问如何在主域控制器上删除额外域控制器

一、    实验环境： 域名为test.com 1、 原主域控制器 system: windows 20003 server fqdn:   pdc.test.com ip：192.168.50.1 mask:255.255.255.0 dns:192.168.50.1 2、 辅助域控制器 system: windows 2003 server fqdn：bdc.test.com ip： 192.168.50.2 mask: 255.255.255.0 dns:192.168.50.1 3、 exchange 2003 server fqdn:mail.test.com ip:192.168.50.3 mask:255.255.255.0 dns:192.168.50.1 也许有人会问，做辅域升级要装个exchange干什么？ 其实我的目的是为了证明我的升级是否成功，因为exchange和ad是紧密集成的，如果升级失败的话，exchange应该就会停止工作。如果升级成功，对exchange应该就没有影响，其实现在我们很多的生产环境中有很多这样的情况。 二、实验目的： 在主域控制器(pdc)出现故障的时候通过提升辅域控制器(bdc)为主域控制，从而不影响所有依靠ad的服务。 三、实验步骤 1、 安装域控制器。第一台域控制器的安装我这里就不在说明了，但要注意一点的是，两台域控器都要安装dns组件。在第一台域控制安装好后,下面开始安装第二台域控制器（bdc），首先将要提升为辅助域控制的计算机的计算机名,ip地址及dns跟据上面设置好以后,并加入到现有域，加入域后以域管理员的身份登陆，开始进行安装第二台域控制器。2、在安装辅助域控器前先看一下我们的exchange server工作是否正常，到exchange server 中建立两个用户test1和test2，并为他们分别建立一个邮箱，下面使用他们相互发送邮件进行测试，如图。 3、 我们发现发送邮件测试成功，这证明exchange是正常的。下面正式开始安装第二台域控制器。也是就辅助域控制器（bdc）。 4、 以域管理员身份登陆要提升为辅助域控制器的计算机，点【开始】->【运行】在运行里输入dcpromo打开活动目录安装向导,.点两个【下一步】, 打开如图. 5、 这里由于是安装第二台域控制器，所以选择【现有域的额外域控制器】，点【下一步】。 8、几分钟后安装完成，提示重新启动计算机，重新启动计算机，此时你的计算机已经成为了test.com域的辅助域控制了。此时在活动目录用户和计算机的域控制器里已经有两台域控制了，如图： 9、再查看一下fsmo（五种主控角色）的owner，安装windows server安装光盘中的support目录下的support tools工具，然后打开提示符输入：netdom query fsmo 以输出fsmo的owner，如图： 10、 现在五个角色的woner 都是pdc，我的就是要把这个五个角色转移到bdc上，使bdc成为这五个角色的owner。 11、现在登陆pdc（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server bdc --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出，如图： 12、 输入？回车可看到以下信息： connections - 连接到一个特定域控制器 help - 显示这个帮助信息 quit - 返回到上一个菜单 seize domain naming master - 在已连接的服务器上覆盖域角色 seize infrastructure master - 在已连接的服务器上覆盖结构角色 seize pdc - 在已连接的服务器上覆盖 pdc 角色 seize rid master - 在已连接的服务器上覆盖 rid 角色 seize schema master - 在已连接的服务器上覆盖架构角色 select operation target - 选择的站点，服务器，域，角色和命名上下文 transfer domain naming master - 将已连接的服务器定为域命名主机 transfer infrastructure master - 将已连接的服务器定为结构主机 transfer pdc - 将已连接的服务器定为 pdc transfer rid master - 将已连接的服务器定为 rid 主机 transfer schema master - 将已连接的服务器定为架构 如图：

过程 1：仅限 Windows Server 2003 SP11. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。 2. 在命令提示符处，键入 ntdsutil，然后按 Enter。 3. 键入 metadata cleanup，然后按 Enter。根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。 4. 键入 connections，然后按 Enter。此菜单用于连接将发生这些更改的具体服务器。如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。为此，请键入 set creds DomainNameUserNamePassword，然后按 Enter。如果密码为空，则键入 null 作为密码参数。 5. 键入 connect to server servername，然后按 Enter。然后出现一条确认消息，说明已成功建立该连接。如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除步骤 15 提到的服务器时，将显示以下错误消息： 错误 2094。不能删除 DSA 对象。0x2094 6. 键入 quit，然后按 Enter。将出现“清除元数据”菜单。 7. 键入 select operation target，然后按 Enter。 8. 键入 list domains，然后按 Enter。将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。 9. 键入 select domain number，然后按 Enter；其中 number 是与要删除的服务器所属域相关联的编号。您选择的域将用于确定要删除的服务器是否为该域的最后一个域控制器。 10. 键入 list sites，然后按 Enter。将出现一个站点列表，其中每个站点都带有一个关联的编号。 11. 键入 select site number，然后按 Enter；其中 number 是与要删除的服务器所属站点相关联的编号。将出现一条确认消息，其中列出了所选的站点和域。 12. 键入 list servers in site，然后按 Enter。将显示一个列出站点中所有服务器的列表，每个服务器都有一个关联的编号。 13. 键入 select server number，其中 number 是与要删除的服务器关联的编号。将出现一条确认消息，其中会列出所选的服务器、该服务器的域名系统 (DNS) 主机名以及要删除的服务器的计算机帐户位置。 14. 键入 quit，然后按 Enter。将出现“清除元数据”菜单。 15. 键入 remove selected server，然后按 Enter。将出现一条确认消息，说明删除成功完成。如果出现以下错误消息，则说明“NTDS 设置”对象可能已从 Active Directory 中删除，原因可能是其他管理员删除了该“NTDS 设置”对象，或者在运行 DCPROMO 实用工具成功删除该对象后又执行了一次此操作。 错误 8419 (0x20E3)找不到 DSA 对象 注意：当您尝试绑定到要删除的域控制器时，也可能会出现此错误。Ntdsutil 绑定到的域控制器不能是要通过清除元数据来删除的域控制器。 16. 在每个菜单中键入 quit，退出 Ntdsutil 实用工具。将出现一条确认消息，说明连接已成功断开。 17. 在 DNS 的 _msdcs.区域中删除 cname 记录。假定要重新安装并重新提升 DC，将创建一个新的“NTDS 设置”对象，它将具有新的 GUID 并在 DNS 中拥有一个匹配的 cname 记录。您不希望现有 DC 使用旧的 cname 记录。 最佳做法是删除主机名和其他 DNS 记录。如果已超出为脱机服务器分配的动态主机配置协议 (DHCP) 地址上所剩的租用时间，另一个客户端即可获得问题 DC 的 IP 地址。 18. 在 DNS 控制台中，使用 DNS MMC 删除 DNS 中的 A 记录。A 记录也称为“主机”记录。要删除 A 记录，请右键单击 A 记录，然后单击“删除”。另外，请删除 _msdcs 容器中的 cname 记录。为此，请展开“_msdcs”容器，右键单击“cname”，然后单击“删除”。 重要说明：如果这是一台 DNS 服务器，请在“名称服务器”选项卡下删除对该 DC 的引用。为此，在 DNS 控制台中，在“正向查找区域”下单击该域名，然后从“名称服务器”选项卡中删除该服务器。 注意：如果有反向查找区域，也要将服务器从这些区域中删除。 19. 如果删除的计算机是子域中的最后一个域控制器，而且该子域也已删除，请使用 ADSIEdit 删除该子域的 trustDomain 对象。为此，请按照下列步骤操作： a. 单击“开始”，单击“运行”，键入 adsiedit.msc，然后单击“确定”。 b. 展开“域 NC”容器。 c. 展开“DC=, DC=COM, PRI, LOCAL, NET”。 d. 展开“CN=System”。 e. 右键单击“Trust Domain”对象，然后单击“删除”。 20. 使用“Active Directory 站点和服务”删除域控制器。为此，请按照下列步骤操作： a. 启动“Active Directory 站点和服务”。 b. 展开“站点”。 c. 展开服务器的站点。默认站点为“Default-First-Site-Name”。 d. 展开“服务器”。 e. 右键单击域控制器，然后单击“删除”。