主域控、辅助域控的搭建以及主域控制器的迁移(2003)

将辅助域控升级成主域控本文主要阐述在AD域控制器集群中，PDC与BDC之间的角色转换过程，介绍了2种方法：1、从主域控制器上转换角色；2、从域控制器抢占角色。

一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN: IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、 Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤Ⅰ、PDC角色转换（适用于PDC与BDC均正常的情况）1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试。

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为点击更改，确定。

域掌握器的装配步调
域掌握器的装配
在收集情况中,有许多台盘算机,每台盘算机里面都有必定的资本,为了便于治理这些疏散的资本所以要应用域情况进行分散的治理.
那么什么是域？域是一种有多台盘算机上构成的逻辑情况,所有域中的主要资本都保管在域控的数据库中,并且进行分散治理.
windows 2003域采取运动目次（Active Directory,AD）技巧,分散治理资本,便捷的收集拜访,优越的可扩大性是他最大的特色.
装配域现实上就是装配运动目次（AD）,他有6点主要的装配前提.
（1）必须以治理员的身份装配
（2）windows 2003版本的体系,除web版之外
（3）硬盘中至少有一个分区为NTFS分区
（4）设置装备摆设好IP地址
（5）收分散有响应的DNS办事器
（6）有足够的可用空间
以上6点中,个中第4.5点必需要留意：
若何设置装备摆设好IP地址和收分散没有DNS办事器的支撑：因为是要装配域掌握器.并且收分散没有DNS办事器,所以首选DNS应用本机IP地址.如下图
一、开端——运行,输入dcpromo 跳出迎接应用Active Directory
装配领导,点击下一步
二、选择域掌握器类型
三、选摘要创建新的域类型
四、请指定新域的名称
五、请指定新域的NetBIOS名称
六、数据库和日记文件文件夹
七、共享的体系卷
八、以下一向默认点击下一步,进行装配.。

服务器规划主域控制器+DNS操作系统：Microsoft Windows Server 2003网卡信息：IP：192.168.1.10/24首选DNS：192.168.1.10备用DNS：192.168.1.11额外域控制器+DNS操作系统：Microsoft Windows Server 2003网卡信息：IP：192.168.1.11/24首选DNS：192.168.1.11备用DNS：192.168.1.10安装步骤：1 安装前，额外域控制器的DNS指向主域控2 安装DNS服务但不设置3 安装额外域控,如果主域控中dns和AD集成，额外域控制器会在安装ad后自动同步dns 记录.4 安装后修改额外域控制器的DNS指向本机(可选)。

一、额外域控制器安装及相关设置在做额外域控的机器上运行DCPROMO，安装额外域控制器。

安装完毕后，重启。

1、在dcserver主域控器DNS管理界面里1）选中正向区域的“_“，点右键属性，确认区域类型: “Active Director 集成区域”；更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全”2）再“名称服务器”标签中，将额外域控制器全域名及IP添加进来3）在“区域复制”标签中，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。

4）依次在“”和反向查找区域“192.168.1.x. subnet”做以上各步履，在主域DNS服务器设置完成。

2、在额外域控制器上安装DNS服务（升级额外域控时未配置DNS服务）安装完毕，打开DNS管理器界面（相关设定应该自动复制完毕），再将各区域设置为“允许区域复制”。

3、将主域控及额外域控主DNS设为本机IP，备用DNS地址互指。

4、将额外域控制器dcbak本身设为“全局编录”打开“Active Directory站点和服务”，点选DCBAK ->NTDS右击属性，将“全局编录”打勾，点确定退出。

简介逐步式指南Microsoft Windows Server 2003 部署分步指南提供了很多常见操作系统配置的实际操作经验。

本指南首先介绍通过以下过程来建立通用网络结构：安装 Windows Server 2003；配置 Active Directory；安装 Windows XP Professional 工作站并最后将此工作站添加到域中。

后续分步指南假定您已建立了此通用网络结构。

如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。

在配置通用网络结构后，可以使用任何其他分步指南。

注意，某些分步指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。

任何额外的要求都将列在特定的分步指南中。

Microsoft Virtual PC 可以在物理实验室环境中或通过虚拟化技术（如 Microsoft Virtual PC 2004 或Virtual Server 2005）来实施 Windows Server 2003 部署分步指南。

借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。

Virtual PC 2004 和 Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高操作效率而设计的。

Windows Server 2003 部署分步指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。

这些分步指南中提供的概念在虚拟环境中的应用不在本文的讨论范围之内。

重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，我们决无意影射，任何人也不应由此臆猜，任何真实的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。

此通用基础结构是为在专用网络上使用而设计的。

此通用基础结构中使用的虚拟公司名称和域名系统 (DNS) 名称并没有为在 Internet 上使用而进行注册。

酒泉人民医院额外域控制器提升为主域控制器的过程一、提升额外域控制器步骤：1、在安装完企业版WIN2003操作系统后，打SP2补丁，以及相关补丁。

2、在IP地址中配置好IP以及主DNS服务器的的地址3、在开始运行中输入：dcpromo命令，进入域控提升程序4、选择现有域控的额外域控制器选项，按照正常步骤进行到结束，重启服务器5、安装DNS组件二、将额外域控制器提升为主域控的步骤（转换域的五个功能角色）1、将服务器IP地址中主DNS选项改为本机IP地址，额外的DNS选择其他DNS服务器地址2、打开AD用户和计算机工具，在服务器级别右键，选择连接到域控制器3、在弹出对话框中选择新安装的额外域控制器，点击确定4、在服务器级别右键，选择操作主机一项6、在弹出的对话框中有三个标签项，分别代表域中的三个功能角色：RID,PDC,结构，当前操作主机应该是当前的主域控制器，如果想把角色变更到新的额外的域控制器中，点击更改按钮，改变角色主机，如果更改成功会有相应提示成功。

分别将三个标签的角色都进行更改，如都成功了，说明在域中的三个重要角色已经转移到额外的域控制器中。

7、打开AD域和信任关系工具，参照之前的方法提升第四个功能角色（域命名主机），先选择连接到域控制器，在弹出对话框中选择额外的域控制器，确定退出8、再右键选择操作主机，在弹出的对话框中点击更改，更改角色主机9、更改第五个域的重要角色的操作主机位置，点击开始运行，输入regsvr32 schmmgmt.dll注册最后一个域的功能角色（架构主控），10、在开始运行输入MMC，点击控制台，点击添加删除管理单元11、在弹出的对话框中点击添加按钮，选择AD架构一项，点击添加，点击确定退出13、右键点击选择操作主机，将角色进行更改三。

、提升域控为GC1、在提升为主域控制器后，要将此域控提升为GC，在AD站点和服务工具中选择新的站点服务器，在NTDS SETTING中选择右键属性2、选中全局编录选项，确定退出，全局编录服务器设定完成。

备份域升为主域控制器[日期：2007-10-01] 来源：作者：[字体：大中小] AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

----------------------------------------------------------------------目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本----------------------------------------------------------------------一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID)主机此操作主机负责向其它DC 分配RID 池。

从server2003直接迁移AD至server2016 AD目的：因公司AD服务器软件为server2003。

硬件为赛扬+512M的物理机古迹配置。

硬件升级势在必行。

一、环境介绍：首先说明环境，实验环境比较简单。

环境中已经有Windows server2003的域控。

新Server2016X64试验用客户 XP win7 win10各一台域名为二、实验步骤1、win2016加域2、win2016加域重启，使用server2003域用户登录server20163在server2003的将自己的域用户添加至Domian Admins和Enterprise Admins组中。

3、在server2016上安装AD角色管理工具安装用时的几分钟完成。

4、在server2003上提升将林架构（域和信任）和域架构（用户和计算机）的提升至windows server 2003级别（已经是2003级别的忽略次步）5、安装完成之后，接要进行AD的扩展，这里注意的是win2003是32位系统，不能使用64位的命令执行域扩展命令，于是我将Windows Server2016的光盘加载到Win2016服务器上，并用命令定位到adprep目录下，将命令提示符转到D盘的support/adprep目录，升级2003AD Schema林架构；输入adprep.exe/forestprep（本步为不可逆操作，深夜忘记截图，借用网络server2012图片）6、升级2003AD Schema域架构；adprep.exe/domainprep（本步为不可逆操作，深夜忘记截图，借用网络server2012图片）7、更新组策略对象权限；adprep.exe/domainprep/gpprep（本步为不可逆操作，深夜忘记截图，借用网络server2012图片）8、更新AD对RODC只读域控器的支持；adprep.exe/rodcprep （本步为不可逆操作，深夜忘记截图，借用网络server2012图片）9、至此ＡＤ的林和域架构升级成功，接下来要将Win2016提升域控，点击服务器管理的小旗帜点击将此服务器提升为域控制器。