最全面的額外域控制升級為主域控制器試驗(yàn)方法

1、額外域限制升級為主域限制器實(shí)驗(yàn)實(shí)驗(yàn)環(huán)境：域名為test 原主域限制器System:windows20003ServerFQDN:PDC.test IP:192.168.10.100Mask:255.255.255.0DNS:192.168.10.1二、實(shí)驗(yàn)?zāi)康模狠o助域限制器System:windows2003ServerFQDNBDC.test IP:192.168.10.101Mask:255.255.255.0DNS:192.168.10.1在主域才$制器PDC出現(xiàn)故障的時(shí)候通過提升輔域限制器BDC為主域限制,從而不影響所有依靠AD的效勞.一般公司部署兩臺(tái)ADserver來維持正常運(yùn)行,一

2、臺(tái)為主域限制器,另外一臺(tái)為額外域限制器,如果主ADserver損壞可通過額外的域限制器來維持環(huán)境正常運(yùn)行,如果之前沒有通過備份,同時(shí)AD由于硬件設(shè)備而導(dǎo)致不能正常工作,這個(gè)時(shí)候我們就需要將額外的域限制器提升為主AD3、 以下介紹三種額外域提升為主域方法一當(dāng)主域正常運(yùn)行時(shí),如何將額外域限制器提升為主域限制器命令行界面二當(dāng)主域正常運(yùn)行時(shí),如何將額外域限制器提升為主域限制器圖形化界面三當(dāng)主域永久DOW機(jī)時(shí),如何將額外的域限制器提升為主域限制器搶奪角色4、 實(shí)驗(yàn)步驟：一當(dāng)主域正常運(yùn)行時(shí),如何將額外域限制器提升為主域限制器命令行界面1 .安裝域限制器.第一臺(tái)域限制器的安裝我這里就不在說明了,但要注意一點(diǎn)

3、的是,兩臺(tái)域控器都要安裝DNS1件.在第一臺(tái)域限制安裝好后,下面開始安裝第二臺(tái)域限制器BDC,首先將要提升為輔助域限制的計(jì)算機(jī)的計(jì)算機(jī)名,IP地址及DNS跟據(jù)上面設(shè)置好以后,并參加到現(xiàn)有域,參加域后以域治理員的身份登陸,開始進(jìn)行安裝第二臺(tái)域限制器.2 .以域治理員身份登陸要提升為輔助域限制器的計(jì)算機(jī),點(diǎn)【開始】-【運(yùn)行】在運(yùn)行里輸入dcpromo翻開活動(dòng)目錄安裝向?qū)?.點(diǎn)兩個(gè)【下一步】,翻開如圖.3 .這里由于是安裝第二臺(tái)域限制器,所以選擇【現(xiàn)有域的額外域限制器】,點(diǎn)【下一步】.如圖4 .這里輸入你的域治理員的用戶名和密碼,點(diǎn)【下一步】.如圖：5 .這里提示你的這臺(tái)域限制將成為哪個(gè)域的額外域限

4、制器,如果正確,點(diǎn)【下一步】,再連續(xù)點(diǎn)三個(gè)下一步,就開始安裝了,如圖,安裝完成大概要幾分鐘,你就耐心的等待吧,如圖：6.幾分鐘后安裝完成,提示重新啟動(dòng)計(jì)算機(jī),重新啟動(dòng)計(jì)算機(jī),此時(shí)你的計(jì)算機(jī)已經(jīng)成為了此時(shí)在活動(dòng)目錄用戶和計(jì)算機(jī)的域限制器里已經(jīng)有兩臺(tái)域限制了,如圖：test 域的輔助域限制了DgmainControllersDomainControllers2個(gè)對象名稱耀I(xiàn)轆sSc計(jì)宜就圖TDC計(jì)算機(jī)MtiweDie艮口ry用戶和i+篁機(jī).tJ_|俁存的查何Tuptfest ：+：LJBuiltiii田Cfomputers出FtreignSecnrityfrincipk,朗user由Vstrs7.

5、再查看一下FSMO五種主控角色的owner,安裝WindowsServer安裝光盤中的Support目錄下的supporttools工具,然后翻開提示符輸入：netdomqueryfsmo以輸出FSMO勺o(hù)wner,如圖:CvaMuidTrm>tC-Iplit17臥,l(olEr>netdli«qui&Ky;f&nuPOCzgiUMnDomLiA下01*電產(chǎn)FDC.tBVr3m靠FJDCmleFDC.Lest-cunHTO厘n1.rwinmerPDC!.t壯事E.tnnInfrastr-uctur-BPDC.test.conTlivvumndiiHg那么i

6、iw的C二Pew±"eUhFLitWuLppOFtToulQ.重點(diǎn)環(huán)節(jié)8.現(xiàn)在五個(gè)角色的woner都是PDG現(xiàn)在需要把這個(gè)五個(gè)角色轉(zhuǎn)移到BDC±,使BDC成為owner.9.現(xiàn)在登陸PDC主域限制器翻開命令提示符,輸入ntdsutil;及ntdsutil?查看相關(guān)的命令；由于要更改角色的所有者,所以運(yùn)行roles命令10.命令提示符下再輸入：roles回車,輸入connections回車,再輸入connecttoserverBDC備注：這里的BDd額外指效勞器名稱,提示綁定成功后,輸入q退出,如圖：erverco-nBE&tiDns"<oT

7、*8flH7R057此幡li*Liiijilt-IIkI&ynt4Xl版urtihrobjndStttifijeaJMjdnJrimut11itdttnllsMieAh-H.-riA苴酰后息ira券件即洋翻舞常懿薩'霸三工林恃產(chǎn)ar,ntMftt/f<-t.TtHMtSxyMcb3£1匚上士-ilCzitilHicMUfifrWiMausF萌軍5.I.37M1<C)M*.于91懂JAft3Kkraft%.修#11M中Ch*Bq|TBE.,E'i<4icco-UMtSck忖/i1,口0*.hlitifn«晦Fiiev“Flfai!*H

8、rlli-hitlif-lilli1i|pKirriilllflLMvlpIPftIMPpvlicuxLMF*dL16-1ThflC-M-C“1,癡】.|Mtqd冏ca£le-AnuipIT.|4fiHXMhrtlfmW-l!4Fvpaipcl>ffFapupsori心1葉口EvfrGiSy44*£*LhH«.ItaW修國i*目口*<204*鼻InstART44Mh,二七.靛身存用.,11r用力魏馥-考贊»LW數(shù)晤隹京件-審理3P蝴郵-苑.DLDL莢同唱.LDM高口,-啦i夜計(jì)蝙耨的出班山心.1也-Tflfc1MC用芭谷片-第母毛使用璘覆鼻器

9、地對象管曜自塞分成NAJrl11 .命令提示符下輸入號(hào),可以查看到通過使用Transfer命令做相關(guān)的5個(gè)角色的傳遞12 .然后分別輸入：Transferinfrastructuremaster回車Transfernamingmaster回車TransferPDC回車TransferRIDmaster回車Transferschemamaster回車13 .以下的命令在輸入完成一條后都會(huì)有提示是否傳送角色到新的效勞器,選擇YES,如圖：然后接著一條一條完成既可,完成以上按Q退出界面.ViHMTVll«ri4M«lpIfcKEHrat.uuuu七rMin*aiHHik戶密封$H

10、dPEhf*血FnrlLkJtrixHtilCri>>i.l“工lB；Jlrt11Jrjplpsaru4flliH4-aiM*hiiHt/圭h*0EhkFbJCPFiF<urrr.rrr.nLHknirbr.>lh.rrr口連己3已bmmtirrf-Btab*90Enalyqit工tKHNFiunuard*Eml.*Fir«4crvDVLiirA岫立t'tvixHniHKiBTnuctair*2FK$«mR3Diwct.frt.NE.lwiMPWB.*.*t/1*%+常Lithhxfar11r*z±riLKtuiMin&Kt

11、Jilr«P*fvrriMifliR«K«rIr4PffarFKlrwi>xftfr-,1.PMtilnrVAF+fitrAn向,*日.a+jih11).上一件二；：；,r這E哥百一Je,¥用王中.岸屯小捫加雪s唾號(hào)K*K*_#*守w:啟品方交黑笠白ezl四*氈；«4niin6<ei*n>VW«rE-W1BEI.1-DHXI£.!»<t.(黑田'/:七怔連接iNIFvflP-iiitAHNgldiQHii彳CtiBBg-<*1旬口4ultRfI11rfrildMtlAiAAhf

12、£ixaTdxtme曬*TME-L1*Hit|MJ-t«vUhMii工haiNihm3*01匕figTrAaxfvNtivulnTn-«A4lHr-infr>iiqTIl-MdfJSCTahM-3!*WTf*肝肝3i學(xué)力-小心卡蚪議31里awrtE片田*1由WfHCHlI-.二.4I5£箱IT,!的nrwwi»l-«ndLB44Jtr«n3i*rdiWMirtirifRd-t+r14 .這五個(gè)步驟完成以后,檢查一下是否全部轉(zhuǎn)移到BDC上了,開始>程序->運(yùn)行->命令提示符下輸入netdomqueryf

13、smo如圖：現(xiàn)在五個(gè)角色的owner都是BDC專移成功.工-ulJRM：«tAt nE.trsr.e«nF®CroIeRDG.tnt.conRIDi»#lnnnngcr皆DC.test.cflftInftruetvrtwfflier,曲件rniwnnirteiinp-letfrilsuic-csseIFuI15 .角色轉(zhuǎn)移成功以后,還要把GCfe轉(zhuǎn)移過去,翻開活動(dòng)目錄站點(diǎn)和效勞,展開site->default-first-site-name->servers,你會(huì)看到兩臺(tái)域限制器都在下面.展開BDC右擊【NTDSSettings】點(diǎn)【屬性】,

14、勾上全局編錄前面的勾,點(diǎn)確定,如圖：16 .然后展開PDC右擊【NTDSSettings】點(diǎn)【屬性】,去掉全局編錄前面的勾.如圖：這樣全局編錄也轉(zhuǎn)到BDC上去了,致此主域限制器已經(jīng)變成BDC了.而PDCt成了輔助域限制器了中HciViU；E口WBdWLTLrxirSLi1一I-CUmi"iiMl口四#Ifiir:mil'fa*-_Jtii-Lar-Jfilitj-uisr卜J5fMLcLLn-3T>+FiisJ1-<hr«h-5itr-JMK明目川±1*1-_|EaTfuEliarf-_|5d»iLr士置捌a17 .現(xiàn)在已經(jīng)可以把原來

15、的主域限制器PDQ刪除掉了,在PDC現(xiàn)在的輔助域限制器上運(yùn)行dcpromo根據(jù)提示一步一步的刪除它,然后將它退出域.就完成了整個(gè)升級過程.這里還有一點(diǎn)要注要的：升級完以后,你現(xiàn)在的主域限制器的IP地址是新的,而不是原來的那個(gè)IP地址了,而下面所有的客戶端的DNStB是指向原來的主域限制器的,這樣就會(huì)出現(xiàn)很多找不到域限制器的問題,所以我最簡單的方法就是把BDC現(xiàn)在的主域才$制器的IP改為PDC原來的主域才$制器的IP就好To注：2003系統(tǒng)和2021R2系統(tǒng)安裝AD域限制器和提升角色方法都一樣,唯一不同的是2021R系統(tǒng)提升角色時(shí)不需要操作第15-16步驟,主域正常啟動(dòng)時(shí)與額外域處于轉(zhuǎn)移角色關(guān)系

16、,netdomqueryfsmo查看角色轉(zhuǎn)移成功后G5口上全局編錄已自動(dòng)更新為額外域無需在手動(dòng)去操作.命令行方式提升角色方法結(jié)束8二當(dāng)主域正常運(yùn)行時(shí),如何將額外域限制器提升為主域限制器圖形化界面1 .一種圖形界面,一種命令行；有兩種有什么區(qū)別么呢,用圖形界面能操作的命令行都能操作,當(dāng)用命令行能操作的圖形不一定能操作,命令稍帶優(yōu)勢；在操作fsmo角色傳遞時(shí)圖形界面會(huì)報(bào)錯(cuò),而通過命令操作一下就過了,大家把兩個(gè)方式務(wù)必記住.詳細(xì)實(shí)例見下：2 .額外域運(yùn)行"regsvr32.exeschmmgmt.dll來注冊動(dòng)態(tài)鏈接庫,由于架構(gòu)主機(jī)重要特殊,并沒有預(yù)先設(shè)置的工具,所以必須通過注冊動(dòng)態(tài)鏈接庫

17、來翻開.3 .運(yùn)行MMCC具翻開限制臺(tái)來添加Activedirectory架構(gòu)窗口4.右擊ActiveDirectory-更改域限制器一操作主機(jī)一更改一確定*1&一!向慢嶼退三點(diǎn)mmdn-l事耳件中接作Htil基磋丈如古口2卻電皿5 .RID主機(jī)角色的傳遞：運(yùn)行dsa.msc翻開窗口,右擊ActiveDirctory選擇操作主機(jī),選擇RID標(biāo)簽單機(jī)更改然后確定6 .PDC主機(jī)角色的傳遞：選擇PD的簽單機(jī)更改然后確定7 .根底結(jié)構(gòu)主機(jī)角色的傳遞：選擇根底結(jié)構(gòu)標(biāo)簽更改然后確定8 .域命名主機(jī)的彳遞：運(yùn)行domain.msc窗口,右擊ActiveDirctory選擇操作主機(jī),選擇更改然后確定

18、圖形化界面方式提升角色方法結(jié)束8nC/nvRBKrCMVCINIBK.twt.c：o*Fl1看小TwI)餐sV»prMh4ta|a帆'木*卜事*津|ll*ri!l*Hlui!nvr«wZEII*1iLmaPri*jPdLfejaNkl-IMhilfaisrt»nFlU*3M.Hh.k.Hiti'gBit'Li'rkMii,nLMFxLkUj.IMFMofi>>I-1BEI*Aaa-.IhciII">hrl<La«iupPAPIMl1,SMK-BU4KMI0向騏“RiAie!t*diFi.+

19、wRfr-*Ri-«+印裝sr多卡百皿ma15空址上W6MI*51L1I',B|門由|嘰|371.甲4>也產(chǎn)Id目一尊器s*-J二二FMtII巨旦KunFap.工一*匕I,4.,/mhldwitl?-明口千弘StL為ADLKMl坳渣SILAQ.nidiwi：ilI£«：ti«MMpaIxxuirinxLive.tunMiz£«rKfI.fHiMjnivHehlJAHE-litltexL«rS>r1»MhfM3g白.電.LauI.vpar*ll«*tarvitlifMMvtnrInfHK

20、lKirlvripnaiIpr-IcMVM-rvr叼1*!-IrHtHFfKIt*-Fei-RIB“wUrMMdHi"igq-m1Ur三當(dāng)主域永久DOW機(jī)時(shí),如何將額外的域限制器提升為主域限制器搶奪角色1.前面寫的是在PDC主域還生效的情況下進(jìn)行BDC額外域升PDC主域步驟,而如果主域出現(xiàn)了問題時(shí)呢,比方說PDC勺硬件出問題了或者系統(tǒng)壞了的情況下我們就要提升BD8PDCT,下面來講解在PDCB現(xiàn)故障后BD/口何提升為PDC2.額外域BDC上翻開AD用戶和計(jì)算機(jī),右擊ActiveDirctory選擇操作主機(jī),此時(shí)在操作主機(jī)項(xiàng)顯示的是錯(cuò)誤不能使用“更改按鈕,因此需要把BDCM改為操作主機(jī)

21、使用命令行模式進(jìn)行強(qiáng)制奪取.版ZmfMmtr加4Mli-rak*uh«rJ'KkLt即I口|«41JIMII'd|firBnFiH<：tuirtbfVMl*QWpl4t9ds寓£修¥6(11+.3.在命令提示符下輸入netdomqueryfsmo查看一下當(dāng)前的五個(gè)前色的owner是誰,如圖a可以看到當(dāng)前五個(gè)角色的owner還是PDC下面就開始強(qiáng)制奪取吧.4.下面我們就通過運(yùn)行命令：ntdsutiltools強(qiáng)制將fsmo角色傳遞到DCB額外域限制器上首先在DCB上翻開命令提示符,輸入ntdsutil;及ntdsutil?查看相關(guān)的命

22、令5.看到關(guān)于ntdsutil的很多命令,使用治理NTDSlf色所有者的令牌,由于要將DCA上得角色傳遞到DCBi面,所以通過運(yùn)行roles命令進(jìn)行相關(guān)的操作,輸入roles命令后再次敲打號(hào)查看有哪些相關(guān)的操作.6.我們通過號(hào)查看到很多得先關(guān)命令,我們這會(huì)明白,首先要通過connetions命令連接到我的DCBserver上,然后再通過命令強(qiáng)制將角色傳遞到該效勞器.7.命令提示符下輸入connections回車,再輸入connecttoserverBDC備注：這里的BDC是額外指效勞器名稱,提示綁定成功后,輸入q退出,如圖：T,1丁/*bnIwI>>I卜IdEOOiTl；MX嬴*f

23、卜雙忸旭白：:sJSmc4iwmte.»><<£早:t孑n/匯1141d-iFii.iE七扁口d1ntvJ4-ULtUi1*BW>7WK7papsiininptitLIIbhhIaye/ntdzu.billvo!la#UdHCU4bJWI>U!«：CUFMIHE1.1419:i>金匹亡-Q仲:匚口口九史正£Zd修土曰SrilM-鴕定到Mb.解饕索的用戶的憑近.Me.wvv-wcPifHHnt-ior*5s口£nu«it!4-8.1. 入號(hào),來查看相關(guān)的操作命令,之前用了Transger進(jìn)彳ffsmo

24、的角色傳遞；下面需要使用Seize命令來執(zhí)行fsmo的角色傳遞強(qiáng)制奪取,前提是兩個(gè)域限制器之間完全沒有通信.9.分別輸入：Seizeinfrastructuremaster回車Seizenamingmaster回車SeizePDC回車SeizeRIDmaster回車Seizeschemamaster回車10.以下的命令在接下來輸入完成后都會(huì)出現(xiàn)確認(rèn)要占用角色,選擇是,然后接著一條一條完成既可,由于主域PD5在線,結(jié)構(gòu)角色會(huì)奪取到BDCk所以在奪取時(shí)會(huì)有這個(gè)出錯(cuò)信息.如圖：E®S.,金Sj-SuitwiLfE«tzint.izc.；fSMMinfcKUAlicV-:寫wir-

25、aJjiit<ikanue-fAmllllflhF：hii-K；T"口o雷噩/SEF文ItlH-i;mFhi4flflttlf£«-ltiittRrntl-mtabgpa-t量；THOuitK電if用infncitl«rBflIDBifML'B3nrfPM/t首£ei«PiCIein101nulwfiflirflH<ih»FWirwntarSelectcc«rtlttn3M匕TrmfiQirli窿ftT*：WiiHtif|id*：i4ifTiM>nrfif«rnatfirIPDC

26、TiMoeferMB1T141巾步國/自丁唯產(chǎn)KM>NJjlLObrfNL-a"_二TI-4引一士rj-ij-i?-,ILi®=廚£匹IJrLLnlr匚LIEFL堂7毛仃于至于年FHE啦Ifr構(gòu)rlR架第,口刃力力-ft息息器罟黑器'工；-?-.日:久融一之二M-rMnlMEF,帕朋用中限K<:.一二:.:_匚.L-.-F_?,?Ti-n-tfM-rTriiiiTflirTFn“srfrenTfT>存LkfPActFtactuH-nml«rRMlHdiiXlirFDCRIV1wctericbwiifl!；rMumlfltBMJH

27、«=:ei:eudiwtnja!tnr«mstc-r亶涉f匕35®寐£KH-tnmAK多名主機(jī)-E/nag*rtlrwt.C®i*UIC-I«3KCIMTK;.RMfjnilFiQMFAtin«.DC4-KUCH*唯才mt皿AtEs.t<«n>liwTAtw.DC-ttqt.K等電-CM-HTISEcttiAgrs.CH-TEI39.LN-ClMIIWFJitltll.Dt-tE5t.lCliRl1湛1,*可T、的HR冬必的L0力B!DO*542泉*哂皿哂rn*h-Bmi,ZT;E:tit,3tETTs

28、fiar上；g.'DT=t*ct.TC=rgI占1),ii.ii：.hi-JU回hllCn-KIti>件品TMT削-帕KiL«N4MlMt =Cn*ff4僧iInn.lKaK=c«m結(jié)構(gòu)-IKfactln,(W=im-KBvaiAiw«ii,CN=nKfd*ltHPiwt-Elt»-lkMva4ilt一.f'MI!>'IEn»(iThf!-iim,F,mKiurtisvnferse-iehjmsihiwister藍(lán)箕費(fèi)麓或.,咫占靠飛,7.熱番青昊5作用工的-W-miKtinss-ffl-TKI-fii-rt

29、-»itr-Hfl-*-CH-Sit是IO4-Q*BfifqlfdlVCbIa«trPC-C-CM命名主機(jī)-qtwhPQi=TBn-iM3.<w=s«Ntirai*fefmk-f-Eit*£ir<3i-GiMrifJfUNtUMiriK=t«-frtPl£=>CMPte-CWHIMtttf,CW-Ti£T-«Ct.ai,CHk-Flril-fi114-HmvIts3,CH-Cd*rdani,Krtc±trBC-caniMA-OWITIESeceljBrn-rm-«a,ai4&#

30、163;TveM.I3MefJ!Ule-Pb4t-&aL»-N4«rCM<lteI <ia*liw«ition.JKtflft,Xy*門生構(gòu)一OHmHnttjji?E>a4-TE£I-IKE.QP&trverc.0»«Jult-Fint-%itc-lhwF.CH-SitCM-Cvafigvr-ai.I.BC"trct8一gFC>NkVMi»"RMl£Wl«*lEt-*GE+"!l-igiiirA(*.IK-C-MFW；-ETTES#*t

31、in>f>9>«Oli-TE¥r-niMil;-Fir+t-i：J*euM-3!<：?i何=*i淤*r,TLHi¥-JtAI：r-i-iiwPit-EFTDC¥ettlOfi4.4>l-TESr-Ktlffl-mii,Q«-SFMlt-f1ir*t-«»!r-BlM#aCH-Bltori,CM-4(i»f1-fpriFH-CLilliDd-IrK.-hllM區(qū)構(gòu)-bMBSEotvlJWi.ai"TBTHKVa“1axMafarFlyuEiQii.ECm.BC7.而、-fi-l

32、a-t卜£i"工桔fMl*mK青工專作帶-91HHTMSftff,.«-TIXT-«flIHtoMkhh_CN-Hrlr-PIacCIv»-Hhw£OPIIf“,E"C*»FIgm*lg.iKft.K>y塞主姐-OI-MTM*Hi*AllRT-Mr6re鹵M,CM,rm«+3i9T：n/4IW.K-EitnM1aBpt>n旃m*14*4K-te4tM.七eFK-EWVWS4Zfa1441sWnFlJKBQFEEMCMfXlK-Tn.lwMHIWfe-inn：*tCr<*DCfmPit-O

33、fl4ffMtotlifi.Wnr°n.«44mr«.QHfrfnlFlnC-«flCt>«filMtat.«Mlt4西 «*fi-vurdvfon_tCr曾,DC.口a*陪構(gòu)-6麗幽H>iR.<M-TeST-KB.WI*r«vM.'ai-49-r<Mill：-?ln>C-41lv-ifam.'CN'tiCFu»1電UfTiQ4.DC"«!*K*,G懸r-PO11.以上命令全部完成以后,已將fsmo角色全部傳遞到BDC上了,我們按Q

34、退出,檢查一下是否全部搶奪成功,開始程序-運(yùn)行-輸入netdomqueryfsmo,如圖：現(xiàn)在五個(gè)角色的owner都是BDC了12.還要把全局編錄轉(zhuǎn)移到BDCk,這些步驟和上面的操作方法一樣的就我這里就不在寫了五、FSMOt色介紹：1架構(gòu)主機(jī)(Schemamaster)架構(gòu)主機(jī)角色是林范圍的角色,每個(gè)林一個(gè).此角色用于擴(kuò)展ActiveDirectory林的架構(gòu)或運(yùn)行adprep/domainprep命令.2域命名主機(jī)(Domainnamingmaster)一域命名主機(jī)角色是林范圍的角色,每個(gè)林一個(gè).此角色用于向林中添加或從林中刪除域或應(yīng)用程序分區(qū).3RID主機(jī)(RIDmaster)RID主機(jī)角

35、色是域范圍的角色,每個(gè)域一個(gè).此角色用于分配RID池,以便新的或現(xiàn)有的域限制器能夠創(chuàng)立用戶帳戶、計(jì)算機(jī)帳戶或平安組.4結(jié)構(gòu)主機(jī)(Infrastructuremaster)結(jié)構(gòu)主機(jī)角色是域范圍的角色,每個(gè)域一個(gè).此角色供域限制器使用,用于成功運(yùn)行adprep/forestprep命令,以及更新跨域引用的對象的SID屬性和可分辨名稱屬性.5PDC模擬器(PDCemulator)PDC模擬器角色是域范圍的角色,每個(gè)域一個(gè).將數(shù)據(jù)庫更新發(fā)送到WindowsNT備份域限制器的域限制器需要具備這個(gè)角色.此外,擁有此角色的域限制器也是某些治理工具的目標(biāo),它還可以更新用戶帳戶密碼和計(jì)算機(jī)帳戶密碼.六、AD數(shù)據(jù)

36、庫出錯(cuò)解決方法：現(xiàn)在我們刪除已損壞DC的信息,對于網(wǎng)絡(luò)中DC1損壞,雖然經(jīng)過以上的FSM說色奪取到DC2上后,整個(gè)域已可以正常使用.但在日志中,還是會(huì)有AD數(shù)據(jù)庫復(fù)制信息出錯(cuò)的提示解決方法：以下內(nèi)容來自微軟KB216498; :/support.microsoft /kb/216498/域限制器降級失敗后如何刪除ActiveDirectory中的數(shù)據(jù)本文介紹在域限制器降級失敗后,如何刪除ActiveDirectory中的數(shù)據(jù).警告：如果使用“ADSI編輯治理單元、LDP實(shí)用工具或任何其他LDAP版本3客戶端,并且不恰當(dāng)?shù)匦薷牧薃ctiveDirectory對象的屬性,那么可能造成嚴(yán)重問題.要解

37、決這些問題,您可能需要重新安裝MicrosoftWindows2000Server、MicrosoftWindowsServer2003、MicrosoftExchange2000Server或MicrosoftExchangeServer2003,或者Windows和Exchange二者都需要重新安裝.Microsoft不保證能夠解決由于ActiveDirectory對象屬性修改不當(dāng)而導(dǎo)致的問題.修改這些屬性需要您自擔(dān)風(fēng)險(xiǎn).ActiveDirectory安裝向?qū)?Dcpromo.exe)用于將效勞器提升為域限制器,以及將域限制器降級為成員效勞器(或者在該域限制器是域中的最后一個(gè)域限制器時(shí),將

38、其降級為工作組中的獨(dú)立效勞器).作為降級過程的一局部,此向?qū)?huì)將該域控制器的配置數(shù)據(jù)從ActiveDirectory中刪除.此數(shù)據(jù)的形式是“NTDS設(shè)置"對象,在"ActiveDirectory站點(diǎn)和效勞"中作為效勞器對象的一個(gè)子對象存在.該信息位于ActiveDirectory中的以下位置：CN=NTDSSettings,CN=<servername>,CN=Servers,CN=<sitename>,CN=Sites,CN=Configuration,DC=<domain>.“NTDS設(shè)置對象的屬性包括：代表如何針對域限制器

39、的復(fù)制伙伴標(biāo)識(shí)域限制器的數(shù)據(jù)、計(jì)算機(jī)中保存的命名上下文、域限制器是否為全局編錄效勞器,以及默認(rèn)查詢策略.“NTDS設(shè)置對象也是一個(gè)容器,其中可以包含代表域限制器的直接復(fù)制伙伴的子對象.該數(shù)據(jù)是域限制器在環(huán)境中運(yùn)行所必需的,但域限制器降級后就不再使用該數(shù)據(jù)了.如果未正確刪除“NTDS設(shè)置對象(例如,未從降級嘗試中正確刪除“NTDS設(shè)置對象),治理員可以使用Ntdsutil.exe實(shí)用工具手動(dòng)刪除“NTDS設(shè)置對象.以下步驟列出了在特定域限制器的ActiveDirectory中刪除“NTDS設(shè)置對象的過程.在每個(gè)Ntdsutil菜單上,治理員可以鍵入help以了解有關(guān)可用選項(xiàng)的更多信息.飛回到頂端

40、WindowsServer2003ServicePack1(SP1)-Ntdsutil.exe的增強(qiáng)版本W(wǎng)indowsServer2003ServicePack1中包含的Ntdsutil.exe版本已經(jīng)過增強(qiáng),可使元數(shù)據(jù)去除過程更加徹底.在運(yùn)行元數(shù)據(jù)去除時(shí),SP1中包含的Ntdsutil.exe將執(zhí)行以下操作：刪除“NTDS破置或“NTDS設(shè)置主題.刪除現(xiàn)有目標(biāo)DC用于從要?jiǎng)h除的源DC復(fù)制數(shù)據(jù)的入站AD連接對象.刪除計(jì)算機(jī)帳戶.刪除FRS成員對象.刪除FRS訂閱者對象.嘗試獲取由要?jiǎng)h除的DC所擁有的靈活單操作主機(jī)角色(又稱為靈活單主機(jī)操作或FSMO警告：在手動(dòng)刪除任彳效勞器的“NTDS設(shè)置對象

41、之前,治理員還必須保證在降級之后已進(jìn)行了復(fù)制.Ntdsutil實(shí)用工具使用不當(dāng)可能導(dǎo)致ActiveDirectory功能局部或全部喪失.回到頂端過程1:僅限WindowsServer2003SP1單擊“開始,指向“程序,指向“附件,然后單擊“命令提示符.在命令提示符處,鍵入ntdsutil,然后按Enter.鍵入metadatacleanup,然后按Enter.根據(jù)所給出的選項(xiàng),治理員可以執(zhí)行刪除操作,但在實(shí)施刪除之前還必須指定另外一些配置參數(shù).鍵入connections,然后按Enter.此菜單用于連接將發(fā)生這些更改的具體效勞器.如果當(dāng)前登錄的用戶沒有治理權(quán)限,可以在建立連接之前指定要使用的

42、替代憑據(jù).為此,請鍵入setcredsDomainNameUserNamePassword后按Enter.如果密碼為空,那么鍵入null作為密碼參數(shù).鍵入connecttoserverservername,然后按Enter.然后出現(xiàn)一條確認(rèn)消息,說明已成功建立該連接.如果出現(xiàn)錯(cuò)誤,那么確認(rèn)連接中所用的域限制器是否可用,以及您提供的憑據(jù)對該效勞器是否有治理權(quán)限.注意：如果嘗試連接的效勞器正是要?jiǎng)h除的效勞器,那么在嘗試刪除步驟15提到的效勞器時(shí),將顯示以下錯(cuò)誤消息：錯(cuò)誤2094.不能刪除DSA對象.0x2094鍵入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入selectoperatio

43、ntarget,然后按Enter.鍵入listdomains,然后按Enter.將顯示一個(gè)列出目錄林中所有域的列表,每一個(gè)域都有一個(gè)關(guān)聯(lián)的編號(hào).鍵入selectdomainnumber然后按Enter；其中number是與要?jiǎng)h除的效勞器所屬的域相關(guān)聯(lián)的編號(hào).您選擇的域?qū)⒂糜诖_定要?jiǎng)h除的效勞器是否為該域的最后一個(gè)域限制器.鍵入listsites,然后按Enter.將出現(xiàn)一個(gè)站點(diǎn)列表,其中每個(gè)站點(diǎn)都帶有一個(gè)關(guān)聯(lián)的編號(hào).鍵入selectsitenumber;然后按Enter；其中number是與要?jiǎng)h除的效勞器所屬站點(diǎn)相關(guān)聯(lián)的編號(hào).將出現(xiàn)一條確認(rèn)消息,其中列出了所選的站點(diǎn)和域.鍵入listserver

44、sinsite,然后按Enter.將顯示一個(gè)列出站點(diǎn)中所有效勞器的列表,每個(gè)效勞器都有一個(gè)關(guān)聯(lián)的編號(hào).鍵入selectservernumber其中number是與要?jiǎng)h除的效勞器關(guān)聯(lián)的編號(hào).將出現(xiàn)一條確認(rèn)消息,其中會(huì)列出所選的服務(wù)器、該效勞器的域名系統(tǒng)(DNS)主機(jī)名以及要?jiǎng)h除的效勞器的計(jì)算機(jī)帳戶位置.鍵入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入removeselectedserver,然后按Enter.將出現(xiàn)一條確認(rèn)消息,說明刪除成功完成.如果出現(xiàn)以下錯(cuò)誤消息,那么說明“NTDS設(shè)置對象可能已從ActiveDirectory中刪除,原因可能是其他治理員刪除了該“NTDS設(shè)置對象

45、,或者在運(yùn)行DCPROM侯用工具成功刪除該對象后又執(zhí)行了一次此操作.錯(cuò)誤8419(0X20E3)找不到DSA對象注意：當(dāng)您嘗試綁定到要?jiǎng)h除的域限制器時(shí),也可能會(huì)出現(xiàn)此錯(cuò)誤.Ntdsutil綁定到的域限制器不能是要通過去除元數(shù)據(jù)來刪除的域限制器.鍵入quit,然后在每個(gè)菜單上按Enter,退出Ntdsutil實(shí)用工具.將出現(xiàn)一條確認(rèn)消息,說明連接已成功斷開.在DNS的_msdcs.<目錄林的根域>區(qū)域中刪除cname記錄.假定要重新安裝并重新提升DC,將創(chuàng)立一個(gè)新的“NTDS設(shè)置對象,它將具有新的GUID并在DNS中擁有一個(gè)匹配的cname記錄.您不希望現(xiàn)有DC使用舊的cname記錄

46、.最正確做法是刪除主機(jī)名和其他DNS記錄.如果已超出為脫機(jī)效勞器分配的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)地址上所剩的租用時(shí)間,另一個(gè)客戶端即可獲得問題DC的IP地址.在DNS限制臺(tái)中,使用DNSMMC刪除DNS中的A記錄.A記錄也稱為“主機(jī)記錄.要?jiǎng)h除A記錄,請右鍵單擊A記錄,然后單擊"刪除".另外,請刪除_msdcs容器中的cname記錄.為此,請展開"_msdcS'容器,右鍵單擊"cnam3,然后單擊“刪除.重要說明：如果這是一臺(tái)DNS效勞器,請?jiān)凇懊Q效勞器選項(xiàng)卡下刪除對該DC的引用.為此,在DNS限制臺(tái)中,在“正向查找區(qū)域下單擊該域名,然后從“

47、名稱效勞器選項(xiàng)卡中刪除該效勞器.注意：如果有反向查找區(qū)域,也要將效勞器從這些區(qū)域中刪除.如果刪除的計(jì)算機(jī)是子域中的最后一個(gè)域限制器,而且該子域也已刪除,請使用ADSIEdit刪除該子域的trustDomain對象.為此,請根據(jù)以下步驟操作：單擊“開始,單擊“運(yùn)行,鍵入adsiedit.msc,然后單擊“確定.展開“域NC容器.展開“DC=您的域,DC=COM,PRI,LOCAL,NET'.展開"CN=Systerfi.右鍵單擊“TrustDomain對象,然后單擊“刪除.使用“ActiveDirectory站點(diǎn)和效勞刪除域限制器.為此,請根據(jù)以下步驟操作：啟動(dòng)"Ac

48、tiveDirectory站點(diǎn)和效勞.展開“站點(diǎn).展開效勞器的站點(diǎn).默認(rèn)站點(diǎn)為"Default-First-Site-Name.展開“效勞器.右鍵單擊域限制器,然后單擊“刪除.電回到頂端過程2:Windows2000(所有版本)、WindowsServer2003RTM單擊“開始,指向“程序,指向“附件,然后單擊“命令提示符.在命令提示符處,鍵入ntdsutil,然后按Enter.鍵入metadatacleanup,然后按Enter.根據(jù)所給出的選項(xiàng),治理員可以執(zhí)行刪除操作,但在實(shí)施刪除之前還必須指定另外一些配置參數(shù).鍵入connections,然后按Enter.此菜單用于連接將發(fā)生

49、這些更改的具體效勞器.如果當(dāng)前登錄的用戶沒有治理權(quán)限,那么可以在建立連接之前指定要使用的替代憑據(jù).為此,請鍵入setcredsDomainNameUserNamePasswo然后按Enter.如果密碼為空,那么鍵入null作為密碼參數(shù).鍵入connecttoserverservername,然后按Enter.然后出現(xiàn)一條確認(rèn)消息,說明已成功建立該連接.如果出現(xiàn)錯(cuò)誤,那么確認(rèn)連接中所用的域限制器是否可用,以及您提供的憑據(jù)對該效勞器是否有治理權(quán)限.注意：如果嘗試連接的效勞器正是要?jiǎng)h除的效勞器,那么在嘗試刪除步驟15提到的效勞器時(shí),將顯示以下錯(cuò)誤消息：錯(cuò)誤2094.不能刪除DSA對象.0x2094鍵

50、入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入selectoperationtarget,然后按Enter.鍵入listdomains,然后按Enter.將顯示一個(gè)列出目錄林中所有域的列表,每一個(gè)域都有一個(gè)關(guān)聯(lián)的編號(hào).鍵入selectdomainnumber然后按Enter；其中number是與要?jiǎng)h除的效勞器所屬的域相關(guān)聯(lián)的編號(hào).您選擇的域?qū)⒂糜诖_定要?jiǎng)h除的效勞器是否為該域的最后一個(gè)域限制器.鍵入listsites,然后按Enter.將顯示一個(gè)站點(diǎn)列表,每個(gè)站點(diǎn)都有一個(gè)關(guān)聯(lián)的編號(hào).鍵入selectsitenumber;然后按Enter；其中number是與要?jiǎng)h除的效勞器所屬站點(diǎn)相關(guān)

51、聯(lián)的編號(hào).將出現(xiàn)一條確認(rèn)消息,其中列出了所選的站點(diǎn)和域.鍵入listserversinsite,然后按Enter.將顯示一個(gè)列出站點(diǎn)中所有效勞器的列表,每個(gè)效勞器都有一個(gè)關(guān)聯(lián)的編號(hào).鍵入selectservernumber其中number是與要?jiǎng)h除的效勞器關(guān)聯(lián)的編號(hào).將出現(xiàn)一條確認(rèn)消息,其中會(huì)列出所選的服務(wù)器、該效勞器的域名系統(tǒng)(DNS)主機(jī)名以及要?jiǎng)h除的效勞器的計(jì)算機(jī)帳戶位置.鍵入quit,然后按Enter.將出現(xiàn)“去除元數(shù)據(jù)菜單.鍵入removeselectedserver,然后按Enter.將出現(xiàn)一條確認(rèn)消息,說明刪除成功完成.如果出現(xiàn)以下錯(cuò)誤消息：錯(cuò)誤8419(0X20E3)找不到DS

52、A對象那么說明“NTDS設(shè)置對象可能已從ActiveDirectory中刪除,原因可能是其他治理員刪除了該“NTDS設(shè)置對象,或者在運(yùn)行Dcpromo實(shí)用工具成功刪除該對象后又執(zhí)行了一次此操作.注意：當(dāng)您嘗試綁定到要?jiǎng)h除的域限制器時(shí),也可能會(huì)出現(xiàn)此錯(cuò)誤.Ntdsutil綁定到的域限制器不能是要通過去除元數(shù)據(jù)來刪除的域限制器.在每個(gè)菜單中鍵入quit,退出Ntdsutil實(shí)用工具.將出現(xiàn)一條確認(rèn)消息,說明連接已成功斷開.在DNS的_msdcs.<目錄林的根域>區(qū)域中刪除cname記錄.假定要重新安裝并重新提升DC,將創(chuàng)立一個(gè)新的“NTDS設(shè)置對象,它將具有新的GUID并在DNS中擁有

53、一個(gè)匹配的cname記錄.您不希望現(xiàn)有DC使用舊的cname記錄.最正確做法是刪除主機(jī)名和其他DNS記錄.如果已超出為脫機(jī)效勞器分配的動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)地址上所剩的租用時(shí)間,另一個(gè)客戶端即可獲得問題DC的IP地址.既然“NTDS設(shè)置對象已刪除,因此可以刪除計(jì)算機(jī)帳戶、FRS成員對象、_msdcs容器中的cname(或別名)記錄、DNS中的A(或主機(jī))記錄、已刪除的子域的trustDomain對象以及域限制器.注意：在WindowsServer2003RTM中不需要手動(dòng)刪除FRS成員對象,由于在您運(yùn)行Ntdsutil.exe實(shí)用工具時(shí),它已經(jīng)刪除了FRS成員對象.另外,如果DC的計(jì)算機(jī)

54、帳戶包含其他頁對象,那么無法刪除該計(jì)算機(jī)帳戶的元數(shù)據(jù).例如,DC上可能安裝了遠(yuǎn)程安裝效勞(RIS).Windows2000Server和WindowsServer2003的Windows支持工具功能中都附帶有Adsiedit實(shí)用工具.要安裝Windows支持工具,請根據(jù)以下步驟操作：Windows2000Server:在Windows2000ServerCD上,翻開SupportT001s文件夾,雙擊"Setup.exe,然后根據(jù)屏幕上的說明操作.WindowsServer2003:在WindowsServer2003CD上,翻開SupportTools文件夾,雙擊"Sup

55、tools.msi",單擊"安裝,然后根據(jù)Windows支持工具安裝向?qū)е械牟襟E操作以完成安裝.使用ADSIEdit刪除計(jì)算機(jī)帳戶.為此,請根據(jù)以下步驟操作：單擊“開始,單擊“運(yùn)行,在“翻開框中鍵入adsiedit.msc,然后單擊“確定.展開“域NC容器.展開“DC=您的域名>,DC=COM,PRI,LOCAL,NET'.展開"OU=DomainControllers.右鍵單擊"CN=域限制器名>,然后單擊“刪除.如果在試圖刪除DSA對象時(shí)出現(xiàn)“不能刪除DSA對象錯(cuò)誤消息,請更改UserAccountControl值.要更改UserAccountControl值,請?jiān)贏DSIEdit中右鍵單擊該域限制器,然后單擊“屬性.在“選擇一個(gè)要查看的屬性下,單擊“UserAccountControl.單擊“去除,將