Xin các bác chỉ giúp:
công ty em có con domain 2003 là con đông nam á dựng lên nay em muốn thay bằng con server xịn .Mong các bác chỉ cách giúp.

ý của bạn là muốn tranfer role từ server cũ sang server mới?
Mình nghĩ cài bạn nên Additional Domain Controller lên server mới rồi chuyển các Operation Master Roles qua sẽ an toàn hơn. Nếu bạn sợ thì cứ để 2 Server chạy 1 thời gian rồi hãy demote cái cũ.

Cám ơn bác tohomam
Bác có thể hướng dẫn chi tiết hơn cách làm và có tài liệu thì cho em xin luôn

When possible you should always promote a BDC to the PDC while the main PDC is still active, in this way the original PDC will be demoted to a BDC and no information will be lost, however sometimes the PDC will not be available (i.e. its crashed) and a BDC needs to be promoted, as in the absence of a PDC, a BDC does not automatically promote itself.

1. Log on to a BDC as an Administrator
2. Start Server Manager (Start - Programs - Administrative Tools - Server Manager)
3. If the PDC is not available then a warning will be displayed "Cannot find Primary DC for <domain>"
4. Click on the BDC you want to promote to the PDC
5. From the Computer menu select "Promote to PDC"
6. Again if the PDC is not available then a warning "Cannot find Primary for <Domain>". Click OK to continue
7. The Netlogon service will be stopped on the BDC, it will be changed to a PDC and then the Netlogon service will be started again.
8. This machine is now the domain PDC

If the PDC was online, it would automatically be demoted to a BDC when the promotion occured.

To bring the original PDC back if it had not been demoted prior to the upgrade just start as normal, it will detect the running PDC and stop its netlogon service. You can then start Server Manager and select "Demote the BDC" and then promote.

Bạn làm như bạn TAHOMAM là OK đấy. Có gì thì Bạn hãy tham khảo tài liệu MSCA 2003 đã đựoc bạn nào đó Post lên ròi còn gì.

Sorry, hình như trong Win Server 2003 đâu có mô hình PDC (Primary Domain Controller)/BDC (Backup Domain Controller) nữa. Tất cả đều là DC (Domain Controller) và có quyền ngang nhau (multimaster role). Bạn chỉ cần join server mới vào domain, promote nó lên thành DC rồi thì tất cả Active Directory database sẽ tự động được replicate sang DC mới này. Sau một thời gian khi hệ thống đã ổn định thì bạn có thể demote con server cũ đi (cũng bằng lệnh dcpromo).
Các bro góp ý nhé.

Sorry, hình như trong Win Server 2003 đâu có mô hình PDC (Primary Domain Controller)/BDC (Backup Domain Controller) nữa. Tất cả đều là DC (Domain Controller) và có quyền ngang nhau (multimaster role). Bạn chỉ cần join server mới vào domain, promote nó lên thành DC rồi thì tất cả Active Directory database sẽ tự động được replicate sang DC mới này. Sau một thời gian khi hệ thống đã ổn định thì bạn có thể demote con server cũ đi (cũng bằng lệnh dcpromo).
Các bro góp ý nhé.

sao bro nói vậy, W2k03 server có hỗ trợ tranfer role để làm gì( làm cảnh chắc)
em thấy anh TOHAMA nói đúng ko sai tí nào cả. Khi bro tranfer role giữa PDC với BDC bro sẽ thấy sự khác nhau.

Theo mình biết thì win 2k3 khác 2k ở chỗ ko còn khái niệm Primary hay Backup mà tất cả đều là DC ngang quyền như nhau hết, như lời andrew nói. Nhưng mình cũng ko chắc về việc vẫn còn role trong win 2k3 như bài post của tahomam. Bản thân mình cũng đã promo 1 win 2k3 với dạng backup trong AD, ko rõ là mô hình primary, backup hay ngang quyền nữa, nhưng server mới làm việc có vẻ ko dc tốt cho lắm, máy con ko join dc domain, dns thì toàn bị chuyển wa server cũ.... Bạn dvnam là làm xong chưa, kết quả thế nào, có thể post lên cho mọi người biết với dc ko

đính chính:
Thực tế theo MS thì không còn khái niệm PDC và BDC từ windows 2003 trở đi, tuy nhiên trong hệ thống vẫn có 1 con nắm giữ vai trò là "PDC" và thường cũng nắm giữ FSMO Roles
vì vậy khi chuyển server bạn phải chuyển 5 anh này:
• Schema Master: The schema master domain controller controls all updates and modifications to the schema. To update the schema of a forest, you must have access to the schema master. There can be only one schema master in the whole forest.
• Domain naming master: The domain naming master domain controller controls the addition or removal of domains in the forest. There can be only one domain naming master in the whole forest.
• Infrastructure Master: The infrastructure is responsible for updating references from objects in its domain to objects in other domains. At any one time, there can be only one domain controller acting as the infrastructure master in each domain.
• Relative ID (RID) Master: The RID master is responsible for processing RID pool requests from all domain controllers in a particular domain. At any one time, there can be only one domain controller acting as the RID master in the domain.
• PDC Emulator: The PDC emulator is a domain controller that advertises itself as the primary domain controller (PDC) to workstations, member servers, and domain controllers that are running earlier versions of Windows. For example, if the domain contains computers that are not running Microsoft Windows XP Professional or Microsoft Windows 2000 client software, or if it contains Microsoft Windows NT backup domain controllers, the PDC emulator master acts as a Windows NT PDC. It is also the Domain Master Browser, and it handles password discrepancies. At any one time, there can be only one domain controller acting as the PDC emulator master in each domain in the forest.
cách làm như sau:
Transfer the Schema Master Role

Use the Active Directory Schema Master snap-in to transfer the schema master role. Before you can use this snap-in, you must register the Schmmgmt.dll file.

Register Schmmgmt.dll

1.Click Start, and then click Run.
2.Type regsvr32 schmmgmt.dll in the Open box, and then click OK.
3.Click OK when you receive the message that the operation succeeded.

Transfer the Schema Master Role

1.Click Start, click Run, type mmc in the Open box, and then click OK.
2.On the File, menu click Add/Remove Snap-in.
3.Click Add.
4.Click Active Directory Schema, click Add, click Close, and then click OK.
5.In the console tree, right-click Active Directory Schema, and then click Change Domain Controller. 6.Click Specify Name, type the name of the domain controller that will be the new role holder, and then click OK.
7.In the console tree, right-click Active Directory Schema, and then click Operations Master.
8.Click Change.
9.Click OK to confirm that you want to transfer the role, and then click Close.
Transfer the Domain Naming Master Role

1.Click Start, point to Administrative Tools, and then click Active Directory Domains and Trusts.
2.Right-click Active Directory Domains and Trusts, and then click Connect to Domain Controller.

NOTE: You must perform this step if you are not on the domain controller to which you want to transfer the role. You do not have to perform this step if you are already connected to the domain controller whose role you want to transfer.
3.Do one of the following:
•In the Enter the name of another domain controller box, type the name of the domain controller that will be the new role holder, and then click OK.

-or-
•In the Or, select an available domain controller list, click the domain controller that will be the new role holder, and then click OK.

4.In the console tree, right-click Active Directory Domains and Trusts, and then click Operations Master.
5.Click Change.
6.Click OK to confirm that you want to transfer the role, and then click Close.Transfer the RID Master, PDC Emulator, and Infrastructure Master Roles

1.Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
2.Right-click Active Directory Users and Computers, and then click Connect to Domain Controller.

NOTE: You must perform this step if you are not on the domain controller to which you want to transfer the role. You do not have to perform this step if you are already connected to the domain controller whose role you want to transfer.
3.Do one of the following:
•In the Enter the name of another domain controller box, type the name of the domain controller that will be the new role holder, and then click OK.

-or-
•In the Or, select an available domain controller list, click the domain controller that will be the new role holder, and then click OK.
4.In the console tree, right-click Active Directory Users and Computers, point to All Tasks, and then click Operations Master.
5.Click the appropriate tab for the role that you want to transfer (RID, PDC, or Infrastructure), and then click Change.
6.Click OK to confirm that you want to transfer the role, and then click Close.

sao bro nói vậy, W2k03 server có hỗ trợ tranfer role để làm gì( làm cảnh chắc)
em thấy anh TOHAMA nói đúng ko sai tí nào cả. Khi bro tranfer role giữa PDC với BDC bro sẽ thấy sự khác nhau.

Bác tahoma đính chính lại mới là chính xác nhất. "PDC Emulator" role trong Win 2000/2003 mang ý nghĩa khác hẳn mô hình PDC/BDC trong các họ Win NT trước đó. Mục đích chính của PDC Emulator role là cung cấp khả năng tương thích ngược với các hệ thống hoạt động trong chế độ "Mixed Mode" bằng cách "giả lập" 1 PDC trong Win NT Server 4.0. Nghĩa là 1 domain bao gồm các server dùng win 2000/2003 có thể hoạt động chung với các server dùng winNT Server 4.0 (trở về trước). Khi đó các BDC sẽ "thấy" DC mang "PDC Emulator role" như 1 PDC vậy.

Nói thêm một chút về các Role trong một hệ thống

Sự quan trọng của Role

có 5 FSMO role khác nhau. Hai role tồn tại tại mức forest và 3 tồn tại ở mức miền (domain). Các role mức forest gồm có Schema Master và Domain Naming master, trong khi đó các role FSMO mức miền lại gồm Relative Identifier Master, Primary Domain Controller (PDC) Emulator và Infrastructure Master.

Active Directory đòi hỏi các dịch vụ DNS phải có thể truy cập và mỗi miền phải có ít nhất một bộ điều khiển miền. Khi một mạng nào đó dựa trên Active Directory được khởi tạo ban đầu thì bộ điểu khiển miền đầu tiên hầu như được cấu hình để thực hiện với tư cách là máy chủ DNS của mạng. Bộ điều khiển miền tương tự cũng được gán cho tất cả 5 FSMO role. Nếu các miền khác được tạo bên trong forest thì bộ điều khiển miền đầu tiên bên trong mỗi miền sẽ cấu hình FSMO role cho miền đó. Các FSMO role mức forest chỉ được cấu hình trên bộ điều khiển miền đơn mà không quan tâm đến số lượng miền trong một forest.

Tôi nói cho bạn điều này vì muốn nhắc về những gì sẽ xảy ra nếu một bộ điều khiển miền đang cấu hình FSMO role bị lỗi. Nếu bộ điều khiển miền gồm có các FSMO role mức forest bị lỗi thì bạn cần phải chú ý làm rạch ròi vấn đề. Không phải tất cả FSMO role đều có vai trò quan trọng đối với hoạt động của mạng mà chỉ có bộ điều khiển miền cấu hình FSMO role mức forest mới thường xuyên cấu hình các dịch vụ DNS - dịch vụ được xem là rất quan trọng đối với Active Directory. Nếu dịch vụ DNS được cấu hình trên một máy chủ riêng biệt và các miền bên trong mỗi forest có nhiều hơn một bộ điều khiển miền thì có thể sẽ không cần lưu ý đến lỗi (trừ khi bạn có phần mềm kiểm tra để cảnh báo đã bị lỗi)

Bình thương sẽ không có hậu quả ngay lập tức xảy ra đối với một FSMO role lỗi, nhưng một số triệu chứng lạ sẽ phát triển sau đó nếu vấn đề vẫn không được sửa. Trong trường hợp này, việc biết được các dấu hiệu của một FSMO role bị lỗi là rất quan trọng. Và cũng quan trọng đối với bạn đó là làm thế nào để xác định được máy chủ nào đang cấu hình mỗi FSMO role. Bằng cách đó, nếu các triệu chứng hợp với một lỗi FSMO role xuất hiện thì bạn có thể kiểm tra xem máy chủ đang cấu hình FSMO role có phải bị lỗi hay không và sau đó có thể xử lý sự cố cho máy chủ đó.

Schema Master

Active Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống như cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory không phải giản đồ tĩnh. Có một số hoạt động cần thiết mở rộng giản đồ. Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.

Schema Master là một thành phần rất quan trọng của các FSMO role, vì vậy Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào đang cấu hình Schema Master role thì bạn phải đưa đĩa CD cài Windows Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386. Khi thực hiện điều đó, Windows sẽ khởi chạy Administration Tools Pack Setup Wizard. Theo cửa sổ wizard để cài đặt gói các công cụ quản trị.

Khi quá trình cài đặt được hoàn tất, bạn đóng Setup wizard và mở Microsoft Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh RUN. Khi cửa sổ được mở, chọn Add/Remove từ menu File. Sau khi chọn xong, cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove. Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô đun. Chọn mô đun Active Directory Schema trong danh sách và kích vào nút Add, sau đó nhấn Close và nút OK.

Bây giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ xuất hiện, hộp thoại này thông báo cho bạn biết rằng máy chủ nào đang cấu hình với tư cách là Schema Master của forest.

Domain Naming Master

Như tôi đã giải thích, một rừng Active Directory có thể gồm nhiều miền. Việc kiểm tra các miền này là công việc của Domain Naming Master. Nếu Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho tới khi Domain Naming Master quay trở lại trực tuyến.

Để xác định máy chủ nào đang hoạt động như Domain Naming Master cho một forest, mở Active Directory Domains and Trusts, khi cửa sổ này được mở, kích chuột phải vào Active Directory Domains and Trusts và chọn Operations Masters. Sau khi chọn xong, Windows sẽ hiển thị Domain Naming master.

Relative Identifier (Bộ nhận dạng quan hệ)

Active Directory cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống nhau, Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ cho mỗi một điều khiển miền. Khi một đối tượng mới được tạo trong một miền, bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng. Khi một nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy, triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn bất lực trong việc tạo các đối tượng trong Active Directory.

Để xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một miền, hãy mở Active Directory Users and Computers. Khi cửa số này được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuộc tính của Operations Masters. Trong cửa sổ này bạn có thể chọn bộ điều khiển miền nào đang thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab RID của trang thuộc tính.

Primary Domain Controller Emulator

Xuyên suốt loạt các bài viết này, tôi đã nói về role mà Primary Domain Controller (PDC) hoạt động trong môi trường Windows NT. Role của PDC emulator được tạo để cho phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ điều khiển miền Windows NT. Ý tưởng cơ bản ở đây là khi một tổ chức đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003 thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang chạy Windows NT.

Role của PDC emulator ngày nay càng không liên quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server. Nếu bạn cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC Emulator dù cho bạn có thể thực hiện điều đó bằng cách mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào miền hiện hành và chọn Operations Masters. Windows sẽ hiển thị trang thuột tính của Operations Masters. Bạn có thể xác định bộ điều khiển miền nào đang hành động như PDC Emulator bằng cách quan sát tại tab PDC của trang thuộc tính.

Infrastructure Master

Trong môi trường Active Directory, một forest có thể gồm nhiều miền. Tất nhiên ngụ ý của nó là các miền Active Directory không hoàn toàn mà các thực thể độc lập mà chúng đôi khi phải truyền thông với phần còn lại của forest. Đây chính là nơi mà Infrastructure Master diễn ra. Khi bạn tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại của forest không biết đến sự thay đổi này. Đây chính là công việc của Infrastructure Master, làm thế nào để cho phần còn lại của forest biết được có sự thay đổi.

Nếu máy chủ Infrastructure Master bị lỗi thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các miền khác trong forest.

Để xác định máy chủ nào đang thực hiện với tư cách Infrastructure Master cho một miền, mở Active Directory Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào danh sách miền hiện hành và chọn Operations Masters, Windows sẽ hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định được bộ điều khiển miền nào đang thực hiện với tư cách Operations Master bằng cách nhìn vào tab Infrastructure của trang thuộc tính.

theo internet

Tiện thể bạn cho mình hỏi chút: Mình hiện nay có 3 con server đang chạy active directory để quản lý user truy cập dịch vụ file sharing trên nền windows 2000. Giờ mình muốn nâng cấp 1 con lên windows 2003 thì phải làm những thao tác gì để có thể vẫn giữ nguyên config như cũ (username&password,domain info,...). Server mà mình muốn nâng cấp không phải là con chạy domain controller

bạn cứ làm bình thường DCPromo con 2003 joint vào mạng làm member server theo kiểu addition domain controller là ok thôi

Bài của bác Tahomam hay thật đấy. E cũng đang mắc phải vấn đề này nên khi đọc bài của bác E thấy thấm thía hơn.

Bác Tahomam cho E hỏi chút nhé: Sau khi E Join Additional vào DC thì xảy ra hiện tượng báo lỗi như sau: Windows can not create the Object test because
The Directory service was unable to allocate a rellative identifier
Bác xem chỉ giùm E với

Verify that Active Directory objects that are related to RID allocation are valid
To verify that the Active Directory objects that are related to RID allocation are valid, follow these steps:1. Verify that the Everyone group has the Access this computer from the network user right. The setting can be configured in the following location in the Group Policy Object Editor: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment.
2. Install the Windows 2000 Support Tools. These tools are available in the support folder on the Windows 2000 and the Windows Server 2003 CD-ROMs. When you have installed these tools, start ADSI Edit. To do this, follow these steps:a. Click Start, click Run, type mmc in the Open box, and then click OK.
b. In Windows 2000, click Console, and then click Add/Remove Snap-in. In Windows Server 2003, click File, and then click Add/Remove Snap-in.
c. In the Add/Remove snap-in, click Add, click ADSIEdit, and then click Add.
d. Click Close, and then click OK.

3. In MMC, right-click ADSIEdit, and then click Connect to.
4. In Connections Settings, under Connection Point, click Select a well known naming context. In the drop-down list, click domain, and then click OK.
5. Expand domain, and then expand the distinguished name of the domain. For example, expand DC=contoso, DC=com.
6. Expand OU=Domain Controllers.
7. Right-click the domain controller that you want to check, and then click Properties.
8. Click the Select a property to view menu, and then click userAccountControl.
9. Verify that the value for userAccountControl is 532480. To change the userAccountControl value, click Edit on the domain controller property dialog box.
10. In the Integer Attribute Editor, type 532480 in the Value field, and then click OK.

Verify that the RID Master is replicating with another domain controller
If a newly promoted domain controller generates Event 16650, the domain controller may have obtained replication information from another domain controller that is not the RID Master. During promotion, the computer account for the new domain controller is modified. If these changes have not replicated to the domain controller that holds the RID master role, the request will fail when the newly promoted domain controller tries to obtain a RID pool.
To verify that the RID Master is replicating with at least one of its direct partners, follow these steps:1. Verify that the CN=RID Set object exists.
The CN=RID Set object is in the right pane of ADSI Edit when the domain controller is selected under OU=Domain Controllers in the left pane.
If no CN=RID Set object exists, you must demote that domain controller and then promote it again to create the object.
2. If the CN=RID Set object exists, make sure that the rIDSetReferences attribute on the domain controller's computer account object points to the distinguished name of the RID Set object, as shown in the following example:
CN=RID Set, CN=DC01,OU=Domain Controllers,CN=contoso,DC=local
If the rIDSetReferences attribute does not point to the distinguished name of the RID Set object, contact Microsoft Product Support Services for more information.