实战:Windows Server 2008 活动目录 传送和争夺操作主控角色

简介:

实战:传送和争夺操作主控角色

当创建Windows Server 2008域时,Windows Server 2008将自动配置所有的操作主控角色。不过,给目录林或域内的另一个域控制器重新分配操作主控角色可能还是必要的。比如卸载活动目录服务前,可以将该域控制器承担的角色传送给其他域控制器,这样就避免了在卸载过程中出现故障,操作主控可能没有传递个其他域控制器。为给另一个域控制器重新分配操作主控角色,需要:

u 确定操作主控角色的保持者。

u 传送该操作主控角色。

u 争夺该操作主控角色。

11.2.1实战场景

clip_image001

图 11-4 实战场景

如图11-4所示,该公司有IT部门组建了两个域,北京组建了ess.com域,石家庄组建了ess.com域的子域sjz.ess.com域。

父域包括3个域控制器,其中essDC是目录林ess.com中的一个域控制器。essBDC是ess.com域中的第二个域控制器,这两个域控制器安装Windows Server 2008企业版。shDC是ess.com域的第三域控制器,该域控制器安装了Windows Server Core企业版。

sjzDC是子域sjz.ess.com中唯一的一个域控制器,安装Windows Server 2008企业版。

bjPC是ess.com域的成员,安装有Windows 7操作系统。

11.2.2确定操作主控角色的保持者

在管理操作主控之前,应该确认操作主控角色拥有指定的域控制器。

在考虑要移动操作主控角色前,可能需要确定哪个域控制器拥有指定的操作主控角色。验证的用户具有确定操作主控角色位于何处的权限。根据要确定操作主控角色,可使用下列活动目录控制台其中一个:

u Active Directory 用户和计算机(活动目录用户和计算机)

u Active Directory 域和信任关系(活动目录域和信任)

u Active Directory 架构(活动目录架构)

确定RID主控、PDC仿真器和基础结构主控

为确定哪个域控制器拥有RID主控、PDC仿真器或基础结构主控角色,执行下列步骤:

1. 在essDC上,打开Active Directory 用户和计算机。

2. 如图11-5所示,在控制台树中,右击ess.com域,然后单击“操作主控”。

3. 如图11-6所示,在出现的操作主机对话框,在RID标签下可以看到操作主机为DCServer.ess.com.

clip_image002clip_image003

图 11-5 查看操作主机 图 11-6查看RID操作主机

4. 如图11-7所示,单击“PDC”标签,可以看到操作主机为DCServer.ess.cm。

5. 如图11-8所示,单击“基础结构”标签,可以看到主机为DCServer.ess.com。

clip_image004clip_image005

图 11-7 查看PDC操作主机 图 11-8 查看基础结构主机

确定域命名主控

为确定哪个域控制器拥有域命名主控角色,执行下列步骤:

6. 如图11-9所示,点击“开始”à“程序”à“管理工具”,打开Active Directory 域和信任关系。

7. 如图11-10所示,右击“Active Directory 域和信任关系”,然后单击“操作主控”。

clip_image006clip_image007

图 11-9 打开管理工具 图 11-10 打开操作主机

8. 如图11-11所示,在操作主机对话框,可以看到域命名操作主机为DCServer.ess.com。

clip_image008

图 11-11 查看域命名主控

确定架构主控

为确定哪个域控制器拥有架构主控角色,请执行下列步骤:

9. 如图11-12所示,运行下面的指令注册Active Directory 架构 Snap-in:

regsvr32.exe %systemroot%\system32\schmmgmt.dll

10. 单击确定关闭显示注册成功的信息。

11. 点击“开始”à“运行”,输入MMC,点击“确定”。

clip_image009clip_image010

图 11-12 注册架构管理单元 图 11-13 打开微软管理控制台

12. 如图11-14所示,在控制台1对话框,点击“文件”à“添加/删除管理单元”。

13. 如图11-15所示,在出现的添加或删除管理单元对话框,点中“Active Directory架构”,点击“添加”。

clip_image011clip_image012

图 11-14 添加删除管理单元 图 11-15 添加管理单元

14. 如图11-16所示,在控制台树中,右击Active Directory 架构,然后单击“操作主控”。

15. 如图11-17所示,在出现的更改操作主机对话框,可以看到当前架构主机(联机状态)为DCServer.ess.com。

clip_image013clip_image014

图 11-16 打开操作主机 图 11-17 查看操作主机

说明:为确定不同域中的操作主控,在单击操作主控前请连接到域上。为确定不同目录林中的操作主控,在单击操作主控前通过键入目录林的域名连接到域上。

11.2.3传送操作主控角色

传送操作主控意味着将它从一个域控制器移动到另一个上。

在打开Active Directory 架构前,需要注册活动目录架构管理单元。

大多数情形下,目录林中操作主控角色的位置在目录林增长时不要求改变,这意味着角色的位置不需更新。不过,当计划释放一个域控制器,降低网络的连通性,或改变一个域控制器的全局目录服务器状态时,需要检查一下架构,必要时需传送操作主控角色。传送操作主控角色意味着将它从一个运行的域控制器移动到另一个域控制器。为传送角色,两个域控制器必须正在运行并且连接到了网络上。

在角色传送过程中没有数据损失。角色传送的过程涉及将当前操作主控目录复制到新的域控制器,这确保了新的操作主控拥有当前的可用信息。这种角色对象的传送采用标准的目录复制机制。

为传送操作主控角色,必须拥有相应权限。必须是下表列出组的成员才拥有权限改变操作主控角色。

操作主控

授权组

架构主控

改变架构主控的权限默认授权给架构管理员组。

域命名组

改变域命名主控的权限默认授权给企业管理组。

PDC仿真器

改变PDC仿真器默认授权给域管理组。

RID主控

改变RID主控的权限默认授权给域管理组。

基础结构主控

改变基础结构主控的权限默认授权给域管理组。

只有在对域基础结构做了重大改动时才要传送角色,例如释放了拥有角色的域控制器,或者是添加了新的更适合拥有指定角色的域控制器。

当域控制器降为成员服务器时,所有的操作主控角色都释放给了其它域控制器。为了控制向其它域控制器的角色传送,传送角色要在释放以前进行。

为传送一个操作主控角色,请使用和用于释放操作主控角色相同的活动目录管理单元。

传送RID主控、PDC仿真器和基础结构主控角色

将ess.com域的RID主控、PDC仿真器和基础结构主控角色传送到essBDC,请执行下列步骤:

16. 在essDC上打开Active Directory 用户和计算机。

17. 如图11-18所示,在控制台树中右击“ess.com”,然后单击“更改域控制器”。

18. 如图11-19所示,在出现的更改目录服务器对话框,选择“此域控制器或AD LDS实例”,点中essBDC.ess.com,单击“确定”。

clip_image015clip_image016

图 11-18 更域控制器 图 11-19选择域控制器

19. 如图11-20所示,在控制台树中,右击ess.com ,然后单击“操作主机”。

20. 如图11-21所示,在出现的操作主机对话框,点中RID标签,点击“更改”,在出现的确认对话框,点击“是”。传递RID主控。

clip_image017clip_image018

图 11-20 打开操作主机 图 11-21 传递操作主机

21. 如图11-22所示,在出现的成功传递了操作主机角色对话框,点击“确定”。

22. 如图11-23所示,可以看到essBDC.ess.com成为RID的操作主机。

clip_image019clip_image020

图 11-22 角色传递成功 图 11-23 当前的操作主机

传送域命名主控角色

向另一个全局目录服务器传送域命名主控角色,请执行下列步骤:

23. 点击“开始”à“程序”à“管理工具”,打开“Active Directory 域和信任关系”。

24. 如图11-24所示,在控制台树中,右击“Active Directory 域和信任关系”,点击“更改Active Directory域控制器”。

25. 如图11-25所示,在出现的更改目录服务器对话框,选择“此域控制器或AD LDS实例”,选择essBDC .ess.com,点击“确定”。

clip_image021clip_image022

图 11-24 更改域控制器 图 11-25 选择域控制器

26. 如图11-26所示,在控制台树中,右击Active Directory 域和信任关系,然后单击“操作主控”。

27. 如图11-27所示,在出现的操作主机对话框,点击“更改”。

28. 如图11-27所示,在出现的确认对话框,点击“是”,显示成功转移操作主机。

clip_image023clip_image024

图 11-26 打开操作主机 图 11-27 传递操作主机

说明:确保拥有域命名主控角色的域控制器也驻留全局目录。

传送架构主控角色

为传送架构主控角色,请执行下列步骤:

29. 打开Active Directory 架构管理工具。

30. 如图11-28所示,在控制台树中,右击“Active Directory 架构”,然后单击“更改Active Directory域控制器”。

31. 如图11-29所示,在出现的更改目录服务器对话框,选择“此域控制器或AD LDS实例”,点中“essBDC.ess.com”,点击“确定”。

clip_image025clip_image026

图 11-28 更改域控制器 图 11-29 选择域控制器

32. 如图11-30所示,在出现的Active Directory架构对话,提示未连接到架构操作主机,不能执行任何更改,点击“确定”。

33. 如图11-31所示,右击Active Directory架构,点击“操作主机”。

clip_image027clip_image028

图 11-30 提示 图 11-31 打开操作主机

34. 如图11-32所示,在出现的更改架构主机对话框,点击“更改”。

35. 如图11-33所示,在出现的确认对话框,点击“是”。架构主机传递成功。

clip_image029clip_image030

图 11-32 传递架构主机 图 11-33 确认传递

11.2.4争夺操作主控角色

如果拥有操作主控角色的域控制器不能用了,可能就有必要争夺该操作主控角色,将它重新分配给另一个域控制器。

争夺操作主控角色指强制将发生故障的域控制器上的操作主控角色传送到可用的域控制器上。

争夺操作主控角色是非常重要的一个步骤,只有在当前操作主控永远不再能用的情况下,才可以考虑。如果发生故障的原因是可以及时解决的网络问题或软、硬件故障,请等待该操作主控角色保持者再次可用。只有当操作主控角色不能传送时,才应该争夺它。和角色争夺不一样,角色传送确保只有一个域控制器保持着角色,并且该角色保持者拥有更新的角色对象设置。

在争夺操作主控角色前,应确定哪个域控制器拥有该操作主控角色。在确定当前角色保持者后,可以使用用于确定或传送角色的“活动目录控制台”或ntdsutil命令来争夺该操作主控角色。最后,确认正运行的域控制器收到了它的新操作主控角色。

争夺PDC仿真器和基础结构主控角色

下面将会模拟ess.com域中essDC不可用的情况下,使用图形界面强制使essBDC成为该域的PDC仿真器和基础结构主控角色,强制执行下面步骤:

注意:使用以下方式不能争夺RID主控。

36. 在essDC 上,打开“Active Directory 用户和计算机”。右击ess.com,点击“操作主机”。

37. 如图11-34所示,在出现的操作主机对话框,在PDC标签下,确认PDC操作主机是DCServer.ess.com。

38. 如图11-35所示,在基础结构标签下,确认DCServer.ess.com是基础结构操作主机。

clip_image031clip_image032

图 11-34 PDC操作主机 图 11-35基础结构操作主机

39. 如图11-36所示,断开essDC的网卡,模拟其不可用。

40. 在essBDC 上,打开“Active Directory用户和计算机”管理工具。

41. 如图11-37所示,右击ess.com,点击“操作主机”。

clip_image033clip_image034

图 11-36 断开网络连接 图 11-37 打开操作主机

42. 如图11-38所示,在出现的操作主机对话框中,单击PDC标签,可以看到不能联系到操作主机,点击“更改”,在出现的确认对话框,点击“是”。

43. 如图11-39所示,当指示传送不可能的信息出现时,单击确认对话框中的“是”。

clip_image035clip_image036

图 11-38 争夺PDC主控 图 11-39 提示

44. 如图11-40所示,出现强制进行传递对话框,点击“是”。

45. 如图11-41所示,可以看到强制争夺PDC主控成功。

clip_image037clip_image038

图 11-40 强制争夺 图 11-41 争夺PDC主控成功

46. 如图11-42所示,在基础结构标签下,点击“更改”。出现基础结主机角色不应该和GC服务器上提示对话框,点击“是”。

47. 如图11-43所示,提示不能连接当前的操作主机,但可以运行强制传送,点击“是”。

clip_image039clip_image040

图 11-42 更改基础结构主控 图 11-43 强制传递

48. 如图11-44所示,出现成功传送操作主机角色对话框,点击“确定”。

49. 如图11-45所示,点中RID标签,点击“更改”。出现确认对话框,点击“是”。

clip_image041clip_image042

图 11-44 成功争夺 图 11-45 更改RID主控

50. 如图11-46所示,出现对话框,提示不能执行当前操作主机角色的传递,因为不能连接当前的操作主机。表明使用这种方式不能争夺RID主控,只能使用下面的命令行工具争夺其他主控。

clip_image043

图 11-46 使用这种方式争夺RID主控失败

争夺其它的操作主控角色

架构主控、域命名主控或RID主控的临时丢失对终端用户来说通常是不可见的,也不影响管理员的工作。因此,这通常不是值得修复的问题。不过,如果预料拥有一种这些操作主控角色的域控制器会出现较长时间的故障,可以争夺该角色让备用的操作主控域控制器接管。但是争夺这些角色是只有在出现永久性故障,例如域控制器物理上遭到了破坏并且不能从备份介质中恢复的情形,才被迫采取的步骤。

由于同一个角色有多个操作主控在线的可能性,角色遭争夺的操作主控不应再运作。在争夺角色前,必须通过将该域控制器和网络断开来确保这个域控制器的故障是永久性的。

使用Ntdsutil争夺角色

在essBDC上使用命令行工具ntdsutil争夺RID主控。继续上面的实验,断开essDC的网络连接。模拟essDC出现故障。

为使用ntdsutil命令来争夺操作主控角色,请执行下列步骤:

51. 在Run文本框中键入cmd然后按回车键。

52. 如图11-47所示,在命令提示符下,键入ntdsutil。

53. 如图11-47所示,在ntdsutil提示符下,键入roles。

54. 如图11-47所示,在fsmo maintenance提示符下,键入connections。

55. 如图11-47所示,在server connections提示符下,键入connect to server essBDC.ess.com。

56. 如图11-47所示,在server connections提示符下,键入quit。

57. 如图11-48所示,在fsmo maintenance提示符下,输入?,回车。可以看到在该提示符下可用的命令。

58. 在fsmo maintenance提示符下,键入下列命令之一以争夺适当的操作主控:

· Seize RID master

· Seize PDC

· Seize domain naming master

· Seize schema master

clip_image044clip_image045

图 11-47 使用ntdsutil争夺主控 图 11-48 查看可用命令

59. 如图11-49所示,在fsmo maintenance提示符下,输入Seize RID master,争夺RID主控。在出现的确认对话框,点击“是”。

60. 如图11-50所示,可以看到使用命令行工具可以争夺RID主控成功。

clip_image046clip_image047

图 11-49 争夺RID主控 图 11-50 争夺成功

61. 如图11-51所示,在fsmo maintenance提示符下,键入quit。

62. 如图11-51所示,在ntdsutil提示符下,键入quit。

63. 如图11-52所示,连接上essDC的网卡。

clip_image048clip_image049

图 11-51 争夺成功 图 11-52 连接essDC网卡

64. 如图11-53所示,在essBDC上,打开Active Directory站点和服务,强制活动目录复制。

65. 如图11-54所示,打开Active Directory用户和计算机,右击ess.com,点击“操作主机”。

clip_image050clip_image051

图 11-53 复制活动目录 图 11-54 打开操作主机

66. 如图11-55、11-56、11-57所示,可以看到RID主控和PDC主控以及基础结构主控都已经是essBDC.ess.com。

clip_image052clip_image053

图 11-55 查看RID主控 图 11-56 PDC主控

clip_image054



本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1137493,如需转载请自行联系原作者

相关文章
|
2月前
|
Java 开发工具
鸿蒙Flutter实战:02-Windows环境搭建踩坑指南
本指南介绍如何搭建鸿蒙Flutter开发环境,包括下载Flutter SDK、配置环境变量(如FLUTTER_STORAGE_BASE_URL、PUB_HOSTED_URL、DEVECO_SDK_HOME等)和检查工具版本。还提到避免项目路径过深、与SDK同盘存放等注意事项,以及解决VsCode无法识别设备的方法。
61 0
|
28天前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。
|
1月前
|
监控 安全 网络安全
使用EventLog Analyzer日志分析工具监测 Windows Server 安全威胁
Windows服务器面临多重威胁,包括勒索软件、DoS攻击、内部威胁、恶意软件感染、网络钓鱼、暴力破解、漏洞利用、Web应用攻击及配置错误等。这些威胁严重威胁服务器安全与业务连续性。EventLog Analyzer通过日志管理和威胁分析,有效检测并应对上述威胁,提升服务器安全性,确保服务稳定运行。
|
1月前
|
监控 安全 网络安全
Windows Server管理:配置与管理技巧
Windows Server管理:配置与管理技巧
78 3
|
1月前
|
存储 安全 网络安全
Windows Server 本地安全策略
由于广泛使用及历史上存在的漏洞,Windows服务器成为黑客和恶意行为者的主要攻击目标。这些系统通常存储敏感数据并支持关键服务,因此组织需优先缓解风险,保障业务的完整性和连续性。常见的威胁包括勒索软件、拒绝服务攻击、内部威胁、恶意软件感染等。本地安全策略是Windows操作系统中用于管理计算机本地安全性设置的工具,主要包括用户账户策略、安全选项、安全设置等。实施强大的安全措施,如定期补丁更新、网络分段、入侵检测系统、数据加密等,对于加固Windows服务器至关重要。
|
2月前
|
人工智能 监控 安全
掌握Windows管理利器:WMI命令实战
本文介绍了Windows Management Instrumentation (WMI) 的基本概念和用途,通过多个实用的`wmic`命令示例,如获取CPU信息、查看操作系统详情、管理服务、检查磁盘空间等,展示了WMI在系统维护中的强大功能。适合IT专业人士学习和参考。
72 4
|
2月前
|
边缘计算 安全 网络安全
|
2月前
|
数据安全/隐私保护 Windows
安装 Windows Server 2019
安装 Windows Server 2019
|
2月前
|
网络协议 Windows
Windows Server 2019 DHCP服务器搭建
Windows Server 2019 DHCP服务器搭建
下一篇
DataWorks