2022年额外域控制升级为主域控制器[整 .pdf

1 额外域控制升级为主域控制器（一）一、实验环境：域名为 1、 原主域控制器System: windows 20003 Server FQDN: PDCIP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、 辅助域控制器System: windows 2003 ServerFQDN：BDCIP： 192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、 Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和 AD 是紧密集成的， 如果升级失败的话， Exchange应该就会停止工作。如果升级成功，对 Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。二、实验目的：在主域控制器 (PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD 的服务。三、实验步骤1、 安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS 组件。在第一台域控制安装好后,下面开始安装第二台域控制器（ BDC），首先将要提升为辅助域控制的计算机的计算机名,IP 地址及 DNS 跟据上面设置好以后 ,并加入到现有域， 加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 12 页 - - - - - - - - - 2 2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常， 到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。3、 我们发现发送邮件测试成功， 这证明 Exchange是正常的。 下面正式开始安装第二台域控制器。也是就辅助域控制器（BDC）。4、 以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】-【运行】在运行里输入 dcpromo 打开活动目录安装向导 ,.点两个【下一步】 , 打开如图 .5、 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】 ，点【下一步】。如图名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 12 页 - - - - - - - - - 3 6、这里输入你的域管理员的用户名和密码，点【下一步】。如图：7、 这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，如图，安装完成大概要几分钟，你就耐心的等待吧，如图：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 12 页 - - - - - - - - - 4 8、几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了，如图：9、再查看一下FSMO（五种主控角色）的owner，安装Windows Server安装光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，如图：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 12 页 - - - - - - - - - 5 10、 现在五个角色的 woner 都是 PDC，我的就是要把这个五个角色转移到BDC上，使 BDC 成为这五个角色的owner。11、现在登陆PDC （主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入 :roles 回车，再输入 connections 回车，再输入 connect to server BDC - （备注：这里的dc-1 是指服务器名称），提示绑定成功后，输入q 退出，如图：12、 输入？回车可看到以下信息：Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Seize domain naming master - 在已连接的服务器上覆盖域角色Seize infrastructure master - 在已连接的服务器上覆盖结构角色Seize PDC - 在已连接的服务器上覆盖 PDC 角色Seize RID master - 在已连接的服务器上覆盖 RID 角色Seize schema master - 在已连接的服务器上覆盖架构角色Select operation target - 选择的站点，服务器，域，角色和命名上下名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 12 页 - - - - - - - - - 6 文Transfer domain naming master - 将已连接的服务器定为域命名主机Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer PDC - 将已连接的服务器定为 PDC Transfer RID master - 将已连接的服务器定为 RID 主机Transfer schema master - 将已连接的服务器定为架构如图：额外域控制升级为主域控制器（二）13、然后分别输入 ：Transfer domain naming master 回车Transfer infrastructure master 回车Transfer PDC 回车Transfer RID master 回车Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，如图：然后接着一条一条完成既可，完成以上按Q 退出界面，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 12 页 - - - - - - - - - 7 14、 这五个步骤完成以后，检查一下是否全部转移到BDC 上了，打开在第 9 步时装 windows support tools,开始 程序-windows support tools-command prompt, 输入 netdom query fsmo, 如图:全部转移成功 .现在五个角色的 owner 都是BDC 了.15、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site-default-first-site-name-servers,你会看到两台域控制器都在下面。展开 BDC ，右击【 NTDS Settings 】点【属性】，勾上全局编录前面的勾，点确定，如图：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 12 页 - - - - - - - - - 8 16、然后展开 PDC ，右击【NTDS Settings 】点【属性】，去掉全局编录前面的勾。如图：这样全局编录也转到BDC上去了，致此主域控制器已经变成BDC 了。而PDC 就成了辅助域控制器了。17、 现在已经可以把原来的主域控制器（PDC）删除掉了，在 (PDC)现在的辅助域控制器上运行 dcpromo 按照提示一步一步的删除它， 然后将它退出域。 就完成了整个升级过程。 这里还有一点要注要的： 升级完以后， 你现在的主域控制器的IP地址是新的， 而不是原来的那个IP 地址了，而下面所有的客户端的DNS 都是指向原来的主域控制器的，这样就会出现很多问题，包括你的Exchange 就找不到名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 12 页 - - - - - - - - - 9 域控制器，所以我最简单的方法就是把BDC （现在的主域控制器） 的 IP 改为 PDC（原来的主域控制器）的IP 就好了。18、这些改完以后启动Exchange ，exchange不要做任何更改就可以正常工作了，但这时在 exchange的日志里是有一项错误 （MSExchangeAL 事件 8026 和 8260） 。原因为收件人更新服务配置为使用 Windows 域控制器被降级， 。 收件人更新服务尝试查询有关该更新 , Windows 无法联系域控制器。解决办法：打开 Exchange 系统管理器。展开 收件人 容器, 然后单击收件人更新服务。双击每个收件人更新服务, 然后再将 Windows 域控制器设置更改为新域中 Windows 域控制器。这样设置完以后，重新启动计算机，一切正常了，发封邮件试试，一切正常。致此全部完成了。FSMO 角色介绍 ：架构主机 (Schema master) 架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行adprep /domainprep命令。域命名主机 (Domain naming master) 域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。RID 主机 (RID master) RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。结构主机 (Infrastructure master) 结构主机角色是域范围的角色， 每个域一个。此角色供域控制器使用，用于成功运行adprep /forestprep命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。PDC 模拟器 (PDC emulator) PDC 模拟器角色是域范围的角色， 每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。额外域控制升级为主域控制器（三）前面写的是在 PDC 还生效的情况下进行BDC 升 PDC 步骤, 我们也许会问 ,PDC还是正常的情况我们为什么提升BDC为 PDC 呢. 说对了 , 在 PDC 还正常的情况下我们是没有必要提升 BDC 为 PDC, 而如果 PDC 出现了问题时呢 , 比如说 PDC 的硬件出问题了或都说系统坏了的情况下我们就要提升BDC 为 PDC了, 下面我在为大家说说在 PDC 出现硬件故障机器开不起来了的情况BDC 提升为 PDC 的步骤 : 一、这时我们的PDC 已经出现了问题并开不起来了。这时我们来到BDC 上，打开 AD用户和计算机，在你的域名处点右键操作主机打开如图：此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC ，所以我们要把 BDC 更改为操作主机。各位可能就会看到下面不是有个更改按钮吗，直接点更改按钮不就转移过去了吗？其实这我也想到了， 但是你在这里点更改会报错的， 点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。不能连接当前的 FSMO 盒”，所以我们又要回到命令行模式下进行强制夺取了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 12 页 - - - - - - - - - 10 二、在上面的操作中我们已经安装了windows 2003 的 support tools了，所以我现在在找开 support tools，在命令提示符下输入netdom query fsmo 查看一下当前的五个前色的owner 是谁，如图：我们看到当前五个角色的owner 还是 PDC 。下面我们就开始强制夺取吧。三、再次打开support tools 在命令提示符下输入ntdsutil 回车，再输入 :roles 回车，再输入 connections 回车，再输入 connect to server ( 其实上面这里我名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 12 页 - - - - - - - - - 11 写的是 BDC 的计算机名，而现在输入的又是域名了) ，提示绑定成功后，输入q 退出，如图：四、输入问号可以看到一些帮助信息，上面由于我们是在正常情况下的角色转移我们用的 transfer,而现在我们要用 seize 来进行强制夺取了，分别输入：Seize domain naming master Seize infrastructure master Seize PDC Seize RID master Seize schema master Select operation target 以上的命令在输入完成一条后都会确认要占用角色，选择是，如图：然后接着一条一条完成既可，完成以上按Q 退出界面，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 12 页 - - - - - - - - - 12 五、选择是以后。如图：我们看到报错了，呵呵，不过没关系，这是正常的，因为主域 PDC 不在线，所以在夺取时会有这个出错信息。，所以结构角色会夺取到BDC 上，接下来的各个角色的夺取也会有这出错信息。六、以上命令全部完成以后，我们按Q退出，此时我们再查看一下五个角色的owner 已经是我们的 BDC 了，如图：七、以上全部完成以后还要把全局编录转移到BDC 上，这些步骤和上面的操作方法一样，所以我这里就不在写了。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 12 页 - - - - - - - - -