求教“server2012主域控与辅域控”切换工作，以及用户登录问题

1、win2012加域contosocom2、win2012加域重启后，安装AD角色管理工具3、安装中，经过短暂的几分钟后，安装完成。4、安装完成之后，接下来我们将要进行AD的扩展了，这里注意的是win2003是32位系统，不能使用64位的命令执行域扩展命令，于是我将WindowsServer2012的光盘加载到Win2012服务器上，并用命令定位到adprep目录下，将命令提示符转到D盘的support/adprep目录，升级2003ADSchema林架构；输入adprepexe/forestprep5、提示我们要保证林架构和域架构为windowsserver2003以上版本，于是切换到win2003服务器，进行林架构和域架构的提升。在ad域和信任关系中，右键域名，提升域功能级别为windowsserver2003模式。6、在右键选择域和信任关系，选择提升林功能级别为windowsserver20037、返回到win2012，继续进行林架构扩展adprepexe/forestprep,按C继续,等待扩展完成。8、升级2003ADSchema域架构；adprepexe/domainprep9、更新组策略对象权限；adprepexe/domainprep/gpprep10、更新AD对RODC只读域控器的支持；adprepexe/rodcprep11、至此AD的林和域架构升级成功，接下来要将Win2012提升域控，继续之前的步骤，点击将此服务器提升为域控制器。12、在部署配置页面我们可以看到当前的服务器FQDN和当前的域名及当前用户。如需更改则在相应项后面点击进行更改即可。我们这里保持默认，点击下一步继续。13、下一步，我们可以看到一个警告信息，详细信息，提示如果需要部署只读域控需有windowsserver2008、2008R2或2012域控，因我们现在所安装的是辅助域控并非单独的只读域控，所以这个警告可以忽略。14、下一步，又出现警告信息，无法创建DNS服务器委派，因当前服务器未安装DNS所致，后续会勾选自动安装，继续下一步。15、指定要从哪台域控复制信息。当前环境只有一台Win2003域控制器，可以选择win2003，也可以保持默认----从任何域控制器安装，这里我保持默认，下一步，继续。16、数据库及其他文件夹保存位置，默认，下一步。17、显示你的所有选项设置，确保无误后点击下一步继续。18、所有检查条件都已通过，点击安装。19、安装完后，自动重启电脑。20、重新win2012后，打开AD用户和计算机，右键―contosocom,操作主机。21、依次对RID、PDC及基础结构都进行更改。22、打开域和信任关系，右键---操作主机。23、对域命名主机进行更改，点击更改，域命名主机就平滑的从win2003切换到了win2012服务器上。24、在win2012服务器里面，点击开始运行，（注：我这里给win2012服务器装了个开始菜单插件）或直接调出命令行工具，输入:regsvr32schmmgmtdll。25、在运行窗口输入mmc，调出控制台管理工具，在点击文件---添加删除管理单元，添加AD架构。26、右键----AD架构，选择更改AD域控制器。27、选择win2012服务器，在点击确定，对当前连接的目录服务器win2003进行更改。28、继续选择AD架构，我们注意到现在已经连接到win2012服务器了，点击操作主机。29、点击更改，这样架构主机就从win2003转移到了win2012服务器。30、打开AD站点和服务，选择win2003，取消win2003服务器的全局编录功能，因为我们最终的目的是要把win2003服务器退域，所以不要它担负任何角色。31、更改后，刷新下状态，看到我们的win2003角色已经从GC变成了DC。32、在命令行窗口，我们输入netdomqueryfsmo，看到我们的角色都已经更改为了win2012contosocom。33、我们尝试提示下域功能级别到windowsserver2012，提示域内有windowsserver2003版本的域控存在，接下来我们把win2003域控退域。34、win2003退域过程，漫长的等待。。。。。。35、点击完成，这样win2003就降级为了域成员服务器，根据提示我们对win2003服务器进行重启。36、将win2003和win2012的dns服务器首选地址都更改为win2012的IP，这个也是我们最新的2012域控的IP地址。（注：如果win2003的dns地址没有更改就重启的话，我们发现登录的过程很慢，这个是由于缓存的问题，更改dns指向最新的win2012后，我们可以发现登录的过程很快）37、验证一下我们加域是否正常，并且是否目前已加域的计算机登录不受影响。我们把首先把win2012服务器重启，然后在把win2003退域计算机重命名为test并重新加域，使用账号ceshi1正常登录。38、基本步骤都已经完成，客户端也登录正常，我们在检查下最新的windowsserver2012的域控信息是否都已经准确了。右键win2012，转发器还是原来的192168150服务器，这里我们予以删除之，如果需要解析到外网，我们可以填写我们当地的dns服务器地址，我这里填写广东的dns,20296128166,20296134133。39、右键contosocom，起始授权机构显示的是最新的是最新的win2012,名称服务器选项里将win2003的记录予以删除。40、右键_msdcscontosocom，起始授权机构显示的是最新的是最新的win2012,名称服务器选项里将win2003的记录予以删除。41、右键反向查找区域，起始授权机构显示的是最新的是最新的win2012,名称服务器选项里将win2003的记录予以删除,并且将位置的IP地址更改为正确的。42、更改后重启dns服务器。43、AD站点和服务里面删除win2003服务器。44、同时我们也注意到了win2012的dns服务器已经有了新加入的test计算机记录。至此，win2003到win2012的域升级步骤就已经全部完成。

配置主域控为时间源服务器：

编辑默认域控制器策略，计算机配置-管理模板-系统-windows时间服务-时间提供程序-windows NTP服务器选择启用。

配置辅域控为时间源客户端：

在组策略中设置，计算机配置-管理模板-系统-windows时间服务-时间提供程序-启用windows NTP客户端，配置windows NTP客户端，在NTPServer中填写IP，0x1；在TYPE中选择NTP

切换如下，副域控或者辅助域控，也称为备份域控。当主域控宕机，辅助域控则启用担当主域控作用。 一般情况下不需要人工切换，两个域控自动备份AD信息。

当主域控宕机后，必须手动夺取主域控角色转换到辅助域控上，辅助域控方可正常承担各种角色任务。

辅助域控转换成主域控后，不需要干预即可进行域用户登录，域用户感觉不到变化。如果有共享等服务的，也必须同时转移到辅助域控上。

域控迁移步骤

因服务器更换，需要把以前的域控转移到新的服务器上。

要求：数据全部迁移，新服务器上配置DNS,DHCP，主域要和现有的资料同步。

实施：

         新主域控服务器安装EXCHANGE2003，在安装时要选择额外域的添加。

（因为现有的主域是不能断网的，所以思路是先把新的主域做成原主域的辅域。然后让辅域和主域断开，强行夺舍。）

         然后点下一步设置域管理员的帐号和密码。

然后继续点下一步。

设置好域名。这里我用的是和原主域上的域名，然后点击下一步，配置正确后会连续点击三个下一步。点击完成以后呢就会开始安装额外域了，这里要等上几分钟。如图所示。

几分钟过后会提示重启计算机，重新启动服务器后，这台服务器就成为了原服务器的辅域了，等上面的资料完全同步过来以后，断开网络，然后进行强行夺舍。

         在夺舍前先从系统安装盘中安装SUPPORT这个文件夹下的SUPPORTTOOLS工具。完成后打开提示符输入：netdomquery fsmo 以输出FSMO的owner，如图

因为现在已经和主域控断开了，无法连接到原主域。所以我们现在要进行强制夺取。把现原主域上的角色夺舍到新主域上（新安装的辅域）。

我们再次打开support tools在命令提示符下输入ntdsutil回车，再输入:roles回车，再输入connections回车，再输入connect toserver tongluguojicom，提示绑定成功后，输入q退出，如图：

输入问号可以看到一些帮助信息，现在我们要用seize来进行强制夺取了，分别输入：

Seize domain naming master

Seize infrastructure master

Seize PDC

Seize RID master

Seize schema master

Select operation target

以上命令在输入完成一条后都会确认要占用角色，选择是，然后一条一条完成既可，完成以上按Q退出界面，

选择是以后。我们会看到报错，没关第，这是正常的，因为主域ITONGLU01不在线，所以在夺取时会有这个出错信息，所以结构角色会夺取到TONGLU01上，接下来的各个角色的夺取也会有这出错的信息。

以上命令全部完成后，我们按Q退出，此时我们再查看一下五个角色的owner已经是我们的TONGLU01了。

上面全部完成后要把全局编录转移到TONGLU01上。我们打开活动目录站点和服务，展开site->default-first-site-name->servers，你会看到两台域控制器都在下面。展开TONGLU01右击NTDSSettings点属性，勾上在全局编录前面的勾，点确定。

到现在这台新的主域控已经配置完成了。

可以实现，操作流程：

1a为主DC b为辅助DC

2将b的DNS功能也加上

3然后将分发策略，将客户端的备用DNS指向b域控。

4当a down掉了以后，域内还可以正常工作了。

dns设置，对于域环境来说，域的dns服务器与域控是紧密相连的，如果要登陆域中必须将客户端的dns指向域控的dns服务器（最好选择是首选dns服务器），登陆域中后需要上网需要在域的dns服务器中添加转发，转发到internet中的dns服务器中。或者将客户端上的备用dns服务器地址添加为internet中的dns服务器,在客户端的dns配置里再添加当地电信的dns就可以了，不过这个是做备用的，第一个一定要指向域控制器的dns,将域控的DNS设置转发，但设置之前必须删除根DNS，即可

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

怎么看哪台是PDC，哪台是BDC呢？

非DC的PC在命令行输入nslookup pdc_msdcs域的名字，如nslookup pdc_msdcsbaiducom

这样就会得出哪台是PDC了。

如果在PDC本机输入nslookup pdc_msdcs域的名字的话，就会显示Address：::1是本机。

而在BDC中输入nslookup pdc_msdcs域的名字的话，就会显示Address：1921681253显示本BDC的IP地址。

当然可以麻烦一点看谁是PDC，在任一DC中运行输入dnsmgmtmsc。

正向查找区域，_msdcsbaiducom，pdc，_tcp，在右边的数据列就能看到PDC的计算机名了。