Windows Server 2008 R2 辅域控制器如何升级成主域控制器

一、实验模拟故障问题：

　　　　　　zhuyu公司架设了一台主域控制器和一台辅域控制器，某一天，zhuyu公司的主域控制器系统崩溃，主域控制器系统也进不去。

　　　　虽然辅域控制器可以暂时代替主域控制器的普通工作，但是特殊的操作辅域控制器是没办法操作的。经过zhuyu公司领导同意，

　　　　决定把主域控制器撤走，直接让辅域控制器升级成主域控制器。

二、网络拓扑图：

**********　　注意事项　　**********

1、辅域控若要接管主域控的前提是主域控与辅域控上都要有DNS，并且DNS是与域控是集成的。

2、客户端进行域访问时首先会联系首选DNS，即主域控，但是这时的主域控已经脱离网络，无法访问。客户端就会尝试使用备用DNS，就会联系辅域控，达到正常访问，但是这样做的话，有一个很明显的问题，就是访问、验证、登录会比以前慢很多，因为要先联系主域控。

3、主域控系统网络是断开状态，辅域控若要获取主域控全部权限，辅域控必须通过强夺的方式把主域的FSMO的五个角色从主域控上强夺过来使用，通过ntdsutil命令清理死亡的主域控的残留信息(元数据)，最后指定辅域控为GC(全局编录)。

4、修改辅域控的IP为原来主域控的IP，同时重启Netlogon服务，手动将主域的DNS记录（包括A记录、NS记录、SRV记录、SOA记录）更改为原主域控的IP地址，把DNS名称服务器(NS)存在的已死亡的主域控删除掉。

5、辅域控重启系统检查DNS和域控是否正常，查看日志文件是否报错。

　　　　

三、操作步骤：

1、  辅域控制器固定IP设置。

2、主域控制器已经脱离网络，ping 192.168.10.30已经不通了。

3、因为主域控已经断开连接，所以，辅域控的操作主机显示错误。

4、在辅域控DOS命令下运行netdom query fsmo 查看当前的FSMO五个角色的拥有者都是test-zhuAD主域控，

所有辅域控test-beiAD采用强夺方式把主域控test-zhuAD五个角色强夺过来。

5、使用ntdsutil命令把辅域控绑定为主域控。

　　  输入ntdsutil                                                                     //按回车键

再输入:roles                                                                    //按回车键

再输入connections                                                           //按回车键

再输入connect to server test-beiAD.zhuyu.com          　　  //按回车键，提示辅域控test-beiAD绑定成功

　　  输入quit　　　　　　　　　　　　　　　　　　　　　　　　　　//退出

6、输入问号可以看到一些帮助信息，如果主域控没有坏掉的话，我们可以用transfer进行五个角色的转移,而现在主域控已经损坏了，我们要用seize来进行强制夺取了。

7、首先我们强制夺取第一个角色 naming master（域命名主机角色） ---- 使用ntdsutil连接test-beiAD.zhuyu.com进入域控 ----

quit回车退出 ---- Seize naming master ---- 弹出对方框选择 “是”。

8、选择 “是” 以后会看到报错，因为主域控不在线，所以辅域控在夺取角色时会有这个出错信息，接下来的各个角色的夺取也会出现下图所示的错信息是属于正常情况。

9、接着强制夺取第二个角色 infrastructure master（结构主机角色） ----  输入Seize infrastructure master  -----  弹出对方框选择 “是”。

10、接着强制夺取第三个角色 PDC（PDC角色） ----  输入Seize PDC  -----  弹出对方框选择 “是”。

11、接着强制夺取第四个角色 RID master（RID池管理器角色） ----  输入Seize RID master  -----  弹出对方框选择 “是”。

12、接着强制夺取第五个角色schema master（架构主机角色） ----  输入Seize schema master  -----  弹出对方框选择 “是”。

13、在DOS下运行netdom query fsmo 查看当前的FSMO五个角色拥有者已经是辅域控制器了，说明已经抢夺成功。

14、需要清理死亡主域控制器的残留信息（元数据），在辅域控DOS命令下使用ntdsutil命令进行清除，命令运行如下所示：

（这步操作很重要）

运行--cmd---ntdsutil

ntdsutil: metadata cleanup   //进入服务器对象清理模式

metadata cleanup: select operation target //进入操作对象选择模式

select operation target: connections  //进入连接模式

server connections: connect to domain zhuyu.com  //连接到zhuyu.com域控

server connections:quit

select operation target: list sites  //列出当前连接的域中的站点

select operation target: select site 0  //选择站点0

select operation target: List domains in site  /列出站点中的域

select operation target: select domain 0   //选择域0

select operation target: List servers for domain in site //列出所有服务器

select operation target: select server 0　 //选择域中的将要删掉服务器(域控)

select operation target: quit

metadata cleanup:Remove selected server

出现对话框，按“确定“删除DC-01主控服务器。

metadata cleanup:quit

ntdsutil: quit

15、指定辅域控为GC(全局编录) ---  TEST-BEIAD站点 ---- 右键属性 --- 常规 ---- 全局编录打勾 ---  确定。

16、删除已经死亡的主域控站点 TEST-ZHUAD ---- 右键删除 ----弹出对话框选择 “是”。

17、修改辅域控的IP地为原来主域控的IP地址。

18、重启Netlogon服务。

19、手动将主域的DNS记录（包括A记录、NS记录、SRV记录、SOA记录）更改为原主域控的IP地址

(本机是测试机，所有没有任何的原主域控制器的信息)，只需要把DNS名称服务器(NS)存在的已死亡的主域控删除掉即可。

20、最后重启主域控器系统 ----- 重启完后检查操作主机  -----  可以找一台电脑加域测试。

感谢 华仔的博客  http://blog.sina.com.cn/s/blog_4988d99a0102uwsn.html