

Transfer domain naming master

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

转移到你的新服务器上!

格式如下:Transfer domain naming master 回车

会提示问你是否转移

关于FSMO的相信信息如下:

架构主机 (Schema master) - 目录林范围的角色，每目录林一个。 定义了对象和属性

域命名主机 (Domain naming master) - 目录林范围的角色，每个目录林一个。

决定了目录林的域添加和删除,必须和GC在一台服务器,因为他不能查询GC

RID 主机 (RID master) - 特定于域的角色，每个域一个。 每一个域都有一个唯一的RID池,RID池将分配给域一个RID块,当域创建安全主体的时候又将这个块分配给用户

PDC - PDC 仿真器是特定于域的，每个域一个。 定义了与NT4.0的PDC,而且负责时间的同步,还有用户身份的改变和密码的更改

结构主机 (Infrastructure master) - 特定于域的角色，每个域一个。 他包含了域中的对象的索引信息,他最好不要和GC放在一台服务器上,因为基础结构主机和GC在一台服务器上,基础结构将没有任何效果

然后设置为GC

单击开始，指向程序，指向管理工具，然后单击 Active Directory 站点和服务。

双击左窗格中的站点，然后浏览到适当的站点，或者，在没有其他站点可用时单击默认的第一个站点的名称。

打开服务器文件夹，然后单击该域控制器。

在域控制器的文件夹中，双击 NTDS 设置。

在操作菜单上，单击属性。 在“常规”选项卡上，找到全局编录复选框以查看其是否选中.

这样就完全设置完成,然后将旧的服务器的AD卸载掉旧OK了!

-