windows2003更改主域控主机操作步骤.docxVIP

当生产环境当中的主域控出现故障，需要把域控的组织架构、策略、用户账号信息迁移到新域控，首先是搭建一台辅助域控然后提升主机模式到2003纯模式，最后迁移主域控的五个操作主机即可。Active Directory内总共定义了五个操作主机角色：架构主机（schema master）域命名主机(domain naming master)RID主机(relative identifier master)PDC模拟主机(PDC emulator master)基础结构主机(infrastructure master)每个操作主机的主要功能如下：架构主机：负责更新与修改schema内的对象与属性数据，只有有Schema Admin组内的成员才有权利修改schema内的数据。如果架构主机出现故障或离线，可能会影响某些软件的运作，例如某些服务器级的软件在安装时，会在schema内添加对象，如果架构主机出现故障或离线，将无法安装这些软件。域命名主机：负责管理林内域的添加与删除工作。如果域命名主机出现故障或离线，将无法在林内添加或删除域。RID主机：a、发放RID RID主机负责发放RID（relativeID）给其域内的所有域控制器。当域控制器内添加一个用户、组或者计算机对象时，域控制器必须指派一个惟一的安全识别码（SID）给这个对象，此对象的SID是由域的SID与RID所组成的，也就是说“对象的SID=域的SID+RID”，而RID并不是由每一台域控制器自己产生的，它是由“RID操作主机”来统一发放给其域内的所有域控制器的。每一台域控制器需要RID时，它会向“RID主机”索取一些RID，用完后再向“RID操作主机”索取；b、移动对象无论目前所连接的域控制器是哪台，当要将某个对象传送到另外一个域时，系统会移动位于“RID主机”内的对象，然后通知其他域控制器该对象已被转移。这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。4、PDC模拟主机 a、支持旧客户端计算机用户在域内的就客户端计算机（如windowsNT）上改变密码时，这个密码数据是会被更新在PDC上，而Active Directory可以通过“PDC模拟主机”来支持这个功能；另外如果域内有windowsNT的BDC（backup domain controller）,也需要“PDC模拟主机”来扮演windowsNT的PDC。 b、减少因为密码复制延迟所造成的问题当用户的密码修改后，需要一段时间这个密码才会被复制到其他所有的域控制器，如果在这个密码还没有被复制到其他所有的域控制器之前，用户利用新的密码登陆，则可能会因为负责检查用户密码的域控制器内还没有用户的新密码数据，而无法成功登陆。系统采用以下的方法来减少这个问题发生的几率，当用户的密码改变后，这个密码会优先被复制到“PDC模拟主机”，而其他域控制器让然是依照一般程序，也就是等一段时间后才会收到这个最新的密码。当用户登录时，复制验证用户身份的域控制器发现密码不对时，此台域控制器会将验证身份的工作传送给“PDC模拟主机”，让用户可以登录成功。C、负责整个域时间的同步 windows server2003域要求所有的计算机都必须要有正确的时间，否则会影响到验证用户身份的工作，造成用户无法登录的后果。“PDC模拟主机”负责整个域内所有计算机的时间同步同坐。5、基础架构主机如果域内有对象参考到其他域的对象时，“基础结构主机”会负责更新这些参考对象的数据，例如本域内有一个组的成员包含另外一个域的用户账户，则当这个用户账户有变动时（例如被删除或转移），“基础结构主机”就负责更新这个组的内容，并将其复制到同一个域内的其他域控制器。“基础结构主机”是通过“全局编录”来得到这些参考数据的最新版本，因为“全局编录”会收到由每一个域所复制来的最新变动资料。如果整个林中只有一个域，则“基础结构主机”就有没有作用了，因为没有其他域的对象可供参考。更改域控制器操作主机：（测试环境的主域控为辅助域控为）更改架构主机在搭建好的辅助域控的开始-运行菜单中输入regsvr32 schmmgmt.dll安装AD架构点击确定之后系统就会安装AD架构组件然后在开始-运行菜单中输入mmc，打开控制台在控制台中选择文件-添加/删除管理单元（M）点击添加选中Active Directory架构，点击添加然后关闭窗口右键点击打开的Active Directory架构，选择更改域控制器在指定名称中输入辅助域控的计算机名称（计算机名+域控名称）点击确定右键点击Active Directory架构，选择操作主机点击更改确定即可完成架构主机的转移更改域命名主机开始-所有程序-管理工具-Active Directory域和信任关系这里需要首先连接到辅助域控制器，