主域控制器和额外域控制器问题讨论

主域控制器和额外域控制器问题讨论

字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客

当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。不知有没有人会？我也来说两句查看全部回复

最新回复

∙tomdoctor (2005-1-08 14:41:09)

运行ntdsutil 把操作角色seize过来

∙qjping (2005-1-11 21:41:08)

请问楼上有没有操作过?

∙tutuit (2005-1-17 08:36:32)

往上搜索一下，有关seize的资料一大堆

∙tutuit (2005-1-17 08:36:45)

网上搜索一下，有关seize的资料一大堆

∙xwbest (2005-1-17 13:37:41)

把所有的角色夺过来就可以了

我试过的

而且没任何问提?不过我有一个角色找了半天才拿过来的

∙housten (2005-1-28 14:15:57)

QUOTE:

最初由xwbest 发布

[B]把所有的角色夺过来就可以了

我试过的

而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]

你成功过！太好了，能讲讲具体步骤吗！

因为我试验过几次，都不成功。关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)

为什么要重新建立DNS

我做的时候额外域控制器上的DNS与主域一样

是起额外域控制器时自动建立没必要重建

如果重建会有问题的

∙xwbest (2005-1-28 17:16:50)

而且客户机不用做任何的改动

连额外域控制器上也不必该原来的DNS回自动转过来的

我讲的是客户机的DNS不动也可以用

∙stevenxia (2005-1-29 09:21:05)

看看这篇文章，希望对你有所帮助：

AD恢复主域控制器

本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

--------------------------------------------------------------------------------

目录

Active Directory操作主机角色概述

环境分析

从AD中清除主域控制器 对象

在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作

设置额外域控制器为ＧＣ（全局编录）

重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本

参考信息

作者介绍

--------------------------------------------------------------------------------

一、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：

架构主机schema master、

域命名主机domain naming master

相对标识号(RID) 主机RID master

主域控制器模拟器(PDCE)

基础结构主机infrastructure master

而每种操作主机角色负担不同的工作，具有不同的功能：

架构主机

具有架构主机角色的DC 是可以更新目录架构的唯一DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。

具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID)

主机此操作主机负责向其它DC 分配RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机

PDCE

主域控制器模拟器提供以下主要功能：

向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。本机Windows 2000 环境将密码更改转发到PDCE。每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。

时间同步—目录林中各个域的PDCE 都会与目录林的根域中的PDCE 进行同步。

PDCE是基于域的，目录林中的每个域都有自己的PDCE。

基础结构主机

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符(GUID)、安全标识符(SID) 和可分辨的名称(DN)。如果被引用的对象移动，则在域中担

当结构主机角色的DC 会负责更新该域中跨域对象引用中的SID 和DN。

基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号(RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

--------------------------------------------------------------------------------

二、环境分析

公司（虚拟）有一台主域控制器，还有一台额外域控制器

。现主域控制器（）由于硬件故障突然损坏，事先又没有

的系统状态备份，没办法通过备份修复主域控制器（），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

--------------------------------------------------------------------------------

三、从AD中清除主域控制器对象

3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从Ａ