活动目录实战之八 AD 主域控宕机，额外域控如何工作？

现在我们的环境有两台域控制器，当我们主域控因为某种原因（硬件故障、机房进水、软件故障等）造成宕机时，我们的额外域控应该如何进行工作呢？

在我们的活动目录之七中，已经详细介绍了fsmo角色，下面让我们进行一下主域控宕机，额外域控应该如何工作的讲解：（此例中以windows server 2003举例）

一：实验场景

使用设备说明：

1 ：使用三台VMware 虚拟机，AD 域名：wjlove.com

2 ：AD 主控制器主机名：e-copa.wjlove.com IP ：192.168.2.1/24 DNS ：127.0.0.1

3 ：AD 额外域控制器：k1k.wjlove.com IP ：192.168.2.2/24 DNS ：192.168.2.1

AD 主控制器新建用户 user1 和 uesr2 ，则 AD 备域则学习到域的变化

二：实验

1 ： AD 主域控制器当机，如何使用备份域控制器恢复域 ?

1)  首先，要把第一台域控制器的所有信息从活动目录里面删除

此处也可以用ADSI 工具，删除计算机

• 打开Win2003 AD 备域控制器―“Active Directory”―“wjlove.com”―“Domain Controllers”，删除计算机E-COPA

• 打开Win2003 AD 备域控制器―“Active Directory站点和服务”―“Sites”― “Default-First-Site-Name” ―“Servers” ，删除计算机E-COPA（必须先删除NTDS Settings） 

在删除NTDS Settings，会出现如下图，选择如图所示：

2)  把FSMO 角色转换过来。使用“Ntdsutil” 转换FSMO 角色

・  我们先要连接到目标服务器上:

• 把FSMO 5个主机角色从E-copa.wjlove.com转换到k1k..wjlove.com，

请注意 : 这里有两种方法分别是 Seize 和 Transfer ，如果原来的 FSMO 角色的拥有者处于离线状态，那么就要用 Seize ，如果处于联机状态，那么就要用 Transfer 。在这里由于主域 E-copa 已经离线了，所以要用 “Seize”:

依次运行：

Seize domain naming master 

Seize infrastructure master 

Seize PDC 

Seize RID master 

Seize schema master 

运行完后，输入quit 退出 

• 转换全局编录为k1k.wjlove.com，如图所示

查看额外BDC 上，角色是否被抢占过来，通过netdom query fsmo

由此可以看出，角色成功抢占

3)  将额外域控DNS 服务器辅助区域，提升为主要区域，并清除DNS 中过时的主DC 信息：

此时经过角色抢占，清除主DC 信息，DNS 区域提升，删除DNS 中无效的主DC 信息，已经将额外BDC 成功运行；

七：额外 BDC 已经正常工作了，此时我们的主 DC 下线之后，经过抢修，发现是主板损坏了，更换主板后已经恢复正常了，此时应该如何将原来的主 dc 加入现有域中呢？

经过查阅资料，按照下面方法比较好，也就是将修好的原主 DC 从新安装 win 2008 r2 ，从新加入域，做辅助域控，如果需要还原成主域控，将角色传送会修好的 DC 即可，当我们抢夺角色后，客户端有时候计算机有时候需要重新加入域

修理好主DC.test.com损坏的硬件之后，在DC-01.test.com服务器重新安装Windows 2008 R2 Server，安装好Windows 2008 R2 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使DC-01.test.com担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置DC-01.test.com为GC，取消DC-02.test.com的GC功能。

建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。