一.
其實,對於windows 2003,並沒有“傳統”的主域控制器和額外域控制器的區別。
如果說有區別的話,那就是第一臺域控制器上擁有FSMO.
其實,對於windows 2003,並沒有“傳統”的主域控制器和額外域控制器的區別。
如果說有區別的話,那就是第一臺域控制器上擁有FSMO.
二.
什麼是FSMO?
FSMO的英文全稱爲Flexible Single Master Operations.
這些角色包括:
★架構主機 (Schema master) - 架構主機角色是林範圍的角色,每個林一個。此角色用於擴展 Active Directory 林的架構或運行 adprep /domainprep 命令。
★域命名主機 (Domain naming master) - 域命名主機角色是林範圍的角色,每個林一個。此角色用於向林中添加或從林中刪除域或應用程序分區。
★RID 主機 (RID master) - RID 主機角色是域範圍的角色,每個域一個。此角色用於分配 RID 池,以便新的或現有的域控制器能夠創建用戶帳戶、計算機帳戶或安全組。
★PDC 模擬器 (PDC emulator) - PDC 模擬器角色是域範圍的角色,每個域一個。將數據庫更新發送到 Windows NT 備份域控制器的域控制器需要具備這個角色。此外,擁有此角色的域控制器也是某些管理工具的目標,它還可以更新用戶帳戶密碼和計算機帳戶密碼。
★結構主機 (Infrastructure master) - 結構主機角色是域範圍的角色,每個域一個。此角色供域控制器使用,用於成功運行 adprep /forestprep 命令,以及更新跨域引用的對象的 SID 屬性和可分辨名稱屬性。
Active Directory 安裝嚮導 (Dcpromo.exe) 將這五種 FSMO 角色全部分配給林根域中的第一臺域控制器.
什麼是FSMO?
FSMO的英文全稱爲Flexible Single Master Operations.
這些角色包括:
★架構主機 (Schema master) - 架構主機角色是林範圍的角色,每個林一個。此角色用於擴展 Active Directory 林的架構或運行 adprep /domainprep 命令。
★域命名主機 (Domain naming master) - 域命名主機角色是林範圍的角色,每個林一個。此角色用於向林中添加或從林中刪除域或應用程序分區。
★RID 主機 (RID master) - RID 主機角色是域範圍的角色,每個域一個。此角色用於分配 RID 池,以便新的或現有的域控制器能夠創建用戶帳戶、計算機帳戶或安全組。
★PDC 模擬器 (PDC emulator) - PDC 模擬器角色是域範圍的角色,每個域一個。將數據庫更新發送到 Windows NT 備份域控制器的域控制器需要具備這個角色。此外,擁有此角色的域控制器也是某些管理工具的目標,它還可以更新用戶帳戶密碼和計算機帳戶密碼。
★結構主機 (Infrastructure master) - 結構主機角色是域範圍的角色,每個域一個。此角色供域控制器使用,用於成功運行 adprep /forestprep 命令,以及更新跨域引用的對象的 SID 屬性和可分辨名稱屬性。
Active Directory 安裝嚮導 (Dcpromo.exe) 將這五種 FSMO 角色全部分配給林根域中的第一臺域控制器.
三.
現在我們要做的事情就是:
將FSMO角色轉移到另一臺域控制器上.
使用的工具是:ntdsutil.exe(在命令行直接運行).
關於ntdsutil.exe的使用可以參考微軟的相應文檔.
1.使用 Ntdsutil.exe 捕獲 FSMO 角色或將其轉移到域控制器
[url]http://support.microsoft.com/kb/255504/zh-cn[/url]
現在我們要做的事情就是:
將FSMO角色轉移到另一臺域控制器上.
使用的工具是:ntdsutil.exe(在命令行直接運行).
關於ntdsutil.exe的使用可以參考微軟的相應文檔.
1.使用 Ntdsutil.exe 捕獲 FSMO 角色或將其轉移到域控制器
[url]http://support.microsoft.com/kb/255504/zh-cn[/url]
2.域控制器降級失敗後如何刪除 Active Directory 中的數據
[url]http://support.microsoft.com/kb/216498/[/url]
[url]http://support.microsoft.com/kb/216498/[/url]
3.域控制器降級失敗後如何刪除 Active Directory 中的數據(這個文檔是針對win 2K的,對於windows 2003,參考價值仍有)
[url]http://support.microsoft.com/kb/216498/zh-cn[/url]
[url]http://support.microsoft.com/kb/216498/zh-cn[/url]
四.
基本步驟如下:
1.清除AD中的數據,(命令是可以簡化的,比如connect to server servername可以寫作con to ser,我這裏寫的是全名)
命令提示符鍵入ntdsutil,
metadata cleanup,
connections,
connect to server servername,
quit,
select operation target,
list domains,
select domain number,(比如select domain 0,下同)
list sites,
select site number,
list servers in site,
select server number,
quit,
remove selected server,
quit.
基本步驟如下:
1.清除AD中的數據,(命令是可以簡化的,比如connect to server servername可以寫作con to ser,我這裏寫的是全名)
命令提示符鍵入ntdsutil,
metadata cleanup,
connections,
connect to server servername,
quit,
select operation target,
list domains,
select domain number,(比如select domain 0,下同)
list sites,
select site number,
list servers in site,
select server number,
quit,
remove selected server,
quit.
2.清理DC帳戶
需要運行adsiedit.msc.這個工具是要安裝的.
安裝ADSIedit.msc工具:運行windows 2003光盤\SUPPORT\TOOLS\ suptools.msi,工具將安裝在C:\Program Files\Support Tools文件夾下.
需要運行adsiedit.msc.這個工具是要安裝的.
安裝ADSIedit.msc工具:運行windows 2003光盤\SUPPORT\TOOLS\ suptools.msi,工具將安裝在C:\Program Files\Support Tools文件夾下.
3.在額外域控制器上通過ntdsutil.exe工具執行奪取五種FSMO操作,核心命令是:
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
[注:Seize是在原FSMO不在線時的操作,如果原FSMO在線,需要使用轉移(Transfer)操作]
Seize domain naming master
Seize infrastructure master
Seize PDC
Seize RID master
Seize schema master
[注:Seize是在原FSMO不在線時的操作,如果原FSMO在線,需要使用轉移(Transfer)操作]
4.可能還需要清理DNS和設置全局編錄(GC),這個難度不大,不再多述.
至此,FSMO開始在另一臺域控制器上正常工作.
exchange等服務也恢復正常.
exchange等服務也恢復正常.