两个主控域,五角色等

其实2003以后的域控，主域控和备份域控区别不大，而是有各种主机角色我找到篇文章，复制过来你看下本文主要阐述在AD域控制器集群中，PDC与BDC之间的角色转换过程，介绍了2种方法：1、从主域控制器上转换角色；2、从域控制器抢占角色。一、 实验环境：域名为1、 原主域控制器System:windows20003ServerFQDN:PDC.IP：Mask:DNS:2、 辅助域控制器System:windows2003ServerFQDN：BDC.IP：Mask:DNS:3、 Exchange2003ServerFQDN:IP:Mask:DNS:也许有人会问，做辅域升级要装个Exchange干什么？其实我的目的是为了证明我的升级是否成功，因为Exchange和AD是紧密集成的，如果升级失败的话，Exchange应该就会停止工作。如果升级成功，对Exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。二、 实验目的：在主域控制器（PDC）出现故障的时候通过提升辅域控制器（BDC）为主域控制，从而不影响所有依靠AD的服务。三、 实验步骤I、PDC角色转换（适用于PDC与BDC均正常的情况）1、 安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS组件。在第一台域控制安装好后，下面开始安装第二台域控制器（BDC），首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后，并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。2、 在安装辅助域控器前先看一下我们的ExchangeServer工作是否正常，到ExchangeServer中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试。3、我们发现发送邮件测试成功，这证明Exchange是正常的。下面正式开始安装第二台域控制器。也是就辅助域控制器（BDC）。4、 以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】-＞【运行】在运行里输入dcpromo打开活动目录安装向导，.点两个【下一步】，打开.5、 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。6、 这里输入你的域管理员的用户名和密码，点【下一步】。7、 这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，安装完成大概要几分钟，你就耐心的等待吧8、 几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了9、 再查看一下FSMO（五种主控角色）的owner，安装WindowsServer安装光盘中的Support目录下的supporttools工具，然后打开提示符输入：netdomqueryfsmo以输出FSMO的owner,10、现在五个角色的woner都是PDC,我的就是要把这个五个角色转移到BDC上，使BDC成为这五个角色的owner。11、 现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil回车，再输入:roles回车，再输入connections回车，再输入connecttoserverBDC-->（备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出12、 输入？回车可看到以下信息：Connections -连接到一个特定域控制器Help -显示这个帮助信息Quit -返回到上一个菜单Seizedomainnamingmaster-在已连接的服务器上覆盖域角色Seizeinfrastructuremaster-在已连接的服务器上覆盖结构角色SeizePDC -在已连接的服务器上覆盖PDC角色SeizeRIDmaster -在已连接的服务器上覆盖RID角色Seizeschemamaster-在已连接的服务器上覆盖架构角色Selectoperationtarget-选择的站点，服务器，域，角色和命名上下文Transferdomainnamingmaster-将已连接的服务器定为域命名主机Transferinfrastructuremaster-将已连接的服务器定为结构主机TransferPDC -将已连接的服务器定为PDCTransferRIDmaster-将已连接的服务器定为RID主机Transferschemamaster-将已连接的服务器定为架构13、 然后分别输入：Transferdomainnamingmaster回车Transferinfrastructuremaster回车TransferPDC 回车TransferRIDmaster回车Transferschemamaster回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上按Q退出界面，14、 这五个步骤完成以后，检查一下是否全部转移到BDC上了，打开在第9步时装windowssupporttools,开始一>程序->windowssupporttools->commandprompt,输入netdomqueryfsmo,全部转移成功.现在五个角色的owner都是BDC了.15、 角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。展开BDC，右击【NTDSSettings]点【属性】，勾上全局编录前面的勾，点确定16、 然后展开PDC，右击【NTDSSettings]点【属性】，去掉全局编录前面的勾。这样全局编录也转到BDC上去了，致此主域控制器已经变成BDC了。而PDC就成了辅助域控制器了。17、 现在已经可以把原来的主域控制器（PDC）删除掉了，在（PDC）现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了，而下面所有的客户端的DNS都是指向原来的主域控制器的，这样就会出现很多问题，包括你的Exchange就找不到域控制器，所以我最简单的方法就是把BDC（现在的主域控制器）的IP改为PDC（原来的主域控制器）的IP就好了。18、 这些改完以后启动Exchange，exchange不要做任何更改就可以正常工作了，但这时在exchange的日志里是有一项错误（MSExchangeAL事件8026和8260）。原因为收件人更新服务配置为使用Windows域控制器被降级，。收件人更新服务尝试查询有关该更新，Windows无法联系域控制器。解决办法：打开Exchange系统管理器。展开”收件人”容器，然后单击收件人更新服务。双击每个收件人更新服务，然后再将Windows域控制器设置更改为新域中Windows域控制器。这样设置完以后，重新启动计算机，一切正常了，发封邮件试试，一切正常。致此全部完成了。FSMO角色介绍：架构主机(Schemamaster)一架构主机角色是林范围的角色，每个林一个。此角色用于扩展ActiveDirectory林的架构或运行adprep/domainprep命令。域命名主机(Domainnamingmaster)一域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。RID主机(RIDmaster)—RID主机角色是域范围的角色，每个域一个。此角色用于分配RID池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。结构主机(Infrastructuremaster)—结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用，用于成功运行adprep/forestprep命令，以及更新跨域引用的对象的SID属性和可分辨名称属性。PDC模拟器(PDCemulator)—PDC模拟器角色是域范围的角色，每个域一个。将数据库更新发送到WindowsNT备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。ZEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEZ今天早上接的case，客户是一小公司，唯一的DC由于硬件故障启动不了，更换硬件后，提示目录服务无法启动，只能进activedirectoryrestoremode。查阅KB258062，还是无法修复，提示：OpenDITdatabase...CouldnotinitializethejetengineJeterror-255Failed看来无法修复。可是客户又没有备份，只能重建activedirectory0如果有其他域控制器，则情况就简单了，把这台DCoffline，然后在其他DC上删掉这台DC，清理一下activedirectory，网上可以找到大量参考文章。可是现在没有其他DC，显然无损恢复是不可能了，如何让这台机尽快backonline，因为这台机上还有大量其他的应用软件，如果重装OS，太费时间。最快的办法是将activedirectory删掉，然后重建activedirectoryo如何删AD，一般用dcpromo.exe，可是dcpromo不能在adrestoremode用，而正常模式又进不去，怎么办？在adrestoremode用regedit，编辑HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ProductOptions下的ProductType，改成ServerNT(大小写敏感)，然后reboot。启动时windows会认为这是一台普通server，成功进入windows，用dcpromo将该机提升为DC，新建一个临时域，并且一定要是新的forest。重起之后再用dcpromo降级，至此所有无用的ad信息全部删除，系统恢复成普通servero总结，网上可以找到大量文章讲"howtoremovedcfromactivedirectory"，却找不到"howtoremoveactivedirectoryfromafaileddc"o今天自己实践了一下，并把过程写下，希望对大家有一些帮助。—公司有AB两台域控制器,B上设置了DNS,B坏了硬盘，在此期间，客户机不能加域，我在A上NTDSUTIL管理把B删除了，把FSMO给了A，并在A上重新设置了DNS后可以加域.此后B被保修好了.又正常启动，但两者的AB已经不同步.于是想给B降级，运行DCPROMO后提示不能联系到域，如何是好.问题1：如何降低B,以便再复制一次AD使2者同步.问题2:DNS会导致加不了域?我不确定是重新搞了DNS让系统正常的，还是其他操作.问题补充：”但两者的AB已经不同步”应为两者的"AD"已经不同步.用你们的dcpromo..显示参数不对，我的是2003S,能否补充一下？最佳答案巧的很，我刚解决了一个和你一样的问题。呵呵。

使用dcpromo/forceremoval将你的B域控强制降级，然后在A域控上手动清除元数据，清除OLDDNS就行了。附我的清除元数据操作步骤：在命令提示符下，键入：ntdsutil。键入：metadatacleanup，然后按ENTER键。键入：connections，然后按ENTER键。键入：connecttoserver服务器名（例如：connecttoservermcse）键入：quit，然后按ENTER键。MetadataCleanu