Windows server 2012 網域控制站之間角色轉移及清理域控方法，實現輔助域控提升為主域控

標籤：域控角色轉移   輔助域控提升為主域控   網域控制站之間角色遷移   ntdsutil工具   架構主機角色   

 本章博文講述Windows server 2012 網域控制站之間角色轉移及刪除域控方法 。針對不同的應用情境，對操作方法進行了歸納與總結   。

下面分2種情境做介紹  ：

情境1：主網域控制站與輔助網域控制站運行正常，相互間可以實現AD複製功能。需要把輔助網域控制站提升為主網域控制站 ，把主網域控制站降級為普通成員伺服器；這種情境一般應用到原主網域控制站進行系統升級（先轉移域角色，再降級，再安裝或升級高版本系統，再次轉移角色恢複到主網域控制站角色）或使用配置更高的伺服器替代原主網域控制站起到主域控制的作用（使用高配置的伺服器配置成輔助網域控制站，然後把原主網域控制站角色轉移到該主機，原主機成為輔助網域控制站，高配置主機成為主網域控制站）

情境2：輔助域控伺服器運行正常，主域控伺服器因突發性緊急故障造成Down機且主域無法正常運行。需要輔助域控伺服器強制奪取RID、PDC、Domain、Schema、Naming角色及GC功能成為新主域控，並強制移除域中殘留原有主域控資訊 ；這種情境一般應用到主域系統或資料損毀無法正常工作，由輔助域控強制爭奪5種角色提升為主網域控制站，同時刪除殘留原主網域控制站資訊。原有主域控主機在重新加入域環境時（重新安裝系統後），建議使用不同的主機名稱及ip地址。

情境一：

環境：主網域控制站ds01.bicionline.org ，輔網域控制站pdc01.bicionline.org  ， 兩台域控伺服器運行正常，相互間可以實現AD複製。目的：主域控伺服器把RID、PDC、Domain、Schema、Naming角色及GC功能轉移到輔助網域控制站，並降級成普通伺服器。解決思路：通過圖形介面或命令列介面進行角色轉移， 通過服務管理員進行域降級 ，刪除DNS伺服器中所有地區內的原有主域控DNS 記錄 ，刪除‘網站與服務’裡原主域控server 。

圖形介面操作：

1. 傳遞PDC、RID 、基礎結構角色 ：

   登入pdc01.bicionline.org 輔助網域服務器 ，進入“Active Directory 使用者和電腦 pdc01.bicionline.org”，右擊“bicionline.org”選擇操作主機 ，對3個主機角色變更：如 

    

   
   

2. 傳遞架構主機角色：

   Windwos  server 2012  註冊 regsvr32 schmmgmt  命令，通過mmc查看域架構 。如 

   a、註冊域架構 

   
   

   b、開啟mmc控制台，添加單元“Active Directory 架構”。

   
   

   c、右擊“Active Directory 架構 pdc01.bicionline.org”選擇“操作主機” 選項。

   
   

3. 傳遞域命名操作主機：

   進入“Active Directory 域和信任關係 pdc01.bicionline.org”，右擊選擇操作主機 ，對Naming角色變更：如 

   
   

命令列操作：

1. 前面步驟是通過圖形介面進行的操作，另通過ntdsutil 工具方式亦可實現角色轉移 ：步驟如下

   運行-cmd -ntdsutil 斷行符號  #

   技巧： 輸入 ？  ，可以查看該模式下可輸入的命令列及命令功能注釋 。

   roles 斷行符號             //角色功能選項

   connections 斷行符號    //進入串連模式

   connect to server pdc01.bicionline.org  斷行符號   //串連pdc01 伺服器

   quit  斷行符號                                         //退出 

   transfer  naming master  斷行符號   //將已串連伺服器定為命名主機 

   transfer infrastructure master 斷行符號

   transfer PDC 斷行符號

   transfer RID master  斷行符號

   transfer schema master 斷行符號

對域進行降級操作

1. 登入ds01.bicionline.org 伺服器,刪除AD域功能及dns伺服器功能 。

   a、進入伺服器管理員 ，選擇“刪除角色和功能”選項 。

   b、取消“Active directory 網域服務”選項，然後選擇將此網域控制站降級 。

   
   

   c、預設下一步.

   
   

   d、勾選“繼續刪除”，預設下一步.

   
   

   e、添加dns憑據，使用網域系統管理員帳號bicionline\administrator  .預設下一步.

   
   

   e、輸入新管理員密碼  .預設下一步.

   
   

   e、 預設降級.等待卸載完成，重啟即可 。

 情境二：

環境 ：主網域控制站ds01.bicionline.org ，輔網域控制站pdc01.bicionline.org  ，輔助域控伺服器運行正常，主域控伺服器Down機且無法恢複。目的：輔助域控伺服器強制奪取RID、PDC、Domain、Schema、Naming角色及GC功能成為新主域控，並強制移除域中殘留原有主域控資訊 。解決思路：通過Ntdsutil工具強制奪取5種角色， 並刪除原主域控server ，另刪除DNS伺服器中所有地區內的原有主域控DNS 記錄 ，刪除‘網站與服務’裡原主域控server 。

解決步驟：

1. 另通過ntdsutil 工具方式亦可實現角色轉移 ：步驟如下

   運行-cmd -ntdsutil 斷行符號  #

   技巧： 輸入 ？  ，可以查看該模式下可輸入的命令列及命令功能注釋 。

   roles 斷行符號             //角色功能選項

   connections 斷行符號    //進入串連模式

   connect to server pdc01.bicionline.org  斷行符號   //串連pdc01 伺服器

   quit  斷行符號                                         //退出 

   seize  naming master  斷行符號   //在已連結的服務器上覆蓋命名主機角色 

   seize infrastructure master 斷行符號

   seize PDC 斷行符號

   seize RID master  斷行符號

   seize schema master 斷行符號

   
   

2. 清理ds01 server的殘留資訊（中繼資料）

   運行--cmd---ntdsutil 

   metadata cleanup 斷行符號     //進入伺服器對象清理模式

   select operation target   斷行符號     //進入操作對象選擇模式

   connections  斷行符號      //進入串連模式

   connect to server pdc01  斷行符號  //串連到pdc01伺服器端

   quit  斷行符號

   list sites   斷行符號 //列出當前串連的域中的網站

   select site 0  //選擇網站0

   list domains in site  /列出網站中的域

   select domain 0   //選擇域0

   list servers for domain in site //列出0網站0域內所有伺服器

   select server ０  //選擇域中的將要刪掉伺服器(域控)

   remove selected server     //刪除選擇的伺服器(域控)

   
   

3. 刪除DNS伺服器中每一個地區中關於ds01的 DNS 記錄 ，刪除‘網站與服務’裡DS01 server ，並配置pdc01 為GC （全域編錄） ，這些點容易被忽略，請謹記 。

綜上所述，針對不同的情境實現主網域控制站與輔助網域控制站之間的角色轉移 ，建議在做操作前務必做好資料備份工作 ，且在清理主域殘留資訊時謹慎操作。

Windows server 2012 網域控制站之間角色轉移及清理域控方法，實現輔助域控提升為主域控