-飛龍在天- / 網絡管理 / 額外域控制升級為主域控制器 - AD服務器 -...

0 0

   

額外域控制升級為主域控制器 - AD服務器 - 【 服務器技術 】 - 我是網管論壇 - ...

2010-08-30  -飛龍在天-

額外域控制升級為主域控制器

本帖最后由 gpa5031 于 2010-7-21 16:10 編輯

一、
實驗環境:

域名test.com
1、
原主域控制器
System: windows 20003 Server
FQDN:
PDC.test.com

IP192.168.50.1
Mask:255.255.255.0
DNS:192.168.50.1


2、
輔助域控制器
System: windows 2003 Server
FQDNBDC.test.com
IP 192.168.50.2
Mask: 255.255.255.0
DNS:192.168.50.1

3、
Exchange 2003 Server

FQDN:mail.test.com
IP:192.168.50.3
Mask:255.255.255.0
DNS:192.168.50.1
也許有人會問,做輔域升級要裝個Exchange干什么?
其實我的目的是為了證明我的升級是否成功,因為ExchangeAD是緊密集成的,如果升級失敗的話,Exchange應該就會停止工作。如果升級成功,對Exchange應該就沒有影響,其實現在我們很多的生產環境中有很多這樣的情況。

二、實驗目的:

在主域控制器(PDC)出現故障的時候通過提升輔域控制器(BDC)為主域控制,從而不影響所有依靠AD服務

三、實驗步驟

1、
安裝域控制器。第一臺域控制器的安裝我這里就不在說明了,但要注意一點的是,兩臺域控器都要安裝DNS組件。在第一臺域控制安裝好后,下面開始安裝第二臺域控制器(BDC),首先將要提升為輔助域控制的計算機的計算機名,IP地址DNS跟據上面設置好以后,并加入到現有域,加入域后以域管理員的身份登陸,開始進行安裝第二臺域控制器。
2、在安裝輔助域控器前先看一下我們的Exchange Server工作是否正常,到Exchange Server 中建立兩個用戶test1test2,并為他們分別建立一個郵箱,下面使用他們相互發送郵件進行測試,如圖。


3、
我們發現發送郵件測試成功,這證明Exchange是正常的。下面正式開始安裝第二臺域控制器。也是就輔助域控制器(BDC)。
4、
以域管理員身份登陸要提升為輔助域控制器的計算機,點開始】->【運行】在運行里輸入dcpromo打開活動目錄安裝向導,.點兩個下一步, 打開如圖.


5、
這里由于是安裝第二臺域控制器,所以選擇現有域的額外域控制器,點下一步。如圖


6、
這里輸入你的域管理員的用戶名和密碼,點下一步。如圖:


7、 這里提示你的這臺域控制將成為哪個域的額外域控制器,如果正確,點下一步,再連續點三個下一步,就開始安裝了,如圖,安裝完成大概要幾分鐘,你就耐心的等待吧,如圖:

8、幾分鐘后安裝完成,提示重新啟動計算機,重新啟動計算機,此時你的計算機已經成為了test.com域的輔助域控制了。此時在活動目錄用戶和計算機的域控制器里已經有兩臺域控制了,如圖:


9、再查看一下FSMO(五種主控角色)的owner,安裝Windows Server安裝光盤中的Support目錄下的support tools工具,然后打開提示符輸入:netdom query fsmo 以輸出FSMOowner,如圖:


10、
現在五個角色的woner 都是PDC,我的就是要把這個五個角色轉移到BDC上,使BDC成為這五個角色的owner
11、現在登陸PDC(主域控制器),進入命令提示符窗口,在命令提示符下輸入:ntdsutil 回車,再輸入:roles 回車,再輸入connections 回車,再輸入connect to server
BDC --> (備注:這里的dc-1是指服務器名稱),提示綁定成功后,輸入q退出,如圖:


12、
輸入回車可看到以下信息:
Connections                  - 連接到一個特定域控制器
Help                          - 顯示這個幫助信息
Quit                          - 返回到上一個菜單
Seize domain naming master    - 在已連接的服務器上覆蓋域角色
Seize infrastructure master  - 在已連接的服務器上覆蓋結構角色
Seize PDC                    - 在已連接的服務器上覆蓋 PDC 角色
Seize RID master              - 在已連接的服務器上覆蓋 RID 角色
Seize schema master          - 在已連接的服務器上覆蓋架構角色
Select operation target      - 選擇的站點,服務器,域,角色和命名上下文
Transfer domain naming master - 將已連接的服務器定為域命名主機
Transfer infrastructure master - 將已連接的服務器定為結構主機
Transfer PDC                  - 將已連接的服務器定為 PDC
Transfer RID master          - 將已連接的服務器定為 RID 主機

Transfer schema master        - 將已連接的服務器定為架構


如圖:








額外域控制升級為主域控制器(二)


13然后分別輸入
Transfer domain naming master
回車
Transfer infrastructure master  
回車
Transfer PDC                  
回車
Transfer RID master         
回車
Transfer schema master        
回車
以上的命令在輸入完成一條后都會有提示是否傳送角色到新的服務器,選擇YES,如圖:然后接著一條一條完成既可,完成以上按Q退出界面,




14、
這五個步驟完成以后,檢查一下是否全部轉移到BDC上了,打開在第9步時裝windows support tools,開始->程序->windows support tools->command prompt,輸入netdom query fsmo,如圖:全部轉移成功.現在五個角色的owner都是BDC.


15、角色轉移成功以后,還要把GC也轉移過去,打開活動目錄站點和服務,展開site->default-first-site-name->servers,你會看到兩臺域控制器都在下面。展開BDC,右擊NTDS Settings屬性】,勾上全局編錄前面的勾,點確定,如圖:

[size=+0]

16、然后展開PDC,右擊NTDS Settings屬性】,去掉全局編錄前面的勾。如圖:這樣全局編錄也轉到BDC上去了,致此主域控制器已經變成BDC了。而PDC就成了輔助域控制器了。

17、
現在已經可以把原來的主域控制器(PDC刪除掉了,在(PDC)現在的輔助域控制器上運行dcpromo按照提示一步一步的刪除它,然后將它退出域。就完成了整個升級過程。這里還有一點要注要的:升級完以后,你現在的主域控制器的IP地址是新的,而不是原來的那個IP地址了,而下面所有的客戶端的DNS都是指向原來的主域控制器的,這樣就會出現很多問題,包括你的Exchange 就找不到域控制器,所以我最簡單的方法就是把BDC(現在的主域控制器)的IP改為PDC(原來的主域控制器)的IP就好了。
18、
這些改完以后啟動Exchange exchange不要做任何更改就可以正常工作了,但這時在exchange日志里是有一項錯誤(MSExchangeAL 事件 8026 和8260)。原因為收件人更新服務配置為使用 Windows 域控制器被降級,。 收件人更新服務嘗試查詢有關該更新, Windows無法聯系域控制器。

解決辦法:打開 Exchange 系統管理器。展開 " 收件人 " 容器, 然后單擊 收件人更新服務 。雙擊每個收件人更新服務, 然后再將 Windows 域控制器 設置更改為新域中 Windows 域控制器。這樣設置完以后,重新啟動計算機,一切正常了,發封郵件試試,一切正常。致此全部完成了。


FSMO角色介紹
架構主機 (Schema master)
- 架構主機角色是林范圍的角色,每個林一個。此角色用于擴展 Active Directory 林的架構或運行 adprep /domainprep
命令。

域命名主機 (Domain naming master) - 域命名主機角色是林范圍的角色,每個林一個。此角色用于向林中添加或從林中刪除域或應用程序分區。
RID 主機 (RID master)
- RID 主機角色是域范圍的角色,每個域一個。此角色用于分配 RID 池,以便新的或現有的域控制器能夠創建用戶帳戶、計算機帳戶或安全組。

結構主機 (Infrastructure master)
- 結構主機角色是域范圍的角色,每個域一個。此角色供域控制器使用,用于成功運行 adprep /forestprep
命令,以及更新跨域引用的對象的 SID 屬性和可分辨名稱屬性。


PDC 模擬器 (PDC emulator)
- PDC 模擬器角色是域范圍的角色,每個域一個。將數據庫更新發送到 Windows NT 備份域控制器的域控制器需要具備這個角色。此外,擁有此角色的域控制器也是某些管理工具的目標,它還可以更新用戶帳戶密碼和計算機帳戶密碼。



                     額外域控制升級為主域控制器(三)
前面寫的是在PDC還生效的情況下進行BDC升PDC步驟,我們也許會問,PDC還是正常的情況我們為什么提升BDC為PDC 呢.說對了,在PDC還正常的情況下我們是沒有必要提升BDC為PDC,而如果PDC出現了問題時呢,比如說PDC的硬件出問題了或都說系統壞了的情況下我們就要提升BDC為PDC了,下面我在為大家說說在PDC出現硬件故障機器開不起來了的情況BDC提升為PDC的步驟:

一、這時我們的PDC已經出現了問題并開不起來了。這時我們來到BDC上,打開AD用戶和計算機,在你的域名處點右鍵――>操作主機打開如圖:此時在操作主機項顯示的是錯誤而不是我們的真正的操作主機PDC,所以我們要把BDC更改為操作主機。各位可能就會看到下面不是有個更改按鈕嗎,直接點更改按鈕不就轉移過去了嗎?其實這我也想到了,但是你在這里點更改會報錯的,點了以后過了半天彈出個框框說“請求的 FSMO 操作失敗。不能連接當前的 FSMO 盒”,所以我們又要回到命令行模式下進行強制奪取了。


二、在上面的操作中我們已經安裝了windows 2003 的support tools了,所以我現在在找開support tools,在命令提示符下輸入netdom query fsmo查看一下當前的五個前色的owner是誰,如圖:
我們看到當前五個角色的owner還是PDC。下面我們就開始強制奪取吧。




三、再次打開 support tools 在命令提示符下輸入ntdsutil 回車,再輸入:roles 回車,再輸入connections 回車,再輸入connect to server test.com(其實上面這里我寫的是BDC的計算機名,而現在輸入的又是域名了) ,提示綁定成功后,輸入q退出,如圖:



四、輸入問號可以看到一些幫助信息,上面由于我們是在正常情況下的角色轉移我們用的transfer,而現在我們要用seize來進行強制奪取了,分別輸入:
Seize domain naming master

Seize infrastructure master


Seize PDC


Seize RID master


Seize schema master


Select operation target

以上的命令在輸入完成一條后都會確認要占用角色,選擇是,如圖:然后接著一條一條完成既可,完成以上按Q退出界面,



五、選擇是以后。如圖:我們看到報錯了,呵呵,不過沒關系,這是正常的,因為主域PDC在線,所以在奪取時會有這個出錯信息。,所以結構角色會奪取到BDC上,接下來的各個角色的奪取也會有這出錯信息



六、以上命令全部完成以后,我們按Q退出,此時我們再查看一下五個角色的owner已經是我們的BDC了,如圖:




七、以上全部完成以后還要把全局編錄轉移到BDC上,這些步驟和上面的操作方法一樣,所以我這里就不在寫了。

    本站是提供個人知識管理的網絡存儲空間,所有內容均由用戶發布,不代表本站觀點。如發現有害或侵權內容,請點擊這里 或 撥打24小時舉報電話:4000070609 與我們聯系。

    猜你喜歡

    0條評論

    發表

    請遵守用戶 評論公約

    類似文章
    喜歡該文的人也喜歡 更多

    fun888 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>