域控制器包含了由域的賬戶、密碼、屬于這個(gè)域的計(jì)算機(jī)等信息構(gòu)成的數(shù)據(jù)庫，負(fù)責(zé)對整個(gè)Windows域以及域中的所有計(jì)算機(jī)進(jìn)行管理。配置域控制器有利于對域中用戶的集中配置管理，為網(wǎng)絡(luò)共享資源提供安全保障。

對于域結(jié)構(gòu)的網(wǎng)絡(luò)來說，域控制器的重要性不言而喻。如果網(wǎng)絡(luò)中唯一的域控制器突然崩潰，而事先也沒有做好備份，那將是一場災(zāi)難。所以如果有條件的話，還是建議在網(wǎng)絡(luò)中備有額外域控制器。在網(wǎng)絡(luò)中的域服務(wù)器都會自動(dòng)進(jìn)行復(fù)制。如果一臺機(jī)器壞掉的話，額外域控制器可以隨時(shí)接管工作。此時(shí)的額外域控制器可以進(jìn)行用戶認(rèn)證，登錄等工作，但是為了正常的使用域資源，還需要將域控制器的5種角色轉(zhuǎn)移到額外域控制器中?，F(xiàn)在我們就以將WIN2003 SERVER域控制器的遷移為例，一起探討一下具體步驟。

說明：單位中有一臺WIN2003域服務(wù)器，由于該服務(wù)器硬件設(shè)備不是很好，需要將域控制器遷移至一臺新機(jī)器中。同時(shí)，單位中使用的是動(dòng)態(tài)IP地址，DHCP服務(wù)器也位于該機(jī)器上。

環(huán)境：機(jī)器1，主域控制器為dc.test.com，DNS服務(wù)器，DHCP服務(wù)器

網(wǎng)絡(luò)屬性為：IP ：192.168.2.1/24

DNS：192.168.2.1

機(jī)器2，額外域控制器dc1.test.com

IP：192.168.2.2/24

采用方案：采用額外域的方法通過網(wǎng)絡(luò)將活動(dòng)目錄數(shù)據(jù)轉(zhuǎn)移到額外域控制器上，然后在額外域控制器上奪取活動(dòng)目錄的5種角色，最后再遷移DHCP服務(wù)器至額外域控制器上。

一、安裝額外域控制器

1、在機(jī)器1上安裝WIN2003 SERVER操作系統(tǒng)，安裝好殺毒軟件。

2、配置機(jī)器2的網(wǎng)絡(luò)連接設(shè)置，使其DNS指向DNS服務(wù)器192.168.2.1。

3、將機(jī)器2加入域test.com中，重新啟動(dòng)機(jī)器。

4、在機(jī)器2上運(yùn)行配置服務(wù)器向?qū)?，將機(jī)器2提升為test.com域的額外域控制器。重新啟動(dòng)機(jī)器并等待30分鐘左右。

二、配置DNS服務(wù)器

1、在機(jī)器2上打開域共享目錄，找到本計(jì)算機(jī)，打開，確保NETLOGON，SYSVOL系統(tǒng)卷已經(jīng)成功共享。這表示這臺機(jī)器已經(jīng)成功的提升為額外域控制器。

2、在機(jī)器2上，利用[添加]/[刪除]組件，添加DNS服務(wù)器。

3、打開DNS服務(wù)器，新建一正向查找區(qū)，然后啟動(dòng)DNS服務(wù)器。這時(shí)，額外域控制器會自動(dòng)從主域控制器中復(fù)制DNS記錄，等待20分鐘左右。

三、轉(zhuǎn)移Active Directory操作主機(jī)角色

當(dāng)兩臺域控制器中的DNS記錄完全同步完成以后，需要將活動(dòng)目錄的五種角色從dc上轉(zhuǎn)移到dc1中。操作步驟如下：

1、在額外域控制器中打開命令行。

2、在命令行中依次敲擊如下命令。

Ntdsutil  
 
Roles  
 
Connections  
 
Connect to server dc1（連接到額外域控制器服務(wù)器上）  
 
Quit  
 
?(打個(gè)問號可以看到有幾條命令，依次打入后五條。在彈出的確認(rèn)框中選擇是即可)  
 
Transfer domain naming master  
 
Transfer infrastructure master  
 
Transfer PDC  
 
Transfer RID master  
 
Transfer schema master  
 

這樣，活動(dòng)目錄的5種角色就會轉(zhuǎn)移到新的額外域控制器上。

四、更改全局編錄

1、在額外域控制器上，打開[程序][管理工具][Active Directory站點(diǎn)和服務(wù)]，依次展開Site------Default-First-Site-Naming--------Servers-------DC------Ntds-Settings 。

2、右鍵點(diǎn)擊，在彈出的菜單中選擇[屬性]，打開[NTDS Settings 屬性]對話框，將“全局編錄”的選中箭頭去掉，然后確定。

3、在額外域控制器上，打開[程序][管理工具][Active Directory站點(diǎn)和服務(wù)]，依次展開Site------Default-First-Site-Naming-------Servers-------DC1------Ntds-Settings 。

4、右鍵點(diǎn)擊，在彈出的菜單中選擇[屬性]，打開[NTDS Settings 屬性]對話框，將“全局編錄”單選框前面的勾打上。然后確定。

5、重新啟動(dòng)機(jī)器。

五、遷移DHCP服務(wù)器

1、在額外域控制器上利用[添加]/[刪除]組件，安裝DHCP服務(wù)器。

2、在主域控制器上，打開命令行，依次運(yùn)行如下命令

Netsh  
 
Dhcp  
 
Server  
 
Export c:\dhcpdb all  
 

將DHCP的配置和數(shù)據(jù)文件導(dǎo)出來,并將該文件拷貝到額外域控制器的c盤。

3、在額外域控制器上在命令行中依次運(yùn)行如下命令：

Netsh  
 
Dhcp  
 
Server  
 
Impportc:\dhcpdb all  
 

數(shù)據(jù)和配置信息已經(jīng)成功的導(dǎo)入到服務(wù)器中。

4、在額外域控制器上，依次打開[程序][管理工具][DHCP]，打開服務(wù)器，你將看到DHCP數(shù)據(jù)庫的配置和數(shù)據(jù)都已經(jīng)導(dǎo)入到服務(wù)器中。

5、在該DHCP服務(wù)器作用域選項(xiàng)中，將DNS的IP地址更改成該服務(wù)器的IP地址。

6、關(guān)閉主域控制器的DHCP服務(wù)，對額外域控制器上的DHCP服務(wù)器進(jìn)行授權(quán)，然后重新啟動(dòng)DHCP服務(wù)器。

7、將額外域控制器的網(wǎng)絡(luò)配置中，將DNS改成指向自己的服務(wù)器IP地址:192.168.2.2。

8、關(guān)閉主域控制器機(jī)器。重新啟動(dòng)額外域控制器。

六、附錄

[名詞解釋]：

1、Active Directory操作主機(jī)角色概述

Active Directory 定義了五種操作主機(jī)角色（又稱ＦＳＭＯ）：

架構(gòu)主機(jī) schema master

域命名主機(jī) domain naming master

相對標(biāo)識號 (RID) 主機(jī) RID master

主域控制器模擬器 (PDCE)

基礎(chǔ)結(jié)構(gòu)主機(jī) infrastructure master

而每種操作主機(jī)角色負(fù)擔(dān)不同的工作，具有不同的功能：

2、Active Directory操作主機(jī)角色功能

架構(gòu)主機(jī)：

具有架構(gòu)主機(jī)角色的 DC 是可以更新目錄架構(gòu)的唯一 DC。這些架構(gòu)更新會從架構(gòu)主機(jī)復(fù)制到目錄林中的所有其它域控制器中。 架構(gòu)主機(jī)是基于目錄林的，整個(gè)目錄林中只有一個(gè)架構(gòu)主機(jī)。

域命名主機(jī)：

具有域命名主機(jī)角色的 DC 是可以執(zhí)行以下任務(wù)的唯一 DC：

向目錄林中添加新域。

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對象。

相對標(biāo)識號 (RID) 主機(jī)：

此操作主機(jī)負(fù)責(zé)向其它 DC 分配 RID 池。只有一個(gè)服務(wù)器執(zhí)行此任務(wù)。在創(chuàng)建安全主體（例如用戶、組或計(jì)算機(jī)）時(shí)，需要將 RID 與域范圍內(nèi)的標(biāo)識符相結(jié)合，以創(chuàng)建唯一的安全標(biāo)識符 (SID)。 每一個(gè)Windows 2000 DC 都會收到用于創(chuàng)建對象的 RID 池（默認(rèn)為 512）。RID 主機(jī)通過分配不同的池來確保這

些 ID 在每一個(gè) DC 上都是唯一的。通過 RID 主機(jī)，還可以在同一目錄林中的不同域之間移動(dòng)所有對象。

域命名主機(jī)是基于目錄林的，整個(gè)目錄林中只有一個(gè)域命名主機(jī)。相對標(biāo)識號（RID）主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的相對標(biāo)識號（RID）主機(jī)

PDCE ：

主域控制器模擬器提供以下主要功能：

向后兼容低級客戶端和服務(wù)器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機(jī) Windows 2000 環(huán)境將密碼更改轉(zhuǎn)發(fā)到 PDCE。每當(dāng) DC 驗(yàn)證密碼失敗后，它會與 PDCE 取得聯(lián)系，以查看該密碼是否可以在那里得到驗(yàn)證，也許其原因在于密碼更改還沒有被復(fù)制到驗(yàn)證 DC 中。

時(shí)間同步 — 目錄林中各個(gè)域的 PDCE 都會與目錄林的根域中的 PDCE 進(jìn)行同步。

PDCE是基于域的，目錄林中的每個(gè)域都有自己的PDCE。

基礎(chǔ)結(jié)構(gòu)主機(jī)：

基礎(chǔ)結(jié)構(gòu)主機(jī)確保所有域間操作對象的一致性。當(dāng)引用另一個(gè)域中的對象時(shí)，此引用包含該對象的

全局唯一標(biāo)識符 (GUID)、安全標(biāo)識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動(dòng)，則在域中擔(dān)

當(dāng)結(jié)構(gòu)主機(jī)角色的 DC 會負(fù)責(zé)更新該域中跨域?qū)ο笠弥械?SID 和 DN。

基礎(chǔ)結(jié)構(gòu)主機(jī)是基于域的，目錄林中的每個(gè)域都有自己的基礎(chǔ)結(jié)構(gòu)主機(jī)

默認(rèn)，這五種ＦＭＳＯ存在于目錄林根域的第一臺DC（主域控制器）上，而子域中的相對標(biāo)識號 (RID) 主機(jī)、PDCE 、基礎(chǔ)結(jié)構(gòu)主機(jī)存在于子域中的第一臺DC。

3、全局編錄：全局編錄包含目錄中每個(gè) Windows 2000 域的部分副本，它是由 Active Directory 復(fù)制系統(tǒng)自動(dòng)創(chuàng)建的。這樣，只要給出目標(biāo)對象的一個(gè)或幾個(gè)屬性，用戶和應(yīng)用程序就可以在 Active Directory 域目錄樹中找到這些對象。全局編錄還包含目錄分區(qū)的架構(gòu)和配置。這就是說，全局編錄存儲 Active Directory 中每個(gè)對象的副本，但只存儲它們的很少一部分屬性。全局編錄中的屬性是搜索*作中那些最常使用的屬性（如用戶的名和姓、登錄名等等），這些屬性是查找對象完整副本位置所必需的。

使用這種公用信息，用戶可以很快找到要找的對象，而無需知道這些對象在哪個(gè)域中，也不要求知道企業(yè)中相鄰的擴(kuò)展名稱空間。如果在全局編錄中找不到該對象，則搜索功能將查詢本地域分區(qū)以獲得信息。

域控制器的重要性對于大家來說是不言而喻的，所以在Active Directory中配置額外域控制器作為備份可做到萬無一失的效果，而本文中隊(duì)域控制器的遷移步驟做了詳細(xì)的介紹，希望大家能夠從本文中學(xué)到東西。

【編輯推薦】

1. 域控制器降級基礎(chǔ)知識
2. windows 2003域控制器之無縫遷移
3. 主域控制器的安裝與配置步驟與方法
4. 利用Active Directory標(biāo)識和跟蹤虛擬機(jī)
5. windows2003域控制器升級和降級的圖文教程