将windows 2003AD升级到2008AD及操作主机的转移和占用

将windows 2003AD升级到2008AD及操作主机的转移和占用

                                                                                                  -------Isuncle 原著

首先我们先来了解一下AD中关于五种操作主机的角色分别是什么以及其功能是什么：

在此之前我们先回顾PDC和BDC的概念，由此引出操作主机的概念。

在WindowsNT 4.0的域环境下，域控制器分为两类，PDC和BDC。只有PDC才能修改AD（Active Directory，活动目录）数据库的内容，而BDC只有读取AD数据库内容的权限，这种结构我们称之为单主复制。而自从Windows2000使用了之后，所有的域控制器都可以自主的修改AD数据库的内容，修改后的内容都可以被复制到其他域控制器，域中的所有域控制器实际上都是对等的，这种结构我们称之为多主复制。但是，某些更改不适合使用多主机复制执行，因此对于每一个此类更改，都有一个被称为“操作主机”的域控制器接收此类更改的请求。

在现在的域中，PDC只作为操作主机的一个角色出现。

操作主机又称为FSMO（Flexible Single MasterOperation，灵活单一主机操作）

总结一下就是：

• 单主复制

  • PDC修改AD数据库内容

  • BDC读取AD数据库内容

• 多主复制

  • 所有DC都可以修改AD数据库内容

  • 被修改的内容会被复制到其他DC

• 操作主机

  • 执行某些在单主机模式下的操作

    • 防止域名重复

    • 同步域内时间

  • 决定了DC在域中所起的功能

    
    

    
    

    下面我们来介绍一下五种操作主机角色：

    
    

• 林范围

  • 架构主机（SchemaMaster）

  • 域命名主机（DomainNaming Master）

• 域范围

  • PDC仿真主机（PDC EmulatorMaster）

  • RID主机（RID Master）

  • 基础结构主机（InfrastructureMaster）

    
    

    共有五种操作主机角色，其中架构主机和域命名主机角色在林范围内是唯一的；PDC主机、RID主机和基础结构主机角色在域范围内是唯一的

    。

    在默认情况下，在林中安装的第一台DC承担着五种操作主机角色。

    1）关于架构主机：

• 整个林中只能有一台架构主机

• 架构主机的作用

  • 定义林中所有对象和其属性之间的关系

• 架构可以被扩展

  • 安装Exchange

  • 升级Windows Server2003 AD 到Windows Server 2008 AD

• 查看架构主机

  • 注册架构主机管理工具

    • 运行“regsvr32 schmmgmt.dll”命令

  • 使用mmc添加“Active Directory架构”

2）关于域命名主机：

• 整个林中只能有一台域命名主机

• 域命名主机的作用

  • 控制林中域的添加或删除，防止林中的域名重复

• 查看域命名主机

  • 使用“Active Directory域和信任关系”管理工具

3）关于PDC仿真主机：

• 整个域内只能有一台PDC仿真主机

• PDC仿真主机的作用

  • 负责同步域内时间：

微软活动目录是用Kerberos协议来进行身份认证的，在默认情况下，验证方与被验证方之间的时间差不能超过5分钟，否则会被拒绝通过。所以在域内的时间必须是统一的，这个统一时间的工作就是由PDC Emulator来完成的。

• • 最小化密码变化的复制等待时间：

在默认情况下，所有DC会每5分钟复制一次，但有一些情况是例外的，比如密码的修改，一般情况下，一旦密码被修改，会先被复制到PDC仿真主机，然后由PDC仿真主机触发一个即时更新，以保证密码的实时性。但实际上由于网络复制也是需要时间的，所以还是会存在一定的时间差，至于这个时间差是多少，则取决于网络规模和线路情况。

• • 对Windows 2000以前的操作系统提供支持

对于Windows 2000之前的操作系统，它们会认为自己加入的是Windows NT 4.0域，所以当这些机器加入到域时，它们会尝试联系PDC，而实际上PDC已经不存在了，所以PDC仿真主机就会成为它们的联系对象。

• 查看PDC仿真主机

  • 使用“Active Directory用户和计算机”管理工具

4）关于RID主机：

• 整个域内只能有一台RID主机

• RID主机的作用

  • 将相对ID（RID）序列分配给域中每个DC

  • 对象的SID=域SID+RID

    基础结构主机作用讲解举例：

    本域内有一个本地域组share，另外一个域内包含一个用户tom，在将用户tom加入到组share中时，这个更新操作需要由本地域中的基础结构主机执行。

    不应将基础结构主机角色指派给全局编录所在的域控制器，除非域中只有一个域控制器。

    如果域中的所有域控制器都存有全局编录,则无论哪个域控制器承担基础结构主机角色均不重要。

    全局编录（GC）：存储着本域中所有对象所有属性，同时存储林中其他域中所有对象的部分属性。一般来说，属性是否存储在GC中，取决于该属性在搜索中使用的频率，由系统自动进行决定。

    
    

• 查看RID主机

  • 使用“Active Directory用户和计算机”管理工具

好了，下面我来总结下操作主机的角色吧：

• 林中第一台域控制器默认拥有林范围的两种角色

• 域中第一台域控制器默认拥有域范围的三种角色

上面我们讲完了操作主机，下面我们步入正题，来尝试着研究一下转移和占用操作主机吧，如果说哪一天咱们需要将公司的2003AD升级到2008AD该怎么办呢？

那么我们就需要总结一下步骤了：

1. 首先得准备一张正版windows server 2008的光盘吧

2. 然后找到光驱所在的盘符

3. 当显示图形化安装界面的时候不要管它，关掉并打开命令提示符输入cmd

4. 输入命令：x：（跳转到光盘所在分区x:）

5. 继续输入cd sources/adprep进入adprep目录

6. 继续输入adprep.exe /forestprep

7. 上步中出现提示，输入c 开始扩展2003AD 的林架构（这个等待的时间可能会长点大家耐心等待）

8. 继续输入adprep.exe /domainprep扩展2003AD 的域架构（先林后域）输入这个命令前需要看下我们的安装过的2003AD是否已经真正的提升到200AD了具体从“Active Directory用户和计算机”点击提升域级别，可以看到！

9. 输入adprep.exe /domainprep /gpprep更新组策略对象权限

10. 输入adprep.exe /rodcprep更新AD对RODC的支持

11. 好了，完毕做完这些就已经升级完毕了，最后把域级别提升了就O了，上面说了如何打开提升级别。

下面呢，我们说一下关于转移和占用操作主机：

• 转移操作主机角色

  • 承担着操作主机角色的DC需要降级

  • 承担着操作主机角色的DC和目标DC都在线

  • 转移操作主机角色的过程可逆

• 占用操作主机角色

  • 承担着操作主机角色的DC不可再用，无法恢复

  • 转移：                                        占用:

  
  

• 使用架构主机管理工具转移架构主机

• 使用“Active Directory域和信任关系”管理工具转移域命名主机

• 使用“Active Directory用户和计算机”管理工具转移RID、PDC仿真主机和基础结构主机

在“Active Directory站点和服务”控制台中可以转移全局编录角色。依次展开节点“Sites”→“Default-First-Site-Name” →“Servers”→“DC01” →“NTDS Settings”，右击“NTDSSettings”，在其“属性”中可以查看和转移全局编录角色。

占用操作主机角色

• 使用ntdsutil实用程序

  • 在命令提示符下输入“ntdsutil”

  • 输入“roles”

  • 输入“connection”

  • 输入“connectto server 该DC的FQDN”

  • 输入 “quit”

  • 输入“seize 操作主机角色”

    将“seize”命令换成“transfer”可对操作主机角色进行转

（架构主机、域命名主机、RID主机角色被占用以后，永远不要将原来扮演该种角色的域控制器再连接到网络上。如果PDC仿真主机，基础结构主机被占用，原来扮演这两种角色的域控制器恢复正常后，还是可以连接到网络上的，在与新的操作主机复制Active Directoyr时，若察觉到角色已经被占用，会自动放弃它原来拥有的角色，不过还是可以将角色再传送回原来的域控制器中。）

好,我们就说到这里，大神们不要喷哦，学习日志仅供交流!