域控制器迁移

尽管我们现在有了类似于System Center VirtuaMachine Manager可以轻易的实现物理服务器到虚拟机服务器的迁移工作，但是对于一些不能或者不推荐在虚拟机里面运行的服务器，这迁移还是老老实实的跟着传统走吧。

这不，域控制器的改朝换代从Windows 2000开始至最新的2008 R2，整个迁移的过程和思路都是一样的，所以今天我们就来看看如何把一台域控制器从旧的服务器迁移到新的服务器。

作者简介：张诚，网名asuka（博客，微博），资深IT基础架构顾问，三届微软全球最有价值专家（MVP），微软Technet 特约讲师。他是微软中文社区Windows 版版主，ITECN 技术博客作者。他熟悉微软Windows操作系统和活动目录，具有多年微软服务器产品的项目和培训经验，现致力于传播绿色IT概念。曾获两次获得微软CPE杰出贡献奖、微软大中华区"认证达人"称号。著作有《Windows 7安全指南》、《精通Windows Powershell脚本编程》等。

这里的环境再简单不过，一共也就就2台服务器。

1 安装新的域控制器

对于DC1的安装这里就不再详细说明了，只需要注意安装额外的域控制器可以对现有的成员服务器进行提升，令其成为域控制器。或者安装一台新的计算机，并对其进行提升。无论使用哪种方法，DC1都必须讲从DC处获得必要的目录信息。

2 操作主机（FSMO）的迁移

对于域控制器迁移的工作最大的挑战之一就是FSMO 5个角色的迁移，所以我们

先来看看这5个角色各自都起到了什么作用。

首先我们知道活动目录和NT4目录服务最大的区别就是多主机模式，因此活动目录创造出分布式的环境，并让任何域控制器都可以被用作验证，从而可以在特定域控制器上操作即可更改标准目录信息。比如我们可以在任意一台域控制器上新建用户帐号（2008中的只读域控制器除外），对于大部分活动目录的操作，所

有域控制器都一视同仁，但是也并非全部如此。有些活动目录中特定的操作只能在“操作主机”的域控制器上进行。

什么是操作主机

专用的操作主机具有灵活单主机操作（Flexible Single-Master

Operations,FSMO）角色，一共有5种这类角色，分别如下：

架构主机（Schema master）

架构主机是林中唯一包含可写入架构容器副本的域控制器，只有在其上面才可以对架构进行修改。举个例子来说吧，我们现在有个域是用作管理学生信息使用的，而管理学生信息又是以学生的学号为中心。但是现有的“Active Directory用

户和计算机”控制台管理界面中并没有学号这一个标签和选项，所以我们需要进行扩展架构。而这里的扩展架构这个步骤就是在架构主机中完成的，所以架构主机好比是定义了整个目录中的标准。

但是定义标准这个活可不是谁都能做的，一定要在组织中最最权威的机构上进行。这就好比，我们的身份证上有姓名栏、家庭地址栏等信息，但是如果哪天身份证上面要加一栏，比如要加上个人工作单位这一栏，对于修改身份证这个操作只能由我们中央政府的有关部门才能去做，地方政府肯定是没有这个权限去DIY我们

身份证的，否则我们的身份证肯定是千奇百怪并失去统一性和标准性。所以，在我们的活动目录中，修改架构只有在架构主机上才能做。

域命名主机（Domain Naming master）

域命名主机主要负责从林中添加或者删除域。在创建了新域时，需要创建到域命名主机的远程过程调用（Remote Procedure Call,RPC）连接，并给域分配全球唯一标识符（GUID）。在删除域时，也需要创建到域命名主机的PRC连接，并将之前分配的GUID引用删除。

所以一旦在整个林中有新的域被建立或者被删除，就要到域命名主机这里去“登记”一下。

RID主机

RID主机控制了域中的新的安全主体，比如用户、组和计算机的创建。

这就好比，我们成人之后，要去派出所登记身份证，拿到的身份证号码前几位的格式都是相同的，当中几位是我们每个人的生日，而最后几位数字却每个人都不相同。

PDC模拟

说到PDC，就必须得提一下NT4的目录服务。在NT4的目录服务的时代，可不像我们的活动目录这么平等。在那个时代只有PDC才算真正的DC，毕竟人家叫Primary嘛。除了PDC之外，所有的其他域控制器都叫BDC。PDC和BDC最大的区别就是在数据复制的角度上，PDC只出不进，BDC只进不出。PDC是一党独大，这样的话，万一哪天PDC因为硬件故障出现了问题，整个NT4的域就完全被毁了，所以这样是非常得危险。

在活动目录中，尽管没有了PDC角色，但是还是有个操作主机叫做PDC模拟，顾名思义，就是模拟PDC所做的活。那么PDC究竟做哪些事情呢？在使用Windows 2000纯模式或更高功能级别的域中，带有PDC模拟角色的域控制器主要负责处理客户端密码的变动、客户端的锁定。在用户更改密码后，变动首先会被发往PDC模拟，然后再被复制到域中的其他域控制器上。这样可以避免密码修改同步的问题。

基础架构主机（Infrastructure master）

基础架构主机主要负责更新跨域的组到用户引用。这也就意味着基础架构主机主要负责确保对用户帐户通用名的更改可以被正确反映到林中其他域的组成员关

系中。基础架构主机是通过对比全局编录服务器（GC）的目录数据的方法实现，如果数据过期，那么基础架构主机就更新这些数据，并将变动复制到域中的其他域控制器上。

简单的介绍了这5个操作主机后，再来介绍一下他们的要点。架构主机和域命名主机都是以每个林为基础分配的，这意味着每个林中只能有一台架构主机和域命名主机。其他三个角色，RID、PDC模拟和基础架构主机都是以每个域为基础分配的。这个很好理解，有些事情只能由中央政府去做，而有些事情，只能由地方政府去做，各自职责明确。

在安装活动目录，以及给新林中创建第一台域控制器时，默认情况下，所有这5个角色都会被安装在这台DC上。假如在这个域下面建立了子域，那么子域中的第一台域控制器就会被分配为该子域的PDC仿真器、RID和基础架构主机，但是不会有架构主机和域命名主机的角色分配。

操作主机的查看

查看操作主机有图形界面和命令行两种方式，相对来说，命令行比较方便。

在Windows Server 2008上，在命令行中运行下列命令“netdom query fsmo”，即可了解登录到的域的当前操作主机信息（图 1），通过截图我们就可以发现，默认情况下，5个操作主机的角色全部都在这台域控制器上面。

图 1