备份域升级主域.docx
《备份域升级主域.docx》由会员分享,可在线阅读,更多相关《备份域升级主域.docx(18页珍藏版)》请在冰豆网上搜索。
备份域升级主域
额外域控制升级为主域控制器
(一)
一、 实验环境:
域名为
1、 原主域控制器
System:
windows20003Server
FQDN:
PDC
IP:
192.168.50.1
Mask:
255.255.255.0
DNS:
192.168.50.1
2、 辅助域控制器
System:
windows2003Server
FQDN:
BDC
IP:
192.168.50.2
Mask:
255.255.255.0
DNS:
192.168.50.1
3、 Exchange2003Server
FQDN:
IP:
192.168.50.3
Mask:
255.255.255.0
DNS:
192.168.50.1
也许有人会问,做辅域升级要装个Exchange干什么?
其实我的目的是为了证明我的升级是否成功,因为Exchange和AD是紧密集成的,如果升级失败的话,Exchange应该就会停止工作。
如果升级成功,对Exchange应该就没有影响,其实现在我们很多的生产环境中有很多这样的情况。
二、实验目的:
在主域控制器(PDC)出现故障的时候通过提升辅域控制器(BDC)为主域控制,从而不影响所有依靠AD的服务。
三、实验步骤
1、 安装域控制器。
第一台域控制器的安装我这里就不在说明了,但要注意一点的是,两台域控器都要安装DNS组件。
在第一台域控制安装好后,下面开始安装第二台域控制器(BDC),首先将要提升为辅助域控制的计算机的计算机名,IP地址及DNS跟据上面设置好以后,并加入到现有域,加入域后以域管理员的身份登陆,开始进行安装第二台域控制器。
2、在安装辅助域控器前先看一下我们的ExchangeServer工作是否正常,到ExchangeServer 中建立两个用户test1和test2,并为他们分别建立一个邮箱,下面使用他们相互发送邮件进行测试,如图。
3、 我们发现发送邮件测试成功,这证明Exchange是正常的。
下面正式开始安装第二台域控制器。
也是就辅助域控制器(BDC)。
4、 以域管理员身份登陆要提升为辅助域控制器的计算机,点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】,打开如图.
5、 这里由于是安装第二台域控制器,所以选择【现有域的额外域控制器】,点【下一步】。
如图
6、 这里输入你的域管理员的用户名和密码,点【下一步】。
如图:
7、 这里提示你的这台域控制将成为哪个域的额外域控制器,如果正确,点【下一步】,再连续点三个下一步,就开始安装了,如图,安装完成大概要几分钟,你就耐心的等待吧,如图:
8、几分钟后安装完成,提示重新启动计算机,重新启动计算机,此时你的计算机已经成为了域的辅助域控制了。
此时在活动目录用户和计算机的域控制器里已经有两台域控制了,如图:
9、再查看一下FSMO(五种主控角色)的owner,安装WindowsServer安装光盘中的Support目录下的supporttools工具,然后打开提示符输入:
netdomqueryfsmo以输出FSMO的owner,如图:
10、 现在五个角色的woner都是PDC,我的就是要把这个五个角色转移到BDC上,使BDC成为这五个角色的owner。
11、现在登陆PDC(主域控制器),进入命令提示符窗口,在命令提示符下输入:
ntdsutil回车,再输入:
roles回车,再输入connections回车,再输入connecttoserverBDC-->(备注:
这里的dc-1是指服务器名称),提示绑定成功后,输入q退出,如图:
12、输入?
回车可看到以下信息:
Connections -连接到一个特定域控制器
Help -显示这个帮助信息
Quit -返回到上一个菜单
Seizedomainnamingmaster -在已连接的服务器上覆盖域角色
Seizeinfrastructuremaster -在已连接的服务器上覆盖结构角色
SeizePDC -在已连接的服务器上覆盖PDC角色
SeizeRIDmaster -在已连接的服务器上覆盖RID角色
Seizeschemamaster -在已连接的服务器上覆盖架构角色
Selectoperationtarget -选择的站点,服务器,域,角色和命名上下文
Transferdomainnamingmaster-将已连接的服务器定为域命名主机
Transferinfrastructuremaster-将已连接的服务器定为结构主机
TransferPDC -将已连接的服务器定为PDC
TransferRIDmaster -将已连接的服务器定为RID主机
Transferschemamaster -将已连接的服务器定为架构
如图:
13、然后分别输入:
Transferdomainnamingmaster回车
Transferinfrastructuremaster 回车
TransferPDC 回车
TransferRIDmaster 回车
Transferschemamaster 回车
以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,如图:
然后接着一条一条完成既可,完成以上按Q退出界面,
14、 这五个步骤完成以后,检查一下是否全部转移到BDC上了,打开在第9步时装windowssupporttools,开始->程序->windowssupporttools->commandprompt,输入netdomqueryfsmo,如图:
全部转移成功.现在五个角色的owner都是BDC了.
15、角色转移成功以后,还要把GC也转移过去,打开活动目录站点和服务,展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。
展开BDC,右击【NTDSSettings】点【属性】,勾上全局编录前面的勾,点确定,如图:
16、然后展开PDC,右击【NTDSSettings】点【属性】,去掉全局编录前面的勾。
如图:
这样全局编录也转到BDC上去了,致此主域控制器已经变成BDC了。
而PDC就成了辅助域控制器了。
17、现在已经可以把原来的主域控制器(PDC)删除掉了,在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它,然后将它退出域。
就完成了整个升级过程。
这里还有一点要注要的:
升级完以后,你现在的主域控制器的IP地址是新的,而不是原来的那个IP地址了,而下面所有的客户端的DNS都是指向原来的主域控制器的,这样就会出现很多问题,包括你的Exchange就找不到域控制器,所以我最简单的方法就是把BDC(现在的主域控制器)的IP改为PDC(原来的主域控制器)的IP就好了。
18、 这些改完以后启动Exchange,exchange不要做任何更改就可以正常工作了,但这时在exchange的日志里是有一项错误(MSExchangeAL事件8026和8260)。
原因为收件人更新服务配置为使用Windows域控制器被降级,。
收件人更新服务尝试查询有关该更新,Windows无法联系域控制器。
解决办法:
打开Exchange系统管理器。
展开"收件人"容器,然后单击收件人更新服务。
双击每个收件人更新服务,然后再将Windows域控制器设置更改为新域中Windows域控制器。
这样设置完以后,重新启动计算机,一切正常了,发封邮件试试,一切正常。
致此全部完成了。
FSMO角色介绍:
架构主机(Schemamaster)-架构主机角色是林范围的角色,每个林一个。
此角色用于扩展ActiveDirectory林的架构或运行adprep/domainprep命令。
域命名主机(Domainnamingmaster)-域命名主机角色是林范围的角色,每个林一个。
此角色用于向林中添加或从林中删除域或应用程序分区。
RID主机(RIDmaster)-RID主机角色是域范围的角色,每个域一个。
此角色用于分配RID池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。
结构主机(Infrastructuremaster)-结构主机角色是域范围的角色,每个域一个。
此角色供域控制器使用,用于成功运行adprep/forestprep命令,以及更新跨域引用的对象的SID属性和可分辨名称属性。
PDC模拟器(PDCemulator)-PDC模拟器角色是域范围的角色,每个域一个。
将数据库更新发送到WindowsNT备份域控制器的域控制器需要具备这个角色。
此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。
前面写的是在PDC还生效的情况下进行BDC升PDC步骤,我们也许会问,PDC还是正常的情况我们为什么提升BDC为PDC呢.说对了,在PDC还正常的情况下我们是没有必要提升BDC为PDC,而如果PDC出现了问题时呢,比如说PDC的硬件出问题了或都说系统坏了的情况下我们就要提升BDC为PDC了,下面我在为大家说说在PDC出现硬件故障机器开不起来了的情况BDC提升为PDC的步骤:
一、这时我们的PDC已经出现了问题并开不起来了。
这时我们来到BDC上,打开AD用户和计算机,在你的域名处点右键――>操作主机打开如图:
此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC,所以我们要把BDC更改为操作主机。
各位可能就会看到下面不是有个更改按钮吗,直接点更改按钮不就转移过去了吗?
其实这我也想到了,但是你在这里点更改会报错的,点了以后过了半天弹出个框框说“请求的FSMO操作失败。
不能连接当前的FSMO盒”,所以我们又要回到命令行模式下进行强制夺取了。
二、在上面的操作中我们已经安装了windows2003的supporttools了,所以我现在在找开supporttools,在命令提示符下输入netdomqueryfsmo查看一下当前的五个前色的owner是谁,如图:
我们看到当前五个角色的owner还是PDC。
下面我们就开始强制夺取吧。
三、再次打开supporttools在命令提示符下输入ntdsutil回车,再输入:
roles回车,再输入connections回车,再输入connecttoserver(其实上面这里我写的是BDC的计算机名,而现在输入的又是域名了),提示绑定成功后,输入q退出,如图:
四、输入问号可以看到一些帮助信息,上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了,分别输入:
Seizedomainnamingmaster
Seizeinfrastructuremaster
SeizePDC
SeizeRIDmaster
Seizeschemamaster
Selectoperationtarget
以上的命令在输入完成一条后都会确认要占用角色,选择是,如图:
然后接着一条一条完成既可,完成以上按Q退出界面,
五、选择是以后。
如图:
我们看到报错了,呵呵,不过没关系,这是正常的,因为主域PDC不在线,所以在夺取时会有这个出错信息。
,所以结构角色会夺取到BDC上,接下来的各个角色的夺取也会有这出错信息。
六、以上命令全部完成以后,我们按Q退出,此时我们再查看一下五个角色的owner已经是我们的BDC了,如图:
七、以上全部完成以后还要把全局编录转移到BDC上,这些步骤和上面的操作方法一样,所以我这里就不在写了。
八、现在我们删除已损坏DC的信息,对于网络中DC1损坏,虽然经过以上的FSMO角色夺取到DC2上后,整个域已可以正常使用。
但在日志中,还是会有AD数据库复制信息出错的提示
解决办法:
以下内容来自微软KB216498;
1.
单击“开始”,指向“程序”,指向“附件”,然后单击“命令提示符”。
2.
在命令提示符处,键入ntdsutil,然后按Enter。
3.
键入metadatacleanup,然后按Enter。
根据所给出的选项,管理员可以执行删除操作,但在实施删除之前还必须指定另外一些配置参数。
4.
键入connections,然后按Enter。
此菜单用于连接将发生这些更改的具体服务器。
如果当前登录的用户没有管理权限,可以在建立连接之前指定要使用的替代凭据。
为此,请键入setcredsDomainNameUserNamePassword,然后按Enter。
如果密码为空,则键入null作为密码参数。
5.
键入connecttoserverservername,然后按Enter。
然后出现一条确认消息,说明已成功建立该连接。
如果出现错误,则确认连接中所用的域控制器是否可用,以及您提供的凭据对该服务器是否有管理权限。
注意:
如果尝试连接的服务器正是要删除的服务器,那么在尝试删除步骤15提到的服务器时,将显示以下错误消息:
错误2094。
不能删除DSA对象。
0x2094
6.
键入quit,然后按Enter。
将出现“清除元数据”菜单。
7.
键入selectoperationtarget,然后按Enter。
8.
键入listdomains,然后按Enter。
将显示一个列出目录林中所有域的列表,每一个域都有一个关联的编号。
9.
键入selectdomainnumber,然后按Enter;其中number是与要删除的服务器所属域相关联的编号。
您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。
10.
键入listsites,然后按Enter。
将出现一个站点列表,其中每个站点都带有一个关联的编号。
11.
键入selectsitenumber,然后按Enter;其中number是与要删除的服务器所属站点相关联的编号。
将出现一条确认消息,其中列出了所选的站点和域。
12.
键入listserversinsite,然后按Enter。
将显示一个列出站点中所有服务器的列表,每个服务器都有一个关联的编号。
13.
键入selectservernumber,其中number是与要删除的服务器关联的编号。
将出现一条确认消息,其中会列出所选的服务器、该服务器的域名系统(DNS)主机名以及要删除的服务器的计算机帐户位置。
14.
键入quit,然后按Enter。
将出现“清除元数据”菜单。
15.
键入removeselectedserver,然后按Enter。
将出现一条确认消息,说明删除成功完成。
如果出现以下错误消息,则说明“NTDS设置”对象可能已从ActiveDirectory中删除,原因可能是其他管理员删除了该“NTDS设置”对象,或者在运行DCPROMO实用工具成功删除该对象后又执行了一次此操作。
错误8419(0x20E3)
找不到DSA对象
注意:
当您尝试绑定到要删除的域控制器时,也可能会出现此错误。
Ntdsutil绑定到的域控制器不能是要通过清除元数据来删除的域控制器。
16.
在每个菜单中键入quit,退出Ntdsutil实用工具。
将出现一条确认消息,说明连接已成功断开。
17.
在DNS的_msdcs.<目录林的根域>区域中删除cname记录。
假定要重新安装并重新提升DC,将创建一个新的“NTDS设置”对象,它将具有新的GUID并在DNS中拥有一个匹配的cname记录。
您不希望现有DC使用旧的cname记录。
最佳做法是删除主机名和其他DNS记录。
如果已超出为脱机服务器分配的动态主机配置协议(DHCP)地址上所剩的租用时间,另一个客户端即可获得问题DC的IP地址。
18.
在DNS控制台中,使用DNSMMC删除DNS中的A记录。
A记录也称为“主机”记录。
要删除A记录,请右键单击A记录,然后单击“删除”。
另外,请删除_msdcs容器中的cname记录。
为此,请展开“_msdcs”容器,右键单击“cname”,然后单击“删除”。
重要说明:
如果这是一台DNS服务器,请在“名称服务器”选项卡下删除对该DC的引用。
为此,在DNS控制台中,在“正向查找区域”下单击该域名,然后从“名称服务器”选项卡中删除该服务器。
注意:
如果有反向查找区域,也要将服务器从这些区域中删除。
19.
如果删除的计算机是子域中的最后一个域控制器,而且该子域也已删除,请使用ADSIEdit删除该子域的trustDomain对象。
为此,请按照下列步骤操作:
a.
单击“开始”,单击“运行”,键入adsiedit.msc,然后单击“确定”。
b.
展开“域NC”容器。
c.
展开“DC=<您的域>,DC=COM,PRI,LOCAL,NET”。
d.
展开“CN=System”。
e.
右键单击“TrustDomain”对象,然后单击“删除”。
20.
使用“ActiveDirectory站点和服务”删除域控制器。
为此,请按照下列步骤操作:
a.
启动“ActiveDirectory站点和服务”。
b.
展开“站点”。
c.
展开服务器的站点。
默认站点为“Default-First-Site-Name”。
d.
展开“服务器”。
e.
右键单击域控制器,然后单击“删除”。
以上所有步骤完全后,整个夺取过程完成了。
升级会员 