win2003域角色转移命令（主域损坏，将辅助域强制升级到主域）

BDC升级PDC（即辅助域控制器升级为原主域控制器）

实验环境：

两台服务器，一为PDC，一为BDC

域名为test.com

1、 原主域控制器

System: windows20003 Server

FQDN:  PDC.test.com

IP：192.168.50.1

Mask:255.255.255.0

DNS:192.168.50.1

 

 

2、 辅助域控制器

System: windows 2003Server

FQDN：BDC.test.com

IP：192.168.50.2

Mask:255.255.255.0

DNS:192.168.50.1

目的：当PDC启动不了，系统坏掉时，这时候必须把BDC升级为PDC，下面就是实现这一功能。

 

详细步骤:

首先安装windows 2003里的supporttools,在安装光盘里有。

一、查看。这时我们的PDC已经出现了问题并开不起来了。这时我们来到BDC上，打开AD用户和计算机，在你的域名处点右键――>"操作

主机"打开如图：此时在操作主机项显示的是错误而不是我们的真正的操作主机PDC，所以我们要把BDC更改为操作主机。各位可能就会看

到下面不是有个更改按钮吗，直接点更改按钮不就转移过去了吗？其实这我也想到了，但是你在这里点更改会报错的，点了以后过了半天弹

出个框框说“请求的FSMO 操作失败。不能连接当前的 FSMO 盒”，所以我们又要回到命令行模式下进行强制夺取了。

 

二、查看owner归属。打开dos，在命令提示符下输入netdom queryfsmo查看一下当前的五个前色的owner是谁，如图：

我们看到当前五个角色的owner还是PDC。下面我们就开始强制夺取吧。

 

三、利用工具命令升级。再次打开 support tools 在命令提示符下

1、输入ntdsutil 回车，

2、再输入:roles 回车，

3、再输入connections 回车，

4、再输入connect to server test.com(其实上面这里我写的是BDC的计算机名，而现在输入的又是域名了)，提示绑定成功后，输入q退出，如图：

 四、利用seize命令强夺。看上图，当我们输入问号可以看到一些帮助信息，上面由于我们是在正常情况下的角色转移我们用的transfer,而现在我们要用seize来进行强制夺取了，分别输入：

Seize domain naming master

Seize infrastructure master

Seize PDC

Seize RID master

Seize schema master

Select operation target

以上的每一行命令在输入完成一条后都会确认要占用角色，选择“是”，如图：然后接着一条一条完成既可，完成以上按Q退出界面，

 

五、报错。选择是以后。如图：我们看到报错了，呵呵，不过没关系，这是正常的，因为主域PDC不在线，所以在夺取时会有这个出错信息。，所以结构角色会夺取到BDC上，接下来的各个角色的夺取也会有这出错信息。

 六、再查看是否成功。以上命令全部完成以后，我们按Q退出，此时我们再查看一下五个角色的owner已经是我们的BDC了，如图：

七、角色转移成功以后，还要把GC也转移过去。以上全部完成以后还要把全局编录（AD站点和服务的default-first-site-name,BDC的NTDSSettings属性）转移到BDC上，这些步骤和上面的操作方法一样，所以我这里就不在写了。

 

八、问题。

1、现在已经可以把原来的主域控制器（PDC）删除掉了，在(PDC)现在的辅助域控制器上运行dcpromo按照提示一步一步的删除它，然后将它退出域。就完成了整个升级过程。这里还有一点要注要的：升级完以后，你现在的主域控制器的IP地址是新的，而不是原来的那个IP地址了，而下面所有的客户端的DNS 都是指向原来的主域控制器的，这样就会出现很多问题，包括你的Exchange就找不到域控制器，所以我最简单的方法就是把BDC（现在的主域控制器）的 IP改为PDC（原来的主域控制器）的IP就好了。

      这些改完以后启动Exchange，exchange不要做任何更改就可以正常工作了，但这时在exchange的日志里是有一项错误（MSExchangeAL 事件8026 和8260）。原因为收件人更新服务配置为使用 Windows 域控制器被降级，。 收件人更新服务尝试查询有关该更新,Windows无法联系域控制器。

解决办法：打开 Exchange 系统管理器。展开 " 收件人" 容器, 然后单击 收件人更新服务 。双击每个收件人更新服务, 然后再将 Windows 域控制器 设置更改为新域中 Windows域控制器。这样设置完以后，重新启动计算机，一切正常了，发封邮件试试，一切正常。致此全部完成了。
 

2、还有我们还得删除已损坏DC的信息，对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示

解决办法：
微软KB216498;http://support.microsoft.com/kb/216498/

转载于:https://blog.51cto.com/2526575/924719