域控制器包含了由域的賬戶、密碼、屬于這個域的計算機等信息構成的數(shù)據(jù)庫，負責對整個Windows域以及域中的所有計算機進行管理。配置域控制器有利于對域中用戶的集中配置管理，為網絡共享資源提供安全保障。

對于域結構的網絡來說，域控制器的重要性不言而喻。如果網絡中唯一的域控制器突然崩潰，而事先也沒有做好備份，那將是一場災難。所以如果有條件的話，還是建議在網絡中備有額外域控制器。在網絡中的域服務器都會自動進行復制。如果一臺機器壞掉的話，額外域控制器可以隨時接管工作。此時的額外域控制器可以進行用戶認證，登錄等工作，但是為了正常的使用域資源，還需要將域控制器的5種角色轉移到額外域控制器中?，F(xiàn)在我們就以將WIN2003 SERVER域控制器的遷移為例，一起探討一下具體步驟。

說明：單位中有一臺WIN2003域服務器，由于該服務器硬件設備不是很好，需要將域控制器遷移至一臺新機器中。同時，單位中使用的是動態(tài)IP地址，DHCP服務器也位于該機器上。

環(huán)境：機器1，主域控制器為dc.test.com，DNS服務器，DHCP服務器

網絡屬性為：IP ：192.168.2.1/24

DNS：192.168.2.1

機器2，額外域控制器dc1.test.com

IP：192.168.2.2/24

采用方案：采用額外域的方法通過網絡將活動目錄數(shù)據(jù)轉移到額外域控制器上，然后在額外域控制器上奪取活動目錄的5種角色，最后再遷移DHCP服務器至額外域控制器上。

一、安裝額外域控制器

1、在機器1上安裝WIN2003 SERVER操作系統(tǒng)，安裝好殺毒軟件。

2、配置機器2的網絡連接設置，使其DNS指向DNS服務器192.168.2.1。

3、將機器2加入域test.com中，重新啟動機器。

4、在機器2上運行配置服務器向導，將機器2提升為test.com域的額外域控制器。重新啟動機器并等待30分鐘左右。

二、配置DNS服務器

1、在機器2上打開域共享目錄，找到本計算機，打開，確保NETLOGON，SYSVOL系統(tǒng)卷已經成功共享。這表示這臺機器已經成功的提升為額外域控制器。

2、在機器2上，利用[添加]/[刪除]組件，添加DNS服務器。

3、打開DNS服務器，新建一正向查找區(qū)，然后啟動DNS服務器。這時，額外域控制器會自動從主域控制器中復制DNS記錄，等待20分鐘左右。

三、轉移Active Directory操作主機角色

當兩臺域控制器中的DNS記錄完全同步完成以后，需要將活動目錄的五種角色從dc上轉移到dc1中。操作步驟如下：

1、在額外域控制器中打開命令行。

2、在命令行中依次敲擊如下命令。

Ntdsutil  
 
Roles  
 
Connections  
 
Connect to server dc1（連接到額外域控制器服務器上）  
 
Quit  
 
?(打個問號可以看到有幾條命令，依次打入后五條。在彈出的確認框中選擇是即可)  
 
Transfer domain naming master  
 
Transfer infrastructure master  
 
Transfer PDC  
 
Transfer RID master  
 
Transfer schema master  
 

這樣，活動目錄的5種角色就會轉移到新的額外域控制器上。

四、更改全局編錄

1、在額外域控制器上，打開[程序][管理工具][Active Directory站點和服務]，依次展開Site------Default-First-Site-Naming--------Servers-------DC------Ntds-Settings 。

2、右鍵點擊，在彈出的菜單中選擇[屬性]，打開[NTDS Settings 屬性]對話框，將“全局編錄”的選中箭頭去掉，然后確定。

3、在額外域控制器上，打開[程序][管理工具][Active Directory站點和服務]，依次展開Site------Default-First-Site-Naming-------Servers-------DC1------Ntds-Settings 。

4、右鍵點擊，在彈出的菜單中選擇[屬性]，打開[NTDS Settings 屬性]對話框，將“全局編錄”單選框前面的勾打上。然后確定。

5、重新啟動機器。

五、遷移DHCP服務器

1、在額外域控制器上利用[添加]/[刪除]組件，安裝DHCP服務器。

2、在主域控制器上，打開命令行，依次運行如下命令

Netsh  
 
Dhcp  
 
Server  
 
Export c:\dhcpdb all  
 

將DHCP的配置和數(shù)據(jù)文件導出來,并將該文件拷貝到額外域控制器的c盤。

3、在額外域控制器上在命令行中依次運行如下命令：

Netsh  
 
Dhcp  
 
Server  
 
Impportc:\dhcpdb all  
 

數(shù)據(jù)和配置信息已經成功的導入到服務器中。

4、在額外域控制器上，依次打開[程序][管理工具][DHCP]，打開服務器，你將看到DHCP數(shù)據(jù)庫的配置和數(shù)據(jù)都已經導入到服務器中。

5、在該DHCP服務器作用域選項中，將DNS的IP地址更改成該服務器的IP地址。

6、關閉主域控制器的DHCP服務，對額外域控制器上的DHCP服務器進行授權，然后重新啟動DHCP服務器。

7、將額外域控制器的網絡配置中，將DNS改成指向自己的服務器IP地址:192.168.2.2。

8、關閉主域控制器機器。重新啟動額外域控制器。

六、附錄

[名詞解釋]：

1、Active Directory操作主機角色概述

Active Directory 定義了五種操作主機角色（又稱ＦＳＭＯ）：

架構主機 schema master

域命名主機 domain naming master

相對標識號 (RID) 主機 RID master

主域控制器模擬器 (PDCE)

基礎結構主機 infrastructure master

而每種操作主機角色負擔不同的工作，具有不同的功能：

2、Active Directory操作主機角色功能

架構主機：

具有架構主機角色的 DC 是可以更新目錄架構的唯一 DC。這些架構更新會從架構主機復制到目錄林中的所有其它域控制器中。 架構主機是基于目錄林的，整個目錄林中只有一個架構主機。

域命名主機：

具有域命名主機角色的 DC 是可以執(zhí)行以下任務的唯一 DC：

向目錄林中添加新域。

從目錄林中刪除現(xiàn)有的域。

添加或刪除描述外部目錄的交叉引用對象。

相對標識號 (RID) 主機：

此操作主機負責向其它 DC 分配 RID 池。只有一個服務器執(zhí)行此任務。在創(chuàng)建安全主體（例如用戶、組或計算機）時，需要將 RID 與域范圍內的標識符相結合，以創(chuàng)建唯一的安全標識符 (SID)。 每一個Windows 2000 DC 都會收到用于創(chuàng)建對象的 RID 池（默認為 512）。RID 主機通過分配不同的池來確保這

些 ID 在每一個 DC 上都是唯一的。通過 RID 主機，還可以在同一目錄林中的不同域之間移動所有對象。

域命名主機是基于目錄林的，整個目錄林中只有一個域命名主機。相對標識號（RID）主機是基于域的，目錄林中的每個域都有自己的相對標識號（RID）主機

PDCE ：

主域控制器模擬器提供以下主要功能：

向后兼容低級客戶端和服務器，允許 Windows NT4.0 備份域控制器 (BDC) 加入到新的 Windows 2000 環(huán)境。 本機 Windows 2000 環(huán)境將密碼更改轉發(fā)到 PDCE。每當 DC 驗證密碼失敗后，它會與 PDCE 取得聯(lián)系，以查看該密碼是否可以在那里得到驗證，也許其原因在于密碼更改還沒有被復制到驗證 DC 中。

時間同步 — 目錄林中各個域的 PDCE 都會與目錄林的根域中的 PDCE 進行同步。

PDCE是基于域的，目錄林中的每個域都有自己的PDCE。

基礎結構主機：

基礎結構主機確保所有域間操作對象的一致性。當引用另一個域中的對象時，此引用包含該對象的

全局唯一標識符 (GUID)、安全標識符 (SID) 和可分辨的名稱 (DN)。如果被引用的對象移動，則在域中擔

當結構主機角色的 DC 會負責更新該域中跨域對象引用中的 SID 和 DN。

基礎結構主機是基于域的，目錄林中的每個域都有自己的基礎結構主機

默認，這五種ＦＭＳＯ存在于目錄林根域的第一臺DC（主域控制器）上，而子域中的相對標識號 (RID) 主機、PDCE 、基礎結構主機存在于子域中的第一臺DC。

3、全局編錄：全局編錄包含目錄中每個 Windows 2000 域的部分副本，它是由 Active Directory 復制系統(tǒng)自動創(chuàng)建的。這樣，只要給出目標對象的一個或幾個屬性，用戶和應用程序就可以在 Active Directory 域目錄樹中找到這些對象。全局編錄還包含目錄分區(qū)的架構和配置。這就是說，全局編錄存儲 Active Directory 中每個對象的副本，但只存儲它們的很少一部分屬性。全局編錄中的屬性是搜索*作中那些最常使用的屬性（如用戶的名和姓、登錄名等等），這些屬性是查找對象完整副本位置所必需的。

使用這種公用信息，用戶可以很快找到要找的對象，而無需知道這些對象在哪個域中，也不要求知道企業(yè)中相鄰的擴展名稱空間。如果在全局編錄中找不到該對象，則搜索功能將查詢本地域分區(qū)以獲得信息。

域控制器的重要性對于大家來說是不言而喻的，所以在Active Directory中配置額外域控制器作為備份可做到萬無一失的效果，而本文中隊域控制器的遷移步驟做了詳細的介紹，希望大家能夠從本文中學到東西。

【編輯推薦】

1. 域控制器降級基礎知識
2. windows 2003域控制器之無縫遷移
3. 主域控制器的安裝與配置步驟與方法
4. 利用Active Directory標識和跟蹤虛擬機
5. windows2003域控制器升級和降級的圖文教程