域控转移

在AD 域控制器集群中，主域控制器（PDC ）跟踪域中所有计算机帐户的更改，每个域只有一个 PDC。备份域控制器（BDC ）也将验证用户的登录信息并按 PDC 的需要提高其功能。在一个域中可以有多个

在AD 域控制器集群中，主域控制器（PDC ）跟踪域中所有计算机帐户的更改，每个域只有一个 PDC。备份域控制器（BDC ）也将验证用户的登录信息并按 PDC 的需要提高其功能。在一个域中可以有多个 BDC。那么主域控制器（PDC ）与备份域控制器（BDC ）之间如何进行角色转换呢？

本文介绍了介绍了2种方法：

1、从主域控制器上转换角色；2、从域控制器抢占角色。

一、 实验环境：

域名为test.com

1、 原主域控制器

System: windows 20003 Server

FQDN: PDC.test.com

IP ：192.168.50.1

Mask:255.255.255.0

DNS:192.168.50.1

2、 备份域控制器

System: windows 2003 Server

FQDN ：BDC.test.com

IP ： 192.168.50.2

Mask: 255.255.255.0

DNS:192.168.50.1

3、 Exchange 2003 Server

FQDN:mail.test.com

IP:192.168.50.3

Mask:255.255.255.0

DNS:192.168.50.1

也许有人会问，做备份域控制器升级要装个Exchange 干什么？

其实我的目的是为了证明我的升级是否成功，因为Exchange 和AD 是紧密集成的，如果升级失败的话，Exchange 应该就会停止工作。如果升级成功，对Exchange 应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。

二、实验目的：

在主域控制器(PDC)出现故障的时候通过提升备份域控制器(BDC)为主域控制，从而不影响所有依靠AD 的服务。

三、实验步骤

Ⅰ、PDC 角色转换（适用于PDC 与BDC 均正常的情况）

1、 安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装DNS 组件。在第一台域控制安装好后, 下面开始安装第二台域控制器（BDC ），首先将要提升为备份域控制的计算机的计算机名,IP 地址及DNS 跟据上面设置好以后, 并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。

2、在安装备份域控器前先看一下我们的Exchange Server 工作是否正常，到Exchange Server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试。

3、 我们发现发送邮件测试成功，这证明Exchange 是正常的。下面正式开始安装第二台域控制器。也是就备份域控制器（BDC ）。

4、 以域管理员身份登陆要提升为备份域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo 打开活动目录安装向导,. 点两个【下一步】, 打开.

5、 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。

6、 这里输入你的域管理员的用户名和密码，点【下一步】。

7、 这里提示你的这台域控制将成为哪个域的额外域控制器，如果正确，点【下一步】，再连续点三个下一步，就开始安装了，安装完成大概要几分钟，你就耐心的等待吧

8、几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了test.com 域的备份域控制器了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了

9、再查看一下FSMO （五种主控角色）的owner ，安装Windows Server安装光盘中的Support 目录下的support tools工具，然后打开提示符输入：netdom query fsmo 以输出FSMO 的owner ，

10、 现在五个角色的woner 都是PDC ，我的就是要把这个五个角色转移到备份域控制器上，使备份域控制器成为这五个角色的owner 。

11、现在登陆PDC （主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q 退出。

12、 输入？回车可看到以下信息：

1. Connections - 连接到一个特定域控制器

2. Help - 显示这个帮助信息

3. Quit - 返回到上一个菜单

4. Seize domain naming master - 在已连接的服务器上覆盖域角色

5. Seize infrastructure master - 在已连接的服务器上覆盖结构角色

6. Seize PDC - 在已连接的服务器上覆盖 PDC 角色

7. Seize RID master - 在已连接的服务器上覆盖 RID 角色

8. Seize schema master - 在已连接的服务器上覆盖架构角色

9. Select operation target - 选择的站点，服务器，域，角色和命名上下文

10. Transfer domain naming master - 将已连接的服务器定为域命名主机

11. Transfer infrastructure master - 将已连接的服务器定为结构主机

12. Transfer PDC - 将已连接的服务器定为 PDC

13. Transfer RID master - 将已连接的服务器定为 RID 主机

14. Transfer schema master - 将已连接的服务器定为架构

13、然后分别输入：

1. Transfer domain naming master 回车

2. Transfer infrastructure master 回车

3. Transfer PDC 回车

4. Transfer RID master 回车

5. Transfer schema master 回车

以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES ，然后接着一条一条完成既可，完成以上按Q 退出界面，

14、 这五个步骤完成以后，检查一下是否全部转移到备份域控制器上了，打开在第9步时装windows support tools, 开始－>程序->windows support tools->command prompt, 输入netdom query fsmo,全部转移成功. 现在五个角色的owner 都是备份域控制器了.

15、角色转移成功以后，还要把GC 也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。展开备份域控制器，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾，点确定

16、然后展开PDC ，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。这样全局编录也转到备份域控制器上去了，致此主域控制器已经变成备份域控制器了。而PDC 就成了备份域控制器了。

17、现在已经可以把原来的主域控制器（PDC ）删除掉了，在(PDC)现在的辅助域控制器上运行dcpromo 按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP 地址是新的，而不是原来的那个IP 地址了，而下面所有的客户端的DNS 都是指向原来的主域控制器的，这样就会出现很多问题，包括你的Exchange 就找不到域控制器，所以我最简单的方法就是把备份域控制器（现在的主域控制器）的IP 改为PDC （原来的主域控制器）的IP 就好了。

18、 这些改完以后启动Exchange ，exchange 不要做任何更改就可以正常工作了，但这时在exchange 的日志里是有一项错误（MSExchangeAL 事件 8026 和8260）。原因为收件人更新服务配置为使用 Windows 域控制器被降级，。收件人更新服务尝试查询有关该更新, Windows无法联系域控制器。

解决办法：打开 Exchange 系统管理器。展开 " 收件人 " 容器, 然后单击 收件人更新服务。双击每个收件人更新服务, 然后再将 Windows 域控制器 设置更改为新域中

Windows 域控制器。这样设置完以后，重新启动计算机，一切正常了，发封邮件试试，一切正常。致此全部完成了。

FSMO 角色介绍：

架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。

RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

结构主机 (Infrastructure master) －结构主机角色是域范围的角色，每个域一个。此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

主域控制器和备份域控制器有时候经常需要进行角色转换，希望读者能够熟练掌握这两个之间角色转换的方法。