将额外域控制器提升为主域控

额外域控制器的升级—夺权几天前做过这样一个工作，将公司域控制器从旧的服务器上迁移到新的服务器上，目的就是为了给域控做一下硬件的升级。

这个任务很艰巨的，我从没有做过这样的事，觉得特别有意思。

经过同事的指点，我慢慢的开始小心翼翼的进行工作。

工作完成的很顺利，但也有些不足的地方，印象很是深刻，觉得有必要将它留在51cto上与大家分享。

下面是环境图：环境并不复杂，域控系统为windows 2008 R2 ，DNS、DHCP服务寄存在域控上。

也就是说这并不单单是迁移域控的事情了，还要将DNS、DHCP服务同时迁移过去。

呵呵，不过这都不是难题，我马上为大家呈现解决办法。

解决这些问题的办法我简单做了一下汇总：1、升级新服务器为额外域控制器，同时添加DNS备份，添加DHCP角色。

2、转移域控五大角色。

3、卸载域控。

4、断开域控DHCP服务，授权新域控的DHCP服务，防止两个服务出现冲突。

完成这几步后就可以大胆的将旧的服务器关闭掉，原先的备份服务器就已经完全作为新的域控制器工作了。

首先将新服务器作为域控的备份服务器加入域，过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。

添加DHCP角色，但不要做任何配置，因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP配置。

这里不做过多的拗述了。

作为域控制器是因为它兼有五大角色，分别是PDC主机，RID主机，结构主机，域命名主机和架构主机，五大角色是域控特有的，其各自的属性特征这里不做阐述。

首先我们登录域控服务器，打开服务器管理台，选择“角色”，找到“AD用户和计算机”，邮件服务器属性，“更改域控制器”如下图：选择将要继承域控职责的BDC作为当前服务器。

然后在服务器右键选择“操作主机”，我们看到域控的三个角色，RID 主机、PDC主机和基础结构。

当前的操作主机是PDC，要传递的主机是BDC，不用想了马上更改。

其它的两个角色也使用同样的配置，给改主机为BDC。

用户环境描述：用户现有Windows2003域控制器两台，两台域控制器上分别安装有DNS服务器，共同维护现有活动目录集成区域。

现在存在的问题和要求：问题：用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定，现在需要对主域控制器进行重新安装系统以解决这个问题。

要求：因为域控制器上存储有大量用户帐号信息，所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。

同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产生影响。

解决方案：主要步骤：1.备份现有主域控制器和备份域控制器系统2.检查和配置活动目录集成的DNS区域3.把GC（全局编录）移置到额外域控制器上4.转移域里的5种角色5.在主域控制器上运行DCPROMO删除AD，额外域控制器被提升为主域控制器6.删除AD成功后，重新安装Windows2003，再运行DCPROMO安装AD，将该计算机配置成为本域中的额外域控制器。

7.在新安装的服务器上安装并配置DNS服务器8.测试系统详细步骤：1.备份现有主域控制器和备份域控制器操作系统1)准备一张包含GHOST8.3程序的可引导光盘2)进入服务器BIOS更改服务器引导顺序，将光盘放在启动设备的第一位。

3)启动电脑到DOS状态4)启动ghost，如下图，依次点击local\Partition\ToImage5)下面是选择要备份的分区，保存的位置和文件名选择镜像文件保存的位置6)选择压缩压缩方式（如下图）：2.检查和配置活动目录集成的DNS区域1)检查主域控制器DNS配置首选DNS应该设置为辅助域控制器安装的DNS服务器点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示：类型：应该为“ActiveDirectory集成区域”复制：应该为“ActiveDirectory域中的所有域控制器”动态更新为：安全2)检查辅助域控制器DNS配置首选DNS应该设置为主域控制器安装的DNS服务器点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示：类型：应该为“ActiveDirectory集成区域”复制：应该为“ActiveDirectory域中的所有域控制器”动态更新为：安全3.把GC（全局编录）移置到额外域控制器上1)使用域管理员帐户登陆到主域控制器上2)请单击“开始”，指向“设置”，单击“控制面板”，双击“管理工具”，然后双击“ActiveDirectory站点和服务”。

域环境，俩DC，A主域控，B额外域控，公司搬迁，把A主域控搬至外地，留B辅域控在本地，结果出现部分用户无法登陆的情况。

没办法，搬迁工作准备不足，只好在辅域控上做了出下操作，1. 在B服务器额外域控强制夺取操作主机角色打开命令行窗口输入”ntdsutil”输入”connections”输入”connect to server dc02”连接到额外域控器输入”q”退到上一级输入”seize pdc”确认输入”seize rid master”确认输入”seize infrastructure master”确认输入”seize domain naming master”确认输入”seize schema master”确认********************华丽的分割线************************** 至此，将无法登陆的客户机重新加入域后，故障基本解决，********************华丽的分割线**************************1. 额外域控已经夺取五个角色，记得要把主域的信息从它清除本人没有做如下操作，并把原A主域控重新接入局域网使用，就这个操作，直接导致以后悲催的结局（1、域中出现多个用户无法登陆域，重新加域都没用；2、若干用户出现访问文件服务器无法访问的情况……）打开命令窗口输入”ntdsutil”输入”metadata cleanup”输入”connections”输入”connect to server dc02”连接到额外域控制器输入”q”退到上一级输入”list site”输入”select site 0”输入”list domain in site”输入”select domain 0”输入”list server in site”输入”select server 0”输入”q”输入”remove select server”直接在原A主域控上做了如下操作，正常无法删除AD服务，只好加强制删除参数：dcpromo /forceremoval并在B域控上清除原服务器信息，重新将此A服务器重新加域并重新安装AD。

主域损坏后辅域升级为主域并清理主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录 .这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

WindowsServer2012R2辅域控制器如何升级成主域控制器⼀、实验模拟故障问题： zhuyu公司架设了⼀台主域控制器和⼀台辅域控制器，某⼀天，zhuyu公司的主域控制器系统崩溃，主域控制器系统也进不去。

虽然辅域控制器可以暂时代替主域控制器的普通⼯作，但是特殊的操作辅域控制器是没办法操作的。

经过zhuyu公司领导同意， 决定把主域控制器撤⾛，直接让辅域控制器升级成主域控制器。

⼆、⽹络拓扑图：********** 注意事项 **********1、辅域控若要接管主域控的前提是主域控与辅域控上都要有DNS，并且DNS是与域控是集成的。

2、客户端进⾏域访问时⾸先会联系⾸选DNS，即主域控，但是这时的主域控已经脱离⽹络，⽆法访问。

客户端就会尝试使⽤备⽤DNS，就会联系辅域控，达到正常访问，但是这样做的话，有⼀个很明显的问题，就是访问、验证、登录会⽐以前慢很多，因为要先联系主域控。

3、主域控系统⽹络是断开状态，辅域控若要获取主域控全部权限，辅域控必须通过强夺的⽅式把主域的FSMO的五个⾓⾊从主域控上强夺过来使⽤，通过ntdsutil命令清理死亡的主域控的残留信息(元数据)，最后指定辅域控为GC(全局编录)。

4、修改辅域控的IP为原来主域控的IP，同时重启Netlogon服务，⼿动将主域的DNS记录（包括A记录、NS记录、SRV记录、SOA记录）更改为原主域控的IP地址，把DNS名称服务器(NS)存在的已死亡的主域控删除掉。

5、辅域控重启系统检查DNS和域控是否正常，查看⽇志⽂件是否报错。

三、操作步骤：1、辅域控制器固定IP设置。

2、主域控制器已经脱离⽹络，ping 192.168.10.30已经不通了。

3、因为主域控已经断开连接，所以，辅域控的操作主机显⽰错误。

4、在辅域控DOS命令下运⾏netdom query fsmo 查看当前的FSMO五个⾓⾊的拥有者都是test-zhuAD主域控，所有辅域控test-beiAD采⽤强夺⽅式把主域控test-zhuAD五个⾓⾊强夺过来。

主域控搭建及额外域控
升为主域控（灾难恢复）
一．环境介绍
主域控DC1（server1）额外域控DC2（server2）客户机（kehuji）IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS2：192.168.20.22 DNS2：192.168.20.22 DNS2：192.168.20.22 二．搭建步骤
建域的过程就省略了，直接上图。

然后根据公司结构建立部门OU
在建立好部门OU后，再建立各部门的安全组，便于权限的分配。

最后建立本地域组，将各部门的安全组加入其中
然后在各部门中建立用户，并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹，并设置共享权限，限制只能看到自己部门的共享
然后将客户端加入域进行测试
三．额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户，让DC1同步，并在客户机上登陆并访问
四．灾难恢复
然后我们禁掉DC1的网卡，假设DC1故障无法运行，然后让DC2代替DC1继续提供服务。

额外域控在主域控故障无法启动时，自己升为主语控，参考一下链接。

/961933/773961。

额外域控制升级为主域控制器（三）前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:一、这时我们的PDC已经出现了问题并开不起来了。

这时我们来到BDC上，打开AD用户和计算机，在你的域名处点右键――>操作主机打开如图：此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC，所以我们要把BDC更改为操作主机。

各位可能就会看到下面不是有个更改按钮吗，直接点更改按钮不就转移过去了吗？其实这我也想到了，但是你在这里点更改会报错的，点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。

不能连接当前的 FSMO 盒”，所以我们又要回到命令行模式下进行强制夺取了。

二、在上面的操作中我们已经安装了windows 2003 的support tools了，所以我现在在找开support tools，在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁，如图：我们看到当前五个角色的owner还是PDC。

下面我们就开始强制夺取吧。

三、再次打开support tools 在命令提示符下输入ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server (其实上面这里我写的是BDC的计算机名，而现在输入的又是域名了) ，提示绑定成功后，输入q退出，如图：四、输入问号可以看到一些帮助信息，上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了，分别输入：Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema masterSelect operation target以上的命令在输入完成一条后都会确认要占用角色，选择是，如图：然后接着一条一条完成既可，完成以上按Q退出界面，五、选择是以后。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

主域控制器与额外域控制器的同步原理一、引言随着企业规模的扩大和业务的多元化，对于数据管理和身份认证的要求也越来越高。

在这样的背景下，域控制器（Domain Controller）成为了企业网络中的重要组件。

其中，主域控制器（Primary Domain Controller，PDC）和额外域控制器（Backup Domain Controller，BDC）分别扮演着核心与备份的角色，它们之间的同步对于维护网络的稳定性和可靠性至关重要。

本文将深入探讨主域控制器与额外域控制器的同步原理。

二、主域控制器与额外域控制器的角色与功能1.主域控制器（PDC）：作为域控制器中的核心，PDC负责管理网络中所有计算机账户的认证和授权。

它存储了域的所有账户信息，包括用户账号、组账号和相关权限等。

此外，PDC还负责处理用户的登录请求，验证用户身份并授权相应的访问权限。

2.额外域控制器（BDC）：作为PDC的备份，BDC主要用于提供冗余和故障转移能力。

它复制了PDC上的所有账户信息，并在需要时接管认证和授权任务。

通过与PDC保持同步，BDC确保了在网络故障或PDC不可用时，仍能提供不间断的服务。

三、同步过程与机制1.账户信息同步：PDC和BDC之间的账户信息同步是通过Kerberos协议和LDAP（轻型目录访问协议）完成的。

Kerberos协议用于加密用户身份验证，而LDAP则用于目录服务之间的通信，实现账户信息的实时同步。

2.数据更新机制：当PDC上的账户信息发生变化时（如用户账号创建、删除或权限更改），这些更改会被立即复制到BDC上。

这一过程通常由Windows操作系统自动完成，无需人工干预。

3.心跳检测：为了确保数据同步的实时性，PDC和BDC之间会定期进行心跳检测。

通过这种机制，系统能够快速检测到网络故障或控制器不可用的情况，以便及时进行故障转移。

四、故障转移与高可用性1.故障转移策略：在PDC出现故障或网络中断的情况下，BDC会迅速接管认证和授权任务。