额外域控制升级为主域控制器
额外域控制器的升级—夺权
额外域控制器的升级—夺权几天前做过这样一个工作,将公司域控制器从旧的服务器上迁移到新的服务器上,目的就是为了给域控做一下硬件的升级。
这个任务很艰巨的,我从没有做过这样的事,觉得特别有意思。
经过同事的指点,我慢慢的开始小心翼翼的进行工作。
工作完成的很顺利,但也有些不足的地方,印象很是深刻,觉得有必要将它留在51cto上与大家分享。
下面是环境图:环境并不复杂,域控系统为windows 2008 R2 ,DNS、DHCP服务寄存在域控上。
也就是说这并不单单是迁移域控的事情了,还要将DNS、DHCP服务同时迁移过去。
呵呵,不过这都不是难题,我马上为大家呈现解决办法。
解决这些问题的办法我简单做了一下汇总:1、升级新服务器为额外域控制器,同时添加DNS备份,添加DHCP角色。
2、转移域控五大角色。
3、卸载域控。
4、断开域控DHCP服务,授权新域控的DHCP服务,防止两个服务出现冲突。
完成这几步后就可以大胆的将旧的服务器关闭掉,原先的备份服务器就已经完全作为新的域控制器工作了。
首先将新服务器作为域控的备份服务器加入域,过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。
添加DHCP角色,但不要做任何配置,因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP配置。
这里不做过多的拗述了。
作为域控制器是因为它兼有五大角色,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机,五大角色是域控特有的,其各自的属性特征这里不做阐述。
首先我们登录域控服务器,打开服务器管理台,选择“角色”,找到“AD用户和计算机”,邮件服务器属性,“更改域控制器”如下图:选择将要继承域控职责的BDC作为当前服务器。
然后在服务器右键选择“操作主机”,我们看到域控的三个角色,RID 主机、PDC主机和基础结构。
当前的操作主机是PDC,要传递的主机是BDC,不用想了马上更改。
其它的两个角色也使用同样的配置,给改主机为BDC。
将额外域控制器提升为主域控
将额外控制器升级为主域控制器前两天打雷,一台额外域控制器(windows 2003 DC服务器)主板击坏,无法维修,还好,主域控服务器(Windows 2003 )没有什么事,现购买一台新机作为服务器,打算把新机升级为主域控制器,原来的主域降级为额外域控制器;一、新服务器安装好Windows 2003企业版操作系统及更新补丁,具体大家都会做,不用多说了;二、在控制面板--添加删除程序--点击添加删除组件,出现新窗口,点击网络服务,选择如下服务(WINS,DHCP,DNS,简单TCP/IP服务);点击确定,放入windows2003光盘到光驱;三、将Windows 2003升级为额外域控制器,使用Dcpromo命令,出现升级向导,如下图:点击下一步,选择现在域的额外域控制器;接下来输入域控制器的管理员帐号和密码及域名(例:);输入完成后点击下一步,直到完成(中间步骤省略),重启服务器;这样就安装成功额外域控制器;四、接下来,在管理工具中,点击Active Directory 站点和服务,自动创建了连接,出现如下窗口,如图:在主域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接;在额外域控打开Active Directory 站点和服务,立即复制副本,(如上图)正常会提示Active Directory 已复制了连接;最好查看一下日志看有没有错误;同时检查一下DNS看有没有同步;五、将额外域升级为主域控制器;1、将DC-SRV主域的FSMO,五种角色转移到BDC-SRV上,别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。
2、夺取五种角色的方法:首先要查看FSMO,运行regsvr32 schmmgmt.dll注册,注册成功按确定。
<1>更改操作主机,运行MMC---添加AD架构---运行AD架构:显示,为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机,运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机:显示:域命名主机为点击更改,确定。
主域损坏后辅域升级为主域并清理
主域损坏后辅域升级为主域并清理主域控崩溃,恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时,为了保证业务的正常运转,需要将网络中的额外域控制器升级到主域控制器角色。
我们的网络拓扑如下,单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS,并且互为复制。
我们将通过NTDSUTIL工具来占用dc01的操作主机角色,并且设置DC02为全局编录 .这里将dc01.hisense.local离线来模拟主域控制崩溃。
1.占用操作主机角色(1)在开始-所有程序-Windows Support Tools-命令提示符(2)输入ntdsutil(3)输入roles(4)输入connections(5)输入connect to server dc02.hisense.local(6)输入quit(7)占用域命名主机角色,输入seize domain naming master ,回车,出现对话框,点是从上图可以看出先进行主机角色的传送,当传送不能成功时进行占用。
(8)占用基础架构主机角色,输入seize infrastructure master(9)占用PDC,输入seize pdc(10)占用RID角色,输入seize RID master(11)占用架构主机角色,输入seize schema master(12)输入2次quit,退出ntdsutil,输入netdom query fsmo,查看操作主机角色至此,所有操作主机角色已经到了DC02.hisense.local上了。
2.在DC02上设置全局编录(1)开始-管理工具-Active Directory 站点和服务(2)单击sites-“default-first-site-name”-servers,选择dc02,右键单击NTDS Sites,选择属性(3)在查询策略中,选择default query policy,并选中全局编录。
WindowsServer2012R2辅域控制器如何升级成主域控制器
WindowsServer2012R2辅域控制器如何升级成主域控制器⼀、实验模拟故障问题: zhuyu公司架设了⼀台主域控制器和⼀台辅域控制器,某⼀天,zhuyu公司的主域控制器系统崩溃,主域控制器系统也进不去。
虽然辅域控制器可以暂时代替主域控制器的普通⼯作,但是特殊的操作辅域控制器是没办法操作的。
经过zhuyu公司领导同意, 决定把主域控制器撤⾛,直接让辅域控制器升级成主域控制器。
⼆、⽹络拓扑图:********** 注意事项 **********1、辅域控若要接管主域控的前提是主域控与辅域控上都要有DNS,并且DNS是与域控是集成的。
2、客户端进⾏域访问时⾸先会联系⾸选DNS,即主域控,但是这时的主域控已经脱离⽹络,⽆法访问。
客户端就会尝试使⽤备⽤DNS,就会联系辅域控,达到正常访问,但是这样做的话,有⼀个很明显的问题,就是访问、验证、登录会⽐以前慢很多,因为要先联系主域控。
3、主域控系统⽹络是断开状态,辅域控若要获取主域控全部权限,辅域控必须通过强夺的⽅式把主域的FSMO的五个⾓⾊从主域控上强夺过来使⽤,通过ntdsutil命令清理死亡的主域控的残留信息(元数据),最后指定辅域控为GC(全局编录)。
4、修改辅域控的IP为原来主域控的IP,同时重启Netlogon服务,⼿动将主域的DNS记录(包括A记录、NS记录、SRV记录、SOA记录)更改为原主域控的IP地址,把DNS名称服务器(NS)存在的已死亡的主域控删除掉。
5、辅域控重启系统检查DNS和域控是否正常,查看⽇志⽂件是否报错。
三、操作步骤:1、辅域控制器固定IP设置。
2、主域控制器已经脱离⽹络,ping 192.168.10.30已经不通了。
3、因为主域控已经断开连接,所以,辅域控的操作主机显⽰错误。
4、在辅域控DOS命令下运⾏netdom query fsmo 查看当前的FSMO五个⾓⾊的拥有者都是test-zhuAD主域控,所有辅域控test-beiAD采⽤强夺⽅式把主域控test-zhuAD五个⾓⾊强夺过来。
将备份域升级到主域的两种方法
方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色(也称作操作主机 角色)。
FSMO 角色在目录林中,有至少五个分配给一个或多个域控制器的 FSMO 角色。
这五个 FSMO 角色是:●架构主机:架构主机域控制器控制对架构的所有更新和修改。
若要更新目录林的架构,您必须有权访问架构主机。
在整个目录林中只能有一个架构主机。
●域命名主机:域命名主机域控制器控制目录林中域的添加或删除。
在整个目录林中只能有一个域命名主机。
●结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。
任何时刻,在每一域中只能有一个域控制器充当结构主机。
●相对 ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。
任何时刻,在域中只能有一个域控制器充当 RID 主机。
●PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。
例如,如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机,或者如果包含 Microsoft Windows NT 备份域控制器,则 PDC 模拟器主机充当 Windows NT PDC。
它还是“域主浏览器”并负责处理密码差异。
任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
使用 MMC 管理单元工具来转移 FSMO 角色。
根据您要转移的 FSMO 角色,可以使用以下三个 MMC 管理单元工具之一:“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在,则必须取回其角色。
域控搭建 与灾难恢复
主域控搭建及额外域控
升为主域控(灾难恢复)
一.环境介绍
主域控DC1(server1)额外域控DC2(server2)客户机(kehuji)IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1:192.168.20.21 DNS1:192.168.20.21 DNS1:192.168.20.21 DNS2:192.168.20.22 DNS2:192.168.20.22 DNS2:192.168.20.22 二.搭建步骤
建域的过程就省略了,直接上图。
然后根据公司结构建立部门OU
在建立好部门OU后,再建立各部门的安全组,便于权限的分配。
最后建立本地域组,将各部门的安全组加入其中
然后在各部门中建立用户,并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹,并设置共享权限,限制只能看到自己部门的共享
然后将客户端加入域进行测试
三.额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户,让DC1同步,并在客户机上登陆并访问
四.灾难恢复
然后我们禁掉DC1的网卡,假设DC1故障无法运行,然后让DC2代替DC1继续提供服务。
额外域控在主域控故障无法启动时,自己升为主语控,参考一下链接。
/961933/773961。
额外域控制器提升为主域控制器的过程
酒泉人民医院额外域控制器提升为主域控制器的过程一、提升额外域控制器步骤:1、在安装完企业版WIN2003操作系统后,打SP2补丁,以及相关补丁。
2、在IP地址中配置好IP以及主DNS服务器的的地址3、在开始运行中输入:dcpromo命令,进入域控提升程序4、选择现有域控的额外域控制器选项,按照正常步骤进行到结束,重启服务器5、安装DNS组件二、将额外域控制器提升为主域控的步骤(转换域的五个功能角色)1、将服务器IP地址中主DNS选项改为本机IP地址,额外的DNS选择其他DNS服务器地址2、打开AD用户和计算机工具,在服务器级别右键,选择连接到域控制器3、在弹出对话框中选择新安装的额外域控制器,点击确定4、在服务器级别右键,选择操作主机一项6、在弹出的对话框中有三个标签项,分别代表域中的三个功能角色:RID,PDC,结构,当前操作主机应该是当前的主域控制器,如果想把角色变更到新的额外的域控制器中,点击更改按钮,改变角色主机,如果更改成功会有相应提示成功。
分别将三个标签的角色都进行更改,如都成功了,说明在域中的三个重要角色已经转移到额外的域控制器中。
7、打开AD域和信任关系工具,参照之前的方法提升第四个功能角色(域命名主机),先选择连接到域控制器,在弹出对话框中选择额外的域控制器,确定退出8、再右键选择操作主机,在弹出的对话框中点击更改,更改角色主机9、更改第五个域的重要角色的操作主机位置,点击开始运行,输入regsvr32 schmmgmt.dll注册最后一个域的功能角色(架构主控),10、在开始运行输入MMC,点击控制台,点击添加删除管理单元11、在弹出的对话框中点击添加按钮,选择AD架构一项,点击添加,点击确定退出13、右键点击选择操作主机,将角色进行更改三。
、提升域控为GC1、在提升为主域控制器后,要将此域控提升为GC,在AD站点和服务工具中选择新的站点服务器,在NTDS SETTING中选择右键属性2、选中全局编录选项,确定退出,全局编录服务器设定完成。
辅助域升级为主域
一、实验环境:域名为1、原主域控制器System: windows 20003 ServerFQDN:IP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN:IP:192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问,做辅域升级要装个Exchange干什么?其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。
如果升级成功,对Exchange 应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。
二、实验目的:在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
三、实验步骤1、安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试,如图。
3、我们发现发送邮件测试成功,这证明Exchange是正常的。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
4、以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.5、这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。
额外域控制升级为主域控制器(三)
额外域控制升级为主域控制器(三)前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:一、这时我们的PDC已经出现了问题并开不起来了。
这时我们来到BDC上,打开AD用户和计算机,在你的域名处点右键――>操作主机打开如图:此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC,所以我们要把BDC更改为操作主机。
各位可能就会看到下面不是有个更改按钮吗,直接点更改按钮不就转移过去了吗?其实这我也想到了,但是你在这里点更改会报错的,点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。
不能连接当前的 FSMO 盒”,所以我们又要回到命令行模式下进行强制夺取了。
二、在上面的操作中我们已经安装了windows 2003 的support tools了,所以我现在在找开support tools,在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁,如图:我们看到当前五个角色的owner还是PDC。
下面我们就开始强制夺取吧。
三、再次打开support tools 在命令提示符下输入ntdsutil 回车,再输入:roles 回车,再输入connections 回车,再输入connect to server (其实上面这里我写的是BDC的计算机名,而现在输入的又是域名了) ,提示绑定成功后,输入q退出,如图:四、输入问号可以看到一些帮助信息,上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了,分别输入:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema masterSelect operation target以上的命令在输入完成一条后都会确认要占用角色,选择是,如图:然后接着一条一条完成既可,完成以上按Q退出界面,五、选择是以后。
额外域控制升级为主域控制器
额外域控制升级为主域控制器(一)一、实验环境:域名为1、原主域控制器System: windows 20003 ServerFQDN:IP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN:IP:192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问,做辅域升级要装个Exchange干什么?其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。
如果升级成功,对Exchange 应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。
二、实验目的:在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
三、实验步骤1、安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试,如图。
3、我们发现发送邮件测试成功,这证明Exchange是正常的。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
-如何将额外域控制器提升为主域控制器
将额外域控制器提升为主域控制器由于社会的快速发展,企业的发展空间越来越大,人员越来越多,为了对公司员工的机器更好的控制采用域(AD)来管理。
一般公司部署两台AD server来维持正常运行,一台为主域控制器,另外一台为额外域控制器,如果主ADserver损坏可通过额外的域控制器来维持环境正常运行,这个时候就需要将主AD进行维修,如果之前没有通过备份,同时AD由于硬件设备而导致不能正常工作,这个时候我们就需要将额外的域控制器提升为主AD,具体步骤见以下:当然大企业都通过部署DPM来备份重要server的数据,但是DPM有很大的成本,一般不采用,如果AD由于故障直接影响与AD继承的一些有依赖性的服务器,目前的我的环境有两台机器,具体信息如下:两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns :192.168.100.1Domain name:该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信,如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机,如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧,有人问到,有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢,这不是没事找事吧!哈哈….还真不是,如果主域控制服务器性能不是很好,现在又有一台性能很好的机器,我们可以通过提升来解决这个问题,当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可;操作分两种,一种图形界面,一种命令行;也许会有人问,有两种有什么区别么,以个人的经验,用图形界面能操作的命令行都能操作,当用命令行能操作的图形不一定能操作,所以呢,命令稍带优势;再说了,之前我升级AD遇到一个问题,在讲fsmo角色传递的时候图形界面就报错了,而通过命令操作一下就过了,所以呢,让大家把两个方式务必记住。
主域控制器 和 额外域控制器 同步原理
主域控制器与额外域控制器的同步原理一、引言随着企业规模的扩大和业务的多元化,对于数据管理和身份认证的要求也越来越高。
在这样的背景下,域控制器(Domain Controller)成为了企业网络中的重要组件。
其中,主域控制器(Primary Domain Controller,PDC)和额外域控制器(Backup Domain Controller,BDC)分别扮演着核心与备份的角色,它们之间的同步对于维护网络的稳定性和可靠性至关重要。
本文将深入探讨主域控制器与额外域控制器的同步原理。
二、主域控制器与额外域控制器的角色与功能1.主域控制器(PDC):作为域控制器中的核心,PDC负责管理网络中所有计算机账户的认证和授权。
它存储了域的所有账户信息,包括用户账号、组账号和相关权限等。
此外,PDC还负责处理用户的登录请求,验证用户身份并授权相应的访问权限。
2.额外域控制器(BDC):作为PDC的备份,BDC主要用于提供冗余和故障转移能力。
它复制了PDC上的所有账户信息,并在需要时接管认证和授权任务。
通过与PDC保持同步,BDC确保了在网络故障或PDC不可用时,仍能提供不间断的服务。
三、同步过程与机制1.账户信息同步:PDC和BDC之间的账户信息同步是通过Kerberos协议和LDAP(轻型目录访问协议)完成的。
Kerberos协议用于加密用户身份验证,而LDAP则用于目录服务之间的通信,实现账户信息的实时同步。
2.数据更新机制:当PDC上的账户信息发生变化时(如用户账号创建、删除或权限更改),这些更改会被立即复制到BDC上。
这一过程通常由Windows操作系统自动完成,无需人工干预。
3.心跳检测:为了确保数据同步的实时性,PDC和BDC之间会定期进行心跳检测。
通过这种机制,系统能够快速检测到网络故障或控制器不可用的情况,以便及时进行故障转移。
四、故障转移与高可用性1.故障转移策略:在PDC出现故障或网络中断的情况下,BDC会迅速接管认证和授权任务。
将备份域升级到主域的两种方法
方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色(也称作操作主机 角色)。
FSMO 角色在目录林中,有至少五个分配给一个或多个域控制器的 FSMO 角色。
这五个 FSMO 角色是:●架构主机:架构主机域控制器控制对架构的所有更新和修改。
若要更新目录林的架构,您必须有权访问架构主机。
在整个目录林中只能有一个架构主机。
●域命名主机:域命名主机域控制器控制目录林中域的添加或删除。
在整个目录林中只能有一个域命名主机。
●结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。
任何时刻,在每一域中只能有一个域控制器充当结构主机。
●相对 ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。
任何时刻,在域中只能有一个域控制器充当 RID 主机。
●PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。
例如,如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机,或者如果包含 Microsoft Windows NT 备份域控制器,则 PDC 模拟器主机充当 Windows NT PDC。
它还是“域主浏览器”并负责处理密码差异。
任何时刻,在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。
使用 MMC 管理单元工具来转移 FSMO 角色。
根据您要转移的 FSMO 角色,可以使用以下三个 MMC 管理单元工具之一:“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在,则必须取回其角色。
备份域升级主域
额外域控制升级为主域控制器(一)一、实验环境:域名为1、原主域控制器System: windows 20003 ServerFQDN: IP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN:IP:192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问,做辅域升级要装个Exchange干什么?其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。
如果升级成功,对Exchange应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。
二、实验目的:在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
三、实验步骤1、安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试,如图。
3、我们发现发送邮件测试成功,这证明Exchange是正常的。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
辅域升级
三、实验步骤1、安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
4、以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.5、这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。
如图6、这里输入你的域管理员的用户名和密码,点【下一步】。
如图:7、这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,如图,安装完成大概要几分钟,你就耐心的等待吧,如图:8、几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为了域的辅助域控制了。
此时在活动目录用户和计算机的域控制器里已经有两台域控制了,如图:9、再查看一下FSMO(五种主控角色)的owner,安装Windows Server安装光盘中的Support 目录下的support tools工具,然后打开提示符输入:netdom query fsmo 以输出FSMO的owner,如图:10、现在五个角色的woner 都是PDC,我的就是要把这个五个角色转移到BDC上,使BDC成为这五个角色的owner。
11、现在登陆PDC(主域控制器),进入命令提示符窗口,在命令提示符下输入:ntdsutil 回车,再输入:roles回车,再输入connections 回车,再输入connect to serverBDC--> (备注:这里的dc-1是指服务器名称),提示绑定成功后,输入q退出,如图:12、输入?回车可看到以下信息:Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Seize domain naming master - 在已连接的服务器上覆盖域角色Seize infrastructure master - 在已连接的服务器上覆盖结构角色Seize PDC - 在已连接的服务器上覆盖 PDC 角色Seize RID master - 在已连接的服务器上覆盖 RID 角色Seize schema master - 在已连接的服务器上覆盖架构角色Select operation target - 选择的站点,服务器,域,角色和命名上下文Transfer domain naming master - 将已连接的服务器定为域命名主机Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer PDC - 将已连接的服务器定为 PDCTransfer RID master - 将已连接的服务器定为 RID 主机Transfer schema master - 将已连接的服务器定为架构13、然后分别输入:Transfer domain naming master 回车Transfer infrastructure master 回车Transfer PDC 回车Transfer RID master 回车Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,如图:然后接着一条一条完成既可,完成以上按Q退出界面,15、角色转移成功以后,还要把GC也转移过去,打开活动目录站点和服务,展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。
Windows2003主备域控制器转换方法
备份域升为主域控制器[日期:2007-10-01] 来源:作者:[字体:大中小] AD恢复主域控制器本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。
----------------------------------------------------------------------目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种FMSO操作设置额外域控制器为GC(全局编录)重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本----------------------------------------------------------------------一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色(又称FSMO):架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作,具有不同的功能:架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。
这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。
架构主机是基于目录林的,整个目录林中只有一个架构主机。
域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC:向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号(RID)主机此操作主机负责向其它DC 分配RID 池。
额外域控制器如何提升为主域控制器
额外域控制器如何提升为主域控制器方法:在“开始”菜单-“运行”中,输入CMD,点击“确定”。
打开命令行控制台。
在命令提示符下,键入ntdsutil,回车。
在ntdsutil 命令提示符下,键入:roles,回车。
在fsmo maintenance 命令提示符下,键入:connection,回车。
在server connections 命令提示符下,键入:connect to server DC2,回车。
在server connections 命令提示符下,键入:quit,回车。
在fsmo maintenance 命令提示符下,键入:Seize PDC,回车。
在“角色占用确认对话”对话框中,单击“是”。
系统首先尝试正常迁移,发现无法连到原有操作主机后,将强行索取。
索取完成后,系统列出5个操作主机角色,可以看到,PDC仿真主机已被DC2成功占用。
在fsmo maintenance 命令提示符下,依次键入:Seize RID masterSeize infrastructure masterSeize schema masterSeize domain naming master完成所有五个操作主机角色的强制获取假设公司(虚拟)有一台主域控制器,还有一台额外域控制器。
现主域控制器()由于硬件故障突然损坏,事先又没有的系统状态备份,没办法通过备份修复主域控制器(),我们怎么让额外域控制器()替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。
如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。
--------------------------------------------------------------------------------三、从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从AD中删除;c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=comselect operation target: select server 0select operation target: quitmetadata cleanup:Remove selected server出现对话框,按“确定“删除DC-01主控服务器。
额外域服务器提升为主域服务器(1)
额外域服务器提升为主域服务器(1)一、将新服务器提升为备份域服务器,并安装DNS服务。
二、将原有主域服务器从网络中断开,并将副域服务器提升为主域服务器占用 OM角色1.单击“开始”,单击“运行”,然后键入 cmd。
2.在命令提示行,键入 ntdsutil。
3.在 ntdsutil 的提示行,键入 roles。
4.在 fsmo maintenance 的提示行,键入 connections。
5.在 serverconnections 的提示行,键入 connecttoserver,后面跟着完全合格的域名称。
6.在 serverconnections 的提示行,键入 quit。
7.在 fsmo maintenance 的提示行,键入 seizeschemamaster。
seizedomainnamingmaster。
8.在 fsmo maintenance 的提示行,键入 quit。
9.在 ntdsutil 的提示行,键入 quit。
占用相对 ID 主机角色1.单击“开始”,单击“运行”,然后键入 cmd。
2.在命令提示行,键入 ntdsutil。
3.在 ntdsutil 的提示行,键入 roles。
4.在 fsmo maintenance 的提示行,键入 connections。
5.在 serverconnections 的提示行,键入 connecttoserver,后面跟着完全合格的域名称。
6.在 serverconnections 的提示行,键入 quit。
7.在 fsmo maintenance 的提示行,键入 seizeRID master。
8.在 fsmo maintenance 的提示行,键入 quit。
9.在 ntdsutil 的提示行,键入 quit。
将辅助域控升级成主域控
windows 域控制器的迁移(5个FSMO角色)原有一台域控制器(称为A机),新机(称为B机)在 Windows 2000 中,可以通过 MMC 工具转移五个 FSMO 角色。
为使转移成功,双方计算机都必须能够联机访问到。
如果有一个计算机已不存在,则必须取回其角色。
要取回一个角色,必须使用 Ntdsutil实用工具。
现在我两台DC均为可用,所以不必用到Ntdsutil,而通过MMC 来直接操作。
操作步骤写下来,大家看看是否可行:一、转换FSMO角色:1、转移特定于域的角色:RID、PDC 和结构主机(1)单击开始,指向程序,指向管理工具,然后单击“Active Directory 用户和计算机”。
(2)右键单击“Active Directory 用户和计算机”一旁的图标,然后单击“连接到域控制器”。
备注:如果不在要转移其角色的域控制器上(A机),则需要执行此步骤。
如果连接着要转移其角色的那一域控制器(A机),则不必执行此步骤。
(3)单击将成为新的角色担任者的域控制器(B机),然后单击确定。
(4)右键单击“Active Directory 用户和计算机”图标,然后单击操作主机。
(5)在更改操作主机对话框中,单击与要转移的角色对应的选项卡(RID、PDC 或结构)。
(6)单击更改操作主机对话框中的更改。
(7)单击确定以确认想转移的角色(RID、PDC、结构)。
(8)单击确定。
(9)单击取消关闭对话框。
2、转移域命名主机角色(1)单击开始,指向程序,指向管理工具,然后单击“Active Directory 域和信任关系”。
(2)右键单击“Active Directory 域和信任关系”图标,然后单击“连接到域控制器”。
(3)单击将成为新的角色担任者的域控制器(B机),然后单击确定。
(4)右键单击“Active Directory 域和信任关系”,然后单击操作主机。
(5)在更改操作主机对话框中,单击更改。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
额外域控制升级为主域控制器(一)额外域控制升级为主域控制器(一)一、实验环境:域名为test.1、原主域控制器System: windows 20003 ServerFQDN: PDC.test.IP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN:BDC.test.IP: 192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:mail.test.IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问,做辅域升级要装个Exchange干什么?其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。
如果升级成功,对Exchange应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。
二、实验目的:在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
三、实验步骤1、安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常,到Exchange Server 中建立两个用户test1和test2,并为他们分别建立一个,下面使用他们相互发送进行测试,如图。
3、我们发现发送测试成功,这证明Exchange是正常的。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
4、以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.5、这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。
如图6、这里输入你的域管理员的用户名和密码,点【下一步】。
如图:7、这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,如图,安装完成大概要几分钟,你就耐心的等待吧,如图:8、几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为了域的辅助域控制了。
此时在活动目录用户和计算机的域控制器里已经有两台域控制了,如图:9、再查看一下FSMO(五种主控角色)的owner,安装Windows Server安装光盘中的Support目录下的support tools 工具,然后打开提示符输入:netdom query fsmo 以输出FSMO的owner,如图:10、现在五个角色的woner 都是PDC,我的就是要把这个五个角色转移到BDC上,使BDC成为这五个角色的owner。
11、现在登陆PDC(主域控制器),进入命令提示符窗口,在命令提示符下输入:ntdsutil 回车,再输入:roles 回车,再输入connections 回车,再输入connect to server BDC --> (备注:这里的dc-1是指服务器名称),提示绑定成功后,输入q退出,如图:12、输入?回车可看到以下信息:Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Seize domain naming master - 在已连接的服务器上覆盖域角色Seize infrastructure master - 在已连接的服务器上覆盖结构角色Seize PDC - 在已连接的服务器上覆盖 PDC 角色Seize RID master - 在已连接的服务器上覆盖 RID 角色Seize schema master - 在已连接的服务器上覆盖架构角色Select operation target - 选择的站点,服务器,域,角色和命名上下文Transfer domain naming master - 将已连接的服务器定为域命名主机Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer PDC - 将已连接的服务器定为 PDCTransfer RID master - 将已连接的服务器定为 RID 主机Transfer schema master - 将已连接的服务器定为架构如图:额外域控制升级为主域控制器(二)额外域控制升级为主域控制器(二)13、然后分别输入:Transfer domain naming master 回车Transfer infrastructure master 回车Transfer PDC 回车Transfer RID master 回车Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,如图:然后接着一条一条完成既可,完成以上按Q退出界面,14、这五个步骤完成以后,检查一下是否全部转移到BDC上了,打开在第9步时装windows support tools,开始->程序->windows support tools->command prompt,输入netdom query fsmo,如图:全部转移成功.现在五个角色的owner都是BDC了.15、角色转移成功以后,还要把GC也转移过去,打开活动目录站点和服务,展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。
展开BDC,右击【NTDS Settings】点【属性】,勾上全局编录前面的勾,点确定,如图:16、然后展开PDC,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
如图:这样全局编录也转到BDC上去了,致此主域控制器已经变成BDC了。
而PDC就成了辅助域控制器了。
17、现在已经可以把原来的主域控制器(PDC)删除掉了,在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它,然后将它退出域。
就完成了整个升级过程。
这里还有一点要注要的:升级完以后,你现在的主域控制器的IP地址是新的,而不是原来的那个IP地址了,而下面所有的客户端的DNS都是指向原来的主域控制器的,这样就会出现很多问题,包括你的Exchange 就找不到域控制器,所以我最简单的方法就是把BDC(现在的主域控制器)的IP改为PDC(原来的主域控制器)的IP就好了。
18、这些改完以后启动Exchange ,exchange不要做任何更改就可以正常工作了,但这时在exchange的日志里是有一项错误(MSExchangeAL 事件 8026 和8260)。
原因为收件人更新服务配置为使用 Windows 域控制器被降级,。
收件人更新服务尝试查询有关该更新, Windows无法联系域控制器。
解决办法:打开 Exchange 系统管理器。
展开 " 收件人 " 容器, 然后单击收件人更新服务。
双击每个收件人更新服务, 然后再将 Windows 域控制器设置更改为新域中 Windows 域控制器。
这样设置完以后,重新启动计算机,一切正常了,发封试试,一切正常。
致此全部完成了。
FSMO角色介绍:架构主机 (Schema master)-架构主机角色是林围的角色,每个林一个。
此角色用于扩展 Active Directory 林的架构或运行adprep /domainprep命令。
域命名主机 (Domain naming master) -域命名主机角色是林围的角色,每个林一个。
此角色用于向林中添加或从林中删除域或应用程序分区。
RID 主机 (RID master)- RID 主机角色是域围的角色,每个域一个。
此角色用于分配 RID 池,以便新的或现有的域控制器能够创建用户、计算机或安全组。
结构主机 (Infrastructure master)-结构主机角色是域围的角色,每个域一个。
此角色供域控制器使用,用于成功运行adprep /forestprep命令,以及更新跨域引用的对象的 SID 属性和可分辨名称属性。
PDC 模拟器 (PDC emulator)- PDC 模拟器角色是域围的角色,每个域一个。
将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。
此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户密码和计算机密码。
额外域控制升级为主域控制器(三)前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC 呢.说对了,在PDC还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:一、这时我们的PDC已经出现了问题并开不起来了。
这时我们来到BDC上,打开AD用户和计算机,在你的域名处点右键――>操作主机打开如图:此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC,所以我们要把BDC更改为操作主机。
各位可能就会看到下面不是有个更改按钮吗,直接点更改按钮不就转移过去了吗?其实这我也想到了,但是你在这里点更改会报错的,点了以后过了半天弹出个框框说“请求的 FSMO 操作失败。
不能连接当前的 FSMO 盒”,所以我们又要回到命令行模式下进行强制夺取了。
二、在上面的操作中我们已经安装了windows 2003 的support tools了,所以我现在在找开support tools,在命令提示符下输入netdom query fsmo查看一下当前的五个前色的owner是谁,如图:我们看到当前五个角色的owner还是PDC。
下面我们就开始强制夺取吧。
三、再次打开 support tools 在命令提示符下输入ntdsutil 回车,再输入:roles 回车,再输入connections 回车,再输入connect to server test.(其实上面这里我写的是BDC的计算机名,而现在输入的又是域名了) ,提示绑定成功后,输入q退出,如图:四、输入问号可以看到一些帮助信息,上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了,分别输入:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema masterSelect operation target以上的命令在输入完成一条后都会确认要占用角色,选择是,如图:然后接着一条一条完成既可,完成以上按Q退出界面,五、选择是以后。