额外域控制器的升级—夺权

1、额外域控制器的升级夺权   几天前做过这样一个工作，将公司域控制器从旧的服务器上迁移到新的服务器上，目的就是为了给域控做一下硬件的升级。这个任务很艰巨的，我从没有做过这样的事，觉得特别有意思。经过同事的指点，我慢慢的开始小心翼翼的进行工作。工作完成的很顺利，但也有些不足的地方，印象很是深刻，觉得有必要将它留在51cto上与大家分享。下面是环境图：          环境并不复杂，域控系统为windows 2008 R2 ，DNS、DHCP服务寄存在域控上。也就是说这并不单单是

2、迁移域控的事情了，还要将DNS、DHCP服务同时迁移过去。呵呵，不过这都不是难题，我马上为大家呈现解决办法。解决这些问题的办法我简单做了一下汇总：1、 升级新服务器为额外域控制器，同时添加DNS备份，添加DHCP角色。2、 转移域控五大角色。3、 卸载域控。4、 断开域控DHCP服务，授权新域控的DHCP服务，防止两个服务出现冲突。完成这几步后就可以大胆的将旧的服务器关闭掉，原先的备份服务器就已经完全作为新的域控制器工作了。首先将新服务器作为域控的备份服务器加入域，过程中需要将DNS服务同时转移到备份服务器上面就可以解决DNS的迁移问题了。添加DHCP角色，但不要做任何配置，因为作为域控的备份

3、服务器DHCP也会被自动导入域控的DHCP配置。这里不做过多的拗述了。作为域控制器是因为它兼有五大角色，分别是PDC主机，RID主机，结构主机，域命名主机和架构主机，五大角色是域控特有的，其各自的属性特征这里不做阐述。首先我们登录域控服务器，打开服务器管理台，选择“角色”，找到“AD用户和计算机”，邮件服务器属性，“更改域控制器”如下图：选择将要继承域控职责的BDC作为当前服务器。  然后在服务器右键选择“操作主机”，我们看到域控的三个角色，RID主机、PDC主机和基础结构。当前的操作主机是PDC，要传递的主机是BDC，不用想了马上更改。其它的两个角色也使用同样的配置，给改

4、主机为BDC。 然后修改全局编录服务器，点击站点服务器，找到services下的两个服务器，如下图点击PDC属性，去掉它的全局编录的属性，即可。接下来更改域名控制主机，找到AD域和信任关系，右键点击“属性”更改域控制器，在更改操作主机。如下图。下面是比较困难的更改AD的架构主机了，首先我们进入命令模式，先要注册一个链接库文件，如下输入：“regesvr32 schmmgmt.dll”然后回车，注册成功。 现在添加AD架构，来更改域控的架构主机，如下图： 使用以上更改主机方法更改架构主机，却是要求我们使用famo模式更改，因为架构主机对于域控制器非常重要，它同时是林

5、级别的服务，安全性要求是比较高的。使用ntdstuil命令进入更改模式，使用roles命令进入更改角色的模式，connections命令进入服务器连接模式，连接命令为connect to server BDC 连接到BDC服务器，然后quit 退出该模式，因为已经锁定BDC服务器。使用“？”查看当前命令提示，其中使用“transfer”命令的有五条，他们全部是转移五大角色的命令，此命令只有在两服务器全部在线的情况下有效，如果脱机情况下，备份控制器就只有使用“size”命令来强行将角色转移到本机。我们在这里选择最后一条命令“transfer schema master ”转移架构主机角色。如下图

6、所示，架构主机角色成功完成转移。我们查询一下AD架构，看看其是否已经完成转移。如下，架构主机的运行服务器已经更改为BDC服务器，转移成功。   当角色完全转移后就可以卸载PDC了，这里有两个问题，如果PDC是正常运行的就可以使用正常卸载，但是当PDC和BDC无法正常复制的话那就只有使用强制卸载了，命令是dcpromo /forceremoveal这个是在迫不得已的情况下使用的方法。因为使用这个方法将会是你进行后续的清理工作，例如：清理AD数据，清理其DNS的SRV记录，adsiedit.msc中清理domain controller中的旧的DC记录。但是这样子清理也不是彻底的，还需要使用ntdsutil命令连接到域内的需要删除的服务器进行锁定，然后删除即可。这样子很麻烦的，我就是用了这样子的方法，一步一步终于清理完成域控的残余数据。因为当时的疏忽，过早的卸载了