简述Win 2003域控制器的迁移

当生产环境当中的主域控出现故障，需要把域控的组织架构、策略、用户账号信息迁移到新域控，首先是搭建一台辅助域控然后提升主机模式到2003纯模式，最后迁移主域控的五个操作主机即可。

Active Directory内总共定义了五个操作主机角色：架构主机（schema master）域命名主机(domain naming master)RID主机(relative identifier master)PDC模拟主机(PDC emulator master)基础结构主机(infrastructure master)每个操作主机的主要功能如下：1、架构主机：负责更新与修改schema内的对象与属性数据，只有有Schema Admin组内的成员才有权利修改schema内的数据。

如果架构主机出现故障或离线，可能会影响某些软件的运作，例如某些服务器级的软件在安装时，会在schema 内添加对象，如果架构主机出现故障或离线，将无法安装这些软件。

2、域命名主机：负责管理林内域的添加与删除工作。

如果域命名主机出现故障或离线，将无法在林内添加或删除域。

3、R ID主机：a、发放RID RID主机负责发放RID（relativeID）给其域内的所有域控制器。

当域控制器内添加一个用户、组或者计算机对象时，域控制器必须指派一个惟一的安全识别码（SID）给这个对象，此对象的SID是由域的SID与RID所组成的，也就是说“对象的SID=域的SID+RID”，而RID并不是由每一台域控制器自己产生的，它是由“RID操作主机”来统一发放给其域内的所有域控制器的。

每一台域控制器需要RID时，它会向“RID主机”索取一些RID，用完后再向“RID操作主机”索取；b、移动对象无论目前所连接的域控制器是哪台，当要将某个对象传送到另外一个域时，系统会移动位于“RID主机”内的对象，然后通知其他域控制器该对象已被转移。

这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。

从2003域迁移到2008 R2域Windows server 2008 R2功能强大，其功能远远超过windowsserver 2003.伴随着时间的推移，windows server 2008 R2已经逐步在企业中搭建应用，可是基于旧管理平台的windows server 2003的怎么办？今天我们来看一下windows server 2003的活动目录是如何向windows server 2008中迁移的实验环境如下图：下面我们开始试验升级前,先在srv03上搭建Windows2003 DC （略）如在真实环境中操作，作业前，请先备份2003域控系统状态，在此不多说！！！一、将计算机srv5加入到域中首先将装有windows server 2008 R2的计算机srv5加入到windows server 2003域中，在srv5上操作打开网络设置，把DNS指向DNS服务器，在此我们指向srv03更改系统属性，把计算机加入到域中，如下图客户端加入域需要权限，因此加入域时需要输入域管理员账户和密码下图显示加入域成功，单击确定在加入域后重新启动计算机二、给windows server 2003活动目录升级（在srv03上操作）1、提升域功能级别单击开始——→程序→管理工具→AD用户和计算机，右击，选择提升域功能级别功能级别选择“windows server 2003”，单击提升2、提升林功能级别单击开始——→程序→管理工具→AD域和信任关系，右击AD域和信任关系，选择提升林功能级别选择“windows server 2003”，单击“提升”3、林准备在2003 域控srv03 上放入2008 R2 光盘，此光盘为D盘，CMD下进入D:\support\adprep 目录：输入adprep32.exe /forestprep 进行2003 Schema 林架构升级。

这里按 C 再按enter 确认继续，按其他键和enter 取消操作。

win2003+exchange2003同域迁移到win2008r2+exchange2010目的是将原来部署在win2003上的exchange2003服务器中的用户和邮件全部迁移到新建立的win2008r2服务器上的exchange2010中。

按照安装win2008r2---加入域---取代原来的win2003域控---IIS---证书服务器---证书认证---部署exchange2010---迁移用户的步骤执行。

旧服务器已经运行了3年，因为近期陆续出现严重错误，最后决定进行迁移。

决定首先使用Acronis Backup & Recovery 10 Server for Windows将旧服务器整体制作成为一个vm虚拟机并运行，然后再在虚拟机环境下安装一个win2008r2新服务器加入旧服务器域，迁移域控后删除旧服务器的域控，在新服务器中部署IIS、证书服务器、exchange2010，然后将所有用户和邮箱迁移到新服务器中，删除旧服务器的exchange2003，最后用Acronis Backup & Recovery 10 Server for Windows将建成的新服务器win2008r2+exchange2010制作成映像文件，裸机还原到一个新硬盘上，将硬盘安装到真实服务器，投入使用。

部署环境：旧服务器：omoserver，win2003sp2，本身为域控AD（），已经部署有exchange2003，ip 地址为192.168.1.91管理员administrator 密码omoxxxx0）新服务器：omoserver2，win2008r2，将成为新域控AD（），最后准备部署exchange2010,ip 地址为192.168.1.61管理员administrator 密码xitongguanliyuanxxxx0）部署环境为vmware7虚拟机。

安装过程中的存档都是指虚拟机快照。

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

win2003额外域控制器升级到主域控制器一．其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机(Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展Active Directory 林的架构或运行adprep /domainprep 命令。

★域命名主机(Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机(RID master) －RID 主机角色是域范围的角色，每个域一个。

此角色用于分配RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器(PDC emulator) －PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机(Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行adprep /forestprep 命令，以及更新跨域引用的对象的SID 属性和可分辨名称属性。

Active Directory 安装向导(Dcpromo.exe) 将这五种FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用Ntdsutil.exe 捕获FSMO 角色或将其转移到域控制器[url]/kb/255504/zh-cn[/url]2.域控制器降级失败后如何删除Active Directory 中的数据[url]/kb/216498/[/url]3.域控制器降级失败后如何删除Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)[url]/kb/216498/zh-cn[/url]四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.。

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为点击更改，确定。

Windows Server 2003环境下域控制器挂掉后的处理步骤前提必须是域内有多域控制器，如果没有，还是老老实实地去做全盘备份和恢复吧。

实验环境：●域名：●第一台域控制器：⏹计算机名：⏹IP：192.168.5.1⏹子网掩码：255.255.255.0⏹DNS：192.168.5.1⏹并且FSMO五种角色及GC全部在第一台域控上。

●第二台域控制器：⏹计算机名：⏹IP：192.168.5.2⏹子网掩码：255.255.255.0⏹DNS：192.168.5.2灾难情况第一台域控制器由于硬件原因，导致无法启动。

客户端虽然还可以利用本地缓存进行登陆，但已经无法再利用域资源了。

操作目的让第二台额外域控制器来接替第一台的工作，也就是说把FSMO和GC全部转移到额外域控制器上来。

操作步骤首先，要把第一台域控制器的所有信息从活动目录里面删除。

点击“开始-运行”，输入：“cmd”并回车，在命令提示符下输入：“ntdsutil”，然后回车。

选择“Metadata cleanup ----清理不使用的服务器的对象”然后依次输入下面的命令：显示一下Site中的域：结果找到两个，其中“1”是我建的子域，所以这里要先择“0”：通过上面的信息，我们可以看到两个服务器，其中SERVER是我们要删除的，因为它已经DOWN机了。

所以这里要选择“0”：选中后，按“q”退出到上一层菜单：接下去删除服务器信息，出现提示后点是。

在上图中点击“是”：然后再按2个“q”退出。

再使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除服务器对象。

打开后，找到如下位置：点击右键，然后选“删除”就可以了。

在“管理工具”里，打开“AD站点和服务”，找到如下位置：把复制连接也删除了：把FSMO角色强行夺取过来。

先要连接到目标服务器上：连接成功后，按“q”退出到上层菜单，并且看一下帮助信息：这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

1.0 案例描述将windows server 2003域无缝迁移到windows server 2012 r2 ad ds域服务环境中，同时迁移”集成区域DNS 服务”。

迁移成功后的windows server 2012 r2域控制器作为网络中的”首选dns服务器”,原windows server 2003域控制器脱域后作为独立服务器使用。

IP：192.168.10.XGW：192.168.10.254DNS：192.168.10.7DNS：192.168.10.11DNS：192.168.10.12windows server 2003 enterprise with sp2：CRMEVOL_CN.isowindows server 2008 enterprise r2 with sp1：SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_ChnSimp_w_SP1_MLF_X17-22560.ISOwindows server 2012 r2 datacenter：cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso老的环境：dc01 192.168.10.5/24 windows server 2003 ee with sp2 删除dc02 192.168.10.6/24 windows server 2003 ee with sp2 删除dns01（+dc）192.168.10.7/24 windows server 2003 ee with sp2 删除domain name：test.local新的环境：dc03 （+dns）192.168.10.11/24 windows server 2008 r2 ee with sp1 删除（过渡）dc04（+dns）192.168.10.12/24 windows server 2012 r2 datacenter 保留dc01 （+dns）192.168.10.5/24 windows server 2012 r2 datacenter 保留dc02 （+dns）192.168.10.6/24 windows server 2012 r2 datacenter 保留1.1 安装dns组件控制面板------添加或删除程序-------添加/删除windows组件，选中网络服务------详细信息勾选域名系统（DNS），确定下一步，直至安装完成1.2 配置dns服务器1.2.1正向区域DNS------DNS01------正向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域输入区域名称创建区域文件动态更新------允许非安全和安全动态更新向导完成习惯修改名称服务器修改起始授权机构------主服务器1.2.2反向区域DNS------DNS01------反向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域反向查找区域------网络ID：192.168.10区域文件动态更新------允许非安全和安全动态更新向导完成修改名称服务器修改起始授权机构------主服务器1.3 配置windows 2003 dc服务器1.3.1配置第一台dc开始------运行------dcpromo欢迎使用ad向导------下一步操作系统兼容性------下一步域控制类型------新域的域控制器选择在新林中的域输入新域的DNS全名netbios域名数据库和日志文件文件夹------下一步共享的系统卷------下一步DNS注册诊断------下一步权限------下一步目录服务还原模式的管理员密码------下一步摘要信息------下一步开始安装，直至完成在dns管理器中已出现相应信息1.3.2配置第二台dc 配置如上，可参考1.3.1选择现有域的额外域控制器网络凭据------输入相关信息------下一步选择额外的域控制器------下一步摘要信息------下一步------直至安装结束在dns管理器中已出现相应信息1.4 检查fsmo角色位置在windows server 2003 dc服务器上安装windows support tools X:\ SUPPORT\TOOLS\suptools.msi在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置dsquery server –hasfsmo schemadsquery server –hasfsmo namedsquery server –hasfsmo pdcdsquery server –hasfsmo infrdsquery server –hasfsmo rid在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置netdom query fsmo在dc01服务器上输入net accounts显示信息是主域控制器在dc02服务器上输入net accounts显示信息是额外域控制器1.5 提升win2k3活动目录域功能级别登录到dc01服务器上，进行提升域功能级别操作当前域功能级别是windows 2000 混合模式，需要更改成windows server 2003域功能级别已更改成windows server 20031.6 提升win2k3活动目录林功能级别登录到dc01服务器上，进行提升林功能级别操作目前林功能级别是windows 2000更改林功能级别为windows 20031.7 dns服务器配置dc把dns01服务器配置成dc服务器，操作步骤如上，最后成为额外域控服务器+dns服务器AD用户和计算机-------domain controllers容器中显示如下DNS管理器中信息如下1.8 配置windows 2012 r2 dc服务器添加角色和功能选择角色组件AD域服务和DNS服务器开始安装直至结束组件安装完成，需要配置AD DS通过向导配置------选择将域控制器添加到现有域，输入域名和更改账户凭据提示域内找不到运行Windows2008、2008R2、2012的域控制器。

windows 2003 P2V操作文档
二、迁移步骤
1.在目标windows2008系统中安装Microsoft .NET Framework 4.0
2.在目标windows2003系统中安装迁移工具XenConvert 2.5（按系统版本安装64位或者
32位）
3.安装完毕之后，运行XenConvert，选择下一步
4.选择需要迁移的分区以及调整目标分区大小，点击下一步
5.输入目标vGate服务器信息，点击下一步
主机名：vGate服务器IP地址
用户名：vGate用户名（默认为root）
密码：vGate密码
工作区：选择迁移服务器的本地分区中较大剩余空间的分区，如提示分区空间不足，可以在迁移服务器上挂载一块移动硬盘作为工作区
6.输入VM（虚拟机）名称以及选择迁移目标存储，点击下一步
7.确认迁移信息后，点击转换
8.开始迁移9.
注：此时迁移以完成，“状态”提示：未能导入OVF数据包。

这个提示可以不去理会，其实已经成功迁移至目标vGate服务器中
10.通过Halsign Console连接到vGate服务器，启动迁移成功的虚拟机
11.点击上面DVD驱动器，选择“HalsignTools.iso”文件，在虚拟机中执行安装
12.重启虚拟机之后，就能正常使用该虚拟机了。

域控服务器迁移步骤假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20第一步：主域迁移之前的备份：1. 备份主域服务器的系统状态2. 备份主域服务器的系统镜像3. 备份额外域服务器的系统状态4. 备份额外域服务器的系统镜像第二步：主域控制迁移：1.在主域控服务器（192.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools工具，然后打开提示符输入：netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。

2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server 192.168.1.20 （连接到额外域控制器）提示绑定成功后，输入q退出。

2.2 依次输入以下命令：Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。

2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo再次查看域控制器的5个角色是不是都在192.168.1.20上面。

3. 转移全局编录：3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers, 展开192.168.1.20，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。

2003双机热备之一系统安装本文所述双机热备是采用微软公司Windows2003 Server操作系统，非第三方管理软件。

硬件需求：1、两台服务器，一台为主域控制器，另一台为额外域控制器；2、每台服务器配置两块网卡，和两块阵列卡（一块做本地服务器磁盘阵列，另一块连接磁盘柜阵列）；3、一台用来共享资源的存储设备（本文为Dell221s磁盘阵列柜）；4、一条点对点的反转网线（充做心跳线）；两条将服务器接入网络的网线。

系统安装：主域控制器和额外域控制器可以分两个时间段来完成，这也是群集的最大特点，可以不停机的进行数据转移。

以下一同描述主域控制器和额外控制器的安装：1、服务器分为主域控制器（主服务器）和额外域控制器（从服务器），这里将主域控制器标名为hrb0，将额外域控制器标名为hrb1；2、将hrb0 的第一块网卡做为外网（局域网）使用的网卡，标明public，第二块网卡做为私网（与hrb1的连接）使用的网卡，标明private；3、在主服务器上安装Windows 2003 Server Enterprise（过程略）；4、配置tcp/ip协议：外网: 掩码：网关：DNS：（把对方服务器IP作为本机的主DNS，本机地址做备用DNS）内网: 掩码：（网关空）DNS: （把对方服务器IP作为本机的主DNS，本机地址做备用DNS）5、安装补丁；6、其它相关配置完成后，关闭服务器，准备连接磁盘阵列；7、将磁盘阵列柜的应用模式调至"群集模式"（在盘柜的背面有滑动开关，调至靠近模块拉手一侧）;由于在"群集模式"下，RAID卡会占用ID15的槽位，所以ID15槽位的磁盘在以后的配置应用过程中不会起到作用，建议将盘柜ID15槽位的硬盘取下,做为以后的备用硬盘。

8、将主域控制器的RAID卡连接线接至磁盘柜的EMM插口，磁盘阵列的另一EMM插口留给额外域控制器，如果服务器上的阵列卡是双通道的，两个服务器连接SCSI线的通道要一致。

备份域升为主域控制器[日期：2007-10-01] 来源：作者：[字体：大中小] AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

----------------------------------------------------------------------目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本----------------------------------------------------------------------一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID)主机此操作主机负责向其它DC 分配RID 池。

将成员服务器升为域控制器--1(安装第一台域控制器)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的WindowsServer2003，客户端则采用WindowsXP。

首先，当然是在成员服务器上安装上WindowsServer2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于WindowsServer2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证WindowsServer2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“ActiveDirectory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows95及NT4SP3以前的版本无法登陆运行到WindowsServer2003的域控制器，我建议大家尽量采用Windows2000及以上的操作系统来做为客户端。

Windows 2003 Server AD域迁移规划2014/7/24一、实施规划和准备工作1、实施规划无锡xx公司目前Active Directory服务器使用的是Windows 2003 Server版本，AD服务器硬件出现问题，经常死机。

因此，计划对AD服务器进行迁移，迁移到新的Windows 2003 Server。

老的AD 服务器上包含SEP,BE和文件服务器，分两步进行迁移。

2、软、硬件准备新服务器Windows 2003 Server版操作系统和序列号二、实施步骤第一步1、Windows 2003 AD 系统备份备份Windows 2003 Server系统和AD，以防升级过程有问题，可以恢复系统。

2、AD服务器的迁移✓在准备独立服务器上安装Windows 2003 Server 操作系统；✓为 Windows Server 2003 准备林架构和域架构；✓提升新的Windows Server 2003服务器为额外的域控制器；✓将新的Windows Server 2003域控制器提升为主域控制器；3、迁移应用程序✓在新的Windows Server 2003上安装SEP防病毒管理端，将老服务器上的数据还原到新机器上；✓在新的Windows Server 2003上安装BE管理端，将老服务器上的数据还原到新机器上第二步4、迁移文件服务器以及删除老AD服务器✓在新的Windows Server 2003服务器上安装FSMT工具软件；✓将老的Windows Server 2003服务器上的共享文件夹迁移到新的服务器上；✓在新的Windows Server 2003服务器上更改迁移过来的文件夹以及共享名称，完成文件服务器的迁移；✓将老的Windows Server 2003额外域控制器降级，成为域成员机器，然后退出域，修改主机名称或者断网不再接入网络；✓修改新的AD服务器IP地址；✓更改新的AD服务器主机名称；三、实施时间规划以上所需时间和步骤为理论预计，实际实施的时间和步骤根据实施情况会有变动。

目标域（新建域）：Windows Server 2003 DC （域名，NetBIOS域名DomainB)要求：平滑迁移，用户在迁移过程中始终能访问源域的资源 <注意：以下步骤都是以这个环境为中心展开的，如果环境不一样，需根据具体情况调整相应步骤。

>一． ADMT迁移之前的准备工作1. 为了更好的降低风险，备份源域DC、要迁移的服务器、VIP客户机（比如领导的）和目标域DC的系统状态和系统盘数据（系统盘数据中包括本地用户配置文件），步骤如下：a. 单击开始，指向程序，指向附件，指向系统工具，然后单击备份。

b. 取消选择“总是以向导模式运行”，单击“取消”关闭备份工具，重新打开备份工具。

c. 单击备份选项卡。

d. 单击以选中C:（假设系统盘为C：）、系统状态。

如果是Exchange Server，还需选中Microsoft Exchange Server\ServerName\Microsoft Information Store。

e. 指定备份媒体或文件名，开始备份。

2. 在开始迁移之前，请执行如下的测试迁移步骤：创建测试用户，将该测试用户添加到合适的全局组，然后在迁移之前和之后验证资源的访问权限。

3. 对利用加密文件系统 (EFS) 方式加密的文件进行解密。

解密加密文件失败将导致迁移后无法访问加密文件。

请确保告知最终用户必须解密所有加密的文件，否则他们将无法访问那些文件。

4. 请确保要从中迁移对象的每个域中的系统时间都是同步的。

时间偏差将导致 Kerberos 身份验证失败。

二．为迁移配置环境1．配置源域和目标域以满足迁移需求1）请验证是否建立了相应的信赖关系。

推荐在源帐户域和目标域之间建立双向信任关系，使源域和目标域相互信任。

但最少源域要信任目标域。

2）为执行迁移任务分配相应的凭据：要执行迁移，您必须是安装有 ADMT 的计算机上的Builtin\Administrators 组成员。

域控制器迁移的方法对于域结构的网络来说，域控制器的重要性不言而喻。

如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是一场灾难。

所以如果有条件的话，还是建议在网络中备有额外域控制器。

本文就是详细介绍了域控制器迁移的具体实例。

AD：2013大数据全球技术峰会课程PPT下载域控制器包含了由域的账户、密码、属于这个域的计算机等信息构成的数据库，负责对整个Windows域以及域中的所有计算机进行管理。

配置域控制器有利于对域中用户的集中配置管理，为网络共享资源提供安全保障。

对于域结构的网络来说，域控制器的重要性不言而喻。

如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是一场灾难。

所以如果有条件的话，还是建议在网络中备有额外域控制器。

在网络中的域服务器都会自动进行复制。

如果一台机器坏掉的话，额外域控制器可以随时接管工作。

此时的额外域控制器可以进行用户认证，登录等工作，但是为了正常的使用域资源，还需要将域控制器的5种角色转移到额外域控制器中。

现在我们就以将WIN2003 SERVER域控制器的迁移为例，一起探讨一下具体步骤。

说明：单位中有一台WIN2003域服务器，由于该服务器硬件设备不是很好，需要将域控制器迁移至一台新机器中。

同时，单位中使用的是动态IP地址，DHCP服务器也位于该机器上。

环境：机器1，主域控制器为，DNS服务器，DHCP服务器网络属性为：IP ：192.168.2.1/24DNS：192.168.2.1机器2，额外域控制器IP：192.168.2.2/24采用方案：采用额外域的方法通过网络将活动目录数据转移到额外域控制器上，然后在额外域控制器上夺取活动目录的5种角色，最后再迁移DHCP服务器至额外域控制器上。

一、安装额外域控制器1、在机器1上安装WIN2003 SERVER操作系统，安装好杀毒软件。

2、配置机器2的网络连接设置，使其DNS指向DNS服务器192.168.2.1。

额外域控制升级为主域控制器一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exch ange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

域迁移方案
一、事前准备：
先分别建立两个位于不同林的域，内建Server若干，结构如下：
，
Client为加入到此网域的客户端PC，由DHCP Server分配IP
：
Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2
Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，
Exchange 版本为2003.
备注：所有的Server均处在同一个网段
二、的User结构：
如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail
账号，账
1
在
的2
域，步骤如下图：
选择域和域控制器
选择用户选择选项
选择User
选择OU
密码迁移选项
User转换选项
迁移User的相关设定
1、
开始
选择“从Microsoft Exchange迁移”
准备迁移
选择Exchange应该要迁移到的Server
输入被迁移的Exchange的相关信息
选择要迁移的信息
选择要迁移的User
选择要迁移到的OU
2、ADMT 六、。