Acitive Directory之——6、离线部署额外域控制器

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

Active Directory 产品操作指南第 3 章—详细的维护操作本页内容概述过程：备份Active Directory过程：Active Directory 的非授权还原过程：Active Directory 对象的授权还原过程：通过重新安全恢复域控制器过程：为现有域安装域控制器过程：删除Active Directory过程：重命名域控制器过程：管理Active Directory 数据库过程：管理SYSVOL过程：管理Windows 时间服务任务：配置林的时间源任务：在计算机，而不是在PDC 仿真器上配置可靠时间源任务：配置客户端以向特定时间源请求时间任务：优化轮询间隔任务：禁用Windows 时间服务过程：管理信任过程：管理站点任务：添加新站点任务：将子网添加至网络任务：链接复制站点任务：更改站点链接属性任务：将域控制器移至不同的站点任务：删除站点过程：管理域控制器上的防病毒软件过程：添加全局编录过程：从域控制器中删除全局编录过程：确认站点中的全局编录服务器过程：移动操作主机角色步骤：减少PDC 仿真器的工作量过程：传输角色持有者过程：占用操作主机角色过程：选择备用操作主机概述本章提供了有关维护Active Directory 所必须执行的过程的详细信息。

这些过程是按照其所属的MOF 象限来排列顺序，在每个象限中则遵照构成该象限的MOF 服务管理功能(SMF) 指南。

这些象限是：•操作象限•支持象限•优化象限•更改象限操作象限系统管理SMF 操作角色群每日返回页首过程：备份Active Directory说明将Active Directory 作为Microsoft® Windows 系统状态（彼此依赖的系统组件集合）的一部分进行备份。

必须对所有的系统状态组件进行备份并存储在一起。

域控制器上的系统状态组件包括：•系统启动（引导）文件。

这是Windows Server 2003 启动所必需的文件。

S e r v e r2012R2部署域控、额外域控及F S M O角色转移和夺取网络环境：2012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.1/242012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：网关：无,配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息,如下图打开服务器管理器,点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装,如下图池中仅一台主机,保持默认此图是在未更改主机名时截取的,更改后的截图找不到了,拿来顶替,如下图选择AD域服务并添加功能,如下图功能不做添加,不选择直接下一步,跳转到添加ADDS域服务向导,如下图确认安装所选内容,点击安装,如下图正在安装域服务器,如下图安装完毕,点击关闭,如下图点击服务器管理器上方的小旗子查看提示内容,选择将此服务器提示为域控制器,如下图因为这是此域中第一个域,选择添加新林并输入根域名信息,如下图选择域控制器林和域功能级别并设置DSRM密码,如下图出现DNS敬告,因为没有安装DNS,忽略,直接下一步,如下图NETBIOS设置,保持默认,直接下一步,如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置,如下图配置选项查看,可检查是否有问题,有问题点击上一步返回,否则直接下一步,如下图AD域服务器部署前先决条件检查,检查通过后,点击安装,如下图正在配置域服务,配置完成后会自动重启;如下图重启后,登录AD服务器,配置DNS反向查找区域,没有反向查找区域时,nslookup解析会出现问题,如下图DNS反向查找区域配置向导,如下图在区域类型中选择主要区域,如下图设置传送作用域,如下图设置反向查找IP类型,如下图输入反向查找区域名称,如下图指定反响查找更新类型,如下图完成DNS反向查找区域建立,如下图在DNS反向查找区域中查看记录,如下图二、上面设置已经完成主域的部署,接下来,部署额外域控;2012R2DC2网卡信息配置如下图将2012R2DC2加入ITPro域中,如下图输入有权限加入域的用户凭据,如下图成功加入域,如下图加入域后,重启;在服务器管理器中,点击添加角色和功能,如下图安装类型选择基于角色或基于功能的安装,如下图选择2012R2DC2,点击下一步,如下图在服务器角色中选择AD域服务,点击下一步,如下图功能添加保持默认,直接下一步跳转到ADDS域服务向导,如下图安装摘要,检查安装角色是否正确,没有问题点击安装;如下图安装完成后,点击右上方小旗子,显示提示内容,选择将此服务器提升为域控制器,如下图在部署配置中选择奖域控制器添加到现有域,如下图在上图中点击更改,弹出部署操作凭据,验证通过后点击一下步,如下图指定域控功能和站点信息并输入DSRM密码,如下图DNS因为没有安装,提示警告,可以忽略,点击下一步,如下图如果勾选“从媒体路径安装”,是离线部署;我们选择从域控制器在线复制ActiveDirectory数据,复制源于“任何域控制器”,这里只有一个域,多域需选择指定域;如下图指定ADDS数据库、日志文件和SYSVOL的位置,如下图检查额外域控配置,确认无误后点下一步,如下图先决条件检查,通过后点击安装,如下图额外域控配置完成后会自动重启,重启后登录额外域控,配置网卡DNS为本机IP,只有这样DNS才会和主域DNS同步,这是实现DNS和AD冗余的关键,网卡设置后,两台服务器AD和DNS才会相互复制,如下图在2012R2DC2中查看DNS,已同步2012R2DC1中记录,如下图三、DHCP配置,在2012R2DC1中,在添加角色和功能中选额添加DHCP角色,如下图添加功能保持默认,直接下一步转到DHCP向导和注意事项,点击下一步,如下图正在安装DHCP服务器,如下图DHCP服务器安装完成,如下图DHCP安装完成后在服务器管理器界面,点右上方小旗子,在显示的内容中选择配置DHCP配置DHCP授权,如下图DHCP配置完成摘要,如下图如上步骤,在2012R2DC2中安装DHCP角色并授权;授权时只需点击右上方小旗子,在显示的内容中配置DHCP 并授权,为配置DHCP故障转移做准备,不做具体配置;如果没有授权,备用DHCP不会启用在服务器管理器中,点击工具选择DHCP调出DHCP服务器,如下图在IPv4选项下配置作用域,点击下一步,如下图新建作用域的IP地址范围,点击下一步,如下图设置DHCP作用域IP排除范围,点击下一步,如下图设置DHCP租约,点击下一步,如下图配置DHCP选项,选择后点击下一步,如下图配置域名及DNS,配置后点击下一步,如下图配置WINS服务器,这里是测试,不做配置,直接下一步,如下图激活作用域配置,点击下一步,如下图完成作用域配置,点击完成,如下图在2012DC1上右键刚建立的作用域,点击,配置故障转移,如下图配置故障转移向导,直接下一步,如下图指定伙伴服务器,点击添加服务器,在弹出的添加服务器中查找服务器并添加,点击下一步,如下图配置故障转移关系-负载均衡,测试要实现的是主DHCP宕机后,客户端IP不变化,这里不做设置,如下图本次测试将DHCP配置为热备用服务器,备用服务器设置为待机,当主DHCP宕机,备用DHCP会提供服务;如下图故障转移摘要,确认无误后,点击完成,如下图故障转移关系完成,如下图登录2012R2DC2,查看故障转移关系,服务器为待机有关DHCP故障转移关系可参考：到此有关AD、DNS和DHCP冗余已经设置完成;接下来验证下主域宕机的情况下,客户端能否登陆域及DHCP故障转移是否实现下图是主域在线客户端登录的相关信息,可以看到FSMO角色在2012R2DC1上,用户登录域为2012R2DC1,主机获取的IP地址为1,DHCP服务器地址为1接下来我们禁用2012R2DC1的网卡模拟服务器宕机,重启客户端登录服务器,下图中可以看到FSMO角色没有变化,客户端IP地址也没有变化,登录域变成了2012R2DC2,DHCP服务器变成了从主域宕机前和宕机后客户端的两个截图表明,AD额外域控及DHCP已实现;在客户端中查看域中FSMO角色位置,详见四、接下来针对域服务器的FSMO五中主机角色做转移下面分别介绍使用MMC控制台、命令行和PowerShell转移FSMO角色1、使用MMC控制台转移FSMO角色首先在2012R2DC1中查询FSMO角色,打开Powershell输入netdomqueryFSMO,从图中可以看到五中角色都在2012R2DC1上在2012R2DC1上,打开AD用户和计算机,更改连接的域控制器,如下图选择要连接的域控制器,由于2012DC1不能转移到自身,所以状态为不可用,如下图在ITPro上右键选择操作主机,如下图操作主机显示可以转移三个角色,分别是RID、PDC和基础结构,切换选项卡转移各主机角色,如下图打开AD域和信任关系,连接到2012R2DC2,右键AD域和信任关系,选择操作主机,如下图更改域命名主机,操作和前面3个主机角色相同;如下图架构主机的更改需注册组件,PS中操作如下图打开MMC控制台在添加删除管理单元中添加AD架构并打开,如下图在打开的AD架构中先连接到2012R2DC2,然后更改架构主机,如下图完成后,查询FSMO角色的位置,现在已经成功将FSMO角色从2012R2DC1转移到2012R2DC2上,如下图2、命令行转移FSMO角色,转移命令如下NtdsutilRolesConnectionsConnecttoServer<DC>QuitTransferDomainnamingmasterTransferinfrastructuremasterTransferPDCTransferRIDmasterTransferSchemamaster在刚才通过MMC控制台已经将FSMO角色转移到2012R2DC2,这次通过命令行将FSMO角色转移到2012R2DC1在PS中操作如下图,命令由红线标示在PS中复制粘贴命令,在弹出的对话框中点击“是”,如下图如下图所示,五种角色均转移完成转移完成后在PS中查看到现在FSMO角色已经转移到2012R2DC1中,如图3、使用PowerShell转移FSMO角色刚才通过命令行将FSMO角色转移到了2012R2DC1中,现在通过PowerShell命令将FSMO角色转移到2012R2DC2;操作命令Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC2"-OperationMasterRole0,1,2,3,4;在Powershell中可输入OperationMasterRole的值PDCEmulatoror0,RIDMasteror1,InfrastructureMasteror2,SchemaMasteror3,DomainNamingMasteror4图中提示是否转移,这里要转移五种角色,选择A,按回车键现在在PS中查询,已经将FSMO角色转移到2012R2DC2上有关powerShell命令可参考：五、接下来针对域服务器的FSMO五中主机角色做夺取使用命令行及PowerShell命令夺取1、使用命令行夺取FSMO角色NtdsutilRolesConnectionsConnecttoServer<DC>QuitSeizeDomainnamingmasterSeizeinfrastructuremasterSeizePDCSeizeRIDmasterSeizeSchemamaster上步通过PS已经将FSMO角色转移到2012R2DC2中,现在将FSMO五种角色夺取到2012R2DC2上;先关闭2012R2DC2,ping主机已不在线,下面输入操作命令在进行强制夺取时首先会进行安装传送在PS中复制粘贴各主机角色夺取命令然后执行,夺取完成后验证FSMO各主机角色位置,如图,已经成功将FSMO角色夺取到2012R2DC1上2、使用PowerShell命令夺取FSMO角色上步通过命令行夺取了FSMO角色,夺取后2012R2DC2已不可用;在虚拟机上通过快照恢复到夺取前状态;先查询FSMO角色位置,FSMO角色在2012R2DC2上,关闭主机;如图使用Powershell命令夺取FSMO角色,操作命令：Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC1"-OperationMasterRole0,1,2,3,4–Force;在Powershell中可输入OperationMasterRole的值PDCEmulatoror0,RIDMasteror1,InfrastructureMasteror2,SchemaMasteror3,DomainNamingMasteror4转移过程有点长,转移后检查FSMO角色的位置,现在已成功将FSMO角色转移到2012R2DC1中有关夺取的PowerShell命令参考：3、在夺取后需对宕机服务器信息进行清理,DNS记录、DC元数据和站点信息清理宕机服务器命令如下信息清理涉及命令如下NtdsutilMetadatacleanupConnectionsConnecttoDomain<DC>QuitSelectoperationtargetListsitesSelectsite<ID>ListDomaininsiteSelectDomainIDListserversforDomaininsiteSelectserver<ID>QuitRemoveselectedserver在操作过程中如果出现如下信息,命令输入错误;需返回上一步或重头开始正常的信息如下命令行中操作如下,只要不出错,命令可以简写,命令用红线标示,如下图弹出删除对话框,点击是,命令用红线标示,如下图元数据清理成功,如下图清除元数据后,打开DNS服务,在正向和反向查找区域中删除有关2012R2DC2的记录;如下图最后打开AD站点和服务,删除默认站点——Servers下的2012R2DC2,如下图删除后,重启Server2012R2DC1.至此清理宕机服务器的数据已经完成;附：在客户端查询FSMO角色脚本将下面代码复制到文本中,将后缀改为vbs,然后在客户端执行即可SetobjRootDSE=GetObjectrootDSE"Dimtext'SchemaMasterSetobjSchema=GetObject&objRootDSE.Get"schemaNamingContext"strSchemaMaster=objSchema.Get"fSMORoleOwner"SetobjNtds=GetObject&strSchemaMasterSetobjComputer=GetObjectobjNtds.Parenttext="Forest-wideSchemaMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'DomainNamingMasterSetobjPartitions=GetObject&_objRootDSE.Get"configurationNamingContext"strDomainNamingMaster=objPartitions.Get"fSMORoleOwner"SetobjNtds=GetObject&strDomainNamingMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Forest-wideDomainNamingMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'PDCEmulatorSetobjDomain=GetObject&objRootDSE.Get"defaultNamingContext"strPdcEmulator=objDomain.Get"fSMORoleOwner"SetobjNtds=GetObject&strPdcEmulatorSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sPDCEmulatorFSMO:"&&vbCrLf SetobjNtds=NothingSetobjComputer=Nothing'RIDMasterSetobjRidManager=GetObjectManager$,CN=System,"&_objRootDSE.Get"defaultNamingContext"strRidMaster=objRidManager.Get"fSMORoleOwner"SetobjNtds=GetObject&strRidMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sRIDMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'InfrastructureMasterSetobjInfrastructure=GetObject&_objRootDSE.Get"defaultNamingContext"strInfrastructureMaster=objInfrastructure.Get"fSMORoleOwner" SetobjNtds=GetObject&strInfrastructureMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sInfrastructureMasterFSMO:"&&vbCrLf WScript.Echotext。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

主域控制器和额外域控制器问题讨论字体: 小中大| 打印发表于: 2005-1-08 10:51 作者: qjping 来源: IXPUB技术博客当主域控制器因为物理损坏，我想把额外域控制器升级为主域控制器。

不知有没有人会？我也来说两句查看全部回复最新回复∙tomdoctor (2005-1-08 14:41:09)运行ntdsutil 把操作角色seize过来∙qjping (2005-1-11 21:41:08)请问楼上有没有操作过?∙tutuit (2005-1-17 08:36:32)往上搜索一下，有关seize的资料一大堆∙tutuit (2005-1-17 08:36:45)网上搜索一下，有关seize的资料一大堆∙xwbest (2005-1-17 13:37:41)把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的∙housten (2005-1-28 14:15:57)QUOTE:最初由xwbest 发布[B]把所有的角色夺过来就可以了我试过的而且没任何问提?不过我有一个角色找了半天才拿过来的[/B]你成功过！太好了，能讲讲具体步骤吗！因为我试验过几次，都不成功。

关掉主域控制器后，在额外域控制器上夺取了5个角色和GC，重新建立DNS，都不行。

不知是那里出问题了。

∙xwbest (2005-1-28 17:08:41)为什么要重新建立DNS我做的时候额外域控制器上的DNS与主域一样是起额外域控制器时自动建立没必要重建如果重建会有问题的∙xwbest (2005-1-28 17:16:50)而且客户机不用做任何的改动连额外域控制器上也不必该原来的DNS回自动转过来的我讲的是客户机的DNS不动也可以用∙stevenxia (2005-1-29 09:21:05)看看这篇文章，希望对你有所帮助：AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

酒泉人民医院额外域控制器提升为主域控制器的过程一、提升额外域控制器步骤：1、在安装完企业版WIN2003操作系统后，打SP2补丁，以及相关补丁。

2、在IP地址中配置好IP以及主DNS服务器的的地址3、在开始运行中输入：dcpromo命令，进入域控提升程序4、选择现有域控的额外域控制器选项，按照正常步骤进行到结束，重启服务器5、安装DNS组件二、将额外域控制器提升为主域控的步骤（转换域的五个功能角色）1、将服务器IP地址中主DNS选项改为本机IP地址，额外的DNS选择其他DNS服务器地址2、打开AD用户和计算机工具，在服务器级别右键，选择连接到域控制器3、在弹出对话框中选择新安装的额外域控制器，点击确定4、在服务器级别右键，选择操作主机一项6、在弹出的对话框中有三个标签项，分别代表域中的三个功能角色：RID,PDC,结构，当前操作主机应该是当前的主域控制器，如果想把角色变更到新的额外的域控制器中，点击更改按钮，改变角色主机，如果更改成功会有相应提示成功。

分别将三个标签的角色都进行更改，如都成功了，说明在域中的三个重要角色已经转移到额外的域控制器中。

7、打开AD域和信任关系工具，参照之前的方法提升第四个功能角色（域命名主机），先选择连接到域控制器，在弹出对话框中选择额外的域控制器，确定退出8、再右键选择操作主机，在弹出的对话框中点击更改，更改角色主机9、更改第五个域的重要角色的操作主机位置，点击开始运行，输入regsvr32 schmmgmt.dll注册最后一个域的功能角色（架构主控），10、在开始运行输入MMC，点击控制台，点击添加删除管理单元11、在弹出的对话框中点击添加按钮，选择AD架构一项，点击添加，点击确定退出13、右键点击选择操作主机，将角色进行更改三。

、提升域控为GC1、在提升为主域控制器后，要将此域控提升为GC，在AD站点和服务工具中选择新的站点服务器，在NTDS SETTING中选择右键属性2、选中全局编录选项，确定退出，全局编录服务器设定完成。

实训二配置额外域控制器一、知识点：额外域控制器：如果域中只有一台域控制器，一旦出现物理故障，我们时可以备份还原AD。

部署额外域控制器，指的是在域中部署第二个甚至更多的域控制器，每个域控制器都拥有一个Active Directory数据库。

只读域控制器：RODC只能单向的从其他可读写域控制器请求信息，而不会把任何修改传送给其他可写域控制器，这样做不仅可以降低主域服务器的工作负载及监控负载的工作量，还可以提高分支机构网络的安全性，同时便于管理。

二、动手实验：实验目的：利用windows server 2008搭建辅助域环境，了解辅助域控制器的作用，不仅学会安装辅助域控制器，而且还应学会如何配置辅助域，并实现辅助域在域环境中的作用。

实验内容：1、配置域环境中额外域控制器2、配置域环境中的只读域控制器（RODC）3、测试辅助控制器是否搭建成功实验要求：1、完成实训内容，并做成实验报告。

实验步骤：第一步配置域环境中额外域控制器（1）部署环境设置网络环境（2）与主域的IP地址要互Ping的通（3）根据拓扑图要求，将额外控制器的名称改为“BDC1”输入域点击确定（4）安装额外域控制器开始------运行---输入dcpromo输入dcpromo 点击确定之后会弹出如下向导对话框，点击下一步在弹出“部署配置”对话框勾选“现有林---向现有于添加域控制器”下一步，输入主域名“”点击“设置”输入“用户名和密码”点击“确定”点击“下一步”选择域“”点击下一步，选择默认站点点击下一步，选择需要的“选项”Default-First-Site-Name点击下一步，设置组或用户（无必要可跳过）。

点击下一步，设置数据库，日志文件和SYSVOL的位置（默认C盘）。

下一步，设置还原模式的密码设置完密码，点击“下一步”会弹出如下对话框，记得勾选“完成后重新启动”对话框，耐心等待向导完成。

最后完成，会重启计算机，这样就完成额外域的安装。

首先我们要明确为什么需要搭建额外DC：
假如说在企业网络环境中只有一个域控制器，所有的信息都存储在这个域的数据库中，而域的数据库只是个逻辑的概念，最终是要存储在一台服务器上。

那么，这台服务器的可靠性、可用性也决定了域的可靠性。

假如在某个时间DC因为某种原因离线，此时用户就无法正常登录或访问网络资源。

一个DC是满足不了网络的可靠性，那么为了DC在发生故障时提供容错和解决DC的负载压力，我们需要创建额外的域控制器。

试验环境如下图：
下面我们在perth上安装额外域DC
和安装第一台DC一样，首先要考虑一下在安装时所具有的环境
1、当前登录者必须是本地超级管理晕
2、和DC能正常通讯
3、DNS指向DC
在确认无误后我们开始安装额外DC
和安装DC一样，在开始运行中输入dcpromo，单击确定
单击下一步
操作系统兼容性：单击下一步
域控制器类型：我们在此创建的是额外域控制器，因此选择“现有域的额外域控制器”，单击下一步
网络凭据：注意，此处输入的用户名和密码是域管理员的，而不是本地管理员。

确认填写信息无误后单击下一步
填写，单击下一步
数据库文件夹存放路径：我们在此选择默认就放到C盘，但是在实际环境中出于安全性考虑，不能放在系统盘。

单击下一步
SYSVOL文件夹存放路径：解释同上
目录还原模式密码：是为了在活动目录出现故障还原时所提供的密码，创建完毕后单击下一步
确认以上信息无误后单击下一步
下图是正在安装活动目录，我们耐心等待片刻
活动目录已安装完成，如下图，单击完成
安装完成后选择“立即重新启动”
OK，额外DC到此部署完成.。

今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的犯罪现场很简单，域里有2台08R2，是域内的第一台DC，fileserver是第二台DC，目前所有的角色都在dc上面，我们通过实验来重现角色的转移！其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。

拓扑犯罪过程：一，从DC转移到fileserver上1，打开cmd，输入：netdom query fsmo，列出当前角色所在的位置，从图中可以看出。

五个角色都在DC上！2，然后我们运行，dsa.msc，打开用户和计算机，选择“查看”--“高级功能”3，然后选择“操作”---操作主机，如图4，右键选择Fileserver域控制器，因为我们要把现在连接的DC上的角色转移到Fileserver。

所以在DC上首先连接到Fileserver，如图，细心的同学就会看到。

后面的状态为“不可用”，这是因为他不能本身转给本身，所以这样显示！5，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，分别选择主机类型然后更改，如图6，接下来打开“域和信任关系”，首先连接Fileserver，来转移域命令主机，打开如图7，更改即可！8，还有一个GC，GC是需要注册一个组件的如图：9，打开mmc，添加AD架构到mmc里，然后如图，首先连接Fileserver10，最后我们来查看下角色的位置：11，至此，我们完成了五个操作主机角色的转移。