升级新域控后,手动删除旧主域控服务器

Windows2000中提升域控制器或将其降级为独立服务器本文介绍如何在Windows 2000 中提升域操纵器或将其降级为独立服务器。

将服务器提升为域操纵器确实是在此服务器上安装Active Directory 服务的过程。

将域操纵器降级确实是删除Active Directory 并切换到使用本地用户帐户系统(UAS)。

在将服务器提升为域操纵器之前，必须规划您的结构以便最好地适应组织需要和网络拓扑结构。

在将服务器提升为域操纵器时，治理员有以下选项：•在新名目林中安装第一个域操纵器•在新域名目树中安装第一个域操纵器•在新子域中安装第一个域操纵器•在域名目树中安装额外域操纵器•从域操纵器中删除Active Directory进行名称解析时，域名系统(DNS) 服务是Active Directory 不可缺少的一部分。

DNS 定义了Windows 2000 命名空间，而且专门灵活。

有关DNS 要求和安装的其他信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：设置Active Directory 的域名系统在规划好配置并决定将在提升过程中使用哪一选项后，请按下面相应部分中的步骤操作。

这几部分可指导治理员完成提升过程。

在新名目林中安装第一个域操纵器注意：您必须在提升前或在提升过程中在某一位置安装一个DNS 服务器。

在将运算机提升为域操纵器后，它在DNS 中注册服务，这些服务使轻型名目访问协议(LDAP) 查询能够针对此域操纵器上的名目执行。

1.单击开始，单击运行，键入dcpromo，然后单击确定。

2.这将启动〝Active Directory 安装向导〞。

单击下一步。

3.Active Directory 安装向导会询问一系列问题，以确定此服务器将担任的角色。

因为您要将此服务器安装为名目林中的第一个域操纵器，请单击〝新域的域操纵器〞。

4.单击下一步。

5.由于此域操纵器还将充当新域名目树中的第一个域操纵器，请单击〝创建一个新的域名目树〞。

旧域控清理但仁刚【摘要】在生产环境中,会碰到要将停止使用的辅助域控制器删除的情况.就是将停止使用的域控服务器清除,清除其在AD数据库残留的旧域控信息,防止旧域控制器对AD复制有影响等问题的出现.【正文】一CMD命令清除AD051. 使用CMD命令连接到需要处理活动状态的域控服务器GHAD07，首先设置ntds作为活动实例，使用命令Activate Instance "NTDS"，依次使用命令metadata cleanup---connections---connect to server GHAD07---quit，如下所示；2. 执行命令Select operation target---list domains找到网络中的域，在此选择编号为0的域，使用命令select domain 0选择该域，如下；3. 依次使用命令，list sites（列出站点）---select site 2（选择站点），如下；4. list servers in site（列出详细站点信息）---select server 2（选择旧DC所在具体站点）---quit，如下所示；5. 使用CMD命令remove selected server删除服务器“垃圾”对象，如下；6. 弹出服务器删除确认对话框，点击“是”；7. 服务器AD05删除完成二删除AD05后续操作1. 在AD用户和计算机中查看所删除GHAD05计算机账户已清除，如下；2. 打开DNS管理器，右击属性，切换“名称服务器”选项卡，删除GHAD05的DNS记录，如下；3. 打开AD站点和服务，在“Shenzhen”站点中找到GHAD05并手动删除；三总结我们在用CMD命令将停止使用的域控制器删除后,一定要记得将DNS中记录删除,同时删除站点中的相关信息.这才是完整的DC清理流程.。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

卸载域控制器前两天朋友遇到一个问题卸载与控制器时别拒绝卸载，我的朋友很着急我几天写这篇笔记就教大家两种卸载域控制器的方法。

第一种是正常卸载，用dcpromo这条既能升域又能降域的命令。

第二种方法是强制降域这就比较麻烦了下面我们一一介绍一下这两种方法第一种降域方法：开始=》运行=》打上命名dcpromo 点击确定如图：1.2.下一步：删除Active Directory 如果这不是最后一台域控制器就不要在（这服务器是域控制器的最后一个域控制器）前打勾如图：3.下一步要求你输入一个密码注意这个密码将来是本地管理员的密码，这台机器一经卸载就不成为域控制器的身份出现了所以这个密码是本地管理员的密码！如图：4.下一步删除活动目录（Active Directory）成为成员服务器如图：5.卸载成功！这时它能够正常的找到它的复制伙伴告诉它已经不是域控制器了下次复制活动目录不要找它了。

下面我向大家介绍一个强制卸载。

这种方法是我推荐的方法域控制器能够正常复制我们最好使用第一种方法，但是在日常的工作中都是域控制器与其它服务器失去联系，活动目录不能正常复制，域控制器失去存在的意义了我们才会去卸载它，当我们卸载失去联系的域控制器，会看到一个错误提示：（无法联系到此域的其它Active Directory域控制器），这就话就是告诉我们域控制器将无法正常复制活动目录（Active Directory）。

正常的卸载在上面说过其它Active Directory域控制器能够得到这台别卸载的域控制器的消息，会告诉KCC这台服务器已经不是域控制器了下一次复制不需要在寻找着台服务器，正常卸载会自动告诉它的复制伙伴，一但强制卸载就是告诉我们已经寻找不到自己的复制伙伴，我们要手动告诉这台服务器卸载的消息。

强制卸载步骤1. 开始=》运行=》打上命名dcpromo /forceremoval下一步：强制删除（Active Directory）下一步设置一个本地管理员密码：下一步：不通知复制伙伴自行降域。

手工删除Active Directory 数据三、我们在上一篇博文中已经把实验环境搭建好了，现在万事具备只欠损坏主域控制器，下面我们关掉主域控制器（DENVER）。

如下图所示：先在FIRENZE的Active Directory中把DENVER删除掉，使用“ntdsutil”工具，打开FIRENZE在命令行中输入“ntdsutil”命令后，如果记不清使用什么命令，可以使用？问一下。

使用“metadata cleanup”清理不使用的服务器的对象使用“connections”连接到一个特定域控制器使用“connect to server firenze”连接到自己，使用“quit”退出到上一级菜单中。

使用“select operation target”选择站点使用“list sites”就会显示出所有的站点，我们只有一个站点，这里的站点是用0代表。

使用“select site 0”就是选中站点了。

使用“list domains in site”列出所选站点中的域，只有 一个域，还是用0代表。

使用“select domain 0”选中这个域。

使用“list server for domain in site”列出所选域和站点中的服务器，列出了主域控制器DENVER和额外域控制器FIRENZE，还是用数字0和1代表。

使用“select server 0”就是选中了DENVER，因为我们是在删除主DENVER。

我们想要选的服务器已经选中了，使用“quit”退出到上一个菜单中。

使用“remove selected server”删除所先的对象DENVER，出现了一个确认对话框，选择“是”。

最后使用“quit”命令退出就可以了。

我们打开“Active Directory 站点和服务”下把“DENVER”选中，右击“删除”。

出现一个对话框,选择“是”现在“DENVER”已经没有了，展开site->default-first-site-name->servers，展开FIRENZE，右击“NTDS Settings”点“属性”，勾上全局编录前面的勾，点确定，如图所示：现在把“全局编录”也转到FIRENZE上了。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为点击更改，确定。

WindowsServer2012R2辅域控制器如何升级成主域控制器⼀、实验模拟故障问题： zhuyu公司架设了⼀台主域控制器和⼀台辅域控制器，某⼀天，zhuyu公司的主域控制器系统崩溃，主域控制器系统也进不去。

虽然辅域控制器可以暂时代替主域控制器的普通⼯作，但是特殊的操作辅域控制器是没办法操作的。

经过zhuyu公司领导同意， 决定把主域控制器撤⾛，直接让辅域控制器升级成主域控制器。

⼆、⽹络拓扑图：********** 注意事项 **********1、辅域控若要接管主域控的前提是主域控与辅域控上都要有DNS，并且DNS是与域控是集成的。

2、客户端进⾏域访问时⾸先会联系⾸选DNS，即主域控，但是这时的主域控已经脱离⽹络，⽆法访问。

客户端就会尝试使⽤备⽤DNS，就会联系辅域控，达到正常访问，但是这样做的话，有⼀个很明显的问题，就是访问、验证、登录会⽐以前慢很多，因为要先联系主域控。

3、主域控系统⽹络是断开状态，辅域控若要获取主域控全部权限，辅域控必须通过强夺的⽅式把主域的FSMO的五个⾓⾊从主域控上强夺过来使⽤，通过ntdsutil命令清理死亡的主域控的残留信息(元数据)，最后指定辅域控为GC(全局编录)。

4、修改辅域控的IP为原来主域控的IP，同时重启Netlogon服务，⼿动将主域的DNS记录（包括A记录、NS记录、SRV记录、SOA记录）更改为原主域控的IP地址，把DNS名称服务器(NS)存在的已死亡的主域控删除掉。

5、辅域控重启系统检查DNS和域控是否正常，查看⽇志⽂件是否报错。

三、操作步骤：1、辅域控制器固定IP设置。

2、主域控制器已经脱离⽹络，ping 192.168.10.30已经不通了。

3、因为主域控已经断开连接，所以，辅域控的操作主机显⽰错误。

4、在辅域控DOS命令下运⾏netdom query fsmo 查看当前的FSMO五个⾓⾊的拥有者都是test-zhuAD主域控，所有辅域控test-beiAD采⽤强夺⽅式把主域控test-zhuAD五个⾓⾊强夺过来。