AD管理員必備技能(一)在線角色轉(zhuǎn)移
作為一個(gè)企業(yè)管理員來(lái)說(shuō)，日常服務(wù)器的備份及災(zāi)難恢復(fù)是必不可少的技能，所以對(duì)于AD的一些災(zāi)難性的問(wèn)題修復(fù)對(duì)于工程師來(lái)說(shuō)也不算是一個(gè)什么大事，但是對(duì)于架構(gòu)的部署是非常嚴(yán)重的一件是，比如環(huán)境內(nèi)有多臺(tái)DC，如何將AD下的角色進(jìn)行分開(kāi)部署等；今天我們主要閑談AD下5個(gè)角色的問(wèn)題及角色在線遷移；
首先說(shuō)說(shuō)五大角色：
**1. 森林級(jí)別(一個(gè)森林只存在一臺(tái)DC有這個(gè)角色):
1.1.Schema Master:架構(gòu)主控
1.2.Domain Naming Master:域命名主控

目前創(chuàng)新互聯(lián)建站已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)、域名、虛擬空間、網(wǎng)站托管運(yùn)營(yíng)、企業(yè)網(wǎng)站設(shè)計(jì)、單縣網(wǎng)站維護(hù)等服務(wù)，公司將堅(jiān)持客戶(hù)導(dǎo)向、應(yīng)用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶(hù)和合作伙伴齊心協(xié)力一起成長(zhǎng)，共同發(fā)展。

2. 域級(jí)別(一個(gè)域里面只存一臺(tái)DC有這個(gè)角色):
   2.1.PDC Emulator :PDC仿真器
   2.2.RID Master :RID
   2.3.Infrastructure Master :結(jié)構(gòu)主控**
   接下來(lái)說(shuō)說(shuō)五大角色的功能：
   1.Schema Master架構(gòu)主控
   作用是修改活動(dòng)目錄的源數(shù)據(jù)。我們知道在活動(dòng)目錄里存在著各種各樣的對(duì)像，比如用戶(hù)、計(jì)算機(jī)、打印機(jī)等，這些對(duì)像有一系列的屬性，活動(dòng)目錄本身就是一個(gè)數(shù)據(jù)庫(kù)，對(duì)象和屬性之間就好像表格一樣存在著對(duì)應(yīng)關(guān)系，那么這些對(duì)像和屬性之間的關(guān)系是由誰(shuí)來(lái)定義的，就是Schema Master，如果大家部署過(guò)Exchange的話，就會(huì)知道Schema是可以被擴(kuò)展的，但需要大家注意的是，擴(kuò)展Schema一定是在Schema Master進(jìn)行擴(kuò)展的，在其它域控制器上或成員服務(wù)器上執(zhí)行擴(kuò)展程序，實(shí)際上是通過(guò)網(wǎng)絡(luò)把數(shù)據(jù)傳送到Schema上然后再在Schema Master上進(jìn)行擴(kuò)展的，要擴(kuò)展Schema就必須具有Schema Admins組的權(quán)限才可以
   2.Domain Naming Master:域命名主控
   這也是一個(gè)森林級(jí)別的角色，它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個(gè)域或者刪除一個(gè)域的話，那么就必須要和Domain Naming Master進(jìn)行聯(lián)系，如果Domain Naming Master處于Down
   機(jī)狀態(tài)的話，你的添加和刪除操作那上肯定會(huì)失敗的。
   3.PDC Emulator :PDC仿真器
   ⑴、處理密碼驗(yàn)證要求;
   密碼的修改，一般情況下，一旦密碼被修改，會(huì)先被復(fù)制到PDC Emulator，然后由PDC Emulator觸發(fā)一個(gè)即時(shí)更新，以保證密碼的實(shí)時(shí)性。
   ⑵、統(tǒng)一域內(nèi)的時(shí)間; 微軟活動(dòng)目錄是用Kerberos協(xié)議來(lái)進(jìn)行身份認(rèn)證的，在默認(rèn)情況下，驗(yàn)證方與被驗(yàn)證方之間的時(shí)間差不能超過(guò)5分鐘，否則會(huì)被拒絕通過(guò)，微軟這種設(shè)計(jì)主要是用來(lái)防止回放式***。所以在域內(nèi)的時(shí)間必須是統(tǒng)一的，這個(gè)統(tǒng)一時(shí)間的工作就是由PDC Emulator來(lái)完成的。
   (3)、統(tǒng)一修改組策略的模板
   4.RID Master :RID
   在Windows 2000的安全子系統(tǒng)中，用戶(hù)的標(biāo)識(shí)不取決于用戶(hù)名，雖然我們?cè)谝恍?quán)限設(shè)置時(shí)用的是用戶(hù)名，但實(shí)際上取決于安全主體SID，所以當(dāng)兩個(gè)用戶(hù)的SID一樣的時(shí)候，盡管他們的用戶(hù)名可能不一樣，但Windows的安全子系統(tǒng)中會(huì)把他們認(rèn)為是同一個(gè)用戶(hù)，這樣就會(huì)產(chǎn)生安全問(wèn)題。而在域內(nèi)的用戶(hù)安全SID=Domain SID+RID，那么如何避免這種情況?這就需要用到RID Master，RID Master的作用是:分配可用RID池給域內(nèi)的DC和防止安全主體的SID重復(fù)。
   5.Infrastructure Master :結(jié)構(gòu)主控
   FSMO的五種角色中最無(wú)關(guān)緊要的可能就是這個(gè)角色了，它的主要作用就是用來(lái)更新組的成員列表，因?yàn)樵诨顒?dòng)目錄中很有可能有一些用戶(hù)從一個(gè)OU轉(zhuǎn)移到另外一個(gè)OU，那么用戶(hù)的DN名就發(fā)生變化，這時(shí)其它域?qū)τ谶@個(gè)用戶(hù)引用也要發(fā)生變化。這種變化就是由Infrastructure Master來(lái)完成的。

在FSMO的規(guī)劃時(shí)，請(qǐng)大家按以下原則進(jìn)行:
1、占有Domain Naming Master角色的域控制器必須同時(shí)也是GC;
2、不能把Infrastructure Master和GC放在同一臺(tái)DC上;
3、建議將Schema Master和Domain Naming Master放在森林根域的GC服務(wù)器上;
4、建議將Schema Master和Domain Naming Master放在同一臺(tái)域控制器上;
5、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺(tái)性能較好的域控制器上;
6、盡量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務(wù)器上;
接下來(lái)我們介紹如何在線轉(zhuǎn)移角色吧；
我們首先看看，我們環(huán)境內(nèi)有兩臺(tái)AD服務(wù)器；

站點(diǎn)信息

我們首先查看角色的所有者
我們當(dāng)前的角色都在ADDS-2服務(wù)器上，我們需要將角色轉(zhuǎn)移到ADDS-1上

在轉(zhuǎn)移前我們需要確認(rèn)下，轉(zhuǎn)移有兩種方式，第一種是在線轉(zhuǎn)移，言外之意就是所有的DC都是正常工作的情況下。
第二種情況下， 角色所在的DC服務(wù)器故障處于離線狀態(tài)，為了保證我們需要將角色強(qiáng)制轉(zhuǎn)移到在線的DC服務(wù)器上。
我們首先說(shuō)說(shuō)第一種；
當(dāng)所有的DC都處于在線狀態(tài)；我們?cè)诖耸褂妹钚羞M(jìn)行操作；
開(kāi)始運(yùn)行--cmd---命令提示符中輸入--ntdsutil
然后輸入問(wèn)號(hào)(?)來(lái)幫助，

輸入roles來(lái)進(jìn)入管理NTDS角色所有者令牌管理
我們通過(guò)幫助來(lái)看，發(fā)現(xiàn)有兩種命令，一個(gè)是transfer，另外一個(gè)是seize；
transfer是所有的DC服務(wù)器都處于在線狀態(tài)使用；
seize是角色所有者處于離線狀態(tài)來(lái)使用；

我們先使用transfer來(lái)進(jìn)行在線傳輸；在傳輸前，我們需要連接到服務(wù)器；所以需要使用connections
在 fsmo maintenance 命令提示符下，鍵入：
connection，回車(chē)。繼續(xù)？（問(wèn)號(hào)）查看幫助

在 server connections 命令提示符下，鍵入：
connect to server ADDS-1(需要提升為主域控制器的計(jì)算機(jī)名)，回車(chē)。

在 server connections 命令提示符下，鍵入：
quit，回車(chē)。
在 fsmo maintenance 命令提示符下，鍵入：
在此時(shí)我們通過(guò)？（問(wèn)號(hào)）查看幫助命令

傳輸角色的順序建議使用以下順序

 1.Transfer naming master
 2.Transfer infrastructure master
3.seize pdc
4.seize rid master
5.schema master

我們開(kāi)始傳輸域命名主機(jī)
Transfer naming master


Transfer infrastructure master


Transfer RID master


Transfer PDC


Transfer schema master


我們?cè)俨榭矗械慕巧蛡鬏數(shù)紸DFS-1服務(wù)器上了；
netdom query fsmo

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)頁(yè)名稱(chēng)：AD管理員必備技能(一)在線角色轉(zhuǎn)移-創(chuàng)新互聯(lián)
網(wǎng)頁(yè)鏈接：http://vcdvsql.cn/article44/cscsee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供做網(wǎng)站、品牌網(wǎng)站制作、網(wǎng)站設(shè)計(jì)公司、微信公眾號(hào)、Google、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)