在AD 域控制器集群中，主域控制器（PDC ）跟蹤域中所有計算機帳戶的更改，每個域只有一個 PDC。備份域控制器（BDC ）也將驗證用戶的登錄信息并按 PDC 的需要提高其功能。在一個域中可以有多個

在AD 域控制器集群中，主域控制器（PDC ）跟蹤域中所有計算機帳戶的更改，每個域只有一個 PDC。備份域控制器（BDC ）也將驗證用戶的登錄信息并按 PDC 的需要提高其功能。在一個域中可以有多個 BDC。那么主域控制器（PDC ）與備份域控制器（BDC ）之間如何進行角色轉換呢？

本文介紹了介紹了2種方法：

1、從主域控制器上轉換角色；2、從域控制器搶占角色。

一、 實驗環(huán)境：

域名為test.com

1、 原主域控制器

System: windows 20003 Server

FQDN: PDC.test.com

IP ：192.168.50.1

Mask:255.255.255.0

DNS:192.168.50.1

2、 備份域控制器

System: windows 2003 Server

FQDN ：BDC.test.com

IP ： 192.168.50.2

Mask: 255.255.255.0

DNS:192.168.50.1

3、 Exchange 2003 Server

FQDN:mail.test.com

IP:192.168.50.3

Mask:255.255.255.0

DNS:192.168.50.1

也許有人會問，做備份域控制器升級要裝個Exchange 干什么？

其實我的目的是為了證明我的升級是否成功，因為Exchange 和AD 是緊密集成的，如果升級失敗的話，Exchange 應該就會停止工作。如果升級成功，對Exchange 應該就沒有影響，其實現(xiàn)在我們很多的生產(chǎn)環(huán)境中有很多這樣的情況。

二、實驗目的：

在主域控制器(PDC)出現(xiàn)故障的時候通過提升備份域控制器(BDC)為主域控制，從而不影響所有依靠AD 的服務。

三、實驗步驟

Ⅰ、PDC 角色轉換（適用于PDC 與BDC 均正常的情況）

1、 安裝域控制器。第一臺域控制器的安裝我這里就不在說明了，但要注意一點的是，兩臺域控器都要安裝DNS 組件。在第一臺域控制安裝好后, 下面開始安裝第二臺域控制器（BDC ），首先將要提升為備份域控制的計算機的計算機名,IP 地址及DNS 跟據(jù)上面設置好以后, 并加入到現(xiàn)有域，加入域后以域管理員的身份登陸，開始進行安裝第二臺域控制器。

2、在安裝備份域控器前先看一下我們的Exchange Server 工作是否正常，到Exchange Server 中建立兩個用戶test1和test2，并為他們分別建立一個郵箱，下面使用他們相互發(fā)送郵件進行測試。

3、 我們發(fā)現(xiàn)發(fā)送郵件測試成功，這證明Exchange 是正常的。下面正式開始安裝第二臺域控制器。也是就備份域控制器（BDC ）。

4、 以域管理員身份登陸要提升為備份域控制器的計算機，點【開始】->【運行】在運行里輸入dcpromo 打開活動目錄安裝向?qū)?. 點兩個【下一步】, 打開.

5、 這里由于是安裝第二臺域控制器，所以選擇【現(xiàn)有域的額外域控制器】，點【下一步】。

6、 這里輸入你的域管理員的用戶名和密碼，點【下一步】。

7、 這里提示你的這臺域控制將成為哪個域的額外域控制器，如果正確，點【下一步】，再連續(xù)點三個下一步，就開始安裝了，安裝完成大概要幾分鐘，你就耐心的等待吧

8、幾分鐘后安裝完成，提示重新啟動計算機，重新啟動計算機，此時你的計算機已經(jīng)成為了test.com 域的備份域控制器了。此時在活動目錄用戶和計算機的域控制器里已經(jīng)有兩臺域控制了

9、再查看一下FSMO （五種主控角色）的owner ，安裝Windows Server安裝光盤中的Support 目錄下的support tools工具，然后打開提示符輸入：netdom query fsmo 以輸出FSMO 的owner ，

10、 現(xiàn)在五個角色的woner 都是PDC ，我的就是要把這個五個角色轉移到備份域控制器上，使備份域控制器成為這五個角色的owner 。

11、現(xiàn)在登陸PDC （主域控制器），進入命令提示符窗口，在命令提示符下輸入：ntdsutil 回車，再輸入:roles 回車，再輸入connections 回車，再輸入connect to server BDC --> （備注：這里的dc-1是指服務器名稱），提示綁定成功后，輸入q 退出。

12、 輸入？回車可看到以下信息：

1. Connections - 連接到一個特定域控制器

2. Help - 顯示這個幫助信息

3. Quit - 返回到上一個菜單

4. Seize domain naming master - 在已連接的服務器上覆蓋域角色

5. Seize infrastructure master - 在已連接的服務器上覆蓋結構角色

6. Seize PDC - 在已連接的服務器上覆蓋 PDC 角色

7. Seize RID master - 在已連接的服務器上覆蓋 RID 角色

8. Seize schema master - 在已連接的服務器上覆蓋架構角色

9. Select operation target - 選擇的站點，服務器，域，角色和命名上下文

10. Transfer domain naming master - 將已連接的服務器定為域命名主機

11. Transfer infrastructure master - 將已連接的服務器定為結構主機

12. Transfer PDC - 將已連接的服務器定為 PDC

13. Transfer RID master - 將已連接的服務器定為 RID 主機

14. Transfer schema master - 將已連接的服務器定為架構

13、然后分別輸入：

1. Transfer domain naming master 回車

2. Transfer infrastructure master 回車

3. Transfer PDC 回車

4. Transfer RID master 回車

5. Transfer schema master 回車

以上的命令在輸入完成一條后都會有提示是否傳送角色到新的服務器，選擇YES ，然后接著一條一條完成既可，完成以上按Q 退出界面，

14、 這五個步驟完成以后，檢查一下是否全部轉移到備份域控制器上了，打開在第9步時裝windows support tools, 開始－>程序->windows support tools->command prompt, 輸入netdom query fsmo,全部轉移成功. 現(xiàn)在五個角色的owner 都是備份域控制器了.

15、角色轉移成功以后，還要把GC 也轉移過去，打開活動目錄站點和服務，展開site->default-first-site-name->servers,你會看到兩臺域控制器都在下面。展開備份域控制器，右擊【NTDS Settings】點【屬性】，勾上全局編錄前面的勾，點確定

16、然后展開PDC ，右擊【NTDS Settings】點【屬性】，去掉全局編錄前面的勾。這樣全局編錄也轉到備份域控制器上去了，致此主域控制器已經(jīng)變成備份域控制器了。而PDC 就成了備份域控制器了。

17、現(xiàn)在已經(jīng)可以把原來的主域控制器（PDC ）刪除掉了，在(PDC)現(xiàn)在的輔助域控制器上運行dcpromo 按照提示一步一步的刪除它，然后將它退出域。就完成了整個升級過程。這里還有一點要注要的：升級完以后，你現(xiàn)在的主域控制器的IP 地址是新的，而不是原來的那個IP 地址了，而下面所有的客戶端的DNS 都是指向原來的主域控制器的，這樣就會出現(xiàn)很多問題，包括你的Exchange 就找不到域控制器，所以我最簡單的方法就是把備份域控制器（現(xiàn)在的主域控制器）的IP 改為PDC （原來的主域控制器）的IP 就好了。

18、 這些改完以后啟動Exchange ，exchange 不要做任何更改就可以正常工作了，但這時在exchange 的日志里是有一項錯誤（MSExchangeAL 事件 8026 和8260）。原因為收件人更新服務配置為使用 Windows 域控制器被降級，。收件人更新服務嘗試查詢有關該更新, Windows無法聯(lián)系域控制器。

解決辦法：打開 Exchange 系統(tǒng)管理器。展開 " 收件人 " 容器, 然后單擊 收件人更新服務。雙擊每個收件人更新服務, 然后再將 Windows 域控制器 設置更改為新域中

Windows 域控制器。這樣設置完以后，重新啟動計算機，一切正常了，發(fā)封郵件試試，一切正常。致此全部完成了。

FSMO 角色介紹：

架構主機 (Schema master) －架構主機角色是林范圍的角色，每個林一個。此角色用于擴展 Active Directory 林的架構或運行 adprep /domainprep 命令。

域命名主機 (Domain naming master) －域命名主機角色是林范圍的角色，每個林一個。此角色用于向林中添加或從林中刪除域或應用程序分區(qū)。

RID 主機 (RID master) － RID 主機角色是域范圍的角色，每個域一個。此角色用于分配 RID 池，以便新的或現(xiàn)有的域控制器能夠創(chuàng)建用戶帳戶、計算機帳戶或安全組。

結構主機 (Infrastructure master) －結構主機角色是域范圍的角色，每個域一個。此角色供域控制器使用，用于成功運行 adprep /forestprep 命令，以及更新跨域引用的對象的 SID 屬性和可分辨名稱屬性。

PDC 模擬器 (PDC emulator) － PDC 模擬器角色是域范圍的角色，每個域一個。將數(shù)據(jù)庫更新發(fā)送到 Windows NT 備份域控制器的域控制器需要具備這個角色。此外，擁有此角色的域控制器也是某些管理工具的目標，它還可以更新用戶帳戶密碼和計算機帳戶密碼。

主域控制器和備份域控制器有時候經(jīng)常需要進行角色轉換，希望讀者能夠熟練掌握這兩個之間角色轉換的方法。