AD域的迁移
主域控制器的迁移
现有环境:一台主域控制器(含AD和数据库及其WEB程序);有一台备份域控制器;一台新的服务器6850。
目的:将主域控制器迁移到新的服务器6850上
步骤:1.首先将6850作为备份域控制器
2. SERVER1的所有信息从活动目录里面删除
3.把FSMO角色强行夺取过来
4.设置全局编录
具体操作:
(1)运行dcpromo命令
(3)弹出Active Directory安装向导,点“下一步”
(4)这里以默认,点“下一步”
(5)选“现有域的额外域控制器”,点“下一步”
随后--输入管理员及密码--还原模式密码--最后一步配置(没有截图了)
加入过程中可能会碰到问题,如果有的话
参考https://www.360docs.net/doc/42150112.html,/archiver/tid-151189.html
https://www.360docs.net/doc/42150112.html,/t/20030910/10/2243270.html#
然后到google上去查找!
运行ntdsutil
Metadata cleanup ----清理不使用的服务器的对象
Select operation target
Connet to domain https://www.360docs.net/doc/42150112.html,
Quit
List sites
List domains in site--显示一下Site中的域
Select domain 0
List servers for domain in site—找到2台服务器
Select server 0--删除0号已经坏掉的服务器
Quit—退到上一层菜单
Remove selected server—删除服务器对象
使用ADSI EDIT工具删除Active Directory users and computers中的Domain
controllers中欲删除的服务器对象
在AD站点和服务中删除没用的服务器对象
把复制连接也删除
把FSMO角色强行夺取过来用到“Ntdsutil”
这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize”
在站点和服务中设置全局编录
打个勾就可以了
最后到客户端去修改一下DNS服务器的位置,就可以发现客户端又可以正常登陆
了。所有的域资源又可以正常使用。
注意以下几点:
1、在单域控环境中,请尽量的多备份,以保证备份有效性,最好几种备份类型结合使用。
2、在多域控环境中,如果用Seize,那么那台坏掉的服务器在重装系统以前请不要回到网络中来,哪怕是已经修好了,也一定要重新安装操作系统,为什么?因为FSMO 角色具有唯一性,如果此时回到网络中,那就会出现FSMO角色重复的现象。
3、在多域控环境中,那台坏域控修复后,重装系统,请尽量不要再使用原来的计算机名,以防止产生一些莫名其妙的问题,就让那台服务器在网络里永远消失吧!
----forever
域控服务器迁移步骤(精)
域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
AD五大角色转移及GC移转说明
AD五大角色轉移及GC移轉說明 在樹系中,至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。這五種 FSMO 角色如下: * 架構主機:架構主機網域控制站會控制對架構所做的所有更新及修改。如果要更新樹系的架構,必須具有架構主機的存取權限。整個樹系中只能有一個架構主機。 * 網域命名主機:網域命名主機網域控制站會控制在樹系中新增或移除網域。整個樹系中只能有一個網域命名主機。 * 基礎結構主機:基礎結構負責更新自己網域中物件對其他網域中物件的參考。在任何時候,每個網域中只能有一個網域控制站做為基礎結構主機。 * 相對 ID (RID) 主機:RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。在任何時候,每個網域中只能有一個網域控制站做為 RID 主機。 * PDC 模擬器:PDC模擬器是一個網域控制站,它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。例如,如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦,或者如果其中包含 Microsoft Windows NT 備份網域控制站,PDC 模擬器主機就會成為 Windows NT PDC。它也是網域主機瀏覽器 (Domain Master Browser),而且會處理密碼不符的問題。在任何時候,樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。 可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。根據您要轉移的 FSMO 角色而定,可以使用下列三種 MMC 嵌入式工具之一:Active Directory 架構嵌入式管理單元 Active Directory 網域及信任嵌入式管理單元 Active Directory 使用者和電腦嵌入式管理單元 如果電腦不再存在,就必須取回角色。如果要取回角色,需使用 Ntdsutil.exe 公用程式。
如何迁移域控制器+FSMO+5个角色和GC
如何迁移域控制器FSMO 5个角色和GC 2009-04-07 17:27:02 标签:2003windows server 要使用 Ntdsutil 实用工具转移 FSMO 角色,请按照下列步骤操作: 1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器,或登录到转移 FSMO 角色时所在林中的域控制器。我们建议您登录到要为其分配 FSMO 角色的域控制器。登录用户应该是企业管理员组的成员,才能转移架构主机角色或域命名主机角色,或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。 2. 单击“开始”,单击“运行”,在“打开”框中键入 ntdsutil,然后单击“确定”。 3. 键入 roles,然后按 Enter。 注意:要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表,请键入 ?,然后按Enter。 4. 键入 connections,然后按 Enter。 5. 键入 connect to server servername,然后按 Enter,其中 servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处,键入 q,然后按 Enter。 7. 键入 transfer role,其中 role 是要转移的角色。要查看可转移角色的列表,请在“fsmo maintenance”提示符处键入 ?,然后按 Enter,或者查看本文开头的角色列表。例如,要转移 RID 主机角色,键入 transfer rid master。PDC 模拟器角色的转移是一个例外,其语法是 transfer pdc 而非 transfer pdc emulator。 8. 在“fsmo maintenance”提示符处,键入 q,然后按 Enter,以进入“ntdsutil”提示符。键入 q,然后按 Enter,退出 Ntdsutil 实用工具。
如何查看和转移 Windows Server 2003 中的 FSMO 角色
如何查看和转移Windows Server 2003 中的FSMO 角色 本文介绍了如何通过使用Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色(也称作操作主机角色)。 FSMO 角色 在目录林中,有至少五个分配给一个或多个域控制器的FSMO 角色。这五个FSMO 角色是:?架构主机:架构主机域控制器控制对架构的所有更新和修改。若要更新目录林的架构,您必须有权访问架构主机。在整个目录林中只能有一个架构主机。 ?域命名主机:域命名主机域控制器控制目录林中域的添加或删除。在整个目录林中只能有一个域命名主机。 ?结构主机:结构主机负责将参考从其域中的对象更新到其他域中的对象。任何时刻,在每一域中只能有一个域控制器充当结构主机。 ?相对ID (RID) 主机:RID 主机负责处理来自特定域中所有域控制器的RID 池请求。任何时刻,在域中只能有一个域控制器充当RID 主机。 ?PDC 模拟器:PDC 模拟器是一种域控制器,它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。例如,如果该域包含未运 行Microsoft Windows XP Professional 或Microsoft Windows 2000 客户端软件的计算 机,或者如果包含Microsoft Windows NT 备份域控制器,则PDC 模拟器主机充当 Windows NT PDC。它还是“域主浏览器”并负责处理密码差异。任何时刻,在目录林的每 个域中只能有一个域控制器充当PDC 模拟器主机。 您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。根据您要转移的FSMO 角色,可以使用以下三个MMC 管理单元工具之一: “Active Directory 架构”管理单元 “Active Directory 域和信任关系”管理单元 “Active Directory 用户和计算机”管理单元 如果某一计算机已不存在,则必须取回其角色。若要取回角色,请使用Ntdsutil.exe 实用工具。 转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。 注册Schmmgmt.dll
域控主机迁移总结
域控主机迁移总结文档编制序号:[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]
本文目录 经历过一次域控主迁移,悲剧的域控主机down掉。今天写一写,以后备用。 前提条件:一台域控主机A,一台备份域控主机B。 目的:将域控主机A迁移到域控主机B 步骤:1、将B作为备份域控主机 2、将A的所有信息从活动目录删除 3、把FSMO角色强行夺取过来 4、设置全局编录 具体步骤:1、运行dcpromo命令? 2、弹出Active Directory安装向导,点“下一步” 3、默认,“下一步” 4、选“现有域的额外域控制器”,点“下一步” 5、输入管理员及密码--还原模式密码--最后一步配置。 6、在域控主机A上运行ntdsutil
Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/42150112.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0 List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and compute rs中的Domain controllers中欲删除的服务器对象 在AD站点和服务中删除没用的服务器对象 把复制连接也删除 把FSMO角色强行夺取过来用到“Ntdsutil” 这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态,那么就要用Seize,如果处于联机状态,那么就要用Transfer。在这里由于SERVER已经离线了,所以要用“Seize” 在站点和服务中设置全局编录
AD FSMO 五种角色主机的作用与操作手册
AD FSMO 五种角色主机的作用 AD FSMO 五种角色主机的作用 (1) 森林级别 (1) 1、架构主机(Schema Master) (1) 2、域命名主机(Domain Naming Master) (2) 域级别 (2) 3、RID主机(RID Master) (2) 4、PDC模拟主机(PDC Emulator) (3) 5、基础结构主机(Infrastructure Master) (3) 性能优化考虑 (4) Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机schema master 2.域命名主机domain naming master 3.相对标识号(RID) 主机RID master 4.主域控制器模拟器(PDCE) 5.基础结构主机infrastructure master 森林级别 1、架构主机(Schema Master) 功能:控制活动目录内所有对象属性的定义 提示: Regsvr32 schmmgmt.dll Schema Admins组 故障影响:更新Schema受影响 短期内一般看不到影响 典型问题如:无法安装Exchange 故障处理:需确定原OM 为永久性脱机才可抓取确保目标DC为具有最新更新的DC
2、域命名主机(Domain Naming Master) 功能:控制森林内域的添加和删除 添加和删除对外部目录的交叉引用对象 提示:建议与GC配置在一起 Enterprise Admins组 故障影响:更改域结构受影响 短期内一般看不到影响 典型问题如:添加/删除域 故障处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC 域级别 3、RID主机(RID Master) 功能:管理域中对象相对标识符(RID)池 提示:对象安全标识符(SID)= 域安全标识符+ 相对标识符(RID)* 形如: S-1-5-21-1343024091-879983540-3 … 故障影响:无法获得新的RID池分配 典型问题如:无法新建(大量)用户帐号 故障处理:需确定原OM为永久性脱机才可抓取 确保目标DC为具有最新更新的DC
域控主机迁移总结修订稿
域控主机迁移总结 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】
本文目录 经历过一次域控主迁移,悲剧的域控主机down掉。今天写一写,以后备用。前提条件:一台域控主机A,一台备份域控主机B。 目的:将域控主机A迁移到域控主机B 步骤:1、将B作为备份域控主机 2、将A的所有信息从活动目录删除 3、把FSMO角色强行夺取过来 4、设置全局编录 具体步骤:1、运行dcpromo命令? 2、弹出Active Directory安装向导,点“下一步” 3、默认,“下一步” 4、选“现有域的额外域控制器”,点“下一步” 5、输入管理员及密码--还原模式密码--最后一步配置。 6、在域控主机A上运行ntdsutil Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/42150112.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0 List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象 在AD站点和服务中删除没用的服务器对象 把复制连接也删除 把FSMO角色强行夺取过来用到“Ntdsutil”
活动目录5种操作主机角色转移详解
如何将server 2008 R2作为server 2003域中的额外域控 ? 一、迁移前的准备 如果要将允许Windows Server 2008 R2的域控制器添加到Windows Server 2003的Active Directory环境中,首先需要更新Active Directory的架构,并且该更新需要在架构主机上进行操作,同时进行操作的域用户需要时Enterprise Admins、Schema Admins 和Domain Admins组的成员才可以。 1、更新林架构 在server A中插入Windows server 2008 R2 的安装光盘,导航到\support\adprep目录下,运行adprep32.exe /forestprep,在警告窗口中键入C,确认所有windows 2000域控制器都是sp4或更高版本,即开始自动更新目录林架构。 2、更新域架构 在相同目录下,运行adprep /domainprep,活动目录森令就为加入windows server 2008 R2域控制器做好了准备。
注意:如果当前域的功能级别非Windows 2000纯模式以上,将会出现如下提示:此时只要在Active Directory 域和信任关系中,将功能级别提升到Windows 2000纯模式即可。 3、更新AD对RODC只读域控制器的支持,adprep32.exe /rodcprep;
二、在林中加入Windows server 2008 R2的域控制器 1、安装AD DS角色 Windows server 2008 R2使用一个基于角色的模型。所以,要使用一个Windows 2008服务器成为一个域控制器,需要先添加Active Directory Domain services角色。 打开【服务器管理器】,选择【角色】节点,点击【添加角色】,选中【Active Directory域服务】,在弹出的向导中,点击【添加必需的功能】,添加.NET Framwork 3.5.1功能。 2、在server 2008的运行中输入“DCPROMO”,
转移DC角色步骤
一.使用图形化界面MMC 来转移域控角色 一.转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。注册Schmmgmt.dll 单击开始,然后单击运行。在打开框中,键入regsvr32 schmmgmt.dll,然后单击确定。收到操作成功的消息时,单击确定。 1. 依次单击开始和运行,在打开框中键入mmc,然后单击确定。 2. 在文件菜单上,单击“添加/删除管理单元”。 3. 单击添加。 4. 依次单击Active Directory 架构、添加、关闭和确定。 5. 在控制台树中,右键单击Active Directory 架构,然后单击更改域控制器。 6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。 7. 在控制台树中,右键单击Active Directory 架构,然后单击操作主机。 8. 单击更改。 9. 单击确定以确认您要转移该角色,然后单击关闭。 二.转移域命名主机角色 1. 单击开始,指向管理工具,然后单击“Active Directory域和信任关系”。 2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。 注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。 3. 执行下列操作之一:? 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。 - “或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。 4. 在控制台树中,右键单击“Active Direct ory 域和信任关系”,然后单击操作主机。 5. 单击更改。 6. 单击确定以确认您要转移该角色,然后单击关闭。 三.转移RID 主机角色、PDC 模拟器角色和结构主机角色 1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。 2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。 注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。 3. 执行下列操作之一:? 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。 “或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
转移域控角色的两种方式
转移域控角色的两种方式.txt每个女孩都曾是无泪的天使,当遇到自己喜欢的男孩时,便会流泪一一,于是坠落凡间变为女孩,所以,男孩一定不要辜负女孩,因为女孩为你放弃整个天堂。朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式 当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色,在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方式,5 大角色相信地球人都知道,HOHO. PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下:打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全 局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。 PS:部分步骤来源于网络,此文为综合以及描述注意点 一.使用图形化界面 MMC 来转移域控角色 一.转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。注册 Schmmgmt.dll 单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。 收到操作成功的消息时,单击确定。 1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。 2. 在文件菜单上,单击“添加/删除管理单元”。 3. 单击添加。 4. 依次单击 Active Directory 架构、添加、关闭和确定。 5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。 6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
主域控制损坏安装新域控制FSMO角色转移详细过程
主域控制损坏安装新域控制FSMO角色转移详细过程 [ 来源:| 作者:| 时间:2008-9-6 10:48:35 | 浏览:13 人次] FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作) 由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器. 这个过程的实施给写下来: 服务器操作软件资源站">下载">系统.2003Entprise Edition 客户端系统.XP pro 拓朴如下: 现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的. 购买了一台新的机器,放到这个网络来了,IP: 那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来. 操作过程如下新机器上操作) 检查跟DC的域名解释. 建立BDC 输入具有权限的用户,我用的是administrator,属于enterprise admins 现有DNS名称. 数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统. 输放还原模式密码,用于目录服务的还原. BDC建立成功. BDC重启. 接下来在BDC上建立DNS服务器,同步AD信息. 打开控制面版,winodws组件向导. BDC的DNS指向自己. 接着在运行输入dnsmgmt.msc
新建正向区域. 输入域名.允许动态更新. 重新加载DNS,目的是让区域生成SRV(资源指针记录). 用到命令如图,,或重新启动. 接下来可以指自己做为GC. 在运行里输放dssite.msc 用到的命令是命令符下,ntdsutil 具体命令作用,在这我不详述.后接命令,请用问号,有详细的中文说明. 以下图是用于建立连接. 转移用的是transfer命令 以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图) 这也问到重点了. 跟转移时用法一样,但这时DC是在线的. 如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize.... 这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的) 把如4个角色像刚才一样操作,那就5种角色转移成功.
域控制器的角色转移与抢占
域控制器的角色转移与抢占 一 今天我们通过一个实例为大家介绍如何实现操作主机角色的转移,这样如果Active Directory中操作主机角色出现了问题,我们就可以用今天介绍的知识来进行故障排除。 我们首先要明确一个重要原则,那就是操作主机角色有且只能有一个!如果操作主机角色工作在林级别,例如架构主机和域命名主机,那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别,例如PDC主机,结构主机和RID主机,那就意味着一个域内只能有一个这样的操作主机角色。 我们的犯罪现场很简单,https://www.360docs.net/doc/42150112.html,域里有2台08R2,https://www.360docs.net/doc/42150112.html,是域内的第一台DC,fileserver是第二台DC,目前所有的角色都在dc上面,我们通过实验来重现角色的转移! 其实当我们用Dcpromo卸载域控制器上的Active Directory时,这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴,这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色,我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。 拓扑 犯罪过程: 一,从DC转移到fileserver上 1,打开cmd,输入:netdom query fsmo,列出当前角色所在的位置,从图中可以看出。五个角色都在DC上! 2,然后我们运行,dsa.msc,打开用户和计算机,选择“查看”--“高级功能”
3,然后选择“操作”---操作主机,如图 4,右键选择Fileserver域控制器,因为我们要把现在连接的DC上的角色转移到Fileserver。所以在DC上首先连接到Fileserver,如图,细心的同学就会看到。https://www.360docs.net/doc/42150112.html,后面的状态为“不可用”,这是因为他不能本身转给本身,所以这样显示! 5,我们发现可以转移三个操作主机角色,分别是PDC主机,RID主机和结构主机,分别选择主机类型然后更改,如图
AD中FSMO五大角色的介绍及操作(转移与抓取)
AD中FSMO五大角色的介绍及操作(转移与抓取) FSMO是Flexible single master operation的缩写,意思就是灵活单主机操作。营运主机(Operation Masters,又称为Flexible Single Master Operation,即FSMO)是被设置 为担任提供特定角色信息的网域控制站,在每一个活动目录网域中,至少会存在三种营运主机的角色。但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.而且这些角色都 是唯一的。 五大角色: 1、森林级别(一个森林只存在一台DC有这个角色): (1)、Schema Master(也叫Schema Owner):架构主控 (2)、Domain Naming Master:域命名主控 2、域级别(一个域里面只存一台DC有这个角色): (1)、PDC Emulator :PDC仿真器 (2)、RID Master :RID主控 (3)、Infrastructure Master :结构主控 对于查询FSMO主机的方式有很多,本人一般在命令行下,用netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools. 五种角色主控有什么作用? 1、Schema Master(架构主控) 作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对象和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master,如果大家部署过Exchange的话,就会知道Schema是可以被扩展
ntdsutil夺取FSMO五种角色
公司https://www.360docs.net/doc/42150112.html,(虚拟)有一台主域控制器https://www.360docs.net/doc/42150112.html,,还有一台额外域控制器https://www.360docs.net/doc/42150112.html,。现主域控制器(https://www.360docs.net/doc/42150112.html,)由于硬件故障突然损坏,事先又没有https://www.360docs.net/doc/42150112.html,的系统状态备份,没办法通过备份修复主域控制器(https://www.360docs.net/doc/42150112.html,),我们怎么让额外域控制器(https://www.360docs.net/doc/42150112.html,)替代主域控制器,使Acitvie Directory继续正常运行,并在损坏的主域控制器硬件修理好之后,如何使损坏的主域控制器恢复。 如果你的第一台DC坏了,还有额外域控制器正常,需要在一台额外域控制器上夺取这五种FMSO,并需要把额外域控制器设置为GC。 ________________________________________ 三、从AD中清除主域控制器https://www.360docs.net/doc/42150112.html,对象 3.1在额外域控制器(https://www.360docs.net/doc/42150112.html,)上通过ntdsutil.exe 工具把主域控制器(https://www.360docs.net/doc/42150112.html,)从AD中删除; c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to domain https://www.360docs.net/doc/42150112.html, select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s) 0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configurat ion,DC=te st,DC=com
AD迁移之主机角色迁移(图形界面)
AD迁移之主机角色迁移(图形界面) 2013-10-25 00:17:27 发表评论 随着科技的日新月异,日子的一天一天过去了,老服务器终于到了退休的日子了 这意味着需要把旧服务器的数据迁移到新服务器,其中一个重要项目就迁移主机角色迁移之前需要先把新服务器提升为额外域控制器 https://www.360docs.net/doc/42150112.html,/405708/1120831 提升完,就要进行主机角色的迁移了! 关于五个角色的知识可以参考这里 https://www.360docs.net/doc/42150112.html,/405708/920885 环境: DC1:win08dc1 DC2: win08dc2 IP: 192.168.1.2 IP:192.168.1.3 子网掩码:255.255.255.0 子网掩码:255.255.255.0 网关: 192.168.1.1 网关:192.168.1.1 DNS: 192.168.1.2 DNS:192.168.1.3 192.168.1.3 192.168.1.2 首先打开使用netdom query fsmo命令查询一下主机的五个角色的所在 我们直接打开DC2中的AD用户和计算机,在域名上右击选择操作主机
这里可以看到有RID、PDC、基础架构主机三个角色,直接点击更改变 就可以简单的将角色从DC1迁移到DC2上面。 接着打开DC2的AD域和信任关系在AD域和信任关系上右键选择操作主机,而不是在域名上面 点击更改同样将域命名操作主机角色迁移到DC2上面 最后剩下架构主机了,由于架构主机重要特殊,并没有预先设置的工具 必须通过注册动态链接库来打开,在DC2运行regsvr32 schmmgmt.dll
ntdsutil脱机夺取FSMO 备份DC升级为主DC 备份域控制器升级为主域控制器
通过ntdsutil脱机夺取FSMO 备份DC升级为主DC 备份域控制器升级为主域控制器 2009-07-29 00:25 摘要 本文讲述了在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如何使额外域控制器接替它的工作,使Active Directory正常运行,并在硬件修理好之后,如何使损坏的主域控制器恢复。 --------------------------------------------------------------------------------一、Active Directory操作主机角色概述 Active Directory 定义了五种操作主机角色(又称FSMO): 架构主机 schema master、 域命名主机 domain naming master 相对标识号 (RID) 主机 RID master 主域控制器模拟器 (PDCE) 基础结构主机 infrastructure master 而每种操作主机角色负担不同的工作,具有不同的功能: 架构主机 具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的,整个目录林中只有一个架构主机。 域命名主机 具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC: 向目录林中添加新域。 从目录林中删除现有的域。 添加或删除描述外部目录的交叉引用对象。 相对标识号 (RID) 主机 此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体(例如用户、 组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。RID 主机通过分配不同的池来确保这 些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间移动所有对象。 域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号(RID)主机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机 PDCE 主域控制器模拟器提供以下主要功能:
【整理】使用 Ntdsutil转移 FSMO 角色
使用Ntdsutil转移FSMO 角色 要使用Ntdsutil转移FSMO 角色,请按照下列步骤操作: 1. 登录到要为其分配FSMO 角色的域控制器,登录用户应该是管理员 2. 单击“开始”,单击“运行”,在“打开”框中键入ntdsutil,然后单击“确定”。 3. 键入roles,然后按Enter。 4. 键入connections,然后按Enter。 5. 键入connect to server servername,然后按Enter,其中servername 是要赋予其FSMO 角色的域控制器的名称。 6. 在“server connections”提示符处,键入q,然后按Enter。 7. transfer RID master 转移RID 主机角色 transfer PDC 转移PDC 模拟器角色 transfer infrastructure master 转移结构主机角色 transfer domain naming master 转移域命名主机角色 transfer schema master 转移架构主机角色 8. 若是源主机不可用,使用以下命令。 seize RID master 占用RID 主机角色 seize PDC 占用PDC 模拟器角色 seize infrastructure master 占用结构主机角色 seize domain naming master 占用域命名主机角色 seize schema master 占用架构主机角色 可视化转移 1、打开“active directory 用户和计算机”“操作主机”可转移PDC主机、RID主机、结构主机 2、打开“active directory 域和信任关系”操作主机,可转移域命名主机 3、在命令行中输入:regsvr32 schmmgmt.dll 4、在命令窗口输入:mmc 在管理台中,点击[文件] --> [添加/删除管理单元] 5、在添加或删除管理单元中找到刚才注册的[Active Directory 架构] 单元,然后点[添加] 6、在架构单元上点右键,先要选择[更改Active Directory 域控制器] ,将管理的单元直接切换到另一个将要传送角色的额外DC上,之后再点击[操作主机]
ServerR部署域控、额外域控及FSMO角色转移和夺取
Server2012R2部署域控、额外域控及FSMO角色转移和夺取 网络环境: 2012R2+DHCP 操作系统:WindowsServer2012R2Standard 网卡信息:IP:192.168.100.1/24 2012R2+DHCP 操作系统:WindowsServer2012R2Standard 网卡信息:IP:192.168.100.2/24 DHCP配置如下: 网关:无 , 配置2台服务器为DHCP故障转移 一、主域的安装及配置 配置网卡信息,如下图 打开服务器管理器,点击添加角色和功能如下图 选择安装类型:基于角色或基于功能的安装,如下图 池中仅一台主机,保持默认(此图是在未更改主机名时截取的,更改后的截图找不到了,拿来顶替),如下图选择AD域服务并添加功能,如下图 功能不做添加,不选择直接下一步,跳转到添加ADDS域服务向导,如下图 确认安装所选内容,点击安装,如下图 正在安装域服务器,如下图 安装完毕,点击关闭,如下图 点击服务器管理器上方的小旗子查看提示内容,选择将此服务器提示为域控制器,如下图 因为这是此域中第一个域,选择添加新林并输入根域名信息,如下图 选择域控制器林和域功能级别并设置DSRM密码,如下图 出现DNS敬告,因为没有安装DNS,忽略,直接下一步,如下图 NETBIOS设置,保持默认,直接下一步,如下图 17指定ADDS数据库、日志文件和SYSVOL存放的位置,如下图 配置选项查看,可检查是否有问题,有问题点击上一步返回,否则直接下一步,如下图 AD域服务器部署前先决条件检查,检查通过后,点击安装,如下图 正在配置域服务,配置完成后会自动重启。如下图 重启后,登录AD服务器,配置DNS反向查找区域,没有反向查找区域时,nslookup解析会出现问题,如下图DNS反向查找区域配置向导,如下图 在区域类型中选择主要区域,如下图 设置传送作用域,如下图 设置反向查找IP类型,如下图 输入反向查找区域名称,如下图 指定反响查找更新类型,如下图 完成DNS反向查找区域建立,如下图 在DNS反向查找区域中查看记录,如下图 二、上面设置已经完成主域的部署,接下来,部署额外域控。 2012R2DC2网卡信息配置如下图
Server 2012 R2 部署域控、额外域控及FSMO角色转移和夺取
S e r v e r2012R2部署域控、额外域控及F S M O角色转移和夺取 网络环境: 2012R2+DHCP 操作系统:WindowsServer2012R2Standard 网卡信息:IP:192.168.100.1/24 2012R2+DHCP 操作系统:WindowsServer2012R2Standard 网卡信息:IP:192.168.100.2/24 DHCP配置如下: 网关:无 , 配置2台服务器为DHCP故障转移 一、主域的安装及配置 配置网卡信息,如下图 打开服务器管理器,点击添加角色和功能如下图 选择安装类型:基于角色或基于功能的安装,如下图 池中仅一台主机,保持默认(此图是在未更改主机名时截取的,更改后的截图找不到了,拿来顶替),如下图 选择AD域服务并添加功能,如下图 功能不做添加,不选择直接下一步,跳转到添加ADDS域服务向导,如下图 确认安装所选内容,点击安装,如下图 正在安装域服务器,如下图 安装完毕,点击关闭,如下图 点击服务器管理器上方的小旗子查看提示内容,选择将此服务器提示为域控制器,如下图 因为这是此域中第一个域,选择添加新林并输入根域名信息,如下图 选择域控制器林和域功能级别并设置DSRM密码,如下图 出现DNS敬告,因为没有安装DNS,忽略,直接下一步,如下图 NETBIOS设置,保持默认,直接下一步,如下图 17指定ADDS数据库、日志文件和SYSVOL存放的位置,如下图 配置选项查看,可检查是否有问题,有问题点击上一步返回,否则直接下一步,如下图 AD域服务器部署前先决条件检查,检查通过后,点击安装,如下图 正在配置域服务,配置完成后会自动重启。如下图 重启后,登录AD服务器,配置DNS反向查找区域,没有反向查找区域时,nslookup解析会出现问题,如下图 DNS反向查找区域配置向导,如下图 在区域类型中选择主要区域,如下图 设置传送作用域,如下图 设置反向查找IP类型,如下图 输入反向查找区域名称,如下图 指定反响查找更新类型,如下图 完成DNS反向查找区域建立,如下图 在DNS反向查找区域中查看记录,如下图
域控的转移和抢夺操作流程
Active Directory域控和额外域控之间的转移和抢占实验流程 本文档将模拟ZESING域主控域与额外域控角色之间的和转移和主域控主机因系统或者物理损坏无法开机,额外域控紧急抢占操作主机的实验流程 首先先模拟有两台域控,主域控为ZESINGAD01,额外域控为ZESINGAD02。系统都为Windows server 2008 R2 X64。 如图: 打开命令行,输入如下命令来查看: Dsquery server –hasfsmo rid 查看RID主机 Dsquery server –hasfsmopdc 查看PDC仿真主机角色 Dsquery server –hasfsmoinfr 查看基础结构主机
Dsquery server –hasfsmoname 查看域命名主机 Dsquery server –hasfsmoschema 查看构架主机 通过图中可看到ZESINGAD01为主域控,所有角色都在ZESINGAD01上。 PART I 现在演示把主域控ZESINGAD01转移操作主机角色到ZESINEAD02上首先转移RID主机角色 打开“Active Directory 用户和计算机”,在目录树窗格中,右键点击“Active Directory 用户和计算机”,点击“更改域控制器”;
在“更改目录服务器”对话框中,选中“此域控制器或AD LDS实例”并选择一台即将担任RID主机的域控制器,然后点击“OK”; 在目录树中右键单击“Active Directory 用户和计算机”,选择“所有任务”—“操作主机”; 在“RID”选项卡中,单击“更改”按钮