實(shí)戰(zhàn)操作主機(jī)角色轉(zhuǎn)移

1、實(shí)戰(zhàn)操作主機(jī)角色轉(zhuǎn)移 上篇博文中我們介紹了操作主機(jī)在Active Directory中的用途，今天我們通過一個實(shí)例為大家介紹如何實(shí)現(xiàn)操作主機(jī)角色的轉(zhuǎn)移，這樣如果Active Directory中操作主機(jī)角色出現(xiàn)了問題，我們就可以用今天介紹的知識來進(jìn)行故障排除。 我們首先要明確一個重要原則，那就是操作主機(jī)角色有且只能有一個！如果操作主機(jī)角色工作在林級別，例如架構(gòu)主機(jī)和域命名主機(jī)，那在一個域林內(nèi)只能有一個架構(gòu)主機(jī)和域命名主機(jī)。如果操作主機(jī)角色工作在域級別，例如PDC主機(jī)，結(jié)構(gòu)主機(jī)和RID主機(jī)，那就意味著一個域內(nèi)只能有一個這樣的操作主機(jī)角色。 我們的實(shí)驗(yàn)拓?fù)淙缦聢D所示，A域內(nèi)有兩個域控制器，F(xiàn)lor

2、ence和Firenze。Florence是域內(nèi)的第一個域控制器，目前所有的操作主機(jī)角色都在Florence上，我們通過實(shí)驗(yàn)來介紹如何在Florence和Firenze間切換操作主機(jī)角色。 其實(shí)當(dāng)我們用Dcpromo卸載域控制器上的Active Directory時，這個域控制器會自動把自己所承擔(dān)的操作主機(jī)角色轉(zhuǎn)移給自己的復(fù)制伙伴，這個過程完全不需要管理員的干預(yù)。但如果我們希望指定一個域控制器來負(fù)責(zé)操作主機(jī)角色，我們就需要手工操作了。我們首先為大家介紹如何用MMC控制臺把五個操作主機(jī)角色從Florence轉(zhuǎn)移到Firenze上。一 從Florence轉(zhuǎn)移到Firenze 在Florence上打

3、開Active Directory用戶和計算機(jī)，如下圖所示，右鍵點(diǎn)擊域名，在菜單中選擇“操作主機(jī)”。如下圖所示，我們發(fā)現(xiàn)可以轉(zhuǎn)移三個操作主機(jī)角色，分別是PDC主機(jī)，RID主機(jī)和結(jié)構(gòu)主機(jī)，但奇怪的是，我們希望把操作主機(jī)角色從Florence轉(zhuǎn)移到Firenze，但為何工具中顯示的是我們只能把操作主機(jī)角色從Florence轉(zhuǎn)移到Florence呢？上述問題很容易解釋，如果我們希望把Firenze作為操作主機(jī)角色轉(zhuǎn)移的目標(biāo)，那我們就需要把域控制器的焦點(diǎn)首先指向Firenze。從下圖所示，在Active Directory用戶和計算機(jī)中右鍵單擊，選擇“連接到域控制器”，從域控制器列表中選擇Firenz

4、e即可。我們把域控制器的焦點(diǎn)指向Firenze后，接下來就發(fā)現(xiàn)可以把操作主機(jī)角色從Florence轉(zhuǎn)移到Firenze了，如下圖所示，我們點(diǎn)擊“更改”，準(zhǔn)備把RID主機(jī)角色從Florence轉(zhuǎn)移到Firenze。系統(tǒng)彈出窗口詢問是否確定進(jìn)行操作主機(jī)角色的轉(zhuǎn)移，我們選擇“是”。通過上述過程，我們可以非常輕松地把RID主機(jī)角色從Florence轉(zhuǎn)移到Firenze，如下圖所示，操作主機(jī)角色的轉(zhuǎn)移已經(jīng)成功。用同樣的方法，我們可以很輕松地把PDC和結(jié)構(gòu)主機(jī)也轉(zhuǎn)移到Firenze上。轉(zhuǎn)移了RID主機(jī)，PDC主機(jī)和結(jié)構(gòu)主機(jī)后，我們來嘗試一下域命名主機(jī)。在Florence上打開Active Director

5、y域和信任關(guān)系，注意先把域控制器的焦點(diǎn)指向Firenze，然后如下圖所示，右鍵單擊Active Directory域和信任關(guān)系，從菜單中選擇“操作主機(jī)”。如下圖所示，我們點(diǎn)擊“更改”把域命名主機(jī)角色從Florence轉(zhuǎn)移到Firenze，整個過程實(shí)現(xiàn)起來非常簡單。如下圖所示，域命名主機(jī)角色已經(jīng)轉(zhuǎn)移到Firenze上了。 最后我們要轉(zhuǎn)移的操作主機(jī)角色是架構(gòu)主機(jī)，架構(gòu)主機(jī)由于角色非常重要，微軟甚至沒有為我們預(yù)設(shè)管理工具，因此我們首先要通過注冊動態(tài)鏈接庫來獲得轉(zhuǎn)移架構(gòu)主機(jī)所需要的管理工具。如下圖所示，我們運(yùn)行regsvr32 schmmgmt.dll，系統(tǒng)提示注冊動態(tài)鏈接庫成功。注冊了動態(tài)鏈接庫后，

6、我們運(yùn)行MMC，在文件菜單中選擇“添加/刪除管理單元”，這時我們會發(fā)現(xiàn)可以添加一個名為“Active Directory架構(gòu)”的管理單元，這就是注冊了動態(tài)鏈接庫的作用。使用這個Active Directory架構(gòu)管理單元，如下圖所示，選擇“操作主機(jī)”進(jìn)行架構(gòu)主機(jī)的轉(zhuǎn)移，同樣不要忘記在之前把域控制器焦點(diǎn)指向Firenze。如下圖所示，點(diǎn)擊“更改”把架構(gòu)主機(jī)角色轉(zhuǎn)移到Firenze上。 從下圖的結(jié)果來看，架構(gòu)主機(jī)的轉(zhuǎn)移是成功的，至此，我們完成了五個操作主機(jī)角色的轉(zhuǎn)移。 二 從Firenze轉(zhuǎn)移到Florence現(xiàn)在五個操作主機(jī)角色都集中在Firenze上，我們再為大家介紹一種方法把操作主機(jī)角色完璧

7、歸趙，還給Florence，這種方法就是使用我們非常熟悉的工具NTDSUTIL。如下圖所示，運(yùn)行ntdsutil，然后輸入roles，準(zhǔn)備進(jìn)行操作主機(jī)角色的轉(zhuǎn)移。 如下圖所示，在Roles狀態(tài)下，我們首先要使用connections命令來連接到特定的域控制器，連接到哪個域控制器呢？應(yīng)該連接到操作主機(jī)轉(zhuǎn)移的目標(biāo)域控制器，在我們這個例子中應(yīng)該是Florence，如圖所示，我們輸入命令connect to server Florence。連接到Florence后，如下圖所示，我們用quit命令返回上級菜單，用？列出當(dāng)前狀態(tài)下的所有可執(zhí)行指令，我們發(fā)現(xiàn)轉(zhuǎn)移五個操作主機(jī)角色只需要簡單執(zhí)行五條命令即可，這

8、五條指令分別是：Transfer domain naming master 轉(zhuǎn)移域命名主機(jī)Transfer infrastructure master 轉(zhuǎn)移結(jié)構(gòu)主機(jī)Transfer PDC 轉(zhuǎn)移PDC主機(jī)Transfer RID master 轉(zhuǎn)移RID主機(jī)Transfer schema master 轉(zhuǎn)移架構(gòu)主機(jī)還有五條命令是強(qiáng)行把連接到的域控制器指定為操作主機(jī)角色，這個很適合在操作主機(jī)離線時進(jìn)行操作，如果我們不小心把操作主機(jī)所在的域控制器給格式化了，我們就可以利用這些指令強(qiáng)行把一個域控制器指定為操作主機(jī)。這五條指令分別是：Seize domain naming master 指定域命名主機(jī)Seize infrastructure master 指定結(jié)構(gòu)主機(jī)Seize PDC 指定PDC主機(jī)Seize RID master 指定RID主機(jī)Seize schema master 指定架構(gòu)主機(jī) 如下圖所示，我們執(zhí)行轉(zhuǎn)移操作主機(jī)