主域控与辅助域控建立转换.

本文主要阐述在 AD 域控制器集群中, PDC 与 BDC 之间的角色转换过程,介绍了 2种方法: 1、从主域控制器上转换角色; 2、从域控制器抢占角色。

一、 实验环境:

域名为 test.com

1、 原主域控制器

System: windows 20003 Server

FQDN: PDC.test.com

IP :192.168.50.1

Mask:255.255.255.0

DNS:192.168.50.1

2、 辅助域控制器

System: windows 2003 Server

FQDN :BDC.test.com

IP :192.168.50.2

Mask: 255.255.255.0

DNS:192.168.50.1

3、 Exchange 2003 Server

FQDN:mail.test.com

IP:192.168.50.3

Mask:255.255.255.0

DNS:192.168.50.1

也许有人会问,做辅域升级要装个 Exchange 干什么?

其实我的目的是为了证明我的升级是否成功, 因为 Exchange 和 AD 是紧密集成的, 如果升级 失败的话, Exchange 应该就会停止工作。如果升级成功,对 Exchange 应该就没有影响,其 实现在我们很多的生产环境中有很多这样的情况。

二、实验目的:

在主域控制器 (PDC出现故障的时候通过提升辅域控制器 (BDC为主域控制,从而不影响所有 依靠 AD 的服务。

三、实验步骤

Ⅰ、 PDC 角色转换(适用于 PDC 与 BDC 均正常的情况

1、 安装域控制器。第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两 台域控器都要安装 DNS 组件。在第一台域控制安装好后 , 下面开始安装第二台域控制器 (BDC , 首先将要提升为辅助域控制的计算机的计算机名 ,IP 地址及 DNS 跟据上面设置好以 后 , 并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。

2、在安装辅助域控器前先看一下我们的 Exchange Server工作是否正常,到 Exchange Server 中建立两个用户 test1和 test2, 并为他们分别建立一个邮箱, 下面使用他们相互发送邮件进 行测试。

3、 我们发现发送邮件测试成功,这证明 Exchange 是正常的。下面正式开始安装第二台域 控制器。也是就辅助域控制器(BDC 。

4、 以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】 ->【运行】在运行 里输入 dcpromo 打开活动目录安装向导 ,. 点两个【下一步】 , 打开 .

5、 这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】 ,点【下一

步】 。

6、 这里输入你的域管理员的用户名和密码,点【下一步】 。

7、 这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】 ,再 连续点三个下一步,就开始安装了,安装完成大概要几分钟,你就耐心的等待吧

8、几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为 了 test.com 域的辅助域控制了。 此时在活动目录用户和计算机的域控制器里已经有两台域控 制了

9、 再查看一下 FSMO (五种主控角色 的 owner , 安装 Windows Server安装光盘中的 Support 目录下的 support tools 工具,然后打开提示符输入:netdom query fsmo 以输出 FSMO 的 owner ,

10、 现在五个角色的 woner 都是 PDC , 我的就是要把这个五个角色转移到 BDC 上, 使 BDC 成为这五个角色的 owner 。

11、现在登陆 PDC (主域控制器 ,进入命令提示符窗口,在命令提示符下输入:ntdsutil 回 车,再输入 :roles 回车,再输入 connections 回车,再输入 connect to server BDC --> (备 注:这里的 dc-1是指服务器名称 ,提示绑定成功后,输入 q 退出

12、 输入?回车可看到以下信息:

Connections - 连接到一个特定域控制器

Help - 显示这个帮助信息

Quit - 返回到上一个菜单

Seize domain naming master - 在已连接的服务器上覆盖域角色

Seize infrastructure master - 在已连接的服务器上覆盖结构角色

Seize PDC - 在已连接的服务器上覆盖 PDC 角色

Seize RID master - 在已连接的服务器上覆盖 RID 角色

Seize schema master - 在已连接的服务器上覆盖架构角色

Select operation target - 选择的站点,服务器,域,角色和命名上下文

Transfer domain naming master - 将已连接的服务器定为域命名主机

Transfer infrastructure master - 将已连接的服务器定为结构主机

Transfer PDC - 将已连接的服务器定为 PDC

Transfer RID master - 将已连接的服务器定为 RID 主机

Transfer schema master - 将已连接的服务器定为架构

13、然后分别输入:

Transfer domain naming master 回车

Transfer infrastructure master 回车

Transfer PDC 回车

Transfer RID master 回车

Transfer schema master 回车

以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择 YES ,然后接着 一条一条完成既可,完成以上按 Q 退出界面,

14、 这五个步骤完成以后, 检查一下是否全部转移到 BDC 上了, 打开在第 9步时装 windows support tools, 开始->程序 ->windows support tools->command prompt, 输入 netdom query fsmo, 全部转移成功 . 现在五个角色的 owner 都是 BDC 了 .

15、角 色转 移成功 以后 ,还要 把 GC 也转 移过去 ,打 开活动 目录 站点和 服务 ,展

开

site->default-first-site-name->servers,你会看到两台域控制器都在下面。 展开 BDC , 右击 【 NTDS Settings 】点【属性】 ,勾上全局编录前面的勾,点确定

16、然后展开 PDC ,右击【 NTDS Settings 】点【属性】 ,去掉全局编录前面的勾。这样全局 编录也转到 BDC 上去了, 致此主域控制器已经变成 BDC 了。 而 PDC 就成了辅助域控制器了。

17、现在已经可以把原来的主域控制器(PDC 删除掉了,在 (PDC现在的辅助域控制器上运 行 dcpromo 按照提示一步一步的删除它,然后将它退出域。就完成了整个升级过程。这里 还有一点要注要的:升级完以后,你现在的主域控制器的 IP 地址是新的,而不是原来的那 个 IP 地址了,而下面所有的客户端的 DNS 都是指向原来的主域控制器的,这样就会出现很 多问题,包括你的 Exchange 就找不到域控制器,所以我最简单的方法就是把 BDC (现在的 主域控制器的 IP 改为 PDC (原来的主域控制器的 IP 就好了。

18、 这些改完以后启动 Exchange , exchange 不要做任何更改就可以正常工作了,但这时 在 exchange 的日志里是有一项错误(MSExchangeAL 事件 8026 和 8260 。原因为收件人更 新服务配置为使用 Windows 域控制器被降级, 。收件人更新服务尝试查询有关该更新 , Windows 无法联系域控制器。

解决办法:打开 Exchange 系统管理器。 展开 \" 收件人 \" 容器 , 然后单击 收件人更新服务。 双击每个收件人更新服务 , 然后再将 Windows 域控制器 设置更改为新域中

Windows 域 控制器。这样设置完以后,重新启动计算机,一切正常了,发封邮件试试,一切正常。致此 全部完成了。

FSMO 角色介绍:

架构主机 (Schema master -架构主机角色是林范围的角色, 每个林一个。 此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

域命名主机 (Domain naming master -域命名主机角色是林范围的角色,每个林一个。此 角色用于向林中添加或从林中删除域或应用程序分区。

RID 主机 (RID master -RID 主机角色是域范围的角色, 每个域一个。 此角色用于分配 RID 池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

结构主机 (Infrastructure master -结构主机角色是域范围的角色,每个域一个。此角色供 域控制器使用, 用于成功运行 adprep /forestprep 命令, 以及更新跨域引用的对象的 SID 属 性和可分辨名称属性。

PDC 模拟器 (PDC emulator -PDC 模拟器角色是域范围的角色, 每个域一个。 将数据库更 新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外,拥有此角色的 域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。