如前面一片文章所提到的。比較麻煩的是，Exchange 2003的郵件服務(wù)器是安裝在主域控制器上的，所以，主域控制器也被干掉了。型號(hào)，做文件服務(wù)器的那臺(tái)服務(wù)器也是域控制器，就要將這臺(tái)文件服務(wù)器，升級(jí)到

如前面一片文章所提到的。比較麻煩的是，Exchange 2003的郵件服務(wù)器是安裝在主域控制器上的，所以，主域控制器也被干掉了。

型號(hào)，做文件服務(wù)器的那臺(tái)服務(wù)器也是域控制器，就要將這臺(tái)文件服務(wù)器，升級(jí)到主域控制器了。

如果你沒(méi)有執(zhí)行過(guò)這樣的動(dòng)作，會(huì)覺(jué)得這是個(gè)很麻煩的事情。當(dāng)我們操作過(guò)之后，你就會(huì)發(fā)現(xiàn)，其實(shí)這個(gè)不難。

首先，我們執(zhí)行【netdom query fsmo】命令，來(lái)看一下目前的主域控制器是哪臺(tái)。

然后依次執(zhí)行下面的命令

ntdsutil

roles

connections

connect to server gaodage.com

下面就開(kāi)始奪取主域控制器的命令了

seize domain naming master

seize infrastructure master

seize pdc

seize rid master

seize schema master

slect operation target

q 命令式退出命令。

這樣，我們這臺(tái)域控制器，就成為了主域了。

最后，我們還要將這臺(tái)服務(wù)器成為全局編目服務(wù)器。方法如下：

管理工具——Active Directory 站和服務(wù)——站點(diǎn)——Default-First-Site-Name ——服務(wù)器——域控制器——NTDS 設(shè)置——全局編目，把空格勾上就好

本文轉(zhuǎn)自 ☆★ 黑白前線 ★☆ - www.hackline.net 轉(zhuǎn)載請(qǐng)注明出處，侵權(quán)必究！ 原文鏈接：http://www.hackline.net/a/special/qyaq/server/2010/0429/3595.html

將額外控制器升級(jí)為主域控制器 [原]

前兩天打雷，一臺(tái)額外域控制器（windows 2003 DC服務(wù)器）主板擊壞，無(wú)法維修，還好，主域控服務(wù)器(Windows 2003 )沒(méi)有什么事，現(xiàn)購(gòu)買(mǎi)一臺(tái)新機(jī)作為服務(wù)器，打算把新機(jī)升級(jí)為主域控制器，原來(lái)的主域降級(jí)為額外域控制器；

一、新服務(wù)器安裝好Windows 2003企業(yè)版操作系統(tǒng)及更新補(bǔ)丁，具體大家都會(huì)做，不用多說(shuō)了；

二、在控制面板--添加刪除程序--點(diǎn)擊添加刪除組件，出現(xiàn)新窗口，點(diǎn)擊網(wǎng)絡(luò)服務(wù)，選擇如下服務(wù)（WINS,DHCP,DNS, 簡(jiǎn)單TCP/IP服

務(wù)）；

點(diǎn)擊確定，放入windows2003光盤(pán)到光驅(qū)；

三、將Windows 2003升級(jí)為額外域控制器，使用Dcpromo

命令，出現(xiàn)升級(jí)向?qū)В缦聢D：

點(diǎn)擊下一步，選擇現(xiàn)在域的額外域控制器；接下來(lái)輸入域控制器的管理員帳號(hào)和密碼及域名（例：hoitin.com ）；

輸入完成后點(diǎn)擊下一步，直到完成（中間步驟省略），重啟服務(wù)器；這樣就安裝成功額外域控制器；

四、接下來(lái)，在管理工具中，點(diǎn)擊Active Directory 站點(diǎn)和服務(wù)，自動(dòng)創(chuàng)建了連接，出現(xiàn)如下窗口，如圖：

在主域控打開(kāi)Active Directory 站點(diǎn)和服務(wù)，立即復(fù)制副本，（如上圖）正常會(huì)提示Active Directory 已復(fù)制了連接；

在額外域控打開(kāi)Active Directory 站點(diǎn)和服務(wù)，立即復(fù)制副本，（如上圖）正常會(huì)提示Active Directory 已復(fù)制了連接；

最好查看一下日志看有沒(méi)有錯(cuò)誤；同時(shí)檢查一下DNS 看有沒(méi)有同步；

五、將額外域升級(jí)為主域控制器；

1、 將DC-SRV 主域的FSMO ，五種角色轉(zhuǎn)移到BDC-SRV 上，別忘了在Active Directory 站點(diǎn)和服務(wù)將BDC-SRV 也標(biāo)識(shí)成GC 。

2、奪取五種角色的方法：

首先要查看FSMO ，運(yùn)行regsvr32 schmmgmt.dll 注冊(cè)，注冊(cè)成功按確定。

<1>更改操作主機(jī)，

運(yùn)行MMC---添加AD 架構(gòu)---運(yùn)行AD 架構(gòu)：顯示，dc-srv.hoitin.com 為操作主

機(jī);

選擇更改域控制器, 輸入額外域控制器的主機(jī)全名

;

點(diǎn)擊確定;

<二> 更改域命名主機(jī)，運(yùn)行Active Directory 域和信任關(guān)系, 在Active Directory 域和信任關(guān)系右鍵點(diǎn)擊操作主機(jī)：顯示：域命名主機(jī)為DC-SRV.hoitin.com

點(diǎn)擊更改，確定。

<3>、更改RID 、pdc 仿真器、基本結(jié)構(gòu)主機(jī)，運(yùn)行Active Directory 用戶和計(jì)算機(jī)，彈出窗口，顯示域名為：hoitin.com 右鍵點(diǎn)擊---操作主機(jī)，RID ，PDC ，基本結(jié)構(gòu)主機(jī)顯示為：DC-SRV.hoitin.com, 依次更改它們；

點(diǎn)擊“是” RID更改成功；

PDC 更改同上；

點(diǎn)擊“是”，結(jié)構(gòu)主機(jī)更改成功??！

到此為止，已經(jīng)成功將一臺(tái)新服務(wù)器由成員升級(jí)為額外域控，再提升到主域控制器；

本文是依照此次更換主機(jī)過(guò)程而寫(xiě)，希望能給有需要朋友一些幫助??！

（原創(chuàng)）額外域控制器升級(jí)為主域控制器

AD 恢復(fù)主域控制器

本文講述了在多域控制器環(huán)境下，主域控制器由于硬件故障突然損壞，而又事先又沒(méi)有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常運(yùn)行，并在硬件修理好之后，如何使損壞的主域控制器恢復(fù)。

----------------------------------------------------------------------

目錄

Active Directory操作主機(jī)角色概述

環(huán)境分析

從AD 中清除主域控制器DC-01.test.com 對(duì)象

在額外域控制器上通過(guò)ntdsutil.exe 工具執(zhí)行奪取五種ＦＭＳＯ操作

設(shè)置額外域控制器為ＧＣ（全局編錄）

重新安裝并恢復(fù)損壞主域控制器 附:用于檢測(cè)AD 中五種操作主機(jī)角色的腳本 ----------------------------------------------------------------------

一、Active Directory操作主機(jī)角色概述

Active Directory 定義了五種操作主機(jī)角色（又稱(chēng)ＦＳＭＯ）：

架構(gòu)主機(jī) schema master、

域命名主機(jī) domain naming master

相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī) RID master

主域控制器模擬器 (PDCE)

基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master

而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能：

架構(gòu)主機(jī)

具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會(huì)從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機(jī)是基于目錄林的，整個(gè)目錄林中只有一個(gè)架構(gòu)主機(jī)。

域命名主機(jī)

具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC： 向目錄林中添加新域。 從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對(duì)象。

相對(duì)標(biāo)識(shí)號(hào) (RID)

主機(jī)此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個(gè)服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體（例如用戶、組或計(jì)算機(jī)）時(shí)，需要將 RID 與域范圍內(nèi)的標(biāo)識(shí)符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識(shí)符 (SID)。 每一個(gè) Windows 2000 DC 都會(huì)收到用于創(chuàng)建對(duì)象的 RID 池（默認(rèn)為 512）。RID 主機(jī)通過(guò)分配不同的池來(lái)確保這些 ID 在每一個(gè) DC 上都是唯一的。通過(guò) RID 主機(jī)，還可以在同一目錄林中的不同域之間移動(dòng)所有對(duì)象。

域命名主機(jī)是基于目錄林的，整個(gè)目錄林中只有一個(gè)域命名主機(jī)。相對(duì)標(biāo)識(shí)號(hào)（RID ）主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的相對(duì)標(biāo)識(shí)號(hào)（RID ）主機(jī) PDCE

主域控制器模擬器提供以下主要功能：

向后兼容低級(jí)客戶端和服務(wù)器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE。每當(dāng) DC 驗(yàn)證密碼失敗后，它會(huì)與 PDCE 取得聯(lián)系，以查看該密碼是否可以在那里得到驗(yàn)證，也許其原因在于密碼更改還沒(méi)有被復(fù)制到驗(yàn)證 DC 中。

時(shí)間同步 — 目錄林中各個(gè)域的 PDCE 都會(huì)與目錄林的根域中的 PDCE 進(jìn)行同步。

PDCE 是基于域的，目錄林中的每個(gè)域都有自己的PDCE 。

基礎(chǔ)結(jié)構(gòu)主機(jī)

基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對(duì)象的一致性。當(dāng)引用另一個(gè)域中的對(duì)象時(shí)，此引用包含該對(duì)象的

全局唯一標(biāo)識(shí)符 (GUID)、安全標(biāo)識(shí)符 (SID) 和可分辨的名稱(chēng) (DN)。如果被引用的對(duì)象移動(dòng)，則在域中擔(dān)

當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會(huì)負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN。

基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)

默認(rèn)，這五種ＦＭＳＯ存在于目錄林根域的第一臺(tái)DC （主域控制器）上，而子域中的相對(duì)標(biāo)識(shí)號(hào) (RID) 主機(jī)、PDCE 、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺(tái)DC 。

--------------------------------------------------------------------------------

二、環(huán)境分析

公司Test.com （虛擬）有一臺(tái)主域控制器DC-01.test.com ，還有一臺(tái)額外域控制器DC-02.test.com ?，F(xiàn)主域控制器（DC-01.test.com ）由于硬件故障突然損壞，事先又沒(méi)有DC-01.test.com 的系統(tǒng)狀態(tài)備份，沒(méi)辦法通過(guò)備份修復(fù)主域控制器（DC-01.test.com ），我們?cè)趺醋岊~外域控制器（DC-02.test.com ）替代主域控制器，使Acitvie Directory 繼續(xù)正常運(yùn)行，并在損壞的主域控制器硬件修理好之后，如何使損壞的主域控制器恢復(fù)。

如果你的第一臺(tái)ＤＣ壞了，還有額外域控制器正常，需要在一臺(tái)額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設(shè)置為GC 。

----------------------------------------------------------------------

三、從AD 中清除主域控制器DC-01.test.com 對(duì)象

3.1在額外域控制器(DC-02.test.com)上通過(guò)ntdsutil.exe 工具把主域控制器(DC-01.test.com)從ＡＤ中刪除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain test.com

server connections:quit

select operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 2 server(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

metadata cleanup:Remove selected server

出現(xiàn)對(duì)話框，按“確定“刪除DC-01主控服務(wù)器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT 工具刪除Active Directory users and computers 中的Domain controllers 中DC-01服務(wù)器對(duì)象，

ADSI EDIT 是Windows 2000 support tools 中的工具，你需要安裝Windows 2000 support tool，安裝程序在windows 2000光盤(pán)中的supporttools目錄下。先把a(bǔ)dsi edit.msc 和adsiedit.dll 拷到system32下﹐再運(yùn)行regsvr32

adsiedit.dll ﹐再用mmc 添加adsi ﹐再在adsi 中connect domain nc, 打開(kāi)ADSI EDIT 工具，展開(kāi)Domain NC[DC-02.test.com]，展開(kāi)OU=Domain controllers，右擊CN=DC-01，然后選擇Delete ，把DC-01服務(wù)器對(duì)象刪除，如圖1：

3.3 在Active Directory Sites and Service中刪除DC-01服務(wù)器對(duì)象

打開(kāi)Administrative tools中的Active Directory Sites and Service，展開(kāi)Sites ，展開(kāi)Default-First-Site-Name ，展開(kāi)Servers ，右擊DC-01，選擇Delete ，單擊Yes 按鈕，如圖2：

----------------------------------------------------------------------

四、在額外域控制器上通過(guò)ntdsutil.exe 工具執(zhí)行奪取五種ＦＭＳＯ操作 c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

select operation target: connections

server connections: connect to domain test.com

server connections:quit

select operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com