紧急情况：如何将Windows 2003额外域控制器升为主域控制器

"这篇内容主要讨论的是在Windows Server 2003环境下，当主域控制器发生故障且无备份时，如何将额外域控制器提升为主域控制器，以及后续如何恢复损坏的主域控制器。" 在Windows Server 2003的活动目录（Active Directory, AD）环境中，主域控制器（Primary Domain Controller, PDC）是域服务的核心，负责维护用户账户、组策略等关键信息。如果主域控制器因硬件故障无法工作，额外域控制器（Additional Domain Controller, ADC）可以接管其角色以确保服务的连续性。在这个案例中，DC-01.test.com作为主域控制器故障，我们需要让额外域控制器DC-02.test.com晋升为主域控制器。 以下是详细步骤： 1. **验证额外域控制器** 在晋升之前，确保DC-02.test.com运行正常，且与网络中的其他服务器和客户端有良好的通信。检查所有必要的复制和同步任务都已完成。 2. **夺取 Flexible Single Master Operations (FSMO) 角色** FSMO角色是AD中的五个特殊角色，包括架构主机（Schema Master）、域命名主机（Domain Naming Master）、PDC仿真器（PDC Emulator）、 RID 主机（RID Master）和基础结构主机（Infrastructure Master）。在DC-02.test.com上使用“ntdsutil”命令行工具夺取这些角色。例如： ``` ntdsutil: roles connections to server DC-02.test.com roles: seize <FSMO_role> ``` 3. **设置全局编录服务器（Global Catalog, GC）** 为了提供全面的目录搜索服务，额外域控制器需要成为全局编录服务器。在“Active Directory Sites and Services”中，选择DC-02.test.com，将其属性设置为全局编录服务器。 4. **从AD中清除主域控制器对象** 使用`ntdsutil metadata cleanup`来从AD中删除DC-01.test.com的信息。这涉及连接到正确的站点和域，然后列出并选择要删除的域控制器。在示例中，执行了以下操作： ``` ntdsutil: metadata cleanup selectoperationtarget: connections connecttoDomaintest.com selectoperationtarget: Listdomainsinsite select 0-DC=test ``` 然后执行`remove selected server`以实际删除DC-01.test.com。 5. **确认新的主域控制器** 检查DC-02.test.com是否成功接管所有FSMO角色，并且全局编录服务器设置已生效。同时，确保所有域成员能够正常识别新的主域控制器。 6. **修复损坏的主域控制器** 当DC-01.test.com的硬件修复完成后，可以考虑将其恢复为域控制器。首先，新建一个干净的操作系统安装，然后将其加入域。接着，使用`dcpromo`命令重新推广为域控制器，确保选择“恢复模式”，并指定要恢复的旧AD数据库和日志文件位置。这通常位于%SystemRoot%\NTDS文件夹下。 7. **恢复FSMO角色** 一旦DC-01.test.com恢复并加入域，可以将其上的FSMO角色转移回，但请注意，这不总是必要的，特别是如果DC-02.test.com已经稳定运行了一段时间。转移角色的决定应基于组织的具体需求和策略。 通过以上步骤，即使主域控制器出现故障，也能确保AD环境的稳定运行，并在硬件修复后安全地恢复原有主域控制器。在执行这些操作时，务必谨慎并遵循最佳实践，因为错误的操作可能导致AD环境的严重问题。