域服務(wù)器遷移方案一：找了一臺普通的機(jī)器，裝server 2003 ，加入域，然后配置成備份域服務(wù)器。域數(shù)據(jù)copy 完成后， 關(guān)閉主服務(wù)器，然后安裝本地的服務(wù)器dhcp 和dns ，再參照下面升級備份

域服務(wù)器遷移

方案一：

找了一臺普通的機(jī)器，裝server 2003 ，加入域，然后配置成備份域服務(wù)器。域數(shù)據(jù)copy 完成后， 關(guān)閉主服務(wù)器，然后安裝本地的服務(wù)器dhcp 和dns ，再參照下面升級備份域服務(wù)器為主域服務(wù)器，按照提示重啟什么的。

然后老的機(jī)器更換硬盤，重裝，再和前面操作一樣，配置成備份域服務(wù)器，在關(guān)閉主服務(wù)器的情況下，再次升級備份域服務(wù)器為主域服務(wù)器。

（在這個過程中可能會有IP 地址變更，和遷移當(dāng)中DNS 報錯的情況，根據(jù)提示，把DNS 里面一些錯誤的配置信息更改掉就可以了。）

AD 恢復(fù)主域控制器

本文講述了在多域控制器環(huán)境下，主域控制器由于硬件故障突然損壞，而又事先又沒有做好備份，如何使額外域控制器接替它的工作，使Active Directory正常運行，并在硬件修理好之后，如何使損壞的主域控制器恢復(fù)。

-------------------------------

目錄

Active Directory操作主機(jī)角色概述

環(huán)境分析

從AD 中清除主域控制器DC-01.test.com 對象

在額外域控制器上通過ntdsutil.exe 工具執(zhí)行奪取五種ＦＭＳＯ操作 設(shè)置額外域控制器為ＧＣ（全局編錄）

重新安裝并恢復(fù)損壞主域控制器 附:用于檢測AD 中五種操作主機(jī)角色的腳本 ---------------------------

一、Active Directory操作主機(jī)角色概述

Active Directory 定義了五種操作主機(jī)角色（又稱ＦＳＭＯ）：

架構(gòu)主機(jī) schema master

具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一DC 。這些架構(gòu)更新會從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機(jī)是基于目錄林的，整個目錄林中只有一個架構(gòu)主機(jī)。

域命名主機(jī) domain naming master

具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC： 向目錄林中添加新域。 從目錄林中刪除現(xiàn)有的域。添加或刪除描述外部目錄的交叉引用對象。 相對標(biāo)識號(RID)主機(jī) RID master

主機(jī)此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體（例如用戶、組或計算機(jī)）時，需要將 RID 與域范圍內(nèi)的標(biāo)識符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識符 (SID)。 每一個 Windows 2000 DC 都會收到用于創(chuàng)建對象的 RID 池（默認(rèn)為 512）。RID 主機(jī)通過分配不同的池來確保這些 ID 在每一個 DC 上都是唯一的。通過 RID 主機(jī)，還可以在同一目錄林中的不同域之間移動所有對象。

域命名主機(jī)是基于目錄林的，整個目錄林中只有一個域命名主機(jī)。相對標(biāo)識號(RID)主機(jī)是基于域的，目錄林中的每個域都有自己的相對標(biāo)識號(RID）主機(jī)。

主域控制器模擬器 (PDCE)

主域控制器模擬器提供以下主要功能：

向后兼容低級客戶端和服務(wù)器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE 。每當(dāng) DC 驗證密碼失敗后，它會與 PDCE 取得聯(lián)系，以查看該密碼是否可以在那里得到驗證，也許其原因在于密碼更改還沒有被復(fù)制到驗證 DC 中。 時間同步—目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進(jìn)行同步。

PDCE 是基于域的，目錄林中的每個域都有自己的PDCE 。

基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master

基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對象的一致性。當(dāng)引用另一個域中的對象時，此引用包含該對象的全局唯一標(biāo)識符 (GUID)、安全標(biāo)識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動，則在域中擔(dān)當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN。

基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)默認(rèn)，這五種ＦＭＳＯ存在于目錄林根域的第一臺DC （主域控制器）上，而子域中的相對標(biāo)識號 (RID) 主機(jī)、PDCE 、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺DC 。 ---------------------------------------

二、環(huán)境分析

如果你的第一臺ＤＣ壞了，還有額外域控制器正常，需要在一臺額外域控制器上奪取這五種ＦＭＳＯ，并需要把額外域控制器設(shè)置為GC 。

---------------------------

三、從AD 中清除主域控制器DC-01.test.com 對象

3.1在額外域控制器(DC-02.test.com)上通過ntdsutil.exe 工具把主域控制器(DC-01.test.com)從ＡＤ中刪除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain test.com

server connections:quit

select operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 2 server(s)

0 -

CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

metadata cleanup:Remove selected server

出現(xiàn)對話框，按“確定“刪除DC-01主控服務(wù)器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具刪除Active Directory users and computers中的Domain controllers中DC-01服務(wù)器對象，

ADSI EDIT 是Windows 2000 support tools 中的工具，你需要安裝Windows 2000 support tool ，安裝程序在windows 2000光盤中的support ools 目錄下。先把adsi edit.msc 和adsiedit.dll 拷到system32下﹐再運行regsvr32

adsiedit.dll ﹐再用mmc 添加adsi ﹐再在adsi 中connect domain nc, 打開ADSI EDIT 工具，展開Domain NC[DC-02.test.com]，展開OU=Domain controllers，右擊CN=DC-01，然后選擇Delete ，把DC-01服務(wù)器對象刪除，如圖1：

3.3 在Active Directory Sites and Service中刪除DC-01服務(wù)器對象

打開Administrative tools中的Active Directory Sites and Service，展開Sites ，展開Default-First-Site-Name ，展開Servers ，右擊DC-01，選擇Delete ，單擊Yes 按鈕，如圖2：

---------------------------

四、在額外域控制器上通過ntdsutil.exe 工具執(zhí)行奪取五種ＦＭＳＯ操作 c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

select operation target: connections

server connections: connect to domain test.com

server connections:quit

select operation target: list sites

Found 1 site(s)

0 -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site -

CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 1 server(s)

0 -

CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

fsmo maintenance:Seize domain naming master

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize infrastructure master

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize PDC

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize RID master

出現(xiàn)對話框，按“確定“

fsmo maintenance:Seize schema master

出現(xiàn)對話框，按“確定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize 是在原FSMO 不在線時進(jìn)行操作，如果原FSMO 在線，需要使用Transfer 操作） -----------------------------------

五、設(shè)置額外控制(DC-02.test.com)為ＧＣ（全局編錄）

打開Administrative Tools中的Active Directory Sites and Services，展

開Sites ，展開Default-First-Site-Name ，展開Servers ，展開

DC-02.test.com(額外控制器) ，右擊NTDS Settings選擇Properties ，然后在"Global Catalog"前面打勾，單擊" 確定" 按鈕，然后重新啟動服務(wù)器。 ---------------------------------

六、重新安裝并恢復(fù)損壞主域控制器

修理好DC-01.test.com 損壞的硬件之后，在DC-01.test.com 服務(wù)器重新安裝Windows 2000 Server，安裝好Windows 2000 Server之后，再運行Dcpromo 升成額外的域控制器；如果你需要使DC-01.test.com 擔(dān)任五種FMSO 角色，通過ntdsutil 工具進(jìn)行角色轉(zhuǎn)換，進(jìn)行Transfer 操作就行了（注意：不能用Seize ）。并通過Active Directory Sites and Services設(shè)置DC-01.test.com 為GC ，取消DC-02.test.com 的GC 功能。

建議domain naming master 不要和RID master 在一臺DC 上，而domain naming master 同時必須為GC 。

主域 Windows 2000 SP4 ；額外域 Windows 2003 (集成Exchange2003) 方案:新建一個額外域, 替換主域

操作步驟:

1. 安裝 Windows 2000 SP4

2. DCPROMO 升級為額外域

3. 通過Ntdsutil 將角色轉(zhuǎn)移

C:>ntdsutil

ntdsutil: roles

fsmo maintenance: connection

server connections: connect to server backupad (后面寫你的備用服務(wù)器的域名) 綁定到 backupad ...

用本登錄的用戶的憑證連接 backupad。

server connections: quit

fsmo maintenance: transfer schema master 轉(zhuǎn)移架構(gòu)主機(jī)角色

fsmo maintenance: transfer domain naming master 轉(zhuǎn)移域命名主機(jī)角色 fsmo maintenance: transfer RID master 轉(zhuǎn)移 RID 主機(jī)角色

fsmo maintenance: transfer PDC 轉(zhuǎn)移 PDC 模擬器角色

fsmo maintenance: transfer infrastructure master 轉(zhuǎn)移結(jié)構(gòu)主機(jī)角色

4. 再設(shè)置為 全局編錄

管理工具 - Active Directory 站點和服務(wù) - backupad - NTDS Settings 屬性, 全局編錄的" 勾" 選中即可

5. 重建DNS, 且與主域同步, 再正向搜索區(qū)域中的 根(.)將名稱服務(wù)器改為"backupad" 即可.

---------------------------------

這里的環(huán)境如下:

一臺舊的WIN2K SERVER域為msft.com,PDC FSMO GC

新的服務(wù)器也是WIN2K 系統(tǒng)

目的:將舊的服務(wù)器的AD 數(shù)據(jù)庫遷移到新的服務(wù)器上, 頂替舊服務(wù)器工作!

首先安裝完成新的服務(wù)器的操作系統(tǒng)后, 配置TCP/IP和舊服務(wù)器在一個網(wǎng)段, 然

后設(shè)置首要的DNS 為舊服務(wù)器[DC]的DNSIP, 然后確定退出, 然后選擇開始->運行->dcpromo開始提升為輔助域控制器, 選擇加入現(xiàn)有的域, 輸入DC 的域名, 然后會提示你權(quán)限, 你用administrator 用戶, 然后下一步, 等待漫長的時間過去后, 完成了, 開始重新啟動! 等啟動起來后進(jìn)入命令行輸入

ntdsutil

roles

connections

connect to server 后面寫你的舊服務(wù)器的域名

然后提示連接成功! 輸入

quit

這下退到了roles 的命令行下面, 打? 看看那些命令依次將

Transfer domain naming master

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

轉(zhuǎn)移到你的新服務(wù)器上!

格式如下:Transfer domain naming master 回車

會提示問你是否轉(zhuǎn)移

然后設(shè)置為GC

打開Active Directory 站點和服務(wù)，雙擊左窗格中的站點，然后瀏覽到適當(dāng)?shù)恼军c，或者，在沒有其他站點可用時單擊默認(rèn)的第一個站點的名稱。 打開服務(wù)器文件夾，然后單擊該域控制器，雙擊 NTDS 設(shè)置。

在操作菜單上，單擊屬性。

在“常規(guī)”選項卡上，找到全局編錄復(fù)選框以查看其是否選中.

這樣就完全設(shè)置完成, 然后將舊的服務(wù)器的AD 卸載掉就OK 了!

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

方案二：

有一點想問一下：你DC 下面的用戶多不多！如果不多的話，比如10幾個或者20個，你就不如直接換硬盤，重新做一個DC ！如果人多的話，那就還是遷移方便！以下為總結(jié)，希望對你有幫助！方法如下：

1. 備份現(xiàn)有主域控制器和備份域控制器操作系統(tǒng)（具體方法不說了！用GHOST ?。?（至于備份域的安裝，簡單說下：

在擁有主域的情況，找一臺03的機(jī)器，運行dcpromo ，彈出對話框中選擇創(chuàng)建現(xiàn)有域的額外域 ！接下來就是輸入用戶名密碼！下一步。

（這臺機(jī)器網(wǎng)卡的DNS 得設(shè)為主域控，可以PING 通?。?/p>

DNS ，得安裝DNS 服務(wù)，在添加刪除中—>組件—>網(wǎng)絡(luò)服務(wù)—>DNS

在主域的DNS 中設(shè)置區(qū)域復(fù)制！允許下面指定的機(jī)器復(fù)制！IP 是你備份域的IP ！ 這樣備份域就會自己刷過來了！完成）

2. 檢查和配置活動目錄集成的DNS 區(qū)域

1) 檢查主域控制器DNS 配置

首選DNS 應(yīng)該設(shè)置為輔助域控制器安裝的DNS 服務(wù)器

點擊開始---程序-----管理工具---DNS---右鍵相關(guān)正向區(qū)域----選擇“屬性”查看主域控制器的DNS 服務(wù)器如下所示：

類型：應(yīng)該為“ActiveDirectory集成區(qū)域”

復(fù)制：應(yīng)該為“ActiveDirectory域中的所有域控制器”

動態(tài)更新為：安全

2) 檢查輔助域控制器DNS 配置

首選DNS 應(yīng)該設(shè)置為主域控制器安裝的DNS 服務(wù)器

點擊開始---程序-----管理工具---DNS---右鍵相關(guān)正向區(qū)域----選擇“屬性”查看主域控制器的DNS 服務(wù)器如下所示：

類型：應(yīng)該為“ActiveDirectory集成區(qū)域”

復(fù)制：應(yīng)該為“ActiveDirectory域中的所有域控制器”

動態(tài)更新為：安全

3. 把GC （全局編錄）移置到額外域控制器上

1) 使用域管理員帳戶登陸到主域控制器上

2) 請單擊“開始”，指向“設(shè)置”，單擊“控制面板”，雙擊“管理工具”，然后雙擊“ActiveDirectory站點和服務(wù)”。

3) 在控制臺樹中，單擊要禁用全局編錄的主域控制器

4) 在詳細(xì)信息窗格中，右鍵單擊“NTDSSettings”，然后單擊“屬性”。

5) 清除“全局編錄”復(fù)選框禁用主域控制器的全局編錄

6) 在控制臺樹中，單擊要啟用全局編錄的輔助域控制器

7) 在詳細(xì)信息窗格中，右鍵單擊“NTDSSettings”，然后單擊“屬性”。

8) 選中“全局編錄”復(fù)選框啟用主域控制器的全局編錄

9) 分別重新啟動主域控制器和備份域控制器

10) 測試全局編錄是否移植成功：

原備份域控制器關(guān)閉的情況下，在原主域控制器上進(jìn)行創(chuàng)建用戶的操作，應(yīng)該提示錯誤。

打開原備份域控制器后則應(yīng)該創(chuàng)建用戶正常。

4. 轉(zhuǎn)移域里的5種角色

轉(zhuǎn)移特定于域的角色：RID 、PDC 和結(jié)構(gòu)主機(jī)

1) 單擊“開始”，指向“程序”，然后選擇“管理工具”，選擇

“ActiveDirectory用戶和計算機(jī)”

2) 右鍵單擊“ActiveDirectory用戶和計算機(jī)”一旁的圖標(biāo)，然后單擊“連接到域控制器，選擇希望將要轉(zhuǎn)移到的域控制器

3) 右鍵單擊“ActiveDirectory用戶和計算機(jī)”圖標(biāo)，然后單擊操作主機(jī)。

4) 在更改操作主機(jī)對話框中，單擊與您要轉(zhuǎn)移的角色對應(yīng)的選項卡（RID 、PDC 或結(jié)構(gòu)

5) 單擊更改操作主機(jī)對話框中的更改。

轉(zhuǎn)移域命名主機(jī)角色

6) 單擊開始，指向程序，指向管理工具，然后單擊“ActiveDirectory域和信任關(guān)系”。

7) 右鍵單擊“ActiveDirectory域和信任關(guān)系”圖標(biāo)，然后單擊“連接到域控制器”。選擇希望將要轉(zhuǎn)移到的域控制器

8) 在更改操作主機(jī)對話框中，單擊更改

9) 單擊確定以確認(rèn)您想轉(zhuǎn)移的角色。

注冊架構(gòu)工具

10) 單擊開始，然后單擊運行。

11) 鍵入regsvr32schmmgmt.dll ，然后單擊確定。應(yīng)顯示出一條指出注冊成功的消息

轉(zhuǎn)移架構(gòu)主機(jī)角色（如果不做上步的話，在MMC 中應(yīng)該是找不到架構(gòu)的）

12) 單擊開始，單擊運行，鍵入mmc ，然后單擊確定。

13) 在控制臺菜單上，單擊“添加/刪除管理單元”，單擊添加。

14) 單擊ActiveDirectory 架構(gòu)。

15) 單擊關(guān)閉以關(guān)閉添加獨立管理單元對話框

16) 右鍵單擊ActiveDirectory 架構(gòu)圖標(biāo)，然后單擊更改域控制器

17) 單擊指定域控制器，鍵入將成為新的角色擔(dān)任者的域控制器的名稱，然后單擊確定。

18) 右鍵單擊ActiveDirectory 架構(gòu)，然后單擊操作主機(jī)。

19) 在更改架構(gòu)主機(jī)對話框中，單擊更改。

20) 單擊確定。

到這里基本工作就算全做完，剩下的就是降原主域了！

5. 在原主域控制器上運行DCPROMO 刪除AD ，這樣額外域控制器被提升為主域控制器

1) 以域管理員用戶登陸原主域控制器

2) 點擊“開始”----“運行”----輸入“dcpromo”運行活動目錄安裝向?qū)?，選擇下一步

3) 確認(rèn)沒有選中“這個服務(wù)器是域中的最后一個域控制器”復(fù)選框，選擇下一步

4) 輸入要分配給本地服務(wù)器管理員密碼，點擊“下一步”

5) 最后完成，點擊“確定”重啟操作系統(tǒng)

到這里是遷移完成

6. 刪除AD 成功后，重新安裝Windows2003，再運行DCPROMO 安裝AD ，將該計算機(jī)配置成為本域中的額外域控制器。

1) 重新安裝原主域控制器操作系統(tǒng)，分配原來一樣的IP 地址，主機(jī)名。

2) 運行dcpromo 將計算機(jī)安裝為本域的輔助域控制器

7. 在新安裝的服務(wù)器上安裝并配置DNS 服務(wù)器

1) 點擊開始，控制面板，再點擊添加/刪除程序，然后在彈出的添加/刪除程序?qū)υ捒蛏宵c擊添加/刪除Windows 組件；

2) 在彈出的Windows 組件向?qū)υ捒?，勾選網(wǎng)絡(luò)服務(wù)下的域名系統(tǒng)（DNS ），點擊確定，然后點擊下一步；

3) 安裝好DNS 服務(wù)器后，你可以點擊管理工具下的DNS 或者運行dnsmgmt.msc 命令來打開DNS 管理控制臺

4) 正常情況下系統(tǒng)會自動從域中已經(jīng)存在的DNS 服務(wù)器上復(fù)制DNS 數(shù)據(jù)信息 這樣繼續(xù)重復(fù)第一步，不過主域是后來的那臺服務(wù)器了！所有操作以那臺為準(zhǔn)！ 至第5步后，所有工作完成！

之所以讓你做一個GHOST ,就是怕有問題，這樣可以還原回來！你看看上面的內(nèi)容應(yīng)該是細(xì)的沒法再細(xì)了呵呵！ 放心做吧！按照上面的步驟，忘了說了，第17步那里可能會有錯誤提示，等等就好了，如果出的話就是DNS 傳輸問題，兩臺機(jī)器全重啟下，一路應(yīng)該很順利的！

互換角色后，你原主域關(guān)機(jī)，新DC 上建新賬戶，并且設(shè)置密碼，讓下面的機(jī)器去登陸，如果正常的話，就沒有問題了！還有就是在DNS 中把原DC 的信息刪掉！