win2003额外域控制器升级为主域控制器

win2003额外域控制器升级到主域控制器一．其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机(Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展Active Directory 林的架构或运行adprep /domainprep 命令。

★域命名主机(Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机(RID master) －RID 主机角色是域范围的角色，每个域一个。

此角色用于分配RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器(PDC emulator) －PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机(Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行adprep /forestprep 命令，以及更新跨域引用的对象的SID 属性和可分辨名称属性。

Active Directory 安装向导(Dcpromo.exe) 将这五种FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用Ntdsutil.exe 捕获FSMO 角色或将其转移到域控制器[url]/kb/255504/zh-cn[/url]2.域控制器降级失败后如何删除Active Directory 中的数据[url]/kb/216498/[/url]3.域控制器降级失败后如何删除Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)[url]/kb/216498/zh-cn[/url]四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.。

将额外控制器升级为主域控制器前两天打雷，一台额外域控制器（windows 2003 DC服务器）主板击坏，无法维修，还好，主域控服务器(Windows 2003 )没有什么事，现购买一台新机作为服务器，打算把新机升级为主域控制器，原来的主域降级为额外域控制器；一、新服务器安装好Windows 2003企业版操作系统及更新补丁，具体大家都会做，不用多说了；二、在控制面板--添加删除程序--点击添加删除组件，出现新窗口，点击网络服务，选择如下服务（WINS,DHCP,DNS,简单TCP/IP服务）；点击确定，放入windows2003光盘到光驱；三、将Windows 2003升级为额外域控制器，使用Dcpromo命令，出现升级向导，如下图：点击下一步，选择现在域的额外域控制器；接下来输入域控制器的管理员帐号和密码及域名（例：）；输入完成后点击下一步，直到完成（中间步骤省略），重启服务器；这样就安装成功额外域控制器；四、接下来，在管理工具中，点击Active Directory 站点和服务，自动创建了连接，出现如下窗口，如图：在主域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；在额外域控打开Active Directory 站点和服务，立即复制副本，（如上图）正常会提示Active Directory 已复制了连接；最好查看一下日志看有没有错误；同时检查一下DNS看有没有同步；五、将额外域升级为主域控制器；1、将DC-SRV主域的FSMO，五种角色转移到BDC-SRV上，别忘了在Active Directory 站点和服务将BDC-SRV也标识成GC。

2、夺取五种角色的方法：首先要查看FSMO，运行regsvr32 schmmgmt.dll注册，注册成功按确定。

<1>更改操作主机，运行MMC---添加AD架构---运行AD架构：显示，为操作主机;选择更改域控制器,输入额外域控制器的主机全名;点击确定;<二> 更改域命名主机，运行Active Directory 域和信任关系, 在Active Directory 域和信任关系右键点击操作主机：显示：域命名主机为点击更改，确定。

方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机 角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的 FSMO 角色。

这五个 FSMO 角色是：●架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

●域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

●结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

●相对 ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。

任何时刻，在域中只能有一个域控制器充当 RID 主机。

●PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机，或者如果包含 Microsoft Windows NT 备份域控制器，则 PDC 模拟器主机充当 Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。

使用 MMC 管理单元工具来转移 FSMO 角色。

根据您要转移的 FSMO 角色，可以使用以下三个 MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

酒泉人民医院额外域控制器提升为主域控制器的过程一、提升额外域控制器步骤：1、在安装完企业版WIN2003操作系统后，打SP2补丁，以及相关补丁。

2、在IP地址中配置好IP以及主DNS服务器的的地址3、在开始运行中输入：dcpromo命令，进入域控提升程序4、选择现有域控的额外域控制器选项，按照正常步骤进行到结束，重启服务器5、安装DNS组件二、将额外域控制器提升为主域控的步骤（转换域的五个功能角色）1、将服务器IP地址中主DNS选项改为本机IP地址，额外的DNS选择其他DNS服务器地址2、打开AD用户和计算机工具，在服务器级别右键，选择连接到域控制器3、在弹出对话框中选择新安装的额外域控制器，点击确定4、在服务器级别右键，选择操作主机一项6、在弹出的对话框中有三个标签项，分别代表域中的三个功能角色：RID,PDC,结构，当前操作主机应该是当前的主域控制器，如果想把角色变更到新的额外的域控制器中，点击更改按钮，改变角色主机，如果更改成功会有相应提示成功。

分别将三个标签的角色都进行更改，如都成功了，说明在域中的三个重要角色已经转移到额外的域控制器中。

7、打开AD域和信任关系工具，参照之前的方法提升第四个功能角色（域命名主机），先选择连接到域控制器，在弹出对话框中选择额外的域控制器，确定退出8、再右键选择操作主机，在弹出的对话框中点击更改，更改角色主机9、更改第五个域的重要角色的操作主机位置，点击开始运行，输入regsvr32 schmmgmt.dll注册最后一个域的功能角色（架构主控），10、在开始运行输入MMC，点击控制台，点击添加删除管理单元11、在弹出的对话框中点击添加按钮，选择AD架构一项，点击添加，点击确定退出13、右键点击选择操作主机，将角色进行更改三。

、提升域控为GC1、在提升为主域控制器后，要将此域控提升为GC，在AD站点和服务工具中选择新的站点服务器，在NTDS SETTING中选择右键属性2、选中全局编录选项，确定退出，全局编录服务器设定完成。

一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange 应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

4、以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图.5、这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

故障描述：Windows server 2003 主域中毒杀毒后总是提示内存不够，及注册表报错分析域故障和修复注册表这个活基本上不是人干的，另辟蹊径干脆重装主域所花费的时间更短。

解决问题更彻底。

目前网络中有主域和额外的域各一台并且主域和额外的域都做有GHOST 备份。

（注意：主域恢复千万不能直接使用GHOST 恢复，不然各种权限设置都会回到GHOST备份时间）第一步在主域上的运行中输入regsvr32 schmmgmt第二步在主域上的运行中输入mmc回车后弹出如下窗口，点击操作添加/删除管理单元并添加如下图所示4个管理单元点击确定后1、鼠标右键单击Active Directory 架构选择更改域控制器，在弹出的窗口内输入额外域的域名。

2、鼠标右键单击Active Directory 架构选择操作主机，在弹出的对话框中点击更改。

3、鼠标右键单击Active Directory域和信任关系，选着连接到域控制器，在弹出的窗口中选着额外的域控制器点击确定。

4、鼠标右键单击Active Directory域和信任关系，选着操作主机，在弹出的窗口中选着更改5、鼠标右键单击Active Directory用户和计算机，选着连接到域控制器，在弹出的窗口中选着额外的域控制器点击确定。

6、鼠标右键单击域名主机（），选着操作主机，分别点击RID，pdc,结构点击更改现在主域的FSMO 的五个角色全部都转移到额外的域，现在额外的域（server2）变成了主域现在我们来验证一下找到windows 2003的安装光盘安装SUPTOOLS 工具在CMD 窗口下输入netdom query fsmo结果显示5个角色全部转移。

接下来我们要把SERVER 这台域降级为普通域成员，在server的运行窗口中输入dcpromo 下一步下一步因为网络中还有一台SERVER2 为主域，所以不要选着直接点击下一步输入管理员密码后点击下一步开始降级域如果降级过程遇到错误，点击上一步，然后在点击下一步即可。

解决将计算机提升至域控制器时的问题解决将计算机提升至域控制器时的问题当一个Windows 2003服务器被转换为一个域控制器时，系统会将一些特殊的域名解析记录写到该机器的DNS服务中(通常情况下是微软自己的DNS服务，但是第三方的DNS服务也会出现相同的情况)。

这些记录包括整个域环境的全局唯一标识(GUID)，这样活动目录就能够通过GUID地址来进行DNS解析。

如果一个管理员在没有提前为一台机器安装并配置DNS服务就把它提升为域控制器的话，那么上述活动目录的DNS解析记录就不会被正确的配置。

这样就会导致DNS服务没有保存这些特殊的解析记录，从而导致出现一些网络连接的问题。

你可以使用一个命令dcdiag来进行测试，它会在连接到DNS服务器时失败。

通常情况下，错误信息类似下面这些内容:()服务的GUID DNS名称无法被解析为一个IP地址。

请检查DNS 服务名称和DHCP名称。

尽管GUID DNS名称(._msdcs.domain-name.local)无法被解析，服务器名()仍可以被解析为IP地址()并且可以ping通。

请检查该IP地址是否在DNS服务中被正确注册。

很明显，这种问题会导致你的活动目录无法正常工作，下面是解决这个问题的方法:1.确保系统的TCP/IP设置是正确的，并且将其配置为支持本地DNS服务。

2. 打开“我的网络连接”|“本地连接”(或者是你目前使用的任何一个网络连接)|“Internet协议(TCP/IP)”|“属性”|“高级”|“DNS”。

3. 将第一个DNS服务器设置为本地计算机。

可以是本机的网络地址，或者是127.0.0.1(回环地址)。

4. 将“添加主要和连接指定的DNS后缀”和“添加父级后缀到主DNS后缀”两个选项选中。

5. 将“在DNS中注册该连接的地址”，然后单击“确定”退出。

6. 在命令提示行模式，输入命令ipconfig/flushdns并运行，然后再输入ipconfig/registerdns，以此清除本地DNS解析缓存并分别注册DNS源记录。

1.0 案例描述将windows server 2003域无缝迁移到windows server 2012 r2 ad ds域服务环境中，同时迁移”集成区域DNS 服务”。

迁移成功后的windows server 2012 r2域控制器作为网络中的”首选dns服务器”,原windows server 2003域控制器脱域后作为独立服务器使用。

IP：192.168.10.XGW：192.168.10.254DNS：192.168.10.7DNS：192.168.10.11DNS：192.168.10.12windows server 2003 enterprise with sp2：CRMEVOL_CN.isowindows server 2008 enterprise r2 with sp1：SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_ChnSimp_w_SP1_MLF_X17-22560.ISOwindows server 2012 r2 datacenter：cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso老的环境：dc01 192.168.10.5/24 windows server 2003 ee with sp2 删除dc02 192.168.10.6/24 windows server 2003 ee with sp2 删除dns01（+dc）192.168.10.7/24 windows server 2003 ee with sp2 删除domain name：test.local新的环境：dc03 （+dns）192.168.10.11/24 windows server 2008 r2 ee with sp1 删除（过渡）dc04（+dns）192.168.10.12/24 windows server 2012 r2 datacenter 保留dc01 （+dns）192.168.10.5/24 windows server 2012 r2 datacenter 保留dc02 （+dns）192.168.10.6/24 windows server 2012 r2 datacenter 保留1.1 安装dns组件控制面板------添加或删除程序-------添加/删除windows组件，选中网络服务------详细信息勾选域名系统（DNS），确定下一步，直至安装完成1.2 配置dns服务器1.2.1正向区域DNS------DNS01------正向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域输入区域名称创建区域文件动态更新------允许非安全和安全动态更新向导完成习惯修改名称服务器修改起始授权机构------主服务器1.2.2反向区域DNS------DNS01------反向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域反向查找区域------网络ID：192.168.10区域文件动态更新------允许非安全和安全动态更新向导完成修改名称服务器修改起始授权机构------主服务器1.3 配置windows 2003 dc服务器1.3.1配置第一台dc开始------运行------dcpromo欢迎使用ad向导------下一步操作系统兼容性------下一步域控制类型------新域的域控制器选择在新林中的域输入新域的DNS全名netbios域名数据库和日志文件文件夹------下一步共享的系统卷------下一步DNS注册诊断------下一步权限------下一步目录服务还原模式的管理员密码------下一步摘要信息------下一步开始安装，直至完成在dns管理器中已出现相应信息1.3.2配置第二台dc 配置如上，可参考1.3.1选择现有域的额外域控制器网络凭据------输入相关信息------下一步选择额外的域控制器------下一步摘要信息------下一步------直至安装结束在dns管理器中已出现相应信息1.4 检查fsmo角色位置在windows server 2003 dc服务器上安装windows support tools X:\ SUPPORT\TOOLS\suptools.msi在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置dsquery server –hasfsmo schemadsquery server –hasfsmo namedsquery server –hasfsmo pdcdsquery server –hasfsmo infrdsquery server –hasfsmo rid在windows server 2003 dc服务器上输入以下命令，检查fsmo角色位置netdom query fsmo在dc01服务器上输入net accounts显示信息是主域控制器在dc02服务器上输入net accounts显示信息是额外域控制器1.5 提升win2k3活动目录域功能级别登录到dc01服务器上，进行提升域功能级别操作当前域功能级别是windows 2000 混合模式，需要更改成windows server 2003域功能级别已更改成windows server 20031.6 提升win2k3活动目录林功能级别登录到dc01服务器上，进行提升林功能级别操作目前林功能级别是windows 2000更改林功能级别为windows 20031.7 dns服务器配置dc把dns01服务器配置成dc服务器，操作步骤如上，最后成为额外域控服务器+dns服务器AD用户和计算机-------domain controllers容器中显示如下DNS管理器中信息如下1.8 配置windows 2012 r2 dc服务器添加角色和功能选择角色组件AD域服务和DNS服务器开始安装直至结束组件安装完成，需要配置AD DS通过向导配置------选择将域控制器添加到现有域，输入域名和更改账户凭据提示域内找不到运行Windows2008、2008R2、2012的域控制器。

1.0 案例描述将windows server 2003域无缝迁移到windows server 2012 r2 ad ds域服务环境中,同时迁移”集成区域DNS 服务”。

迁移成功后的windows server 2012 r2域控制器作为网络中的”首选dns服务器”,原windows server 2003域控制器脱域后作为独立服务器使用。

IP:192.168.10.XGW:192.168.10.254DNS:192.168.10.7DNS:192.168.10.11DNS:192.168.10.12windows server 2003 enterprise with sp2:CRMEVOL_CN.isowindows server 2008 enterprise r2 with sp1:SW_DVD5_Windows_Svr_DC_EE_SE_Web_2008_R2_64Bit_ChnSimp_w_SP1_ MLF_X17-22560.ISOwindows server 2012 r2 datacenter:cn_windows_server_2012_r2_vl_x64_dvd_2979220.iso老的环境:dc01 192.168.10.5/24 windows server 2003 ee with sp2 删除dc02 192.168.10.6/24 windows server 2003 ee with sp2 删除dns01(+dc192.168.10.7/24 windows server 2003 ee with sp2 删除domain name:test.local新的环境:dc03 (+dns192.168.10.11/24 windows server 2008 r2 ee with sp1 删除(过渡dc04(+dns192.168.10.12/24 windows server 2012 r2 datacenter 保留dc01 (+dns192.168.10.5/24 windows server 2012 r2 datacenter 保留dc02 (+dns192.168.10.6/24 windows server 2012 r2 datacenter 保留1.1 安装dns组件控制面板------添加或删除程序-------添加/删除windows组件,选中网络服务------详细信息勾选域名系统(DNS,确定下一步,直至安装完成1.2 配置dns服务器1.2.1正向区域DNS------DNS01------正向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域输入区域名称创建区域文件动态更新------允许非安全和安全动态更新向导完成习惯修改名称服务器修改起始授权机构------主服务器1.2.2反向区域DNS------DNS01------反向查找区域鼠标右键------新建区域欢迎使用新建区域向导------下一步区域类型------主要区域反向查找区域------网络ID:192.168.10区域文件动态更新------允许非安全和安全动态更新向导完成修改名称服务器修改起始授权机构------主服务器1.3 配置windows 2003 dc服务器1.3.1配置第一台dc 开始------运行------dcpromo欢迎使用ad向导------下一步操作系统兼容性------下一步域控制类型------新域的域控制器选择在新林中的域输入新域的DNS全名netbios域名数据库和日志文件文件夹 ------下一步共享的系统卷 ------下一步DNS 注册诊断 ------下一步权限 ------下一步目录服务还原模式的管理员密码 ------下一步摘要信息 ------下一步开始安装,直至完成在 dns 管理器中已出现相应信息1.3.2配置第二台 dc配置如上,可参考1.3.1选择现有域的额外域控制器网络凭据 ------输入相关信息 ------下一步选择额外的域控制器 ------下一步摘要信息 ------下一步 ------直至安装结束在 dns 管理器中已出现相应信息1.4 检查 fsmo 角色位置在 windows server 2003 dc服务器上安装 windows support tools X:\ SUPPORT\TOOLS\suptools.msi在 windows server 2003 dc服务器上输入以下命令,检查 fsmo 角色位置 dsquery server – hasfsmo schemadsquery server – hasfsmo namedsquery server – hasfsmo pdcdsquery server – hasfsmo infrdsquery server – hasfsmo rid在 windows server 2003 dc服务器上输入以下命令,检查 fsmo 角色位置 netdom query fsmo在 dc01服务器上输入 net accounts 显示信息是主域控制器在 dc02服务器上输入 net accounts显示信息是额外域控制器1.5 提升 win2k3活动目录域功能级别登录到 dc01服务器上,进行提升域功能级别操作当前域功能级别是windows 2000 混合模式,需要更改成windows server 2003域功能级别已更改成windows server 20031.6 提升win2k3活动目录林功能级别登录到dc01服务器上,进行提升林功能级别操作目前林功能级别是windows 2000更改林功能级别为windows 20031.7 dns服务器配置dc把dns01服务器配置成dc服务器,操作步骤如上,最后成为额外域控服务器+dns 服务器AD用户和计算机-------domain controllers容器中显示如下DNS管理器中信息如下1.8 配置windows 2012 r2 dc服务器添加角色和功能选择角色组件AD域服务和DNS服务器开始安装直至结束。

一、降域1.点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”。

2. 如果不成功，则单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval强制降级，我们的服务器属于强制降级操作3. 单击“确定”。

4. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

5. 如果您要删除的计算机是全局编录服务器，请单击消息窗口中的“确定”。

6. 在“删除Active Directory”页中，确保已清除“这个服务器是域中的最后一个域控制器”复选框，然后单击“下一步”。

7. 在“网络凭据”页中，键入林中具有企业管理员凭据的用户帐户的名称、密码和域名称，然后单击“下一步”。

8. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

9. 在“摘要”页上，单击“下一步”。

10. 重启计算机，降域成功。

二、升域1.点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:2.操作形态兼容性模板：这里是一个兼容性的要求，直接点击“下一步”:3.域控制器类型：在这里有新域的域控制器和现有域的额外域控制器两个选项，由于这是新建的第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:4.创建一个新域：有创建一个新的在新林中的域、在现有域树中的子域、在现有的林中的域树三个选项，因为是第一台域控，所以选择“在新林中的域”，点击下一步5.新的域名：在这里我们要指定一个域名，我在这里指定的是，输入新建域的域名，我们将新的域起名为，点击下一步BIOS域名：TARADIO，点击下一步7.数据库和日志文件文件夹：在这里要指定Active Directory数据库和日志的存放位置，采取默认，点击下一步8.共享的系统卷：c:\WAIDOWS\SYSVOL, 点击下一步9.DNS注册诊断：这里有三个选项，第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

当生产环境当中的主域控出现故障，需要把域控的组织架构、策略、用户账号信息迁移到新域控，首先是搭建一台辅助域控然后提升主机模式到2003纯模式，最后迁移主域控的五个操作主机即可。

Active Directory内总共定义了五个操作主机角色：架构主机（schema master）域命名主机(domain naming master)RID主机(relative identifier master)PDC模拟主机(PDC emulator master)基础结构主机(infrastructure master)每个操作主机的主要功能如下：1、架构主机：负责更新与修改schema内的对象与属性数据，只有有Schema Admin组内的成员才有权利修改schema内的数据。

如果架构主机出现故障或离线，可能会影响某些软件的运作，例如某些服务器级的软件在安装时，会在schema 内添加对象，如果架构主机出现故障或离线，将无法安装这些软件。

2、域命名主机：负责管理林内域的添加与删除工作。

如果域命名主机出现故障或离线，将无法在林内添加或删除域。

3、R ID主机：a、发放RID RID主机负责发放RID（relativeID）给其域内的所有域控制器。

当域控制器内添加一个用户、组或者计算机对象时，域控制器必须指派一个惟一的安全识别码（SID）给这个对象，此对象的SID是由域的SID与RID所组成的，也就是说“对象的SID=域的SID+RID”，而RID并不是由每一台域控制器自己产生的，它是由“RID操作主机”来统一发放给其域内的所有域控制器的。

每一台域控制器需要RID时，它会向“RID主机”索取一些RID，用完后再向“RID操作主机”索取；b、移动对象无论目前所连接的域控制器是哪台，当要将某个对象传送到另外一个域时，系统会移动位于“RID主机”内的对象，然后通知其他域控制器该对象已被转移。

这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。

把一台成员服务器提升为域控制器目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

额外域控制升级为主域控制器（一）一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN: IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

备份域升为主域控制器[日期：2007-10-01] 来源：作者：[字体：大中小] AD恢复主域控制器本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

----------------------------------------------------------------------目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本----------------------------------------------------------------------一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID)主机此操作主机负责向其它DC 分配RID 池。

将成员服务器升为域控制器--1(安装第一台域控制器)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的WindowsServer2003，客户端则采用WindowsXP。

首先，当然是在成员服务器上安装上WindowsServer2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于WindowsServer2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证WindowsServer2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“ActiveDirectory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows95及NT4SP3以前的版本无法登陆运行到WindowsServer2003的域控制器，我建议大家尽量采用Windows2000及以上的操作系统来做为客户端。

额外域控制升级为主域控制器一、实验环境：域名为1、原主域控制器System: windows 20003 ServerFQDN:IP：192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、辅助域控制器System: windows 2003 ServerFQDN：IP：192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、Exchange 2003 ServerFQDN:IP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。

如果升级成功，对Exch ange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制，从而不影响所有依靠AD的服务。

三、实验步骤1、安装域控制器。

第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。

在第一台域控制安装好后,下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的Exchange Server工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。

3、我们发现发送邮件测试成功，这证明Exchange是正常的。

下面正式开始安装第二台域控制器。

也是就辅助域控制器（BDC）。

Windows Server 2012史记-从03域控升级至2012本文主要介绍一下如何在现有Windows2003EE为域控的环境下，升级至Windows2012为域控。

这是一个神秘的话题，嗯，看完本文有惊喜。

升级环境平心而论，这个话题现在谈还算是比较无聊。

因为WindowsServer2012才刚刚上市，稳定性和可靠性还有待验证；另一方面，对于拿一个只有180天试用期的产品去替换运行多达数年的产品，总觉得不靠谱。

不过未来的趋势就是这样，WindowsServer2012作为生产环境的主域控或许会作为你们未来的一项工作，而这项具体的工作，我们可以提前先了解一下。

本次实验环境如下，以虚拟机搭建，其中所使用的域为，生产环境建议最少为2012配置2G 内存：操作系统角色配置W2K3 EE （企业）DC XeonE5310 1CPU、384M内存W2012 DE（数据中心）加入Contoso的成员机XeonE5310 1CPU、1G内存1、将W2012DE加到域中的操作一笔带过，如图所示，非常简单。

2、点击添加角色和功能3、直接点击下一步4、选择基于角色或功能安装。

5、由于这个实验只用了一台2012的服务器，因此在服务器池中只有一个。

6、选择添加AD域服务，同时添加所需功能。

7、根据提示操作，点击下一步。

8、安装过程很快，耐心等待。

9、你以为这样就完成了么？事实上根本不可能！10、返回服务器管理器，点击ADDS→黄色条的”更多”，完成将2012提升为域控的操作。

11、点击图示的按钮。

12、出现ad域服务配置向导，默认即可（如果你也采用域管理员登陆的话。

）13、报错，提示当前林级别为Windows2000。

出现这个提示需要提升Windows2003系统的林功能级别。

Windows2003上的操作14、返回Windows2003的机器上，在ad域和信任关系中，右键选择域名→提升域功能级别。

15、选成2003模式并确认。

windows 域控制器的迁移(5个FSMO角色)原有一台域控制器（称为A机），新机（称为B机）在 Windows 2000 中，可以通过 MMC 工具转移五个 FSMO 角色。

为使转移成功，双方计算机都必须能够联机访问到。

如果有一个计算机已不存在，则必须取回其角色。

要取回一个角色，必须使用 Ntdsutil实用工具。

现在我两台DC均为可用，所以不必用到Ntdsutil，而通过MMC 来直接操作。

操作步骤写下来，大家看看是否可行：一、转换FSMO角色：1、转移特定于域的角色：RID、PDC 和结构主机（1）单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。

（2）右键单击“Active Directory 用户和计算机”一旁的图标，然后单击“连接到域控制器”。

备注：如果不在要转移其角色的域控制器上（A机），则需要执行此步骤。

如果连接着要转移其角色的那一域控制器（A机），则不必执行此步骤。

（3）单击将成为新的角色担任者的域控制器（B机），然后单击确定。

（4）右键单击“Active Directory 用户和计算机”图标，然后单击操作主机。

（5）在更改操作主机对话框中，单击与要转移的角色对应的选项卡（RID、PDC 或结构）。

（6）单击更改操作主机对话框中的更改。

（7）单击确定以确认想转移的角色（RID、PDC、结构）。

（8）单击确定。

（9）单击取消关闭对话框。

2、转移域命名主机角色（1）单击开始，指向程序，指向管理工具，然后单击“Active Directory 域和信任关系”。

（2）右键单击“Active Directory 域和信任关系”图标，然后单击“连接到域控制器”。

（3）单击将成为新的角色担任者的域控制器（B机），然后单击确定。

（4）右键单击“Active Directory 域和信任关系”，然后单击操作主机。

（5）在更改操作主机对话框中，单击更改。