一.
其实,对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。
如果说有区别的话,那就是第一台域控制器上拥有FSMO.
 二.
什么是FSMO?
FSMO的英文全称为Flexible Single Master Operations.
这些角色包括:
★架构主机 (Schema master) - 架构主机角色是林范围的角色,每个林一个。此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。
★域命名主机 (Domain naming master) - 域命名主机角色是林范围的角色,每个林一个。此角色用于向林中添加或从林中删除域或应用程序分区。
★RID 主机 (RID master) - RID 主机角色是域范围的角色,每个域一个。此角色用于分配 RID 池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。
★PDC 模拟器 (PDC emulator) - PDC 模拟器角色是域范围的角色,每个域一个。将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。
★结构主机 (Infrastructure master) - 结构主机角色是域范围的角色,每个域一个。此角色供域控制器使用,用于成功运行 adprep /forestprep 命令,以及更新跨域引用的对象的 SID 属性和可分辨名称属性。
Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器.
 三.
现在我们要做的事情就是:
将FSMO角色转移到另一台域控制器上.
使用的工具是:ntdsutil.exe(在命令行直接运行).
关于ntdsutil.exe的使用可以参考微软的相应文档.
1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器
http://support.microsoft.com/kb/255504/zh-cn
 2.域控制器降级失败后如何删除 Active Directory 中的数据
http://support.microsoft.com/kb/216498/
 3.域控制器降级失败后如何删除 Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)
http://support.microsoft.com/kb/216498/zh-cn
 四.
基本步骤如下:
1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,我这里写的是全名)
命令提示符键入ntdsutil,
metadata cleanup,
connections,
connect to server servername,
quit,
select operation target,
list domains,
select domain number,(比如select domain 0,下同)
list sites,
select site number,
list servers in site,
select server number,
quit,
remove selected server,
quit.
 2.清理DC帐户
需要运行adsiedit.msc.这个工具是要安装的.
安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.
 3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种FSMO操作,核心命令是:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]
 4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.
 至此,FSMO开始在另一台域控制器上正常工作.
exchange等服务也恢复正常.
 关于辅域控制器夺取主域控制器角色,接替其工作时的一些疑问及回答
 1 为了出于安全角度的考虑,一般在一个域环境内至少有两个域控制器,即pdc及bdc,在windows2003中辅助域的角色定义给淡化了,取而代之的是额外域控制器。
 2 在额外域接替主域工作的时候,客户端依旧设置的是原pdc的dns解析地址,是无法登陆的,有两种方法第一 将替代后的域服务器的ip地址设置为原域控制器地址,方法二 将客户端的dns解析地址设置先有的dns解析地址
 3在域环境中往往有许多成员服务器在工作,例如exchange,lcs等服务器,其在安装的时候都需要在主域上进行林扩展。当夺取角色后,这些成员服务器是否能继续工作。
 答案是肯定能进行正常工作的,因为在主域扩展的时候相应的信息也同时通过复制传递给了辅域控制器,保留了这些林扩展的信息。同时这些复制的信息也包括策略等。特别是在但只有一个架构的域中,同步频率是很高的。信息复制还是比较及时的。
 4当域内的pdc完完全全的挂掉后,也就是只有额外域进行工作,pdc无法连接。在使用命令行夺取角色,至connect to server xxx,这里的xxx是指bdc服务器,也就是要进行夺取操作的那台服务器。
 5pdc会在活动目录数据库残留有相关数据,建议在夺取角色之前将其数据全部删除,同时有pdc担任的角色会自己传给其他的域控。同时之后再建立另外的域控尽量不要取与pdc的计算机名称重复。
 6一般而言当第一个域控制器建立的时候,其默认为gc服务器。gc服务器的角色是至关重要的,在夺取角色取代工作的前提下额外域控制器就必须是gc的角色。所以在建立额外域控制器的时候,应在站点里面将其也设置为gc,以备后患。
 7最后建议大家,在作相关设置的时候,一定要作系统备份,万一在出现误操作的时候,还可能有挽回的余地。以上这些都是我在一步步学习及工程中遇到的一些问题得到各位高手指点,及经验之谈的记录。
使用windows界面
 1 打开 Active Directory 用户和计算机。
2 选中将要成为PDC 的模拟器域控制器,它负责为下层客户机模拟主域控制器的作用,因为WINDOWS 2000 己经不再有PDC与DBC 之分,所以对没有WINDOWS 2000 客户端软件的用户来说,需要域中的PDC来进行用户信息的校检,域中只能有一台机器有这个作用。
3 在控制台树中, 右击“Active Directory 用户和计算机”。
4 在弹出的菜单中,单击“操作主机”
5 单击“PDC” 选项卡, 单击“更改”按钮,更改完毕后,按“确定”即变改成功。