主域控,辅助域控的搭建,主域控制器的迁移

Windows Server 2008 R2 辅域控搭建方法
1、安装前，需要先把IP地址固定，并把主DNS设置主域控的IP地址，辅DNS设置辅域控本身IP地址
2、打开运行窗口，输入dcpromo并回车，会启动域控安装程序
3、选择使用高级模式安装，直接下一步
4、选择向现有域添加域控制器
5、输入域名，并且在“备用凭据”处点击设置，会提示输入账号密码，在这里输入具有管理员权限的账号密码即可点击下一步
6、选择域，直接默认下一步
7、选择一个站点，这里也直接默认下一步
8、其它域控制器选项可以默认
9、提示无法创建该DNS 服务器的委派，可以忽略，继续下一步
10、从介质安装，选择通过网络从现有域控制器复制数据
11、源域控制器，直接下一步
12、数据库，日志文件和sysvol的存储路径，可以直接默认
13、创建目录服务还原模式的密码，这个一定要记住，在有备份系统的前提下，可以很方便的还原系统
14、安装摘要，直接下一步即可开始安装，可以勾选完成后重新启动，安装完会自动重启，安装完成。

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

佳士科技服务器搭建及迁移方案一、域控服务器搭建及迁移我司域控及结合现今网络现状分析：1、安装windows2003系统的塔式服务器。

2、单域模式。

3、辅助域集成于exchange2003邮箱服务器。

4、活动目录用户组织单元（Ou）规划沿用旧的组识架构规划。

5、域用户（邮箱用户）数量庞大。

6、我司搬家时间在即，且是采用临时办公模式，网络基本架构尚未得到充分完善，日后修改变动的地方极大；且搬家过程中网络与语音等条件都要进行大规模调整。

基于以上条件，我推荐采用域控制器从windows 2003迁移升级到windows2008R2的方案。

此方案将会对我们带来以下好处及便利：1、搬家过程中，三台域控制器同时存在，对活动目录用户认证，无须考虑新域控制器的不稳定而造成的域控器瘫痪，而造成用户无法进行认证，员工无法使用电脑，无法使用文件服务的巨大灾难。

2、大量活动目录用户与邮箱用户的存在，在新域控制器中新建将会是一个不小的工作量。

3、采用全新搭建的域控制器模式，大量PC退出域再加入到新域的工作将是一个巨大的工作量。

4、在迁移过程当中，我们还可以临时沿用原先设置好权限的文件服务器，使用旧的访问模式，无须考虑在迁移服务器的同时，不仅要根据新的部门组织架构来移动文件，还得重新分配权限。

5、在迁移过程当中，我们的邮件服务器依然是与新域服务器在同一个域中，使用同一个DNS进行解析收发，保证了我们员工从恒丰到坪山过程中，工作邮件的不间断。

6、为了配合公司整个组织架构的变化，迁移及升级过后的域控制器活动目录当中的用户，即无须新建，也无须修改；只须在域控制器中根据我司新的组织架构，新建几个新的组织单元（Ou），再将已存在的用户移动到新的组织单元（Ou）中即可。

最新的活动目录组织单元（Ou）架构如下。

域控服务器迁移步骤假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20第一步：主域迁移之前的备份：1.备份主域服务器的系统状态2.备份主域服务器的系统镜像3.备份额外域服务器的系统状态4.备份额外域服务器的系统镜像第二步：主域控制迁移：1.在主域控服务器(192.168.1.10 )上查看FSMO (五种主控角色)的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入：netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。

2.将域控角色转移到备份域服务器( 192.168.1.20)在主域控服务器( 192.168.1.10)执行以下命令：2.1 进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入 :roles 回车，再输入 connections 回车，再输入conn ect to server 192.168.1.20 (连接到额外域控制器)提示绑定成功后，输入q退出。

2.2依次输入以下命令：Transfer domain naming masterTransfer infrastructure masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。

2.3五个步骤完成以后，进入 1 92 . 1 68 . 1 . 20 ，检查一下是否全部转移到备份服务器192.168.1.20 上，打开提示符输入：netdom query fsmo再次查看域控制器的 5个角色是不是都在 192.168.1.20 上面。

3.转移全局编录：3.1 打开“活动目录站点和服务”，展开 site->default-first-site-name- >servers,展开 192.168.1.20 ，右击【 NTDSSettings 】点【属性】，勾上全局编录前面的勾。

Server 2012 R2部署域控、额外域控与FSMO角色转移和夺取网络环境：2012R2DC1.itpro.+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：2012R2DC2.itpro.+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：DHCP配置如下：网关：无配置2台服务器为DHCP故障转移一、主域的安装与配置配置网卡信息，如如下图打开服务器管理器，点击添加角色和功能如如下图选择安装类型：基于角色或基于功能的安装，如如下图池中仅一台主机，保持默认〔此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替〕，如如下图选择AD域服务并添加功能，如如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如如下图确认安装所选内容，点击安装，如如下图正在安装域服务器，如如下图安装完毕，点击关闭，如如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如如下图选择域控制器林和域功能级别并设置DSRM密码，如如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如如下图NETBIOS设置，保持默认，直接下一步，如如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否如此直接下一步，如如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如如下图正在配置域服务，配置完成后会自动重启。

如如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如如下图DNS反向查找区域配置向导，如如下图在区域类型中选择主要区域，如如下图设置传送作用域，如如下图设置反向查找IP类型，如如下图输入反向查找区域名称，如如下图指定反响查找更新类型，如如下图完成DNS反向查找区域建立，如如下图在DNS反向查找区域中查看记录，如如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

域控迁移方法Migrating domain controllers can be a challenging task for any organization. 域控迁移可能对任何组织来说都是一个具有挑战性的任务。

There are several methods that can be used to migrate domain controllers while minimizing the impact on users and maintaining a stable network environment. 有几种方法可以用来迁移域控制器，同时最大限度地减少对用户的影响，并保持稳定的网络环境。

One of the most common methods is to add new domain controllers to the existing domain, which allows for a gradual transfer of services and roles. 最常见的方法之一是向现有域添加新的域控制器，这样可以逐步转移服务和角色。

This approach ensures that there is no disruption to the network, as both old and new domain controllers can coexist during the migration process. 这种方法可以确保网络没有中断，因为在迁移过程中旧的和新的域控制器都可以共存。

Another method for domain controller migration is to use the Active Directory Migration Tool (ADMT) provided by Microsoft. 域控制器迁移的另一种方法是使用微软提供的Active Directory迁移工具（ADMT）。

Windows Server 2008主域控迁移手顺1.安装windows server 2008 R2虚拟机，名称不能为主域控服务器名称2.主域控、辅助域控的备份：使用Windows Server Backup进行备份，并将备份文件放置在本地。

3.将主域控角色迁移到辅助域控服务器：例：A001 主域控服务、A002为辅助域控登陆辅助域控，打开“运行”，输入”regsvr32 schmmgmt.dll”。

确定运行成功，出现下记提示：3.1打开“运行”，输入”mmc”,分别添加Active Directory 架构、Active Directory 域和信任关系、Active Directory 用户和计算机到控制台，如下图所示：3.2右键单击键Active Directory 架构，选择”更改Active Directory 架构”。

出现下记提示，点击确认：3.3右键单击Active Directory 架构，选择“操作主机”点击更改，点击确定后如下图所示：If error display “不能连接FSMO盒” ,有可能为网卡为TEAM或网卡、网络等问题 !!3.4右键Active Directory 域和信任关系，选择“更改Active Directory 域控制器”。

选择辅助域控服务器,确定3.5右键Active Directory 域和信任关系，选择“操作主机”点击更改，确定后关闭3.6右键Active Directory 用户和计算机-所有任务-操作主机3.7分别在RID、PDC、基础结构选项卡下，点击更改4.客户端运行中输入：netdom query fsmo ，确认操作主机名称为辅助域控服务器5.关闭主域控服务器, 在辅助域控服务器上新建用户，新加域计算机，更改密码进行测试6.打开Active Directory 站点和服务，删除主域控服务器删除DNS信息7.修改虚拟机名称为主域控服务器,并加入域8.打开服务器管理器，安装Active Directory 域服务9.完成后打开运行，输入”dcpromo”安装辅助域控下一步，选择“向现有域添加域控制器”出现下记警告，选择“是”继续选择DNS服务器及全局编录点击“是”继续选择“通过网络从现有域控制器复制数据”选择源服务器-辅助域控服务器根据情况存放下记文件路径：设定目录还原密码：等待安装：安装完成后重启10.重复运行4、5将操作主机修改为主域控服务器11.将客户端退域、加域、新增用户、更改密码进行测试12.没有意外，所有操作完成。

域控制器迁移以及修改服务器ipwindows server 2003 域控制器转移迁移准备工作:1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2003域的额外的域控制器。

2. 在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2003DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

3. 将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，具体方法请参考下面这篇文档：《How to promote a domain controller to a global catalog server》：4. 将原来的Windows 2003域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法请参考下面这篇文档：《如何查看和转移Windows Server 2003 中的FSMO 角色》：当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。

关于在Windows 2003域控制器上放置FSMO的更多信息，请参考下面这篇文档：《在Windows 2003 域控制器上放置和优化FSMO》：5. 完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2003域控制器的角色，但我们需要等待一段时间使原来的Windows 2003域控制器上的和全局编录及FSMO 角色相关的活动目录信息完全复制到WindowsServer 2003域控制器上。

建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2003域控制器降级。

系统管理员搬家也要专业——域控制器迁移摘要：每当到年底的时候信息部门的系统管理员就会忙活起来了，因为要准备来年的计划和方案，紧接着就是在服务器硬件上的更新。

硬件更新就像一次搬家，试想一下我们如果要搬家，这其实是个很复杂的事情，新房子的装修，如何去搬，什么时候去搬，这都是要好好的规划的。

【51CTO独家特稿】前言：到年底了，对于我们信息部门的系统管理员来说，肯定是又忙活了起来。

因为要去准备来年的计划和方案，而随着现在服务器硬件发展的日新月异，迁移工作可能是每位管理员必不可少的任务。

但是说到迁移工作，里面的学问和技术含量可高着呢，这可不是把钱从一个口袋放到另一个口袋这么简单。

试想一下我们如果要搬家，这其实是个很复杂的事情，新房子的装修，如何去搬，什么时候去搬，这都是要好好的规划的，换句话说系统迁移比搬家还要精细的多。

系统迁移可不是如此简单尽管我们现在有了类似于System Center VirtuaMachine Manager可以轻易的实现物理服务器到虚拟机服务器的迁移工作，但是对于一些不能或者不推荐在虚拟机里面运行的服务器，这迁移还是老老实实的跟着传统走吧。

这不，域控制器的改朝换代从Windows2000开始至最新的2008R2，整个迁移的过程和思路都是一样的，所以今天我们就来看看如何把一台域控制器从旧的服务器迁移到新的服务器。

这里的环境再简单不过，一共也就就2台服务器。

1 安装新的域控制器对于DC1的安装这里这里就不再详细说明了，只需要注意安装额外的域控制器可以对现有的成员服务器进行提升，令其成为域控制器。

或者安装一台新的计算机，并对其进行提升。

无论使用哪种方法，DC1都必须讲从DC处获得必要的目录信息。

2 操作主机（FSMO）的迁移对于域控制器迁移的工作最大的挑战之一就是FSMO 5个角色的迁移，所以我们先来看看这5个角色各自都起到了什么作用。

首先我们知道活动目录和NT4目录服务最大的区别就是多主机模式，因此活动目录创造出分布式的环境，并让任何域控制器都可以被用作验证，从而可以在特定域控制器上操作即可更改标准目录信息。

Server2012R2部署域控、额外域控及FSMO角色转移和夺取网络环境：2012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.1/242012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：网关：无，配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

服务器规划主域控制器+DNS操作系统：Microsoft Windows Server 2003网卡信息：IP：192.168.1.10/24首选DNS：192.168.1.10备用DNS：192.168.1.11额外域控制器+DNS操作系统：Microsoft Windows Server 2003网卡信息：IP：192.168.1.11/24首选DNS：192.168.1.11备用DNS：192.168.1.10安装步骤：1 安装前，额外域控制器的DNS指向主域控2 安装DNS服务但不设置3 安装额外域控,如果主域控中dns和AD集成，额外域控制器会在安装ad后自动同步dns 记录.4 安装后修改额外域控制器的DNS指向本机(可选)。

一、额外域控制器安装及相关设置在做额外域控的机器上运行DCPROMO，安装额外域控制器。

安装完毕后，重启。

1、在dcserver主域控器DNS管理界面里1）选中正向区域的“_“，点右键属性，确认区域类型: “Active Director 集成区域”；更改区域复制范围为“至Active Directory域中的所有域控制器”确认动态更新为“安全”2）再“名称服务器”标签中，将额外域控制器全域名及IP添加进来3）在“区域复制”标签中，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。

4）依次在“”和反向查找区域“192.168.1.x. subnet”做以上各步履，在主域DNS服务器设置完成。

2、在额外域控制器上安装DNS服务（升级额外域控时未配置DNS服务）安装完毕，打开DNS管理器界面（相关设定应该自动复制完毕），再将各区域设置为“允许区域复制”。

3、将主域控及额外域控主DNS设为本机IP，备用DNS地址互指。

4、将额外域控制器dcbak本身设为“全局编录”打开“Active Directory站点和服务”，点选DCBAK ->NTDS右击属性，将“全局编录”打勾，点确定退出。

将成员服务器升为域控制器--1(安装第一台域控制器)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的WindowsServer2003，客户端则采用WindowsXP。

首先，当然是在成员服务器上安装上WindowsServer2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于WindowsServer2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证WindowsServer2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“ActiveDirectory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows95及NT4SP3以前的版本无法登陆运行到WindowsServer2003的域控制器，我建议大家尽量采用Windows2000及以上的操作系统来做为客户端。

域控制器迁移的方法对于域结构的网络来说，域控制器的重要性不言而喻。

如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是一场灾难。

所以如果有条件的话，还是建议在网络中备有额外域控制器。

本文就是详细介绍了域控制器迁移的具体实例。

AD：2013大数据全球技术峰会课程PPT下载域控制器包含了由域的账户、密码、属于这个域的计算机等信息构成的数据库，负责对整个Windows域以及域中的所有计算机进行管理。

配置域控制器有利于对域中用户的集中配置管理，为网络共享资源提供安全保障。

对于域结构的网络来说，域控制器的重要性不言而喻。

如果网络中唯一的域控制器突然崩溃，而事先也没有做好备份，那将是一场灾难。

所以如果有条件的话，还是建议在网络中备有额外域控制器。

在网络中的域服务器都会自动进行复制。

如果一台机器坏掉的话，额外域控制器可以随时接管工作。

此时的额外域控制器可以进行用户认证，登录等工作，但是为了正常的使用域资源，还需要将域控制器的5种角色转移到额外域控制器中。

现在我们就以将WIN2003 SERVER域控制器的迁移为例，一起探讨一下具体步骤。

说明：单位中有一台WIN2003域服务器，由于该服务器硬件设备不是很好，需要将域控制器迁移至一台新机器中。

同时，单位中使用的是动态IP地址，DHCP服务器也位于该机器上。

环境：机器1，主域控制器为，DNS服务器，DHCP服务器网络属性为：IP ：192.168.2.1/24DNS：192.168.2.1机器2，额外域控制器IP：192.168.2.2/24采用方案：采用额外域的方法通过网络将活动目录数据转移到额外域控制器上，然后在额外域控制器上夺取活动目录的5种角色，最后再迁移DHCP服务器至额外域控制器上。

一、安装额外域控制器1、在机器1上安装WIN2003 SERVER操作系统，安装好杀毒软件。

2、配置机器2的网络连接设置，使其DNS指向DNS服务器192.168.2.1。

主域控和辅域控在今天的互联网世界中，控权与控诉已经成为普遍现象。

而面对这样的大数据，我们每一个普通人都应该学会保护自己的利益，维护自己的权益。

因此，今天我想给大家分享的就是如何进行主域控和辅域控。

主域控，指的是对自己拥有主权的领域进行有效的控制和管理。

而辅域控，则是指对自己不熟悉的领域进行必要的调查和了解，以便及时发现问题，处理风险。

那么，我们该如何进行主域控和辅域控呢？首先，我们必须对自己拥有主权的领域有一个清晰的认识。

这包括但不仅限于我们的个人信息、隐私、财产、知识产权等方面。

只有当我们对自己拥有主权的领域有了充分了解，才能够进行有效的控制和管理，避免自己的利益受到损害。

其次，我们必须对自己不熟悉的领域进行必要的调查和了解。

这包括但不仅限于我们的社交网络、公共形象、互联网上的言论等等。

只有当我们对自己不熟悉的领域有了足够的了解，才能够及时发现问题，避免自己的声誉受到损害。

那么，我们该如何进行主域控和辅域控呢？首先，我们必须加强对自己的个人信息的保护。

这包括但不仅限于我们的手机号、银行卡号、密码等等。

只有当我们加强对个人信息的保护，才能够有效避免自己的个人信息泄露，避免自己的隐私受到损害。

其次，我们必须加强对自己的社交网络的管理。

这包括但不仅限于我们的微信、QQ、微博等等。

只有当我们加强对社交网络的管理，才能够及时发现自己的社交网络中的问题，避免自己的声誉受到损害。

最后，我们必须加强对互联网上的言论进行有效的管理。

这包括但不仅限于我们的评论、回复等等。

只有当我们加强对互联网上言论的管理，才能够及时发现互联网上的问题，避免自己的利益受到损害。

总之，主域控和辅域控是我们在今天互联网世界中必须掌握的技能。

只有我们加强对自己拥有主权的领域和对自己不熟悉的领域的控制和管理，才能够及时发现问题，避免自己的利益受到损害。

域迁移详细设置操作文档域迁移设置文档在办公环境中难免需要对域进行备份或者迁移，本文档将详细讲诉通过降权主域使额外域升权为主域的过程。

以下操作以Window Server 2008为例：1.服务器基本信息2.主域控制器环境DC服务器和DNS服务器都在WIN-A这台计算机中，如图：3.迁移条件DC服务器的DNS解析一定需要正常，否则将不能进行额外域控制器的安装。

4.迁移操作1.额外域控制器网络配置配置WIN-B服务器的ip地址，配置同网段ip地址，DNS配置DC服务器地址。

2.额外域控制器安装1.首先命令提示符里输入dcpromo2.选择现有林，向现有域添加域控制器3.输入域名，并且配置一直下一步安装即可，然后就等待安装完成重启服务器。

3.WIN-A和WIN-B域对比WIN-B重启完成之后，可以查看WIN-A服务器上域信息是否被WIN-B服务器复制过来了。

WIN-A:WIN-B:4.WIN-A和WIN-B DNS信息对比查看WIN-B服务器是否把WIN-A服务器上的DNS信息复制过来。

WIN-A:WIN-B:5.使用ntdsutil命令删除WIN-A在额外域控制器上WIN-B通过ntdsutil.exe工具把主域控制器WIN-A从AD中删除。

命令如下：出现对话框，直接点击“是”删除WIN-A主控制器，同时需要注意提示信息，是否成功删除。

6.使用ADSI EDIT工具删除对象使用ADSI EDIT工具删除Active Directory users and computers 中的Domain controllers中的WIN-A服务器对象。

7.对WIN-A进行降权回到WIN-A主域控制器上使用DCPROMO进行域控制器降权。

安装步骤卸载完成之后，重启服务器。

8.在WIN-B上删除WIN-A服务回到WIN-B在Active Directory Sites and Service中删除SVR1服务器对象打开Administrative tools中的Active Directory站点和服务，展开Sites，展开Default-First-Site-Name，展开Servers，右击SVR1，选择“删除”，单击“是”按钮9.使用ntdsutil进行FMSO 操作在WIN-B额外域控制器上通过ntdsuti进行FMSO操作（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）10.在WIN-B上配置全局编录设置额外控制()为ＧＣ（全局编录）在“全局编录”前面打勾，单击“确定“按钮，然后重新启动服务器。

额外域升级主控域和它的FSMO五个角色夺取网络环境：+DNS操作系统：Microsoft Windows Server 2003 EE R2网卡信息：IP：10.10.10.1/24首选DNS：10.10.10.1备用DNS：10.10.10.2+DNS操作系统：Microsoft Windows Server 2003 EE R2网卡信息：IP：10.10.10.2/24首选DNS：10.10.10.2备用DNS：10.10.10.1一．额外域控制器建立对于公司中的第一台域控制器的安装，在此我就不写了，以下为额外域控的安装。

先将DC2的IP设好，DNS设为DC1的IP，运行DCPROMO。

在如下图所示画面选“现有域的额外域控制器”如果要提升为额外域控制器的这台电脑的本机管理员没有加密码，就会出现上图所示的错误信息。

安装完毕重启后,这样这台额外的域控制器就安装完成了。

但我们还要做些其它设定1.在DC1这台主域控上，打开DNS管理介面选中正向区域的“_“，点右键属性，确定打红线处的各项改为如上图所示，将DNS集成到AD中，便于管理和维护。

在“名称服务器”中将另外一台额外域控器添加进来。

点选“区域复制”，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。

依次在“”和反向解析区域“10.10.10.* subnet”做以上各步履，这样主域DNS 服务器就设置完成。

在额外域控制器上安装DNS服务，安装完毕后，打开DNS管理器DNS的正向和反向区域都已经建好了，和主域控上的DNS服务器上一内容是一样。

在这台电脑上现再和主控域上设置一样将各区域设置“允许区域复制”。

再将主域控的备用DNS地址填上额外域控的地址，相应的，将额外域控的首选DNS设为本身，备用DNS设为主域控的IP地址。

再将额外域控制器DC2本身设为“全局编录”打开“Active Directory站点和服务”，点选如图所示属性将“全局编录”打勾，点确定退出。

本文主要阐述在 AD 域控制器集群中, PDC 与 BDC 之间的角色转换过程,介绍了 2种方法: 1、从主域控制器上转换角色; 2、从域控制器抢占角色。

一、实验环境:域名为 1、原主域控制器System: windows 20003 ServerFQDN: IP :192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN :IP :192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、 Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问,做辅域升级要装个 Exchange 干什么?其实我的目的是为了证明我的升级是否成功, 因为 Exchange 和 AD 是紧密集成的, 如果升级失败的话, Exchange 应该就会停止工作。

如果升级成功,对 Exchange 应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的:在主域控制器 (PDC出现故障的时候通过提升辅域控制器 (BDC为主域控制,从而不影响所有依靠 AD 的服务。

三、实验步骤Ⅰ、 PDC 角色转换(适用于 PDC 与 BDC 均正常的情况1、安装域控制器。

第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装 DNS 组件。

在第一台域控制安装好后 , 下面开始安装第二台域控制器 (BDC , 首先将要提升为辅助域控制的计算机的计算机名 ,IP 地址及DNS 跟据上面设置好以后 , 并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的 Exchange Server工作是否正常,到Exchange Server 中建立两个用户 test1和 test2, 并为他们分别建立一个邮箱, 下面使用他们相互发送邮件进行测试。

windows 域控制器的迁移(5个FSMO角色)原有一台域控制器（称为A机），新机（称为B机）在 Windows 2000 中，可以通过 MMC 工具转移五个 FSMO 角色。

为使转移成功，双方计算机都必须能够联机访问到。

如果有一个计算机已不存在，则必须取回其角色。

要取回一个角色，必须使用 Ntdsutil实用工具。

现在我两台DC均为可用，所以不必用到Ntdsutil，而通过MMC 来直接操作。

操作步骤写下来，大家看看是否可行：一、转换FSMO角色：1、转移特定于域的角色：RID、PDC 和结构主机（1）单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。

（2）右键单击“Active Directory 用户和计算机”一旁的图标，然后单击“连接到域控制器”。

备注：如果不在要转移其角色的域控制器上（A机），则需要执行此步骤。

如果连接着要转移其角色的那一域控制器（A机），则不必执行此步骤。

（3）单击将成为新的角色担任者的域控制器（B机），然后单击确定。

（4）右键单击“Active Directory 用户和计算机”图标，然后单击操作主机。

（5）在更改操作主机对话框中，单击与要转移的角色对应的选项卡（RID、PDC 或结构）。

（6）单击更改操作主机对话框中的更改。

（7）单击确定以确认想转移的角色（RID、PDC、结构）。

（8）单击确定。

（9）单击取消关闭对话框。

2、转移域命名主机角色（1）单击开始，指向程序，指向管理工具，然后单击“Active Directory 域和信任关系”。

（2）右键单击“Active Directory 域和信任关系”图标，然后单击“连接到域控制器”。

（3）单击将成为新的角色担任者的域控制器（B机），然后单击确定。

（4）右键单击“Active Directory 域和信任关系”，然后单击操作主机。

（5）在更改操作主机对话框中，单击更改。

域迁移方案
一、事前准备：
先分别建立两个位于不同林的域，内建Server若干，结构如下：
，
Client为加入到此网域的客户端PC，由DHCP Server分配IP
：
Ad-cntse为的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2
Exs-centse作为的Mail Server，操作系统为Windows Server 2003 SP2，
Exchange 版本为2003.
备注：所有的Server均处在同一个网段
二、的User结构：
如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail
账号，账
1
在
的2
域，步骤如下图：
选择域和域控制器
选择用户选择选项
选择User
选择OU
密码迁移选项
User转换选项
迁移User的相关设定
1、
开始
选择“从Microsoft Exchange迁移”
准备迁移
选择Exchange应该要迁移到的Server
输入被迁移的Exchange的相关信息
选择要迁移的信息
选择要迁移的User
选择要迁移到的OU
2、ADMT 六、。

主域控脱机后如何将辅助域控变成主域控2008年06月11日星期三上午08:50一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID)主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

RID 主机通过分配不同的池来确保这些ID 在每一个DC 上都是唯一的。

通过RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。

相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机PDCE主域控制器模拟器提供以下主要功能：向后兼容低级客户端和服务器，允许Windows NT4.0 备份域控制器(BDC) 加入到新的Windows 2000 环境。

本机Windows 2000 环境将密码更改转发到PDCE。

每当DC 验证密码失败后，它会与PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证DC 中。