實戰操作主機角色轉移
上篇博文中我們介紹了操作主機在Active Directory中的用途,今天我們通過一個實例爲大家介紹如何實現操作主機角色的轉移,這樣如果Active Directory中操作主機角色出現了問題,我們就可以用今天介紹的知識來進行故障排除。
我們首先要明確一個重要原則,那就是操作主機角色有且只能有一個!如果操作主機角色工作在林級別,例如架構主機和域命名主機,那在一個域林內只能有一個架構主機和域命名主機。如果操作主機角色工作在域級別,例如PDC主機,結構主機和RID主機,那就意味着一個域內只能有一個這樣的操作主機角色。
我們的實驗拓撲如下圖所示,Adtest.com域內有兩個域控制器,Florence和Firenze。Florence是域內的第一個域控制器,目前所有的操作主機角色都在Florence上,我們通過實驗來介紹如何在Florence和Firenze間切換操作主機角色。
其實當我們用Dcpromo卸載域控制器上的Active Directory時,這個域控制器會自動把自己所承擔的操作主機角色轉移給自己的複製夥伴,這個過程完全不需要管理員的干預。但如果我們希望指定一個域控制器來負責操作主機角色,我們就需要手工操作了。我們首先爲大家介紹如何用MMC控制檯把五個操作主機角色從Florence轉移到Firenze上。
一 從Florence轉移到Firenze
在Florence上打開Active Directory用戶和計算機,如下圖所示,右鍵點擊域名,在菜單中選擇“操作主機”。
如下圖所示,我們發現可以轉移三個操作主機角色,分別是PDC主機,RID主機和結構主機,但奇怪的是,我們希望把操作主機角色從Florence轉移到Firenze,但爲何工具中顯示的是我們只能把操作主機角色從Florence轉移到Florence呢?
上述問題很容易解釋,如果我們希望把Firenze作爲操作主機角色轉移的目標,那我們就需要把域控制器的焦點首先指向Firenze。從下圖所示,在Active Directory用戶和計算機中右鍵單擊adtest.com,選擇“連接到域控制器”,從域控制器列表中選擇Firenze即可。
我們把域控制器的焦點指向Firenze後,接下來就發現可以把操作主機角色從Florence轉移到Firenze了,如下圖所示,我們點擊“更改”,準備把RID主機角色從Florence轉移到Firenze。系統彈出窗口詢問是否確定進行操作主機角色的轉移,我們選擇“是”。
通過上述過程,我們可以非常輕鬆地把RID主機角色從Florence轉移到Firenze,如下圖所示,操作主機角色的轉移已經成功。用同樣的方法,我們可以很輕鬆地把PDC和結構主機也轉移到Firenze上。
轉移了RID主機,PDC主機和結構主機後,我們來嘗試一下域命名主機。在Florence上打開Active Directory域和信任關係,注意先把域控制器的焦點指向Firenze,然後如下圖所示,右鍵單擊Active Directory域和信任關係,從菜單中選擇“操作主機”。
如下圖所示,我們點擊“更改”把域命名主機角色從Florence轉移到Firenze,整個過程實現起來非常簡單。
如下圖所示,域命名主機角色已經轉移到Firenze上了。
最後我們要轉移的操作主機角色是架構主機,架構主機由於角色非常重要,微軟甚至沒有爲我們預設管理工具,因此我們首先要通過註冊動態鏈接庫來獲得轉移架構主機所需要的管理工具。如下圖所示,我們運行regsvr32 schmmgmt.dll,系統提示註冊動態鏈接庫成功。
註冊了動態鏈接庫後,我們運行MMC,在文件菜單中選擇“添加/刪除管理單元”,這時我們會發現可以添加一個名爲“Active Directory架構”的管理單元,這就是註冊了動態鏈接庫的作用。使用這個Active Directory架構管理單元,如下圖所示,選擇“操作主機”進行架構主機的轉移,同樣不要忘記在之前把域控制器焦點指向Firenze。
如下圖所示,點擊“更改”把架構主機角色轉移到Firenze上。
從下圖的結果來看,架構主機的轉移是成功的,至此,我們完成了五個操作主機角色的轉移。
二 從Firenze轉移到Florence
現在五個操作主機角色都集中在Firenze上,我們再爲大家介紹一種方法把操作主機角色完璧歸趙,還給Florence,這種方法就是使用我們非常熟悉的工具NTDSUTIL。如下圖所示,運行ntdsutil,然後輸入roles,準備進行操作主機角色的轉移。
如下圖所示,在Roles狀態下,我們首先要使用connections命令來連接到特定的域控制器,連接到哪個域控制器呢?應該連接到操作主機轉移的目標域控制器,在我們這個例子中應該是Florence,如圖所示,我們輸入命令connect to server Florence。
連接到Florence後,如下圖所示,我們用quit命令返回上級菜單,用?列出當前狀態下的所有可執行指令,我們發現轉移五個操作主機角色只需要簡單執行五條命令即可,這五條指令分別是:
Transfer domain naming master 轉移域命名主機
Transfer infrastructure master 轉移結構主機
Transfer PDC 轉移PDC主機
Transfer RID master 轉移RID主機
Transfer schema master 轉移架構主機
還有五條命令是強行把連接到的域控制器指定爲操作主機角色,這個很適合在操作主機離線時進行操作,如果我們不小心把操作主機所在的域控制器給格式化了,我們就可以利用這些指令強行把一個域控制器指定爲操作主機。這五條指令分別是:
Seize domain naming master 指定域命名主機
Seize infrastructure master 指定結構主機
Seize PDC 指定PDC主機
Seize RID master 指定RID主機
Seize schema master 指定架構主機
如下圖所示,我們執行轉移操作主機角色的五條指令,很輕鬆地把操作主機角色從Firenze又轉到了Florence上。
在本篇博文中,我們可以利用MMC和NTDSUITL進行操作主機角色的轉移,也可以在操作主機離線的情況下進行操作主機角色的指定,掌握了這些,基本上就可以應對工作中對操作主機的需求了。
本文出自 “嶽雷的微軟網絡課堂” 博客,請務必保留此出處http://yuelei.blog.51cto.com/202879/128193