最全面的额外域控制升级为主域控制器实验方法

额外域控制器的升级—夺权几天前做过这样一个工作，将公司域控制器从旧的服务器上迁移到新的服务器上，目的就是为了给域控做一下硬件的升级。

这个任务很艰巨的，我从没有做过这样的事，觉得特别有意思。

经过同事的指点，我慢慢的开始小心翼翼的进行工作。

工作完成的很顺利，但也有些不足的地方，印象很是深刻，觉得有必要将它留在51cto上与大家分享。

下面是环境图：环境并不复杂，域控系统为windows 2008 R2 ，DNS、DHCP服务寄存在域控上。

也就是说这并不单单是迁移域控的事情了，还要将DNS、DHCP服务同时迁移过去。

呵呵，不过这都不是难题，我马上为大家呈现解决办法。

解决这些问题的办法我简单做了一下汇总：1、升级新服务器为额外域控制器，同时添加DNS备份，添加DHCP角色。

2、转移域控五大角色。

3、卸载域控。

4、断开域控DHCP服务，授权新域控的DHCP服务，防止两个服务出现冲突。

完成这几步后就可以大胆的将旧的服务器关闭掉，原先的备份服务器就已经完全作为新的域控制器工作了。

首先将新服务器作为域控的备份服务器加入域，过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。

添加DHCP角色，但不要做任何配置，因为作为域控的备份服务器DHCP 也会被自动导入域控的DHCP配置。

这里不做过多的拗述了。

作为域控制器是因为它兼有五大角色，分别是PDC主机，RID主机，结构主机，域命名主机和架构主机，五大角色是域控特有的，其各自的属性特征这里不做阐述。

首先我们登录域控服务器，打开服务器管理台，选择“角色”，找到“AD用户和计算机”，邮件服务器属性，“更改域控制器”如下图：选择将要继承域控职责的BDC作为当前服务器。

然后在服务器右键选择“操作主机”，我们看到域控的三个角色，RID 主机、PDC主机和基础结构。

当前的操作主机是PDC，要传递的主机是BDC，不用想了马上更改。

其它的两个角色也使用同样的配置，给改主机为BDC。

域环境，俩DC，A主域控，B额外域控，公司搬迁，把A主域控搬至外地，留B辅域控在本地，结果出现部分用户无法登陆的情况。

没办法，搬迁工作准备不足，只好在辅域控上做了出下操作，1. 在B服务器额外域控强制夺取操作主机角色打开命令行窗口输入”ntdsutil”输入”connections”输入”connect to server dc02”连接到额外域控器输入”q”退到上一级输入”seize pdc”确认输入”seize rid master”确认输入”seize infrastructure master”确认输入”seize domain naming master”确认输入”seize schema master”确认********************华丽的分割线************************** 至此，将无法登陆的客户机重新加入域后，故障基本解决，********************华丽的分割线**************************1. 额外域控已经夺取五个角色，记得要把主域的信息从它清除本人没有做如下操作，并把原A主域控重新接入局域网使用，就这个操作，直接导致以后悲催的结局（1、域中出现多个用户无法登陆域，重新加域都没用；2、若干用户出现访问文件服务器无法访问的情况……）打开命令窗口输入”ntdsutil”输入”metadata cleanup”输入”connections”输入”connect to server dc02”连接到额外域控制器输入”q”退到上一级输入”list site”输入”select site 0”输入”list domain in site”输入”select domain 0”输入”list server in site”输入”select server 0”输入”q”输入”remove select server”直接在原A主域控上做了如下操作，正常无法删除AD服务，只好加强制删除参数：dcpromo /forceremoval并在B域控上清除原服务器信息，重新将此A服务器重新加域并重新安装AD。

一、实验目的1. 了解额外域的概念和作用。

2. 掌握建立额外域的方法和步骤。

3. 通过实验验证额外域在计算机网络中的应用效果。

二、实验环境1. 操作系统：Windows 102. 虚拟机软件：VMware Workstation3. 虚拟机：两台装有Windows Server 2012 R2的数据中心服务器4. 网络设备：交换机、路由器等三、实验原理额外域是指在域环境中，为满足特定需求而创建的域。

通过建立额外域，可以实现以下功能：1. 将不同业务系统的用户和计算机资源分离，提高安全性。

2. 实现跨域信任，方便用户在不同域之间访问资源。

3. 优化域控制器负载，提高域环境性能。

四、实验步骤1. 准备工作（1）确保两台虚拟机已安装Windows Server 2012 R2操作系统。

（2）配置虚拟机网络，使其属于同一VLAN。

（3）在虚拟机中安装DNS服务器，配置正向解析和反向解析。

2. 建立额外域（1）在第一台虚拟机上，以管理员身份运行命令提示符，执行以下命令：```dcdiag /test:dns```检查DNS服务器是否正常运行。

（2）在第二台虚拟机上，执行以下步骤：a. 以管理员身份运行“Active Directory域和信任关系”管理工具。

b. 在“操作”菜单中，选择“添加域”。

c. 输入新域的名称，如：extra域。

d. 选择“新域，这是在现有域树中的第一个域”选项。

e. 输入额外域的DNS全名，如：。

f. 输入额外域的NetBIOS名称，如：EXTRA。

g. 选择第一台虚拟机作为域控制器。

h. 单击“下一步”，完成额外域的创建。

3. 验证额外域（1）在第二台虚拟机上，执行以下命令：```dcdiag /test:domain```检查额外域是否正常运行。

（2）在两台虚拟机上，分别执行以下命令：```netdom query ```查看额外域的信任关系。

五、实验结果与分析1. 通过实验，成功建立了额外域，并验证了其正常运行。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为点击更改，确定。

域控升级03-08
一、升级活动目录
a) 放入光盘server 2008在基础结构主机上，命令进入光盘根目录
b) 在命令行中执行cd \sources\adprep切换当前目录
c) 执行adprep /forestprep “更新林信息”
d) 执行adprep /domainprep /gpprep“更新域架构和组策略”
e) 执行adprep /rodcprep“允许创建只读域控”
二、提升08PC为额外域控
a) 加入域
b) 用域管理员登陆，添加DNS角色
c) 执行dcpromo使08成为额外域控
三、同步DNS
a) 在03的DNS上把08添加为另外一个名称服务器
b) 设置区域传送为允许（两个区域都是）
c) 常规选项应该是如果所示：（两个区域都是）
d) 传送完毕之后,在08上应是这个样子
e) 为避免最后再传送回去，建议把03上的DNS卸载掉
四、转移操作主机角色
a) regsvr32 schmmgmt.dll “注册架构主机”
b) mmc 添加架构主机实行操作主机转移
c) 进入AD域和信任关系转移域命名主机
d) 进入AD用户和计算机转移其余3个主机角色
e) 进入AD站点和服务，把03全局编录主机勾选没
五、03域控降级
a) 03主机上dcpromo，降级为在域控的一个普通PC机
六、提升域功能级别和林功能级别。

WindowsServer2012R2辅域控制器如何升级成主域控制器⼀、实验模拟故障问题： zhuyu公司架设了⼀台主域控制器和⼀台辅域控制器，某⼀天，zhuyu公司的主域控制器系统崩溃，主域控制器系统也进不去。

虽然辅域控制器可以暂时代替主域控制器的普通⼯作，但是特殊的操作辅域控制器是没办法操作的。

经过zhuyu公司领导同意， 决定把主域控制器撤⾛，直接让辅域控制器升级成主域控制器。

⼆、⽹络拓扑图：********** 注意事项 **********1、辅域控若要接管主域控的前提是主域控与辅域控上都要有DNS，并且DNS是与域控是集成的。

2、客户端进⾏域访问时⾸先会联系⾸选DNS，即主域控，但是这时的主域控已经脱离⽹络，⽆法访问。

客户端就会尝试使⽤备⽤DNS，就会联系辅域控，达到正常访问，但是这样做的话，有⼀个很明显的问题，就是访问、验证、登录会⽐以前慢很多，因为要先联系主域控。

3、主域控系统⽹络是断开状态，辅域控若要获取主域控全部权限，辅域控必须通过强夺的⽅式把主域的FSMO的五个⾓⾊从主域控上强夺过来使⽤，通过ntdsutil命令清理死亡的主域控的残留信息(元数据)，最后指定辅域控为GC(全局编录)。

4、修改辅域控的IP为原来主域控的IP，同时重启Netlogon服务，⼿动将主域的DNS记录（包括A记录、NS记录、SRV记录、SOA记录）更改为原主域控的IP地址，把DNS名称服务器(NS)存在的已死亡的主域控删除掉。

5、辅域控重启系统检查DNS和域控是否正常，查看⽇志⽂件是否报错。

三、操作步骤：1、辅域控制器固定IP设置。

2、主域控制器已经脱离⽹络，ping 192.168.10.30已经不通了。

3、因为主域控已经断开连接，所以，辅域控的操作主机显⽰错误。

4、在辅域控DOS命令下运⾏netdom query fsmo 查看当前的FSMO五个⾓⾊的拥有者都是test-zhuAD主域控，所有辅域控test-beiAD采⽤强夺⽅式把主域控test-zhuAD五个⾓⾊强夺过来。

主域控搭建及额外域控
升为主域控（灾难恢复）
一．环境介绍
主域控DC1（server1）额外域控DC2（server2）客户机（kehuji）IP:192.168.20.21 IP:12.168.20.22 IP:192.168.20.164 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS1：192.168.20.21 DNS2：192.168.20.22 DNS2：192.168.20.22 DNS2：192.168.20.22 二．搭建步骤
建域的过程就省略了，直接上图。

然后根据公司结构建立部门OU
在建立好部门OU后，再建立各部门的安全组，便于权限的分配。

最后建立本地域组，将各部门的安全组加入其中
然后在各部门中建立用户，并将用户加入到部门安全组中
接下来可以根据部门建立组策略
最后在DC1上建立共享文件夹，并设置共享权限，限制只能看到自己部门的共享
然后将客户端加入域进行测试
三．额外域控搭建
查看DC1的IP地址并配置额外域控DC2的IP地址
额外域控的搭建
然后测试DC2上建立用户，让DC1同步，并在客户机上登陆并访问
四．灾难恢复
然后我们禁掉DC1的网卡，假设DC1故障无法运行，然后让DC2代替DC1继续提供服务。

额外域控在主域控故障无法启动时，自己升为主语控，参考一下链接。

/961933/773961。

酒泉人民医院额外域控制器提升为主域控制器的过程一、提升额外域控制器步骤：1、在安装完企业版WIN2003操作系统后，打SP2补丁，以及相关补丁。

2、在IP地址中配置好IP以及主DNS服务器的的地址3、在开始运行中输入：dcpromo命令，进入域控提升程序4、选择现有域控的额外域控制器选项，按照正常步骤进行到结束，重启服务器5、安装DNS组件二、将额外域控制器提升为主域控的步骤（转换域的五个功能角色）1、将服务器IP地址中主DNS选项改为本机IP地址，额外的DNS选择其他DNS服务器地址2、打开AD用户和计算机工具，在服务器级别右键，选择连接到域控制器3、在弹出对话框中选择新安装的额外域控制器，点击确定4、在服务器级别右键，选择操作主机一项6、在弹出的对话框中有三个标签项，分别代表域中的三个功能角色：RID,PDC,结构，当前操作主机应该是当前的主域控制器，如果想把角色变更到新的额外的域控制器中，点击更改按钮，改变角色主机，如果更改成功会有相应提示成功。

分别将三个标签的角色都进行更改，如都成功了，说明在域中的三个重要角色已经转移到额外的域控制器中。

7、打开AD域和信任关系工具，参照之前的方法提升第四个功能角色（域命名主机），先选择连接到域控制器，在弹出对话框中选择额外的域控制器，确定退出8、再右键选择操作主机，在弹出的对话框中点击更改，更改角色主机9、更改第五个域的重要角色的操作主机位置，点击开始运行，输入regsvr32 schmmgmt.dll注册最后一个域的功能角色（架构主控），10、在开始运行输入MMC，点击控制台，点击添加删除管理单元11、在弹出的对话框中点击添加按钮，选择AD架构一项，点击添加，点击确定退出13、右键点击选择操作主机，将角色进行更改三。

、提升域控为GC1、在提升为主域控制器后，要将此域控提升为GC，在AD站点和服务工具中选择新的站点服务器，在NTDS SETTING中选择右键属性2、选中全局编录选项，确定退出，全局编录服务器设定完成。

一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange 应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

4、以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.5、这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。

如果操作主机角色工作在域级别，例如PDC主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色。

我们的犯罪现场很简单，域里有2台08R2，是域内的第一台DC，fileserver是第二台DC，目前所有的角色都在dc上面，我们通过实验来重现角色的转移！其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。

但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。

我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。

拓扑犯罪过程：一，从DC转移到fileserver上1，打开cmd，输入：netdom query fsmo，列出当前角色所在的位置，从图中可以看出。

五个角色都在DC上！2，然后我们运行，dsa.msc，打开用户和计算机，选择“查看”--“高级功能”3，然后选择“操作”---操作主机，如图4，右键选择Fileserver域控制器，因为我们要把现在连接的DC上的角色转移到Fileserver。

所以在DC上首先连接到Fileserver，如图，细心的同学就会看到。

后面的状态为“不可用”，这是因为他不能本身转给本身，所以这样显示！5，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，分别选择主机类型然后更改，如图6，接下来打开“域和信任关系”，首先连接Fileserver，来转移域命令主机，打开如图7，更改即可！8，还有一个GC，GC是需要注册一个组件的如图：9，打开mmc，添加AD架构到mmc里，然后如图，首先连接Fileserver10，最后我们来查看下角色的位置：11，至此，我们完成了五个操作主机角色的转移。

额外域控制升级为主域控制器实验一、实验环境：域名为原主域控制器System: windows 20003 ServerFQDN: IP：192.168.10.100Mask:255.255.255.0DNS:192.168.10.1二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD。

三、以下介绍三种额外域提升为主域方法四、实验步骤：1. 安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS 跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2. 以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.3. 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。

如图4. 这里输入你的域管理员的用户名和密码，点【下一步】。

如图：5. 这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，如图，安装完成大概要几分钟，你就耐心的等待吧，如图：辅助域控制器System: windows 2003 ServerFQDN：IP： 192.168.10.101Mask: 255.255.255.0DNS:192.168.10.16. 几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了域的辅助域控制了。

把⼀台成员服务器提升为域控制器（如何配置域管理器）把⼀台成员服务器提升为域控制器⽬前很多公司的⽹络中的PC数量均超过10台:按照微软的说法，⼀般⽹络中的PC数⽬低于10台，则建议采对等⽹的⼯作模式，⽽如果超过10台，则建议采⽤域的管理模式，因为域可以提供⼀种集中式的管理，这相⽐于对等⽹的分散管理有⾮常多的好处，那么如何把⼀台成员服务器提升为域控? ⾸先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进⼊系统，我们要做的第⼀件事就是给这台成员服务器指定⼀个固定的IP，在这⾥指定情况如下: 机器名:Server IP:192.168.5.1 ⼦⽹掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要⼿动去添加，添加⽅法如下:“开始—设置—控制⾯板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画⾯: 向下搬运右边的滚动条，找到“⽹络服务”，选中: 默认情况下所有的⽹络服务都会被添加，可以点击下⾯的“详细信息”进⾏⾃定义安装，由于在这⾥只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装: 然后就是点“确定”，⼀直点“下⼀步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到⽂件的提⽰，那就需要⼿动定位了。

安装完DNS以后，就可以进⾏提升操作了，先点击“开始—运⾏”，输⼊“Dcpromo”，然后回车就可以看到“Active Directory安装向导” 在这⾥直接点击“下⼀步”: 这⾥是⼀个兼容性的要求，Windows 95及NT 4 SP3以前的版本⽆法登陆运⾏到Windows Server 2003的域控制器，我建议⼤家尽量采⽤Windows 2000及以上的操作系统来做为客户端。

额外域控制器如何提升为主域控制器方法：在“开始”菜单-“运行”中，输入CMD，点击“确定”。

打开命令行控制台。

在命令提示符下，键入ntdsutil，回车。

在ntdsutil 命令提示符下，键入：roles，回车。

在fsmo maintenance 命令提示符下，键入：connection，回车。

在server connections 命令提示符下，键入：connect to server DC2，回车。

在server connections 命令提示符下，键入：quit，回车。

在fsmo maintenance 命令提示符下，键入：Seize PDC，回车。

在“角色占用确认对话”对话框中，单击“是”。

系统首先尝试正常迁移，发现无法连到原有操作主机后，将强行索取。

索取完成后，系统列出5个操作主机角色，可以看到，PDC仿真主机已被DC2成功占用。

在fsmo maintenance 命令提示符下，依次键入：Seize RID masterSeize infrastructure masterSeize schema masterSeize domain naming master完成所有五个操作主机角色的强制获取假设公司（虚拟）有一台主域控制器，还有一台额外域控制器。

现主域控制器（）由于硬件故障突然损坏，事先又没有的系统状态备份，没办法通过备份修复主域控制器（），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

--------------------------------------------------------------------------------三、从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

额外域服务器提升为主域服务器（1）一、将新服务器提升为备份域服务器，并安装DNS服务。

二、将原有主域服务器从网络中断开，并将副域服务器提升为主域服务器占用 OM角色1.单击“开始”，单击“运行”，然后键入 cmd。

2.在命令提示行，键入 ntdsutil。

3.在 ntdsutil 的提示行，键入 roles。

4.在 fsmo maintenance 的提示行，键入 connections。

5.在 serverconnections 的提示行，键入 connecttoserver，后面跟着完全合格的域名称。

6.在 serverconnections 的提示行，键入 quit。

7.在 fsmo maintenance 的提示行，键入 seizeschemamaster。

seizedomainnamingmaster。

8.在 fsmo maintenance 的提示行，键入 quit。

9.在 ntdsutil 的提示行，键入 quit。

占用相对 ID 主机角色1.单击“开始”，单击“运行”，然后键入 cmd。

2.在命令提示行，键入 ntdsutil。

3.在 ntdsutil 的提示行，键入 roles。

4.在 fsmo maintenance 的提示行，键入 connections。

5.在 serverconnections 的提示行，键入 connecttoserver，后面跟着完全合格的域名称。

6.在 serverconnections 的提示行，键入 quit。

7.在 fsmo maintenance 的提示行，键入 seizeRID master。

8.在 fsmo maintenance 的提示行，键入 quit。

9.在 ntdsutil 的提示行，键入 quit。

域控制器详细图文教程把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

windows 域控制器的迁移(5个FSMO角色)原有一台域控制器（称为A机），新机（称为B机）在 Windows 2000 中，可以通过 MMC 工具转移五个 FSMO 角色。

为使转移成功，双方计算机都必须能够联机访问到。

如果有一个计算机已不存在，则必须取回其角色。

要取回一个角色，必须使用 Ntdsutil实用工具。

现在我两台DC均为可用，所以不必用到Ntdsutil，而通过MMC 来直接操作。

操作步骤写下来，大家看看是否可行：一、转换FSMO角色：1、转移特定于域的角色：RID、PDC 和结构主机（1）单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。

（2）右键单击“Active Directory 用户和计算机”一旁的图标，然后单击“连接到域控制器”。

备注：如果不在要转移其角色的域控制器上（A机），则需要执行此步骤。

如果连接着要转移其角色的那一域控制器（A机），则不必执行此步骤。

（3）单击将成为新的角色担任者的域控制器（B机），然后单击确定。

（4）右键单击“Active Directory 用户和计算机”图标，然后单击操作主机。

（5）在更改操作主机对话框中，单击与要转移的角色对应的选项卡（RID、PDC 或结构）。

（6）单击更改操作主机对话框中的更改。

（7）单击确定以确认想转移的角色（RID、PDC、结构）。

（8）单击确定。

（9）单击取消关闭对话框。

2、转移域命名主机角色（1）单击开始，指向程序，指向管理工具，然后单击“Active Directory 域和信任关系”。

（2）右键单击“Active Directory 域和信任关系”图标，然后单击“连接到域控制器”。

（3）单击将成为新的角色担任者的域控制器（B机），然后单击确定。

（4）右键单击“Active Directory 域和信任关系”，然后单击操作主机。

（5）在更改操作主机对话框中，单击更改。