在主域控脫機后如何將輔助域控變成主域控

主域控脫機后如何將輔助域控變成主域控2008年06月11日星期三上午08:50一、ActiveDirectory操作主機角色概述ActiveDirectory定義了五種操作主機角色（又稱ＦＳＭＯ）：架構主機schemamaster、域命名主機domainnamingmaster相對標識號(RID)主機RIDmaster主域控制器模擬器(PDCE)基礎結構主機infrastructuremaster而每種操作主機角色負擔不同的工作，具有不同的功能：架構主機具有架構主機角色的DC是可以更新目錄架構的唯一DC。這些架構更新會從架構主機復制到目錄林中的所有其它域控制器中。架構主機是基于目錄林的，整個目錄林中只有一個架構主機。域命名主機具有域命名主機角色的DC是可以執(zhí)行以下任務的唯一DC：向目錄林中添加新域。從目錄林中刪除現(xiàn)有的域。添加或刪除描述外部目錄的交叉引用對象。相對標識號(RID)主機此操作主機負責向其它DC分配RID池。只有一個服務器執(zhí)行此任務。在創(chuàng)建安全主體（例如用戶、組或計算機）時，需要將RID與域范圍內(nèi)的標識符相結合，以創(chuàng)建唯一的安全標識符(SID)。每一個Windows2000DC都會收到用于創(chuàng)建對象的RID池（默認為512）。RID主機通過分配不同的池來確保這些ID在每一個DC上都是唯一的。通過RID主機，還可以在同一目錄林中的不同域之間移動所有對象。域命名主機是基于目錄林的，整個目錄林中只有一個域命名主機。相對標識號（RID）主機是基于域的，目錄林中的每個域都有自己的相對標識號（RID）主機PDCE主域控制器模擬器提供以下主要功能：向后兼容低級客戶端和服務器，允許WindowsNT4.0備份域控制器(BDC)加入到新的Windows2000環(huán)境。本機Windows2000環(huán)境將密碼更改轉發(fā)到PDCE。每當DC驗證密碼失敗后，它會與PDCE取得聯(lián)系，以查看該密碼是否可以在那里得到驗證，也許其原因在于密碼更改還沒有被復制到驗證DC中。時間同步—目錄林中各個域的PDCE都會與目錄林的根域中的PDCE進行同步。PDCE是基于域的，目錄林中的每個域都有自己的PDCE?；A結構主機基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時，此引用包含該對象的全局唯一標識符(GUID)、安全標識符(SID)和可分辨的名稱(DN)。如果被引用的對象移動，則在域中擔當結構主機角色的DC會負責更新該域中跨域?qū)ο笠弥械腟ID和DN?；A結構主機是基于域的，目錄林中的每個域都有自己的基礎結構主機默認，這五種ＦＭＳＯ存在于目錄林根域的第一臺DC（主域控制器）上，而子域中的相對標識號(RID)主機、PDCE、基礎結構主機存在于子域中的第一臺DC。--------------------------------------------------------------------------------二、環(huán)境分析公司T（虛擬）有一臺主域控制器DC-01.，還有一臺額外域控制器DC-02.。現(xiàn)主域控制器（DC-01.）由于硬件故障突然損壞，事先又沒有DC-01.的系統(tǒng)狀態(tài)備份，沒辦法通過備份修復主域控制器（DC-01.），我們怎么讓額外域控制器（DC-02.）替代主域控制器，使AcitvieDirectory繼續(xù)正常運行，并在損壞的主域控制器硬件修理好之后，如何使損壞的主域控制器恢復。如果你的第一臺ＤＣ壞了，還有額外域控制器正常，需要在一臺額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設置為GC。--------------------------------------------------------------------------------三、從AD中清除主域控制器DC-01.對象3.1在額外域控制器(DC-02.)上通過ntdsutil.exe工具把主域控制器(DC-01.)從ＡＤ中刪除；c:>ntdsutilntdsutil:metadatacleanupmetadatacleanup:selectoperationtargetselectoperationtarget:connectionsserverconnections:connecttodomainselectoperationtarget:listsitesFound1site(s)0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselectoperationtarget:selectsite0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNocurrentdomainNocurrentserverNocurrentNamingContextselectoperationtarget:ListdomainsinsiteFound1domain(s)0-DC=test,DC=comFound1domain(s)0-DC=test,DC=comselectoperationtarget:selectdomain0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain-DC=test,DC=comNocurrentserverNocurrentNamingContextselectoperationtarget:ListserversfordomaininsiteFound2server(s)0-CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselectoperationtarget:selectserver０selectoperationtarget:quitmetadatacleanup:Removeselectedserver出現(xiàn)對話框，按“確定“刪除DC-01主控服務器。metadatacleanup:quitntdsutil:quit3.2使用ADSIEDIT工具刪除ActiveDirectoryusersandcomputers中的Domaincontrollers中DC-01服務器對象，ADSIEDIT是Windows2000supporttools中的工具，你需要安裝Windows2000supporttool，安裝程序在windows2000光盤中的support\tools目錄下。打開ADSIEDIT工具，展開DomainNC[DC-02.]，展開OU=Domaincontrollers，右擊CN=DC-01，然后選擇Delete，把DC-01服務器對象刪除，如圖1：3.3在ActiveDirectorySitesandService中刪除DC-01服務器對象打開Administrativetools中的ActiveDirectorySitesandService，展開Sites，展開Default-First-Site-Name，展開Servers，右擊DC-01，選擇Delete，單擊Yes按鈕，如圖2：--------------------------------------------------------------------------------四、在額外域控制器上通過ntdsutil.exe工具執(zhí)行奪取五種ＦＭＳＯ操作c:>ntdsutilntdsutil:rolesfsmomaintenance:Selectoperationtargetselectoperationtarget:connectionsserverconnections:connecttodomainselectoperationtarget:listsitesFound1site(s)0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselectoperationtarget:selectsite0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNocurrentdomainNocurrentserverNocurrentNamingContextselectoperationtarget:ListdomainsinsiteFound1domain(s)0-DC=test,DC=comselectoperationtarget:selectdomain0Site-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain-DC=test,DC=comNocurrentserverNocurrentNamingContextselectoperationtarget:ListserversfordomaininsiteFound1server(s)0-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselectoperationtarget:selectserver０selectoperationtarget:quitfsmomaintenance:Seizedomainnamingmaster出現(xiàn)對話框，按“確定“fsmomaintenance:Seizeinfrastructuremaster出現(xiàn)對話框，按“確定“fsmomaintenance:SeizePDC出現(xiàn)對話框，按“確定“fsmomaintenance:SeizeRIDmaster出現(xiàn)對話框，按“確定“fsmomaintenance:Seizeschemamaster出現(xiàn)對話框，按“確定“fsmomaintenance:quitntdsutil:quit（注：Seize是在原FSMO不在線時進行操作，如果原FSMO在線，需要使用Transfer操作）--------------------------------------------------------------------------------五、設置額外控制(DC-02.)為ＧＣ（全局編錄）打開AdministrativeTools中的ActiveDirectorySitesandServices，展開Sites，展開Default-First-Site-Name，展開Servers，展開DC-02.(額外控制器)，右擊NTDSSettings選擇Properties，然后在"GlobalCatalog"前面打勾，單擊"確定"按鈕，然后重新啟動服務器。--------------------------------------------------------------------------------六、重新安裝并恢復損壞主域控制器修理好DC-01.損壞的硬件之后，在DC-01.服務器重新安裝Windows2000Server，安裝好Windows2000Server之后，再運行Dcpromo升成額外的域控制器；如果你需要使DC-01.擔任五種FMSO角色，通過ntdsutil工具進行角色轉換，進行Transfer操作就行了（注意：不能用Seize）。并通過ActiveDirectorySitesandServices設置DC-01.為GC，取消DC-02.的GC功能。建議domainnamingmaster不要和RIDmaster在一臺DC上，而domainnamingmaster同時必須為GC。使用ntdsutil工具刪除已不存的的DS對象的一個例子（本例中假定要刪除的對象為一臺已崩潰的DC，其FQDN為，另一DC的FQDN為）C:\>ntdsutilntdsutil:metadatacleanup-清理不使用的服務器的對象metadatacleanup:selectoperationtarget-選擇的站點，服務器，域，角色和命名上下文selectoperationtarget:connections-連接到一個特定域控制器serverconnections:connecttoserveradddc-連接到adddc綁定到adddc...用本登錄的用戶的憑證連接adddc。serverconnections:quit-返回上一層目錄selectoperationtarget:listsite-在企業(yè)中列出站點(找到1個站點，標識為0)找到1站點0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=comselectoperationtarget:selectsite0-將標識為0的站點定為所選站點站點-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com沒有當前域沒有當前服務器當前的命名上下文selectoperationtarget:listdomains-列出所有包含交叉引用的域找到1域0-DC=acme,DC=comselectoperationtarget:selectdomain0-將標識為0的域定為所選域站點-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com域-DC=acme,DC=com沒有當前服務器當前的命名上下文selectoperationtarget:listserversfordomaininsite-列出所選域和站點中的服務器(找到兩個：0-；1-)找到2服務器0-CN=ADDEMO,CN=Servers,CN=Default-First-S