最全面的额外域控制升级为主域控制器实验方法.docx
- 文档编号:8614420
- 上传时间:2023-02-01
- 格式:DOCX
- 页数:21
- 大小:839.75KB
最全面的额外域控制升级为主域控制器实验方法.docx
《最全面的额外域控制升级为主域控制器实验方法.docx》由会员分享,可在线阅读,更多相关《最全面的额外域控制升级为主域控制器实验方法.docx(21页珍藏版)》请在冰豆网上搜索。
最全面的额外域控制升级为主域控制器实验方法
额外域控制升级为主域控制器实验
一、实验环境:
域名为
原主域控制器
System:
windows20003Server
FQDN:
PDC
IP:
192.168.10.100
Mask:
255.255.255.0
DNS:
192.168.10.1
辅助域控制器
System:
windows2003Server
FQDN:
BDC
IP:
192.168.10.101
Mask:
255.255.255.0
DNS:
192.168.10.1
二、实验目的:
在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
一般公司部署两台ADserver来维持正常运行,一台为主域控制器,另外一台为额外域控制器,如果主ADserver损坏可通过额外的域控制器来维持环境正常运行,如果之前没有通过备份,同时AD由于硬件设备而导致不能正常工作,这个时候我们就需要将额外的域控制器提升为主AD。
三、以下介绍三种额外域提升为主域方法
(一)
(二)
(三)
四、实验步骤:
(一)当主域正常运行时,如何将额外域控制器提升为主域控制器(命令行界面)
1.安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2.以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】,打开如图.
3.这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。
如图
4.这里输入你的域管理员的用户名和密码,点【下一步】。
如图:
5. 这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,如图,安装完成大概要几分钟,你就耐心的等待吧,如图:
6.几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为了域的辅助域控制了。
此时在活动目录用户和计算机的域控制器里已经有两台域控制了,如图:
7.再查看一下FSMO(五种主控角色)的owner,安装WindowsServer安装光盘中的Support目录下的supporttools工具,然后打开提示符输入:
netdomqueryfsmo以输出FSMO的owner,如图:
重点环节
8.现在五个角色的woner都是PDC,现在需要把这个五个角色转移到BDC上,使BDC成为owner。
9.现在登陆PDC(主域控制器)打开命令提示符,输入ntdsutil;及ntdsutil?
查看相关的命令;因为要更改角色的所有者,所以运行roles命令
10.命令提示符下再输入:
roles回车,输入connections回车,再输入connecttoserverBDC(备注:
这里的BDC是额外指服务器名称),提示绑定成功后,输入q退出,如图:
11.命令提示符下输入?
号,可以查看到通过使用Transfer命令做相关的5个角色的传递
12.然后分别输入:
Transferinfrastructuremaster回车
Transfernamingmaster回车
TransferPDC 回车
TransferRIDmaster 回车
Transferschemamaster 回车
13.以下的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,如图:
然后接着一条一条完成既可,完成以上按Q退出界面。
14.这五个步骤完成以后,检查一下是否全部转移到BDC上了,开始->程序->运行->命令提示符下输入netdomqueryfsmo如图:
现在五个角色的owner都是BDC转移成功。
15.角色转移成功以后,还要把GC也转移过去,打开活动目录站点和服务,展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。
展开BDC,右击【NTDSSettings】点【属性】,勾上全局编录前面的勾,点确定,如图:
16.然后展开PDC,右击【NTDSSettings】点【属性】,去掉全局编录前面的勾。
如图:
这样全局编录也转到BDC上去了,致此主域控制器已经变成BDC了。
而PDC就成了辅助域控制器了
17.现在已经可以把原来的主域控制器(PDC)删除掉了,在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它,然后将它退出域。
就完成了整个升级过程。
这里还有一点要注要的:
升级完以后,你现在的主域控制器的IP地址是新的,而不是原来的那个IP地址了,而下面所有的客户端的DNS都是指向原来的主域控制器的,这样就会出现很多找不到域控制器的问题,,所以我最简单的方法就是把BDC(现在的主域控制器)的IP改为PDC(原来的主域控制器)的IP就好了。
注:
2003系统和2008R2系统安装AD域控制器和提升角色方法都一样,唯一不同的是2008R系统提升角色时不需要操作第15-16步骤,主域正常启动时与额外域处于转移角色关系,netdomqueryfsmo查看角色转移成功后GC和上全局编录已自动更新为额外域无需在手动去操作。
(命令行方式提升角色方法结束)♂
(二)当主域正常运行时,如何将额外域控制器提升为主域控制器(图形化界面)
1.一种图形界面,一种命令行;有两种有什么区别么呢,用图形界面能操作的命令行都能操作,当用命令行能操作的图形不一定能操作,命令稍带优势;在操作fsmo角色传递时图形界面会报错,而通过命令操作一下就过了,大家把两个方式务必记住。
详细实例见下:
2.额外域运行“regsvr32.exeschmmgmt.dll”来注册动态链接库,由于架构主机重要特殊,并没有预先设置的工具,所以必须通过注册动态链接库来打开。
3.运行MMC工具打开控制台来添加Activedirectory架构窗口
4.右击ActiveDirectory---更改域控制器---操作主机---更改---确定
5.RID主机角色的传递:
运行dsa.msc打开窗口,右击ActiveDirctory选择操作主机,选择RID标签单机更改然后确定
6.PDC主机角色的传递:
选择PDC标签单机更改然后确定
7.基础结构主机角色的传递:
选择基础结构标签更改然后确定
8.域命名主机的传递:
运行domain.msc窗口,右击ActiveDirctory选择操作主机,选择更改然后确定
(图形化界面方式提升角色方法结束)♂
(三)当主域永久down机时,如何将额外的域控制器提升为主域控制器(抢夺角色)
1..前面写的是在PDC(主域)还生效的情况下进行BDC(额外域)升PDC(主域)步骤,而如果主域出现了问题时呢,比如说PDC的硬件出问题了或者系统坏了的情况下我们就要提升BDC为PDC了,下面来讲解在PDC出现故障后BDC如何提升为PDC
2..额外域BDC上打开AD用户和计算机,右击ActiveDirctory选择操作主机,此时在操作主机项显示的是错误不能使用“更改”按钮,因此需要把BDC更改为操作主机使用命令行模式进行强制夺取。
重点环节
3..在命令提示符下输入netdomqueryfsmo查看一下当前的五个前色的owner是谁,如图♂
可以看到当前五个角色的owner还是PDC,下面就开始强制夺取吧。
4..下面我们就通过运行命令:
ntdsutiltools强制将fsmo角色传递到DCB(额外域控制器)上
首先在DCB上打开命令提示符,输入ntdsutil;及ntdsutil?
查看相关的命令
5..看到关于ntdsutil的很多命令,使用管理NTDS橘色所有者的令牌,因为要将DCA上得角色传递到DCB上面,所以通过运行roles命令进行相关的操作,输入roles命令后再次敲打?
号查看有哪些相关的操作。
6..我们通过?
号查看到很多得先关命令,我们这会明白,首先要通过connetions命令连接到
我的DCBserver上,然后再通过命令强制将角色传递到该服务器。
7..命令提示符下输入connections回车,再输入connecttoserverBDC(备注:
这里的BDC是额外指服务器名称),提示绑定成功后,输入q退出,如图:
8..输入?
号,来查看相关的操作命令,之前用了Transger进行fsmo的角色传递;下面需要使用Seize命令来执行fsmo的角色传递强制夺取,前提是两个域控制器之间完全没有通信。
9..分别输入:
Seizeinfrastructuremaster回车Seizenamingmaster回车
SeizePDC回车SeizeRIDmaster回车Seizeschemamaster回车
10..以下的命令在接下来输入完成后都会出现确认要占用角色,选择是,然后接着一条一条完成既可,因为主域PDC不在线,结构角色会夺取到BDC上所以在夺取时会有这个出错信息。
如图:
11..以上命令全部完成以后,已将fsmo角色全部传递到BDC上了,我们按Q退出,检查一下是否全部抢夺成功,开始->程序->运行->输入netdomqueryfsmo,如图:
现在五个角色的owner都是BDC了
12..还要把全局编录转移到BDC上,这些步骤和上面的操作方法一样的就我这里就不在写了。
(抢夺角色方法结束)♂
五、FSMO角色介绍:
1…架构主机(Schemamaster)-架构主机角色是林范围的角色,每个林一个。
此角色用于扩展ActiveDirectory林的架构或运行adprep/domainprep命令。
2…域命名主机(Domainnamingmaster)-域命名主机角色是林范围的角色,每个林一个。
此角色用于向林中添加或从林中删除域或应用程序分区。
3…RID主机(RIDmaster)-RID主机角色是域范围的角色,每个域一个。
此角色用于分配RID池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。
4…结构主机(Infrastructuremaster)-结构主机角色是域范围的角色,每个域一个。
此角色供域控制器使用,用于成功运行adprep/forestprep命令,以及更新跨域引用的对象的SID属性和可分辨名称属性。
5…PDC模拟器(PDCemulator)-PDC模拟器角色是域范围的角色,每个域一个。
将数据库更新发送到WindowsNT备份域控制器的域控制器需要具备这个角色。
此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。
六、AD数据库出错解决方法:
现在我们删除已损坏DC的信息,对于网络中DC1损坏,虽然经过以上的FSMO角色夺取到DC2上后,整个域已可以正常使用。
但在日志中,还是会有AD数据库复制信息出错的提示
解决办法:
以下内容来自微软KB216498;
域控制器降级失败后如何删除ActiveDirectory中的数据
本文介绍在域控制器降级失败后,如何删除ActiveDirectory中的数据。
警告:
如果使用“ADSI编辑”管理单元、LDP实用工具或任何其他LDAP版本3客户端,并且不恰当地修改了ActiveDirectory对象的属性,则可能造成严重问题。
要解决这些问题,您可能需要重新安装MicrosoftWindows2000Server、MicrosoftWindowsServer2003、MicrosoftExchange2000Server或MicrosoftExchangeServer2003,或者Windows和Exchange二者都需要重新安装。
Microsoft不保证能够解决因为ActiveDirectory对象属性修改不当而导致的问题。
修改这些属性需要您自担风险。
ActiveDirectory安装向导(Dcpromo.exe)用于将服务器提升为域控制器,以及将域控制器降级为成员服务器(或者在该域控制器是域中的最后一个域控制器时,将其降级为工作组中的独立服务器)。
作为降级过程的一部分,此向导会将该域控制器的配置数据从ActiveDirectory中删除。
此数据的形式是“NTDS设置”对象,在“ActiveDirectory站点和服务”中作为服务器对象的一个子对象存在。
该信息位于ActiveDirectory中的以下位置:
CN=NTDSSettings,CN=
“NTDS设置”对象的属性包括:
代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器,以及默认查询策略。
“NTDS设置”对象也是一个容器,其中可以包含代表域控制器的直接复制伙伴的子对象。
该数据是域控制器在环境中运行所必需的,但域控制器降级后就不再使用该数据了。
如果未正确删除“NTDS设置”对象(例如,未从降级尝试中正确删除“NTDS设置”对象),管理员可以使用Ntdsutil.exe实用工具手动删除“NTDS设置”对象。
以下步骤列出了在特定域控制器的ActiveDirectory中删除“NTDS设置”对象的过程。
在每个Ntdsutil菜单上,管理员可以键入help以了解有关可用选项的更多信息。
回到顶端
WindowsServer2003ServicePack1(SP1)-Ntdsutil.exe的增强版本
WindowsServer2003ServicePack1中包含的Ntdsutil.exe版本已经过增强,可使元数据清除过程更加彻底。
在运行元数据清除时,SP1中包含的Ntdsutil.exe将执行下列操作:
删除“NTDSA设置”或“NTDS设置”主题。
删除现有目标DC用于从要删除的源DC复制数据的入站AD连接对象。
删除计算机帐户。
删除FRS成员对象。
删除FRS订阅者对象。
尝试获取由要删除的DC所拥有的灵活单操作主机角色(又称为灵活单主机操作或FSMO)。
警告:
在手动删除任何服务器的“NTDS设置”对象之前,管理员还必须确保在降级之后已进行了复制。
Ntdsutil实用工具使用不当可能导致ActiveDirectory功能部分或全部丧失。
回到顶端
过程1:
仅限WindowsServer2003SP1
单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
在命令提示符处,键入ntdsutil,然后按Enter。
键入metadatacleanup,然后按Enter。
根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
键入connections,然后按Enter。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。
为此,请键入setcredsDomainNameUserNamePassword,然后按Enter。
如果密码为空,则键入null作为密码参数。
键入connecttoserverservername,然后按Enter。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:
如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15提到的服务器时,将显示以下错误消息:
错误2094。
不能删除DSA对象。
0x2094
键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入selectoperationtarget,然后按Enter。
键入listdomains,然后按Enter。
将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。
键入selectdomainnumber,然后按Enter;其中number是与要删除的服务器所属的域相关联的编号。
您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
键入listsites,然后按Enter。
将出现一个站点列表,其中每个站点都带有一个关联的编号。
键入selectsitenumber,然后按Enter;其中number是与要删除的服务器所属站点相关联的编号。
将出现一条确认消息,其中列出了所选的站点和域。
键入listserversinsite,然后按Enter。
将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。
键入selectservernumber,其中number是与要删除的服务器关联的编号。
将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统(DNS)主机名以及要删除的服务器的计算机帐户位置。
键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入removeselectedserver,然后按Enter。
将出现一条确认消息,说明删除成功完成。
如果出现以下错误消息,则说明“NTDS设置”对象可能已从ActiveDirectory中删除,原因可能是其他管理员删除了该“NTDS设置”对象,或者在运行DCPROMO实用工具成功删除该对象后又执行了一次此操作。
错误8419(0x20E3)
找不到DSA对象
注意:
当您尝试绑定到要删除的域控制器时,也可能会出现此错误。
Ntdsutil绑定到的域控制器不能是要通过清除元数据来删除的域控制器。
键入quit,然后在每个菜单上按Enter,退出Ntdsutil实用工具。
将出现一条确认消息,说明连接已成功断开。
在DNS的_msdcs.<目录林的根域>区域中删除cname记录。
假定要重新安装并重新提升DC,将创建一个新的“NTDS设置”对象,它将具有新的GUID并在DNS中拥有一个匹配的cname记录。
您不希望现有DC使用旧的cname记录。
最佳做法是删除主机名和其他DNS记录。
如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址。
在DNS控制台中,使用DNSMMC删除DNS中的A记录。
A记录也称为“主机”记录。
要删除A记录,请右键单击A记录,然后单击“删除”。
另外,请删除_msdcs容器中的cname记录。
为此,请展开“_msdcs”容器,右键单击“cname”,然后单击“删除”。
重要说明:
如果这是一台DNS服务器,请在“名称服务器”选项卡下删除对该DC的引用。
为此,在DNS控制台中,在“正向查找区域”下单击该域名,然后从“名称服务器”选项卡中删除该服务器。
注意:
如果有反向查找区域,也要将服务器从这些区域中删除。
如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用ADSIEdit删除该子域的trustDomain对象。
为此,请按照下列步骤操作:
单击“开始”,单击“运行”,键入adsiedit.msc,然后单击“确定”。
展开“域NC”容器。
展开“DC=<您的域>,DC=COM,PRI,LOCAL,NET”。
展开“CN=System”。
右键单击“TrustDomain”对象,然后单击“删除”。
使用“ActiveDirectory站点和服务”删除域控制器。
为此,请按照下列步骤操作:
启动“ActiveDirectory站点和服务”。
展开“站点”。
展开服务器的站点。
默认站点为“Default-First-Site-Name”。
展开“服务器”。
右键单击域控制器,然后单击“删除”。
回到顶端
过程2:
Windows2000(所有版本)、WindowsServer2003RTM
单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
在命令提示符处,键入ntdsutil,然后按Enter。
键入metadatacleanup,然后按Enter。
根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
键入connections,然后按Enter。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,则可以在建立连接之前指定要使用的替代凭据。
为此,请键入setcredsDomainNameUserNamePassword,然后按Enter。
如果密码为空,则键入null作为密码参数。
键入connecttoserverservername,然后按Enter。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:
如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15提到的服务器时,将显示以下错误消息:
错误2094。
不能删除DSA对象。
0x2094
键入quit,然后按Enter。
将出现“清除元数据”菜单。
键入selectoperationtarget,然后按Enter。
键入listdomains,然后按Enter。
将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。
键入selectdomainnumber,然后按Enter;其中number是与要删除的服务器所属的域相关联的编号。
您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
键入listsites,然后按Enter。
将显示一个站点列表,每个站点都有一个关联的编号。
键入selectsitenumber,然后按Enter;其中number是与要删除的服务器所属站点相关联的编号。
将出现一条确认消息,其中列出了所选的站点和域。
键入listserversinsite,然后按Enter。
将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 全面 额外 控制 升级 为主 控制器 实验 方法