額外域控制升級為主域控制器

額外域控制升級為主域控制器（一）額外域控制升級為主域控制器（一）一、實(shí)驗(yàn)環(huán)境：域名為1、原主域控制器System:windows20003ServerFQDN:PDC.IP：Mask:DNS:2、輔助域控制器System:windows2003ServerFQDN：BDC.IP：Mask:DNS:3、Exchange2003ServerFQDN:IP:Mask:DNS:也許有人會問，做輔域升級要裝個Exchange干什么？其實(shí)我的目的是為了證明我的升級是否成功，因?yàn)镋xchange和AD是緊密集成的，如果升級失敗的話，Exchange應(yīng)該就會停止工作。如果升級成功，對Exchange應(yīng)該就沒有影響，其實(shí)現(xiàn)在我們很多的生產(chǎn)環(huán)境中有很多這樣的情況。二、實(shí)驗(yàn)?zāi)康模涸谥饔蚩刂破鳎≒DC）出現(xiàn)故障的時候通過提升輔域控制器（BDC）為主域控制，從而不影響所有依靠AD的服務(wù)。三、實(shí)驗(yàn)步驟1、安裝域控制器。第一臺域控制器的安裝我這里就不在說明了，但要注意一點(diǎn)的是，兩臺域控器都要安裝DNS組件。在第一臺域控制安裝好后，下面開始安裝第二臺域控制器（BDC），首先將要提升為輔助域控制的計算機(jī)的計算機(jī)名,IP地址及DNS跟據(jù)上面設(shè)置好以后，并加入到現(xiàn)有域，加入域后以域管理員的身份登

陸，開始進(jìn)行安裝第二臺域控制器。2、在安裝輔助域控器前先看一下我們的ExchangeServer工作是否正常，到ExchangeServer中建立兩個用戶testl和test2,并為他們分別建立一個郵箱，下面使用他們相互發(fā)送郵件進(jìn)行測試，如圖。3、我們發(fā)現(xiàn)發(fā)送郵件測試成功，這證明Exchange是正常的。下面正式開始安裝第二臺域控制器。也是就輔助域控制器（BDC）。4、以域管理員身份登陸要提升為輔助域控制器的計算機(jī)，點(diǎn)【開始】-＞【運(yùn)行】在運(yùn)行里輸入dcpromo打開活動目錄安裝向?qū)В?點(diǎn)兩個【下一步】，打開如圖.5、這里由于是安裝第二臺域控制器，所以選擇【現(xiàn)有域的額外域控制器】，點(diǎn)【下一步】。如圖

6、這里輸入你的域管理員的用戶名和密碼，點(diǎn)【下一步】。如圖:7、這里提示你的這臺域控制將成為哪個域的額外域控制器，如果正確，點(diǎn)【下一步】，再連續(xù)點(diǎn)三個下一步，就開始安裝了，如圖，安裝完成大概要幾分鐘，你就耐心的等待吧，如圖：

8、幾分鐘后安裝完成，提示重新啟動計算機(jī)，重新啟動計算機(jī)，此時你的計算機(jī)已經(jīng)成為了域的輔助域控制了。此時在活動目錄用戶和計算機(jī)的域控制器里已經(jīng)有兩臺域控制了，如圖：/ActiveDirectory用戶和計算機(jī)DomainCcintroilers2個對象…二I保存的查詢名稱1類型1描述日test,com國BDC計麻+|BuiltinL?1Computers邕FDC計聳機(jī)IIdeaihCorLtroilers|±-L21ForigriSecm-ityFrincip：=l&|user田L(fēng)~1User59、再查看一下FSMO（五種主控角色）的owner，安裝WindowsServer安裝光盤中的Support目錄下的supporttools工具，然后打開提示符輸入：netdomqueryfsmo以輸出FSMO的owner，如圖：

10、現(xiàn)在五個角色的woner都是PDC,我的就是要把這個五個角色轉(zhuǎn)移到BDC上，使BDC成為這五個角色的ownero11、現(xiàn)在登陸PDC（主域控制器），進(jìn)入命令提示符窗口，在命令提示符下輸入：ntdsutil回車，再輸入:roles回車，再輸入connections回車，再輸入connecttoserverBDC—>（備注：這里的dc-1是指服務(wù)器名稱），提示綁定成功后，輸入q退出，如圖：12、輸入？回車可看到以下信息：Connections-連接到一個特定域控制器Help-顯示這個幫助信息Quit-返回到上一個菜單Seizedomainnamingmaster-在已連接的服務(wù)器上覆蓋域角色Seizeinfrastructuremaster-在已連接的服務(wù)器上覆蓋結(jié)構(gòu)角色SeizePDC-在已連接的服務(wù)器上覆蓋PDC角色SeizeRIDmaster-在已連接的服務(wù)器上覆蓋RID角色Seizeschemamaster-在已連接的服務(wù)器上覆蓋架構(gòu)角色Selectoperationtarget-選擇的站點(diǎn)，服務(wù)器，域，角色和命名上下文

Transferdomainnamingmaster-將已連接的服務(wù)器定為域命名主機(jī)Transferinfrastructuremaster-將已連接的服務(wù)器定為結(jié)構(gòu)主機(jī)TransferPDC-將已連接的服務(wù)器定為PDCTransferRIDmaster-將已連接的服務(wù)器定為RID主機(jī)Transferschemamaster-將已連接的服務(wù)器定為架構(gòu)如圖：rolesmomaintenance:connectionssepuerbdceruerconnections:connecttosepuerbdc本登錄的用戶的憑證連接bdCoeruerconnections:qsmomaintenance=?ConnectionsHelpQuitSeizeSeizeSeizeSeConnectionsHelpQuitSeizeSeizeSeizeSeizeSeizedomainnamingmasterinfrastflicturemasterPDCRIDnasterschenamasterSelectoperationtargetTransferTransferTransferTransferTransferdomainnamingmasterinfrastruetLiremasterPDCRIDmasterschemanaster制控息域息案器器器器蠢留器器信定信菜務(wù)務(wù)務(wù)務(wù)務(wù)籌務(wù)-Fry卜n兄「?口f「.兄「.兄「.兄「.兄1=0=^n兄「.兄「?口fJ的的的的的點(diǎn)的那的的的個一個上站接這到這連連連連的連；T連連連一砂捧示回己己己己己擇己.社己己己顯連顯返在在在在在選鼻-乩兄色>>>曲

霸DCID構(gòu)角名維

域結(jié)FR架，命就

蓋蓋蓋蓋蓋域域梃,為」切上上上上上器定附PBRI耕為為為定定定一蠢塞質(zhì)器器「殲芋寧寧.smomaintenance:額外域控制升級為主域控制器（二）額外域控制升級為主域控制器（二）13、然后分別輸入：Transferdomainnamingmaster回車Transferinfrastructuremaster回車TransferPDC回車TransferRIDmaster回車Transferschemamaster回車以上的命令在輸入完成一條后都會有提示是否傳送角色到新的服務(wù)器，選擇YES，如圖：然后接著一條一條完成既可，完成以上按Q退出界面，

gC：VYIMD0YS\systeB32\cBd.exe-ntdsutilfsmomaintenance:connectionsseruerconnections:connecttoseruerbdc綁ZE到hdc---用本登錄的用戶的憑證連接bdcoseruerconnections:qfsnomaintenance:?ConnectionsHelpQuitSeizeSeizeSeizeSeizeSeizeConnectionsHelpQuitSeizeSeizeSeizeSeizeSeizedomainnamingmasterinfrastruetLirePDCRIDmasterschemamaster示接示回己

顯連顯返在息域息??信定信菜務(wù)助寄個服幫j的個一個上3域壯侶色隹送葡認(rèn)對話您確信將域命名主機(jī)的企業(yè)角色傳送到服曾器"bdc”?SelectoperationtargeTransferTransferdomainSelectoperationtargeTransferTransferdomainnaminginfrastruetur否遂）ITransferTransferTransferPDCRIDmasterschemamaster己連:—互.―艮務(wù)器定為RID王機(jī)-將己連接的服務(wù)器定為架構(gòu)主機(jī)fsmomaintenance:transferdomainnamingmaster14、這五個步驟完成以后，檢查一下是否全部轉(zhuǎn)移到BDC上了，打開在第9步時裝windowssupporttools,開始一>程序->windowssupporttools->commandprompt,輸入netdomqueryfsmo，如圖:全部轉(zhuǎn)移成功.現(xiàn)在五個角色的owner都是BDC了.15、角色轉(zhuǎn)移成功以后，還要把GC也轉(zhuǎn)移過去，打開活動目錄站點(diǎn)和服務(wù)，展開site->default-first-site-name->servers，你會看到兩臺域控制器都在下面。展開BDC，右擊【NTDSSettings】點(diǎn)【屬性】，勾上全局編錄前面的勾，點(diǎn)確定，如圖：

16、然后展開PDC，右擊【NTDSSettings】點(diǎn)【屬性】，去掉全局編錄前面的勾。如圖：這樣全局編錄也轉(zhuǎn)到BDC上去了，致此主域控制器已經(jīng)變成BDC了。而PDC就成了輔助域控制器了。17、現(xiàn)在已經(jīng)可以把原來的主域控制器（PDC）刪除掉了，在（PDC）現(xiàn)在的輔助域控制器上運(yùn)行dcpromo按照提示一步一步的刪除它，然后將它退出域。就完成了整個升級過程。這里還有一點(diǎn)要注要的：升級完以后，你現(xiàn)在的主域控制器的IP地址是新的，而不是原來的那個IP地址了，而下面所有的客戶端的DNS都是指向原來的主域控制器的，這樣就會出現(xiàn)很多問題，包括你的Exchange就找不到域控制器，所以我最簡單的方法就是把BDC（現(xiàn)在的主域控制器）的IP改為PDC（原來的主域控制器）的IP就好了。18、這些改完以后啟動Exchange，exchange不要做任何更改就可以正常工作了，但這時在exchange的日志里是有一項(xiàng)錯誤（MSExchangeAL事件8026和8260）。原因?yàn)槭占烁路?wù)配置為使用Windows域控制器被降級，。收件人更新服務(wù)嘗試查詢有關(guān)該更新，Windows無法聯(lián)系域控制器。解決辦法：打開Exchange系統(tǒng)管理器。展開〃收件人〃容器，然后單擊收件人更新服務(wù)。雙擊每個收件人更新服務(wù)，然后再將Windows域控制器設(shè)置更改為新域中Windows域控制器。這樣設(shè)置完以后，重新啟動計算機(jī)，一切正常了，發(fā)封郵件試試，一切正常。致此全部完成了。FSMO角色介紹：架構(gòu)主機(jī)(Schemamaster)—架構(gòu)主機(jī)角色是林范圍的角色，每個林一個。此角色用于擴(kuò)展ActiveDirectory林的架構(gòu)或運(yùn)彳亍adprep/domainprep命令。域命名主機(jī)(Domainnamingmaster)—域命名主機(jī)角色是林范圍的角色，每個林一個。此角色用于向林中添加或從林中刪除域或應(yīng)用程序分區(qū)。RID主機(jī)(RIDmaster)—RID主機(jī)角色是域范圍的角色，每個域一個。此角色用于分配RID池，以便新的或現(xiàn)有的域控制器能夠創(chuàng)建用戶帳戶、計算機(jī)帳戶或安全組。結(jié)構(gòu)主機(jī)(Infrastructuremaster)—結(jié)構(gòu)主機(jī)角色是域范圍的角色，每個域一個。此角色供域控制器使用，用于成功運(yùn)行adprep/forestprep命令，以及更新跨域引用的對象的SID屬性和可分辨名稱屬性。PDC模擬器(PDCemulator)—PDC模擬器角色是域范圍的角色，每個域一個。將數(shù)據(jù)庫更新發(fā)送到WindowsNT備份域控制器的域控制器需要具備這個角色。此外，擁有此角色的域控制器也是某些管理工具的目標(biāo)，它還可以更新用戶帳戶密碼和計算機(jī)帳戶密碼。額外域控制升級為主域控制器(三)前面寫的是在PDC還生效的情況下進(jìn)行BDC升PDC步驟,我們也許會問,PDC還是正常的情況我們?yōu)槭裁刺嵘鼴DC為PDC呢.說對了，在PDC還正常的情況下我們是沒有必要提升BDC為PDC,而如果PDC出現(xiàn)了問題時呢，比如說PDC的硬件出問題了或都說系統(tǒng)壞了的情況下我們就要提升BDC為PDC了，下面我在為大家說說在PDC出現(xiàn)硬件故障機(jī)器開不起來了的情況BDC提升為PDC的步驟：一、這時我們的PDC已經(jīng)出現(xiàn)了問題并開不起來了。這時我們來到BDC上，打開AD用戶和計算機(jī)，在你的域名處點(diǎn)右鍵一一＞操作主機(jī)打開如圖：此時在操作主機(jī)項(xiàng)顯示的是錯誤而不是我們的真正的操作主機(jī)PDC，所以我們要把BDC更改為操作主機(jī)。各位可能就會看到下面不是有個更改按鈕嗎，直接點(diǎn)更改按鈕不就轉(zhuǎn)移過去了嗎？其實(shí)這我也想到了，但是你在這里點(diǎn)更改會報錯的，點(diǎn)了以后過了半天彈出個框框說“請求的FSMO操作失敗。不能連接當(dāng)前的FSMO盒”，所以我們又要回到命令行模式下進(jìn)行強(qiáng)制奪取了。

二、在上面的操作中我們已經(jīng)安裝了windows2003的supporttools了，所以我現(xiàn)在在找開supporttools，在命令提示符下輸入netdomqueryfsmo查看一下當(dāng)前的五個前色的owner是誰，如圖：我們看到當(dāng)前五個角色的owner還是PDC。下面我們就開始強(qiáng)制奪取吧。三、再次打開supporttools在命令提示符下輸入ntdsutil回車，再輸入:roles回車，再輸入connections回車，再輸入（其實(shí)上面這里我

寫的是BDC的計算機(jī)名，而現(xiàn)在輸入的又是域名了），提示綁定成功后，輸入q退出，如圖：C：\ProgramFiles\SupportTooIs>ntdsutilfitdsutilirolsError8G37yi0lj7parsinginput-illegalsyntax?fitdsutilirolesifS5iomaintenance:Error8G3?yi@lj7parsinginput-illegalsyntax?ifS5iomaintenance:connectionsseruerconnections:綁定到...H本謾錄的用廠§寸憑證連接oseruerconnections:qifssiomaintenance:?infrastructuremasterPDCRIDmasterschemamaster四、輸入問號可以看到一些幫助信息，上面由于我們是在正常情況下的角色轉(zhuǎn)移我們用的transfer,而現(xiàn)在我們要用seize來進(jìn)行強(qiáng)制奪取了，分別輸入：SeizedomainnamingmasterSeizeSeizeSeizeinfrastructuremasterPDCRIDmasterschemamaster以上的命令在輸入完成一條后都會確認(rèn)要占用角色，選擇是，如圖：然后接著條一條完成既可，完成以上按Q退出界面，1013疫示TransferTj^ansFcrIhFdamaindentinM*心*嘉殛占用豪認(rèn)溺褚snu聆mintenance;*connectionscrucrconncctions:conncctt用定到te：st,cmrTr傳本冬景的用戶的，憑證連接EVevkiercunnect-qsnDraainit^nanc^-?五、選擇是以后。如圖：我們看到報錯了，呵呵，不過沒關(guān)系，這是正常的，因?yàn)橹饔騊DC不在線，所以在奪取時會有這個出錯信息。，所以結(jié)構(gòu)角色會奪取到BDC上，接下來的各個角色的奪取也會有這出錯信息VflIMrStiErscl心叫mJ.■u土心i1定精站構(gòu)主機(jī)榻矣檔主Tiffliiiiifni?Tf吊n尊！fsmofiftintenMce在索喉釁好danAVflIMrStiErscl心叫mJ.■u土心i1定精站構(gòu)主機(jī)