A. 額外域控制器如何提升為主域控制器
1 安裝光碟:\SUPPORT\TOOLS\SUPTOOLS.MSI即包含了ntdsutil.exe,也可以下載http://www.microsoft.com/downloads/details.aspx?FamilyId=6EC50B78-8BE1-4E81-B3BE-4E7AC4F0912D&displaylang=en
2 只要把FSMO角色從主域控制器seize或transfer到額外域控制器,額外域控制器即升級為主域控制器,過程不復雜。如果主域控制器宕機了,只能用seize,如果主域控制器在線,就用transfer,請參考:
http://support.microsoft.com/kb/255504/zh-cn
3 還有一種簡單的方式是備份主域控制器到另一台機器,這樣就不需要角色搶奪了。
請參考:
http://tech.sina.com.cn/s/2006-05-18/1028943592.shtml
B. 額外域控制升級為主域控制器
一、 實驗環境:域名為test.com1、 原主域控制器System: windows 20003 Server FQDN: PDC.test.comIP:192.168.50.1Mask:255.255.255.0DNS:192.168.50.12、 輔助域控制器System: windows 2003 ServerFQDN:BDC.test.comIP: 192.168.50.2Mask: 255.255.255.0DNS:192.168.50.13、 Exchange 2003 ServerFQDN:mail.test.comIP:192.168.50.3Mask:255.255.255.0DNS:192.168.50.1也許有人會問,做輔域升級要裝個Exchange干什麼?其實我的目的是為了證明我的升級是否成功,因為Exchange和AD是緊密集成的,如果升級失敗的話,Exchange應該就會停止工作。如果升級成功,對Exchange應該就沒有影響,其實現在我們很多的生產環境中有很多這樣的情況。二、實驗目的:在主域控制器(PDC)出現故障的時候通過提升輔域控制器(BDC)為主域控制,從而不影響所有依靠AD的服務。三、實驗步驟1、 安裝域控制器。第一台域控制器的安裝我這里就不在說明了,但要注意一點的是,兩台域控器都要安裝DNS組件。在第一台域控制安裝好後,下面開始安裝第二台域控制器(BDC),首先將要提升為輔助域控制的計算機的計算機名,IP地址及DNS跟據上面設置好以後,並加入到現有域,加入域後以域管理員的身份登陸,開始進行安裝第二台域控制器。2、在安裝輔助域控器前先看一下我們的Exchange Server工作是否正常,到Exchange Server 中建立兩個用戶test1和test2,並為他們分別建立一個郵箱,下面使用他們相互發送郵件進行測試,如圖。 3、 我們發現發送郵件測試成功,這證明Exchange是正常的。下面正式開始安裝第二台域控制器。也是就輔助域控制器(BDC)。4、 以域管理員身份登陸要提升為輔助域控制器的計算機,點【開始】->【運行】在運行里輸入dcpromo打開活動目錄安裝向導,.點兩個【下一步】, 打開如圖.5、 這里由於是安裝第二台域控制器,所以選擇【現有域的額外域控制器】,點【下一步】。 8、幾分鍾後安裝完成,提示重新啟動計算機,重新啟動計算機,此時你的計算機已經成為了test.com域的輔助域控制了。此時在活動目錄用戶和計算機的域控制器里已經有兩台域控制了,如圖: 9、再查看一下FSMO(五種主控角色)的owner,安裝Windows Server安裝光碟中的Support目錄下的support tools工具,然後打開提示符輸入:netdom query fsmo 以輸出FSMO的owner,如圖: 10、 現在五個角色的woner 都是PDC,我的就是要把這個五個角色轉移到BDC上,使BDC成為這五個角色的owner。11、現在登陸PDC(主域控制器),進入命令提示符窗口,在命令提示符下輸入:ntdsutil 回車,再輸入:roles 回車,再輸入connections 回車,再輸入connect to server BDC --> (備註:這里的dc-1是指伺服器名稱),提示綁定成功後,輸入q退出,如圖:12、 輸入?回車可看到以下信息:
Connections - 連接到一個特定域控制器
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Seize domain naming master - 在已連接的伺服器上覆蓋域角色
Seize infrastructure master - 在已連接的伺服器上覆蓋結構角色
Seize PDC - 在已連接的伺服器上覆蓋 PDC 角色
Seize RID master - 在已連接的伺服器上覆蓋 RID 角色
Seize schema master - 在已連接的伺服器上覆蓋架構角色
Select operation target - 選擇的站點,伺服器,域,角色和命名上下文
Transfer domain naming master - 將已連接的伺服器定為域命名主機
Transfer infrastructure master - 將已連接的伺服器定為結構主機
Transfer PDC - 將已連接的伺服器定為 PDC
Transfer RID master - 將已連接的伺服器定為 RID 主機
Transfer schema master - 將已連接的伺服器定為架構如圖:
C. windows2003伺服器提升問網域控制站的命令是什麼
參考資料,你看方法對不對.
把一台成員伺服器提升為域控制器
目前很多公司的網路中的PC數量均超過10台:按照微軟的說法,一般網路中的PC數目低於10台,則建議采對等網的工作模式,而如果超過10台,則建議採用域的管理模式,因為域可以提供一種集中式的管理,這相比於對等網的分散管理有非常多的好處,那麼如何把一台成員伺服器提升為域控?我們現在就動手實踐一下:
本篇文章中所有的成員伺服器均採用微軟的Windows Server 2003,客戶端則採用Windows XP。
首先,當然是在成員伺服器上安裝上Windows Server 2003,安裝成功後進入系統,
我們要做的第一件事就是給這台成員伺服器指定一個固定的IP,在這里指定情況如下:
機器名:Server
IP:192.168.5.1
子網掩碼:255.255.255.0
DNS:192.168.5.1(因為我要把這台機器配置成DNS伺服器)
由於Windows Server 2003在默認的安裝過程中DNS是不被安裝的,所以我們需要手動去添加,添加方法如下:「開始—設置—控制面板—添加刪除程序」,然後再點擊「添加/刪除Windows組件」,則可以看到如下畫面:
向下搬運右邊的滾動條,找到「網路服務」,選中:
默認情況下所有的網路服務都會被添加,可以點擊下面的「詳細信息」進行自定義安裝,由於在這里只需要DNS,所以把其它的全都去掉了,以後需要的時候再安裝:
然後就是點「確定」,一直點「下一步」就可以完成整個DNS的安裝。在整個安裝過程中請保證Windows Server 2003安裝光碟位於光碟機中,否則會出現找不到文件的提示,那就需要手動定位了。
安裝完DNS以後,就可以進行提升操作了,先點擊「開始—運行」,輸入「Dcpromo」,然後回車就可以看到「Active Directory安裝向導」
在這里直接點擊「下一步」:
這里是一個兼容性的要求,Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器,我建議大家盡量採用Windows 2000及以上的操作系統來做為客戶端。然後點擊「下一步」:
在這里由於這是第一台域控制器,所以選擇第一項:「新域的域控制器」,然後點「下一步」:
既然是第一台域控,那麼當然也是選擇「在新林中的域」:
在這里我們要指定一個域名,我在這里指定的是demo.com,
這里是指定NetBIOS名,注意千萬別和下面的客戶端沖突,也就是說整個網路里不能再有一台PC的計算機名叫「demo」,雖然這里可以修改,但個人建議還是採用默認的好,省得以後麻煩。
在這里要指定AD資料庫和日誌的存放位置,如果不是C盤的空間有問題的話,建議採用默認。
這里是指定SYSVOL文件夾的位置,還是那句話,沒有特殊情況,不建議修改:
第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面,主要是因為雖然安裝了DNS,但由於並沒有配置它,網路上還沒有可用的DNS伺服器,所以才會出現響應超時的現像,所以在這里要選擇:「在這台計算機上安裝並配置DNS,並將這台DNS伺服器設為這台計算機的首選DNS伺服器」。
「這是一個許可權的選擇項,在這里,我選擇第二項:「只與Windows 2000或Window 2003操作系統兼容的許可權」,因為在我做實驗的整個環境里,並沒有Windows 2000以前的操作系統存在」
這里是一個重點,還原密碼,希望大家設置好以後一定要記住這個密碼,千萬別忘記了,因為在後面的關於活動目錄恢復的文章上要用到這個密碼的。
這是確認畫面,請仔細檢查剛剛輸入的信息是否有誤,尤其是域名書寫是否正確,因為改域名可不是鬧著玩的,如果有的話可以點上一步進入重輸,如果確認無誤的話,那麼點「下一步」就正式開安裝了:
幾分鍾後,安裝完成:
點完成:
點「立即重新啟動」。
然後來看一下安裝了AD後和沒有安裝的時候有些什麼區別,首先第一感覺就是關機和開機的速度明顯變慢了,再看一下登陸界面:
多出了一個「登陸到」的選擇框:
進入系統後,右鍵點擊「我的電腦」選「屬性」,點「計算機」
怎麼樣?和安裝AD以前不一樣吧,其它的比如沒有本地用戶了,在管理工具里多出么多圖標什麼的,這些將在以後的文章里講述,這里就不再詳談了。
把一台成員伺服器提升為域控制器(二)
在我的上一篇文章中,已經把一台名為Server的成員伺服器提升為了域控制器,那我們現在來看一下如何把下面的工作站加入到域。
由於從網路安全性考慮,盡量少的使用域管理員帳號,所以先在域控制器上建立一個委派帳號,登陸到域控制器,運行「dsa.msc」,出現「AD用戶和計算機」管理控制台:
先來新建一個用戶,展開「demo.com」,在「Users」上擊右鍵,點「新建」-「用戶」:
然後出現一個新建用戶的向導,在這里,我新建了一個名為「swg」的用戶,並且把密碼設為「永不過期」。
這樣點「下一步」,直到完成,就可以完成用戶的創建。然後在「demo.com」上點擊右鍵,先擇「委派控制」:
就會出現一個「委派控制向導」:
點擊「下一步」:
點擊中間的「添加」按鈕,並輸入剛剛創建的「swg」帳號:
然後點「確定」:
再點「下一步」:
在上面的畫面中,暫時不需要讓該用戶去「管理組策略鏈接」,所以在這里,僅僅選擇「將計算機加入到域」,然後點「下一步」:
最後是一個信息核對畫面,要是沒有什麼問題的話,直接點「完成」就可以了。
接下來轉到客戶端,看看怎麼把XP進來,在實驗中採用的客戶端操作系統是Windows XP專業版,需要大家注意的是Windows XP 的Home版由於針對的是家庭用戶,所以不能加入域,大家別弄錯了喲,我們先來設置一下這台XP的網路:
計算機名:TestXP
IP:192.168.5.5
子網掩碼:255.255.225.0
DNS伺服器:192.168.5.1,
設置完網路以後,在「我的電腦」上擊右鍵,選「屬性」,點「計算機名」。
在這里把「隸屬於」改成域,並輸入:「demo.com」,並點確定,這是會出現如下畫面:
輸入剛剛在域控上建的那個「swg」的帳號,點確定:
出現上述畫面就表示成功加入了,然後點確定,點重啟就算OK了。來看一下登陸畫面有沒有什麼不一樣:
看到那個「登陸到」了吧,可以選擇域登陸還是本機登陸了,在這里選擇域「DEMO」,這樣就可以用域用戶進行登陸了。進入系統後,在「我的電腦」上擊右鍵,選「屬性」,點「計算機名」:
看到用黑框標出來的地方和沒有加入到域的時候的區別的吧?
當把下面的客戶端加入到域後,如果域控制器處於關閉狀態或者死機的話,那麼,會發現下面的客戶機無法登陸到域,所以再建立一台域控制器,用來防止其中一台出現意外損壞的情況是很有必要的。後來建立的那台域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:
當然網路設置永遠是在第一步的:
計算機名:Bserver
IP:192.168.5.2
子網掩碼:255.255.255.0
DNS:192.168.5.1
既然是提升為域控制器,那麼DNS組件也是要添加的,添加方法和我的第一篇文章中所定的一樣,這里就不再重復了。添加完成後,同樣是點擊「開始」-「運行」-「dcpromo」:
出現的向導和操作系統兼容性同安裝第一台域控時是一樣的,唯一要注意的是下面的那個畫面:
安裝第一台時選擇的是「新域的域控制器」,這里要選擇的是「現有域的額外域控制器」,然後點「下一步」:
在這里,輸入域的管理員帳號的密碼,在「域」里填入相應域的DNS全名或NetBios名,點「下一步」:
在這里一定要填入現有域的DNS全名,然後再點「下一步」,接下去的操作和安裝第一台域控制器時是一樣的,所以就不再寫下去了,直到完成就可以了。
活動目錄之用戶配置文件
關於域用戶的開設在前面的文章中(如何把一台成員伺服器提升為域控制器(一)、(二))已經涉及過了,所以在這里開設用戶的方法就不再重復了,本篇文章主要向大家介紹一下用戶配置文件。
首先,什麼是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統載入所需環境的設置和文件和集合,它包括所有用戶專用的配置設置。用戶配置文件存在於系統的什麼位置呢?那麼用戶配置文件包括哪些內容呢?來給大家看一副截圖:
用戶配置文件的保存位置在:系統盤(一般是C盤)下的「Documents and Settings」文件夾下,有一個和你的登陸用戶名相同的文件夾,該用戶配置文件就保存在這里,順便提示一下,如果本機和域上有一個同名用戶,並且都登陸過的話,那麼就會出現在同名文件夾後面拖後綴的情況,舉個例子:比如在一個域(demo.com)裡面有一台計算機(testxp),本地有一個swg的帳號,域上也有一個swg的帳號,並且都登陸過這台計算機,那麼會發生如下情況:
本地帳號先登陸:那麼本地的swg的用戶配置文件夾為swg,而域用戶的用戶配置文件夾為swg.demo。
域帳號先登陸:那麼域用戶的用戶配置文件夾為swg,本地用戶的配置文件夾為swg.testxp。
通過上面的截圖,我們可看出,用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在「Documents and Settings」文件夾下有一個名為「All Users」的文件夾,如果你在這個文件夾下的「桌面」文件夾下新建一個文件的話,你會發現所有用戶在登陸時的桌面上都有這個文件,所以這個文件夾里的配置是對這台計算機的每個用戶均起作用的。
當網路變成域構架後,所有的域用戶可以在任意一台域內的計算機登陸,當你在一台計算機上的用戶配置文件修改後,你會發現到另一台計算機上登陸時,所有的設置還是原來的,並沒有發生修改,這是因為用戶的配置文件是保存在本地的,不管是域用戶還是本地用戶,都是保存在那台登陸的計算機上。我們可以在「我的電腦」上擊「右鍵」,選「屬性」,點「高級」,然後在「用戶配置文件」里點「設置」:
請注意「類型」里用紅框標出的部分,全部是「本地」,這就說明用戶配置文件保存在本地,那麼如何才能讓用戶的配置文件隨著帳號走,也就是不管用戶在哪台計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題,就要用到漫遊用戶配置文件,原理就是把用戶配置文件保存在一個網路的公共位置,當用戶在計算機上登陸里,會從網路公共位置把用戶配置文件下載到本地並加以應用,然後當用戶注銷時,會把本地的用戶配置文件同步到網路公共位置,以保證公共位置用戶配置文件的有效性,以便下一次使用。那麼如何來實現這個功能呢?現在就來實踐一下:
首先,要在一個網路的公共位置開設一個共享文件夾,用來存放用戶配置文件,在個實驗里,就在域控制器上開設一個為share的共享文件夾,並開放許可權:
然後,點擊「開始-設置-控制面板-管理工具」,雙擊「AD用戶和計算機」,並選中相應的用戶,這里以「swg」帳號為例:
在「swg」帳號上雙擊,然後選「配置文件」,在「用戶配置文件-配置文件路徑」里輸入:\\192.168.5.1\share\%username%,「192.168.5.1」是域控制器的IP地址,如下圖所示:
然後點確定,接下去就到客戶端去,用「swg」帳號登陸一下,看看會發生什麼變化。
如上圖所示,DEMO\swg的狀態由剛剛的「本地」變成了「漫遊」,此時注銷一下用戶,那麼就會自動的將該用戶的本地用戶配置文件同步到網路公共位置,如果再用「swg」到另外的域內計算機上去登陸的話,會發現所有的用戶配置文件和這台計算機上是一樣的。那麼伺服器上發生了些什麼變化呢?
如上圖所示,伺服器的「share」文件夾里會自動創建一個和用戶名一樣的「swg」文件夾,默認情況下這個文件夾只允許對應的用戶打開:
畫面很熟悉吧?
目前很多公司的IT Pro都有共同的感嘆,就是用戶喜歡把自己的桌面什麼的搞得亂七八糟,雖然通過組策略可以限制掉一部份,但總覺得不是很完善,在這里,向大家推薦使用強制用戶配置文件,用戶可以對自己個人配置文件任意修改,但是一旦注銷後,這些修改將不會被保存,這樣用戶下次登陸里,用戶的配置文件還是保持和原來一樣,那麼如何實現這個功能呢?其實只要將用戶配置文件夾下的「Ntuser.dat」改成「Ntuser.man」就可以了,來看一下修改過程:
首先,在顯示隱藏文件和已知文件的擴展名,可以在「工具-文件夾選項-查看」里進行修改:
~
點「確定」後,就可以在看到那個「Ntuser.dat」文件了,但此時會有一個問題,如果去修改C:\Documents and Settings\swg下的「Ntuser.dat」,會發現根本沒有辦法修改這個文件,因為文件在使用中,無法修改;如果去修改網路公共位置的「Ntuser.dat」,也就是\\192.168.5.1\share\swg下的「Ntuser.dat」,修改當然可以修改,但是由於在「swg」用戶注銷的時候,本地的「Ntuser.dat」會把網路公共位置的「Ntuser.man」覆蓋掉,也就是等於沒有修改。很多人都想直接在伺服器上更改 「swg」文件夾的所有者,然後給管理員帳號添加許可權,這樣就可以直接在伺服器上把「Ntuser.dat」改掉,但本人實踐過幾次,都發現這樣的操作會引起一些許可權無法繼承,而導致出錯的情況,所以不建議大家使用,這里推薦一種方法:
先把「swg」帳號注銷掉,然後用另外一個帳號登陸,比如管理員,當然,如果在登陸成功後直接去訪問\\192.168..5.1\share\swg以試圖修改的話,那麼你將會感到失望,因為還是拒絕訪問的,那麼如何訪問並修改呢,可以這樣操作,「開始-運行-cmd」然後回車,這樣就啟動了命令行,在命令行下輸入:net use \\192.168.5.1 password /user:swg,顯示「命令成功完成」,這樣就利用「swg」和伺服器建立一個連接,此時就可以\\192.168.5.1\share\swg,里進行修改了,
然後再注銷管理員帳號,用「swg」登陸,看看有沒有成功:
看到了吧,類型由「漫遊」變成了「強制」,現在可以在桌面這些地方進行任意的修改,你會發現注銷再登陸,又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。
最後再請大家注意兩個問題:
1、 在配置強制用戶配置文件時,當用其它用戶登陸修改時,請保證被修改的用戶處於注銷狀態,為什麼?大家不妨自己想一想!
2、 當使用漫遊用戶配置文件時,請不要在桌面等地方存放一些大型的程序或文件,因為用戶在登陸和注銷過程中會下載和上傳配置文件,如果文件過大,會影響登陸和注銷的速度。
D. 如何將備用的域控制器升級到主域控制器111
更換域控制器流程1.安裝新伺服器,加入域,dcprom提升為額外域控制器2.將原有域控制器上的5種角色轉移到新域控制器。3.將原有域控制器降級退出域4.將新伺服器ip地址改為原有域控制器的ip地址(不改的話就將所有成員機的DNS改為新伺服器ip地址)你是按照這個流程做的嗎