額外域控制升級為主域控制器

2017-03-27

7499

額外域控制升級為主域控制器一、實驗環(huán)境：域名為yanqing.com1、原主域控制器System: windows 20003 Serverbbb: bbb.yanqing.comIP ：192.1

額外域控制升級為主域控制器

一、實驗環(huán)境：

域名為yanqing.com

1、原主域控制器

System: windows 20003 Server

bbb: bbb.yanqing.com

IP ：192.168.1.42

Mask:255.255.255.0

DNS:192.168.1.42

2、輔助域控制器

System: windows 2003 Server

ccc ：ccc.test.com

IP ： 192.168.1.43

Mask: 255.255.255.0

DNS:192.168.1.42

3、Exchange 2003 Server

aaa: mail. yanqing.com

IP:192.168.1.1

Mask:255.255.255.0

DNS:192.168.1.42

裝Exchange 為了證明我的升級是否成功，因為Exchange 和AD 是緊密集成的，如果升級失敗的話，Exchange 應該就會停止工作。如果升級成功，對Exchange 應該就沒有影響，其實現(xiàn)在我們很多的生產(chǎn)環(huán)境中有很多這樣的情況。

二、實驗目的：

在主域控制器(bbb)出現(xiàn)故障的時候通過提升輔域控制器(ccc)為主域控制，從而不影響所有依靠AD 的服務。

三、實驗步驟

1、安裝域控制器。第一臺域控制器的安裝我這里就不在說明了，但要注意一點的是，兩臺域控器都要安裝DNS 組件。在第一臺域控制安裝好后, 下面開始安裝第二臺域控制器（ccc ），首先將要提升為輔助域控制的計算機的計算機名,IP 地址及DNS 跟據(jù)上面設置好以后, 并加入到現(xiàn)有域，加入域后以域管理員的身份登陸，開始進行安裝第二臺域控制器。

2、在安裝輔助域控器前先看一下我們的Exchange Server 工作是否正常，到Exchange Serve

中建立兩個用戶1和2，并為他們分別建立一個郵箱，下面使用他們相互發(fā)送郵件進行測試，如圖。

3、我們發(fā)現(xiàn)發(fā)送郵件測試成功，這證明Exchange 是正常的。下面正式開始安裝第二臺域控制器。也是就輔助域控制器（ccc ）。

4、以域管理員身份登陸要提升為輔助域控制器的計算機，點【開始】->【運行】在運行里輸入dcpromo 打開活動目錄安裝向?qū)?. 點兩個【下一步】, 打開如圖.

5、這里由于是安裝第二臺域控制器，所以選擇【現(xiàn)有域的額外域控制器】，點下一步6、這里輸入你的域管理員的用戶名和密碼，點下一步。如圖：7、這里提示你的這臺域控制將成為哪個域的額外域控制器，如果正確，點下一步，再連續(xù)點三個下一步，就開始安裝了8、幾分鐘后安裝完成，提示重新啟動計算機，重新啟動計算機，此時你的計算機已經(jīng)成為了yanqing.com 域的輔助域控制了。此時在活動目錄

用戶和計算機的域控制器里已經(jīng)有兩臺域控制了，如圖：

9、再查看一下FSMO （五種主控角色）的owner ，安裝Windows Server安裝光盤中的Support 目錄下的support tools 工具，然后打開提示符輸入：netdom query fsmo 以輸出FSMO 的owner ，如圖：

10、現(xiàn)在五個角色的woner 都是bbb ，我的就是要把這個五個角色轉(zhuǎn)移到ccc 上，使ccc 成為這五個角色的owner 。

11、現(xiàn)在登陸bbb （主域控制器），進入命令提示符窗口，在命令提示符下輸入：ntdsutil 回車，再輸入:roles 回車，再輸入connections 回車，再輸入connect to server ccc ，提示綁定成功后，輸入q 退出，如圖：

12、輸入？回車可看到以下信息：

Connections - 連接到一個特定域控制器

Help - 顯示這個幫助信息

Quit - 返回到上一個菜單

Seize domain naming master - 在已連接的服務器上覆蓋域角色 Seize infrastructure master - 在已連接的服務器上覆蓋結(jié)構(gòu)角色

Seize PDC - 在已連接的服務器上覆蓋 PDC 角色 Seize RID master - 在已連接的服務器上覆蓋 RID 角色 Seize schema master - 在已連接的服務器上覆蓋架構(gòu)角色

Select operation target - 選擇的站點，服務器，域，角色和命名上下文

Transfer domain naming master - 將已連接的服務器定為域命名主機 Transfer infrastructure master - 將已連接的服務器定為結(jié)構(gòu)主機 Transfer PDC - 將已連接的服務器定為 PDC

Transfer RID master - 將已連接的服務器定為 RID 主機 Transfer schema master - 將已連接的服務器定為架構(gòu)

額外域控制升級為主域控制器（二）

13、然后分別輸入：

Transfer domain naming master 回車

Transfer infrastructure master 回車

Transfer PDC 回車

Transfer RID master 回車

Transfer schema master 回車

以上的命令在輸入完成一條后都會有提示是否傳送角色到新的服務器，選擇YES ，如圖：然后接著一條一條完成既可，完成以上按Q 退出界面，

14、這五個步驟完成以后，檢查一下是否全部轉(zhuǎn)移到BDC 上了，打開在第9步時裝windows support tools,開始－>程序->windows support tools->command prompt, 輸入netdom query fsmo , 如圖:全部轉(zhuǎn)移成功. 現(xiàn)在五個角色的owner 都是ccc 了.

15、角色轉(zhuǎn)移成功以后，還要把GC 也轉(zhuǎn)移過去，打開活動目錄站點和服務，展開site->default-first-site-name->servers,你會看到兩臺域控制器都在下面。展開ccc ，右擊【NTDS Settings】點【屬性】，勾上全局編錄前面的勾，點確定，然后展開bbb ，右擊【NTDS Settings 】點【屬性】，去掉全局編錄前面的勾。如圖：這樣全局編錄也轉(zhuǎn)到ccc 上去了，致此主域控制器已經(jīng)變成ccc

了。而bbb 就成了輔助域控制器了

。

16、現(xiàn)在已經(jīng)可以把原來的主域控制器（bbb ）刪除掉了，在(bbb)現(xiàn)在的輔助域控制器上運行dcpromo 按照提示一步一步的刪除它，然后將它退出域。就完成了整個升級過程。這里還有一點要注要的：升級完以后，你現(xiàn)在的主域控制器的IP 地址是新的，而不是原來的那個IP 地址了，而下面所有的客戶端的DNS 都是指向原來的主域控制器的，這樣就會出現(xiàn)很多問題，包括你的Exchange 就找不到域控制器，所以我最簡單的方法就是把ccc （現(xiàn)在的主域控制器）的IP 改為PDC （原來的主域控制器）的IP 就好了。

17、這些改完以后啟動Exchange ，exchange 不要做任何更改就可以正常工作了，但這時在exchange 的日志里是有一項錯誤（MSExchangeAL 事件 8026 和8260）。原因為收件人更新服務配置為使用 Windows 域控制器被降級，。收件人更新服務嘗試查詢有關(guān)該更新, Windows無法聯(lián)系域控制器。

解決辦法：打開 Exchange 系統(tǒng)管理器。展開 " 收件人 " 容器, 然后單擊收件人更新服務。雙擊每個收件人更新服務, 然后再將 Windows 域控制器設置更改為新域中 Windows 域控制器。這樣設置完以后，重新啟動計算機，一切正常了，發(fā)封郵件試試，一切正常。致此全部完成了。

FSMO 角色介紹：

架構(gòu)主機 (Schema master)

－架構(gòu)主機角色是林范圍的角色，每個林一個。此角色用于擴展 Active Directory 林的架構(gòu)或運行 adprep /domainprep命令。

域命名主機 (Domain naming master) －域命名主機角色是林范圍的角色，每個林一個。此角色用于向林中添加或從林中刪除域或應用程序分區(qū)。

RID 主機 (RID master)

－ RID 主機角色是域范圍的角色，每個域一個。此角色用于分配 RID 池，以便新的或現(xiàn)有的域控制器能夠創(chuàng)建用戶帳戶、計算機帳戶或安全組。

結(jié)構(gòu)主機 (Infrastructure master)

－結(jié)構(gòu)主機角色是域范圍的角色，每個域一個。此角色供域控制器使用，用于成功運行 adprep /forestprep命令，以及更新跨域引用的對象的 SID 屬性和可分辨名稱屬性。

PDC 模擬器 (PDC emulator)

－ PDC 模擬器角色是域范圍的角色，每個域一個。將數(shù)據(jù)庫更新發(fā)送到 Windows NT 備份域控制器的域控制器需要具備這個角色。此外，擁有此角色的域控制器也是某些管理工具的目標，它還可以更新用戶帳戶密碼和計算機帳戶密碼。

額外域控制升級為主域控制器（三）

下面我在為大家說說在主域控制器出現(xiàn)硬件故障機器開不起來了的情況輔助域控制器提升為主域控制器的步驟:

一、將bbb 還原到主域控制器狀態(tài)，將ccc 還原到助域控制器狀態(tài)。

這時我們把bbb 關(guān)機（相當于此時bbb 出現(xiàn)故障, 不可用）。

二．到ccc 上，打開AD 用戶和計算機，在你的域名處點右鍵――>操作主機打開如圖：此時在操作主機項顯示的是錯誤而不是我們的真正的操作主機PDC ，所以我們要把BDC 更改為操作主機。各位可能就會看到下面不是有個更改按鈕嗎，直接點更改按鈕不就轉(zhuǎn)移過去了嗎？其實這我也想到了，但是你在這里點更改會報錯的，點了以后過了半天彈出個框框說“請求的 FSMO 操作失敗。不能連接當前的 FSMO 盒”，所以我們又要回到命令行模式下進行強制奪取了。