win2003额外域控制器升级为主域控制器

win2003额外域控制器升级到主域控制器一．其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机(Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展Active Directory 林的架构或运行adprep /domainprep 命令。

★域命名主机(Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机(RID master) －RID 主机角色是域范围的角色，每个域一个。

此角色用于分配RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器(PDC emulator) －PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机(Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行adprep /forestprep 命令，以及更新跨域引用的对象的SID 属性和可分辨名称属性。

Active Directory 安装向导(Dcpromo.exe) 将这五种FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用Ntdsutil.exe 捕获FSMO 角色或将其转移到域控制器[url]/kb/255504/zh-cn[/url]2.域控制器降级失败后如何删除Active Directory 中的数据[url]/kb/216498/[/url]3.域控制器降级失败后如何删除Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)[url]/kb/216498/zh-cn[/url]四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.。

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为点击更改，确定。

方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机 角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的 FSMO 角色。

这五个 FSMO 角色是：●架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

●域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

●结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

●相对 ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。

任何时刻，在域中只能有一个域控制器充当 RID 主机。

●PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机，或者如果包含 Microsoft Windows NT 备份域控制器，则 PDC 模拟器主机充当 Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。

使用 MMC 管理单元工具来转移 FSMO 角色。

根据您要转移的 FSMO 角色，可以使用以下三个 MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

酒泉人民医院额外域控制器提升为主域控制器的过程一、提升额外域控制器步骤：1、在安装完企业版WIN2003操作系统后，打SP2补丁，以及相关补丁。

2、在IP地址中配置好IP以及主DNS服务器的的地址3、在开始运行中输入：dcpromo命令，进入域控提升程序4、选择现有域控的额外域控制器选项，按照正常步骤进行到结束，重启服务器5、安装DNS组件二、将额外域控制器提升为主域控的步骤（转换域的五个功能角色）1、将服务器IP地址中主DNS选项改为本机IP地址，额外的DNS选择其他DNS服务器地址2、打开AD用户和计算机工具，在服务器级别右键，选择连接到域控制器3、在弹出对话框中选择新安装的额外域控制器，点击确定4、在服务器级别右键，选择操作主机一项6、在弹出的对话框中有三个标签项，分别代表域中的三个功能角色：RID,PDC,结构，当前操作主机应该是当前的主域控制器，如果想把角色变更到新的额外的域控制器中，点击更改按钮，改变角色主机，如果更改成功会有相应提示成功。

分别将三个标签的角色都进行更改，如都成功了，说明在域中的三个重要角色已经转移到额外的域控制器中。

7、打开AD域和信任关系工具，参照之前的方法提升第四个功能角色（域命名主机），先选择连接到域控制器，在弹出对话框中选择额外的域控制器，确定退出8、再右键选择操作主机，在弹出的对话框中点击更改，更改角色主机9、更改第五个域的重要角色的操作主机位置，点击开始运行，输入regsvr32 schmmgmt.dll注册最后一个域的功能角色（架构主控），10、在开始运行输入MMC，点击控制台，点击添加删除管理单元11、在弹出的对话框中点击添加按钮，选择AD架构一项，点击添加，点击确定退出13、右键点击选择操作主机，将角色进行更改三。

、提升域控为GC1、在提升为主域控制器后，要将此域控提升为GC，在AD站点和服务工具中选择新的站点服务器，在NTDS SETTING中选择右键属性2、选中全局编录选项，确定退出，全局编录服务器设定完成。

一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange 应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

4、以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.5、这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

故障描述：Windows server 2003 主域中毒杀毒后总是提示内存不够，及注册表报错分析域故障和修复注册表这个活基本上不是人干的，另辟蹊径干脆重装主域所花费的时间更短。

解决问题更彻底。

目前网络中有主域和额外的域各一台并且主域和额外的域都做有GHOST 备份。

（注意：主域恢复千万不能直接使用GHOST 恢复，不然各种权限设置都会回到GHOST备份时间）第一步在主域上的运行中输入regsvr32 schmmgmt第二步在主域上的运行中输入mmc回车后弹出如下窗口，点击操作添加/删除管理单元并添加如下图所示4个管理单元点击确定后1、鼠标右键单击Active Directory 架构选择更改域控制器，在弹出的窗口内输入额外域的域名。

2、鼠标右键单击Active Directory 架构选择操作主机，在弹出的对话框中点击更改。

3、鼠标右键单击Active Directory域和信任关系，选着连接到域控制器，在弹出的窗口中选着额外的域控制器点击确定。

4、鼠标右键单击Active Directory域和信任关系，选着操作主机，在弹出的窗口中选着更改5、鼠标右键单击Active Directory用户和计算机，选着连接到域控制器，在弹出的窗口中选着额外的域控制器点击确定。

6、鼠标右键单击域名主机（），选着操作主机，分别点击RID，pdc,结构点击更改现在主域的FSMO 的五个角色全部都转移到额外的域，现在额外的域（server2）变成了主域现在我们来验证一下找到windows 2003的安装光盘安装SUPTOOLS 工具在CMD 窗口下输入netdom query fsmo结果显示5个角色全部转移。

接下来我们要把SERVER 这台域降级为普通域成员，在server的运行窗口中输入dcpromo 下一步下一步因为网络中还有一台SERVER2 为主域，所以不要选着直接点击下一步输入管理员密码后点击下一步开始降级域如果降级过程遇到错误，点击上一步，然后在点击下一步即可。