首页 > 文体写作

最全面的额外域控制升级为主域控制器实验方法

更新时间:2023-12-08 15:43:29 阅读：评论：0

2023年12月8日发(作者：立木为信)

-

额外域控制升级为主域控制器实验

一、实验环境：域名为

辅助域控制器

System: windows 2003 Server

FQDN：

IP： 192.168.10.101

Mask: 255.255.255.0

DNS:192.168.10.1

原主域控制器

System: windows 20003 Server

FQDN:

IP：192.168.10.100

Mask:255.255.255.0

DNS:192.168.10.1

二、实验目的：

在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。一般公司部署两台AD rver来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADrver损坏可通过额外的域控制器来维持环境正常运行，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD。

三、

四、实验步骤：

1. 安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2. 以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.

3. 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。如图

4. 这里输入你的域管理员的用户名和密码，点【下一步】。如图：

5. 这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，如图，安装完成大概要几分钟，你就耐心的等待吧，如图：

以下介绍三种额外域提升为主域方法

6. 几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了，如图：

7. 再查看一下FSMO（五种主控角色）的owner，安装Windows Server安装光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，如图：

重点环节

8. 现在五个角色的woner 都是PDC，现在需要把这个五个角色转移到BDC上，使BDC成为owner。

9. 现在登陆PDC（主域控制器）打开命令提示符，输入ntdsutil;及ntdsutil ?查看相关的命令；因为要更改角色的所有者，所以运行roles命令

10. 命令提示符下再输入:roles 回车，输入connections 回车，再输入connect to rver BDC （备注：这里的BDC是额外指服务器名称），提示绑定成功后，输入q退出，如图：

11. 命令提示符下输入？号，可以查看到通过使用Transfer命令做相关的5个角色的传递

12. 然后分别输入：

Transfer infrastructure master 回车

Transfer naming master 回车

Transfer PDC 回车

Transfer RID master 回车

Transfer schema master 回车

13. 以下的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，如图：然后接着一条一条完成既可，完成以上按Q退出界面。

14. 这五个步骤完成以后，检查一下是否全部转移到BDC上了，开始－>程序->运行->命令提示符下输入netdom query fsmo如图:现在五个角色的owner都是BDC转移成功。

15. 角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->rvers,你会看到两台域控制器都在下面。展开BDC，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾，点确定，如图：

16. 然后展开PDC，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。如图：这样全局编录也转到BDC上去了，致此主域控制器已经变成BDC了。而PDC就成了辅助域控制器了

17. 现在已经可以把原来的主域控制器（PDC）删除掉了，在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了，而下面所有的客户端的DNS都是指向原来的主域控制器的，这样就会出现很多找不到域控制器的问题，，所以我最简单的方法就是把BDC（现在的主域控制器）的IP改为PDC（原来的主域控制器）的IP就好了。

注：2003系统和2008R2系统安装AD域控制器和提升角色方法都一样,唯一不同的是2008R系统提升角色时不需要操作第15-16步骤，主域正常启动时与额外域处于转移角色关系, netdom query fsmo查看角色转移成功后GC和上全局编录已自动更新为额外域无需在手动去操作。

(命令行方式提升角色方法结束)♂

1. 一种图形界面，一种命令行；有两种有什么区别么呢,用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，命令稍带优势；在操作fsmo角色传递时图形界面会报错,而通过命令操作一下就过了,大家把两个方式务必记住。详细实例见下：

2. 额外域运行“ ” 来注册动态链接库，由于架构主机重要特殊，并没有预先设置的工具，所以必须通过注册动态链接库来打开。

3. 运行MMC工具打开控制台来添加Active directory 架构窗口

右击Active Directory---更改域控制器---操作主机---更改---确定

5. RID主机角色的传递：运行打开窗口，右击Active Dirctory选择操作主机，选择RID标签单机更改然后确定

6. PDC主机角色的传递：选择PDC标签单机更改然后确定

7. 基础结构主机角色的传递：选择基础结构标签更改然后确定

8. 域命名主机的传递：运行窗口，右击Active Dirctory选择操作主机，选择更改然后确定

(图形化界面方式提升角色方法结束)♂

1.. 前面写的是在PDC（主域）还生效的情况下进行BDC（额外域）升PDC（主域）步骤,而如果主域出现了问题时呢, 比如说PDC的硬件出问题了或者系统坏了的情况下我们就要提升BDC为PDC了,下面来讲解在PDC出现故障后BDC如何提升为PDC

2.. 额外域BDC上打开AD用户和计算机，右击Active Dirctory选择操作主机，此时在操作主机项显示的是错误不能使用“更改”按钮，因此需要把BDC更改为操作主机使用命令行模式进行强制夺取。

重点环节可以看到当前五个角色的owner还是PDC，下面就开始强制夺取吧。

3.. 在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁，如图♂

4.. 下面我们就通过运行命令：ntdsutil tools强制将fsmo角色传递到DCB（额外域控制器）上

首先在DCB上打开命令提示符，输入ntdsutil;及ntdsutil ?查看相关的命令

5.. 看到关于ntdsutil的很多命令，使用管理NTDS橘色所有者的令牌，因为要将DCA上得角色传递到DCB上面，所以通过运行roles命令进行相关的操作,输入roles命令后再次敲打？号查看有哪些相关的操作。

6.. 我们通过？号查看到很多得先关命令，我们这会明白，首先要通过connetions命令连接到

我的DCB rver上，然后再通过命令强制将角色传递到该服务器。

7.. 命令提示符下输入connections 回车，再输入connect to rver BDC （备注：这里的BDC是额外指服务器名称），提示绑定成功后，输入q退出，如图：

8.. 输入?号,来查看相关的操作命令,之前用了Transger进行fsmo的角色传递；下面需要使用Seize命令来执行fsmo的角色传递强制夺取,前提是两个域控制器之间完全没有通信。

9.. 分别输入：

Seize infrastructure master 回车 Seize naming master 回车

Seize PDC 回车 Seize RID master 回车 Seize schema master 回车

10.. 以下的命令在接下来输入完成后都会出现确认要占用角色，选择是，然后接着一条一条完成既可，因为主域PDC不在线，结构角色会夺取到BDC上所以在夺取时会有这个出错信息。如图：

程序->运行->输入netdom query fsmo,如图:现在五个角色的owner都是BDC了

11.. 以上命令全部完成以后，已将fsmo角色全部传递到BDC上了，我们按Q退出，检查一下是否全部抢夺成功，开始－>

12.. 还要把全局编录转移到BDC上，这些步骤和上面的操作方法一样的就我这里就不在写了。

(抢夺角色方法结束)♂

五、 FSMO角色介绍：

1 …架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

2 …域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。

3 …RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

4 …结构主机 (Infrastructure master)－结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用,用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

5 …PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

六、 AD数据库出错解决方法:

现在我们删除已损坏DC的信息，对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示

解决办法：

以下内容来自微软KB216498; /kb/216498/

域控制器降级失败后如何删除 Active Directory 中的数据

本文介绍在域控制器降级失败后，如何删除 Active Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他 LDAP 版本 3 客户端，并且不恰当地修改了 Active

Directory 对象的属性，则可能造成严重问题。要解决这些问题，您可能需要重新安装 Microsoft Windows 2000 Server、Microsoft Windows Server 2003、Microsoft Exchange 2000 Server 或 Microsoft Exchange Server 2003，或者 Windows

和 Exchange 二者都需要重新安装。Microsoft 不保证能够解决因为 Active Directory 对象属性修改不当而导致的问题。修改这些属性需要您自担风险。

Active Directory 安装向导 () 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。作为降级过程的一部分，此向导会将该域控制器的配置数据从 Active Directory 中删除。此数据的形式是“NTDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

该信息位于 Active Directory 中的以下位置：

CN=NTDS Settings,CN=,CN=Servers,CN=,CN=Sites,CN=Configuration,DC=...

“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。“NTDS 设置”对象也是一个容器，其中可以包含代表域控制器的直接复制伙伴的子对象。该数据是域控制器在环境中运行所必需的，但域控制器降级后就不再使用该数据了。

如果未正确删除“NTDS 设置”对象（例如，未从降级尝试中正确删除“NTDS 设置”对象），管理员可以使用

实用工具手动删除“NTDS 设置”对象。以下步骤列出了在特定域控制器的 Active Directory 中删除“NTDS 设置”对象的过程。在每个 Ntdsutil 菜单上，管理员可以键入 help 以了解有关可用选项的更多信息。

回到顶端

Windows Server 2003 Service Pack 1 (SP1) - 的增强版本

Windows Server 2003 Service Pack 1 中包含的版本已经过增强，可使元数据清除过程更加彻底。在运行元数据清除时，SP1 中包含的将执行下列操作：

删除“NTDSA 设置”或“NTDS 设置”主题。

删除现有目标 DC 用于从要删除的源 DC 复制数据的入站 AD 连接对象。

删除计算机帐户。

删除 FRS 成员对象。

删除 FRS 订阅者对象。

尝试获取由要删除的 DC 所拥有的灵活单操作主机角色（又称为灵活单主机操作或 FSMO）。

警告：在手动删除任何服务器的“NTDS 设置”对象之前，管理员还必须确保在降级之后已进行了复制。Ntdsutil 实用工具使用不当可能导致 Active Directory 功能部分或全部丧失。

回到顶端

过程 1：仅限 Windows Server 2003 SP1

单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

在命令提示符处，键入 ntdsutil，然后按 Enter。

键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 t creds

DomainNameUrNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。

键入 connect to rver

rvername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息：

错误 2094。不能删除 DSA 对象。0x2094

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 lect operation target，然后按 Enter。

键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

键入 lect domain

number，然后按 Enter；其中

number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。

键入 list sites，然后按 Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。

键入 lect site

number，然后按 Enter；其中

number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。

键入 list rvers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。

键入 lect rver

number，其中

number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 remove lected rver，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息，则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 DCPROMO 实用工具成功删除该对象后又执行了一次此操作。

错误 8419 (0x20E3)

找不到 DSA 对象

注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。

键入 quit，然后在每个菜单上按 Enter，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。

在 DNS 的 _msdcs.<目录林的根域> 区域中删除 cname 记录。假定要重新安装并重新提升 DC，将创建一个新的“NTDS 设置”对象，它将具有新的 GUID 并在 DNS 中拥有一个匹配的 cname 记录。您不希望现有 DC 使用旧的 cname 记录。

最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。

在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。要删除 A 记录，请右键单击 A 记录，然后单击“删除”。另外，请删除 _msdcs 容器中的 cname 记录。为此，请展开“_msdcs”容器，右键单击“cname”，然后单击“删除”。

重要说明：如果这是一台 DNS 服务器，请在“名称服务器”选项卡下删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下单击该域名，然后从“名称服务器”选项卡中删除该服务器。

注意：如果有反向查找区域，也要将服务器从这些区域中删除。

如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，键入，然后单击“确定”。

展开“域 NC”容器。

展开“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

右键单击“Trust Domain”对象，然后单击“删除”。

使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作：

启动“Active Directory 站点和服务”。

展开“站点”。

展开服务器的站点。默认站点为“Default-First-Site-Name”。

展开“服务器”。

右键单击域控制器，然后单击“删除”。

回到顶端

过程 2：Windows 2000（所有版本）、Windows Server 2003 RTM

单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

在命令提示符处，键入 ntdsutil，然后按 Enter。

键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，则可以在建立连接之前指定要使用的替代凭据。为此，请键入 t creds

DomainNameUrNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。

键入 connect to rver

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息：

错误 2094。不能删除 DSA 对象。0x2094

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 lect operation target，然后按 Enter。

键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

键入 lect domain

number，然后按 Enter；其中

number 是与要删除的服务器所属的域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。

键入 list sites，然后按 Enter。将显示一个站点列表，每个站点都有一个关联的编号。

键入 lect site

number，然后按 Enter；其中

number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。

键入 list rvers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。

键入 lect rver

number，其中

number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服

务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。

键入 quit，然后按 Enter。将出现“清除元数据”菜单。

键入 remove lected rver，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息：

错误 8419 (0x20E3)

找不到 DSA 对象

则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 Dcpromo 实用工具成功删除该对象后又执行了一次此操作。

注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。

在每个菜单中键入 quit，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。

既然“NTDS 设置”对象已删除，因此可以删除计算机帐户、FRS 成员对象、_msdcs 容器中的 cname（或别名）记录、DNS 中的 A（或主机）记录、已删除的子域的 trustDomain 对象以及域控制器。

注意：在 Windows Server 2003 RTM 中不需要手动删除 FRS 成员对象，因为在您运行实用工具时，它已经删除了 FRS 成员对象。另外，如果 DC 的计算机帐户包含其他页对象，则无法删除该计算机帐户的元数据。例如，DC 上可能安装了远程安装服务 (RIS)。

Windows 2000 Server 和 Windows Server 2003 的 Windows 支持工具功能中都附带有 Adsiedit 实用工具。要安装 Windows

支持工具，请按照下列步骤操作：

Windows 2000 Server：在 Windows 2000 Server CD 上，打开 SupportTools 文件夹，双击“”，然后按照屏幕上的说明操作。

Windows Server 2003：在 Windows Server 2003 CD 上，打开 SupportTools 文件夹，双击“”，单击“安装”，然后按照 Windows 支持工具安装向导中的步骤操作以完成安装。

使用 ADSIEdit 删除计算机帐户。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，在“打开”框中键入，然后单击“确定”。

展开“域 NC”容器。

展开“DC=<您的域名>, DC=COM, PRI, LOCAL, NET”。

展开“OU=Domain Controllers”。

右键单击“CN=<域控制器名>”，然后单击“删除”。

如果在试图删除 DSA 对象时出现“不能删除 DSA 对象”错误消息，请更改 UrAccountControl 值。要更改

UrAccountControl 值，请在 ADSIEdit 中右键单击该域控制器，然后单击“属性”。在“选择一个要查看的属性”下，单击“UrAccountControl”。单击“清除”，将该值更改为 4096，然后单击“设置”。现在您可以删除该对象了。

注意：删除计算机对象时，也将删除 FRS 订阅者对象，因为它是计算机帐户的子对象。

使用 ADSIEdit 删除 FRS 成员对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，在“打开”框中键入，然后单击“确定”。

展开“域 NC”容器。

展开“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

展开“CN=File Replication Service”。

展开“CN=Domain System Volume (SYSVOL share)”。

右键单击要删除的域控制器，然后单击“删除”。

在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。要删除 A 记录，请右键单击 A 记录，然后单击“删除”。还要删除“_msdcs”容器中的 cname（也称为“别名”）记录。为此，请展开“_msdcs”容器，右键单击 cname，然后单击“删除”。

重要说明：如果这是一台 DNS 服务器，请在“名称服务器”选项卡中删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下右键单击该域名，单击“属性”，然后从“名称服务器”选项卡中删除该服务器。

注意：如果有反向查找区域，也要将服务器从这些区域中删除。

如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，则使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作：

单击“开始”，单击“运行”，在“打开”框中键入，然后单击“确定”。

展开“域 NC”容器。

展开“DC=<您的域>, DC=COM, PRI, LOCAL, NET”。

展开“CN=System”。

右键单击“Trust Domain”对象，然后单击“删除”。

使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作：

启动“Active Directory 站点和服务”。

展开“站点”。

展开服务器的站点。默认站点为“Default-First-Site-Name”。