实战:传送和争夺操作主控角色
当创建Windows Server 2008域时,Windows Server 2008将自动配置所有的操作主控角色。不过,给目录林或域内的另一个域控制器重新分配操作主控角色可能还是必要的。比如卸载活动目录服务前,可以将该域控制器承担的角色传送给其他域控制器,这样就避免了在卸载过程中出现故障,操作主控可能没有传递个其他域控制器。为给另一个域控制器重新分配操作主控角色,需要:
u 确定操作主控角色的保持者。
u 传送该操作主控角色。
u 争夺该操作主控角色。
11.2.1实战场景
图 11-4 实战场景
如图11-4所示,该公司有IT部门组建了两个域,北京组建了ess.com域,石家庄组建了ess.com域的子域sjz.ess.com域。
父域包括3个域控制器,其中essDC是目录林ess.com中的一个域控制器。essBDC是ess.com域中的第二个域控制器,这两个域控制器安装Windows Server 2008企业版。shDC是ess.com域的第三域控制器,该域控制器安装了Windows Server Core企业版。
sjzDC是子域sjz.ess.com中唯一的一个域控制器,安装Windows Server 2008企业版。
bjPC是ess.com域的成员,安装有Windows 7操作系统。
11.2.2确定操作主控角色的保持者
在管理操作主控之前,应该确认操作主控角色拥有指定的域控制器。
在考虑要移动操作主控角色前,可能需要确定哪个域控制器拥有指定的操作主控角色。验证的用户具有确定操作主控角色位于何处的权限。根据要确定操作主控角色,可使用下列活动目录控制台其中一个:
u Active Directory 用户和计算机(活动目录用户和计算机)
u Active Directory 域和信任关系(活动目录域和信任)
u Active Directory 架构(活动目录架构)
确定RID主控、PDC仿真器和基础结构主控
为确定哪个域控制器拥有RID主控、PDC仿真器或基础结构主控角色,执行下列步骤:
1. 在essDC上,打开Active Directory 用户和计算机。
2. 如图11-5所示,在控制台树中,右击ess.com域,然后单击“操作主控”。
3. 如图11-6所示,在出现的操作主机对话框,在RID标签下可以看到操作主机为DCServer.ess.com.
图 11-5 查看操作主机 图 11-6查看RID操作主机
4. 如图11-7所示,单击“PDC”标签,可以看到操作主机为DCServer.ess.cm。
5. 如图11-8所示,单击“基础结构”标签,可以看到主机为DCServer.ess.com。
图 11-7 查看PDC操作主机 图 11-8 查看基础结构主机
确定域命名主控
为确定哪个域控制器拥有域命名主控角色,执行下列步骤:
6. 如图11-9所示,点击“开始”à“程序”à“管理工具”,打开Active Directory 域和信任关系。
7. 如图11-10所示,右击“Active Directory 域和信任关系”,然后单击“操作主控”。
图 11-9 打开管理工具 图 11-10 打开操作主机
8. 如图11-11所示,在操作主机对话框,可以看到域命名操作主机为DCServer.ess.com。
图 11-11 查看域命名主控
确定架构主控
为确定哪个域控制器拥有架构主控角色,请执行下列步骤:
9. 如图11-12所示,运行下面的指令注册Active Directory 架构 Snap-in:
regsvr32.exe %systemroot%\system32\schmmgmt.dll
10. 单击确定关闭显示注册成功的信息。
11. 点击“开始”à“运行”,输入MMC,点击“确定”。
图 11-12 注册架构管理单元 图 11-13 打开微软管理控制台
12. 如图11-14所示,在控制台1对话框,点击“文件”à“添加/删除管理单元”。
13. 如图11-15所示,在出现的添加或删除管理单元对话框,点中“Active Directory架构”,点击“添加”。
图 11-14 添加删除管理单元 图 11-15 添加管理单元
14. 如图11-16所示,在控制台树中,右击Active Directory 架构,然后单击“操作主控”。
15. 如图11-17所示,在出现的更改操作主机对话框,可以看到当前架构主机(联机状态)为DCServer.ess.com。
图 11-16 打开操作主机 图 11-17 查看操作主机
说明:为确定不同域中的操作主控,在单击操作主控前请连接到域上。为确定不同目录林中的操作主控,在单击操作主控前通过键入目录林的域名连接到域上。
11.2.3传送操作主控角色
传送操作主控意味着将它从一个域控制器移动到另一个上。
在打开Active Directory 架构前,需要注册活动目录架构管理单元。
大多数情形下,目录林中操作主控角色的位置在目录林增长时不要求改变,这意味着角色的位置不需更新。不过,当计划释放一个域控制器,降低网络的连通性,或改变一个域控制器的全局目录服务器状态时,需要检查一下架构,必要时需传送操作主控角色。传送操作主控角色意味着将它从一个运行的域控制器移动到另一个域控制器。为传送角色,两个域控制器必须正在运行并且连接到了网络上。
在角色传送过程中没有数据损失。角色传送的过程涉及将当前操作主控目录复制到新的域控制器,这确保了新的操作主控拥有当前的可用信息。这种角色对象的传送采用标准的目录复制机制。
为传送操作主控角色,必须拥有相应权限。必须是下表列出组的成员才拥有权限改变操作主控角色。
操作主控 |
授权组 |
架构主控 |
改变架构主控的权限默认授权给架构管理员组。 |
域命名组 |
改变域命名主控的权限默认授权给企业管理组。 |
PDC仿真器 |
改变PDC仿真器默认授权给域管理组。 |
RID主控 |
改变RID主控的权限默认授权给域管理组。 |
基础结构主控 |
改变基础结构主控的权限默认授权给域管理组。 |
只有在对域基础结构做了重大改动时才要传送角色,例如释放了拥有角色的域控制器,或者是添加了新的更适合拥有指定角色的域控制器。
当域控制器降为成员服务器时,所有的操作主控角色都释放给了其它域控制器。为了控制向其它域控制器的角色传送,传送角色要在释放以前进行。
为传送一个操作主控角色,请使用和用于释放操作主控角色相同的活动目录管理单元。
传送RID主控、PDC仿真器和基础结构主控角色
将ess.com域的RID主控、PDC仿真器和基础结构主控角色传送到essBDC,请执行下列步骤:
16. 在essDC上打开Active Directory 用户和计算机。
17. 如图11-18所示,在控制台树中右击“ess.com”,然后单击“更改域控制器”。
18. 如图11-19所示,在出现的更改目录服务器对话框,选择“此域控制器或AD LDS实例”,点中essBDC.ess.com,单击“确定”。
图 11-18 更域控制器 图 11-19选择域控制器
19. 如图11-20所示,在控制台树中,右击ess.com ,然后单击“操作主机”。
20. 如图11-21所示,在出现的操作主机对话框,点中RID标签,点击“更改”,在出现的确认对话框,点击“是”。传递RID主控。
图 11-20 打开操作主机 图 11-21 传递操作主机
21. 如图11-22所示,在出现的成功传递了操作主机角色对话框,点击“确定”。
22. 如图11-23所示,可以看到essBDC.ess.com成为RID的操作主机。
图 11-22 角色传递成功 图 11-23 当前的操作主机
传送域命名主控角色
向另一个全局目录服务器传送域命名主控角色,请执行下列步骤:
23. 点击“开始”à“程序”à“管理工具”,打开“Active Directory 域和信任关系”。
24. 如图11-24所示,在控制台树中,右击“Active Directory 域和信任关系”,点击“更改Active Directory域控制器”。
25. 如图11-25所示,在出现的更改目录服务器对话框,选择“此域控制器或AD LDS实例”,选择essBDC .ess.com,点击“确定”。
图 11-24 更改域控制器 图 11-25 选择域控制器
26. 如图11-26所示,在控制台树中,右击Active Directory 域和信任关系,然后单击“操作主控”。
27. 如图11-27所示,在出现的操作主机对话框,点击“更改”。
28. 如图11-27所示,在出现的确认对话框,点击“是”,显示成功转移操作主机。
图 11-26 打开操作主机 图 11-27 传递操作主机
说明:确保拥有域命名主控角色的域控制器也驻留全局目录。
传送架构主控角色
为传送架构主控角色,请执行下列步骤:
29. 打开Active Directory 架构管理工具。
30. 如图11-28所示,在控制台树中,右击“Active Directory 架构”,然后单击“更改Active Directory域控制器”。
31. 如图11-29所示,在出现的更改目录服务器对话框,选择“此域控制器或AD LDS实例”,点中“essBDC.ess.com”,点击“确定”。
图 11-28 更改域控制器 图 11-29 选择域控制器
32. 如图11-30所示,在出现的Active Directory架构对话,提示未连接到架构操作主机,不能执行任何更改,点击“确定”。
33. 如图11-31所示,右击Active Directory架构,点击“操作主机”。
图 11-30 提示 图 11-31 打开操作主机
34. 如图11-32所示,在出现的更改架构主机对话框,点击“更改”。
35. 如图11-33所示,在出现的确认对话框,点击“是”。架构主机传递成功。
图 11-32 传递架构主机 图 11-33 确认传递
11.2.4争夺操作主控角色
如果拥有操作主控角色的域控制器不能用了,可能就有必要争夺该操作主控角色,将它重新分配给另一个域控制器。
争夺操作主控角色指强制将发生故障的域控制器上的操作主控角色传送到可用的域控制器上。
争夺操作主控角色是非常重要的一个步骤,只有在当前操作主控永远不再能用的情况下,才可以考虑。如果发生故障的原因是可以及时解决的网络问题或软、硬件故障,请等待该操作主控角色保持者再次可用。只有当操作主控角色不能传送时,才应该争夺它。和角色争夺不一样,角色传送确保只有一个域控制器保持着角色,并且该角色保持者拥有更新的角色对象设置。
在争夺操作主控角色前,应确定哪个域控制器拥有该操作主控角色。在确定当前角色保持者后,可以使用用于确定或传送角色的“活动目录控制台”或ntdsutil命令来争夺该操作主控角色。最后,确认正运行的域控制器收到了它的新操作主控角色。
争夺PDC仿真器和基础结构主控角色
下面将会模拟ess.com域中essDC不可用的情况下,使用图形界面强制使essBDC成为该域的PDC仿真器和基础结构主控角色,强制执行下面步骤:
注意:使用以下方式不能争夺RID主控。
36. 在essDC 上,打开“Active Directory 用户和计算机”。右击ess.com,点击“操作主机”。
37. 如图11-34所示,在出现的操作主机对话框,在PDC标签下,确认PDC操作主机是DCServer.ess.com。
38. 如图11-35所示,在基础结构标签下,确认DCServer.ess.com是基础结构操作主机。
图 11-34 PDC操作主机 图 11-35基础结构操作主机
39. 如图11-36所示,断开essDC的网卡,模拟其不可用。
40. 在essBDC 上,打开“Active Directory用户和计算机”管理工具。
41. 如图11-37所示,右击ess.com,点击“操作主机”。
图 11-36 断开网络连接 图 11-37 打开操作主机
42. 如图11-38所示,在出现的操作主机对话框中,单击PDC标签,可以看到不能联系到操作主机,点击“更改”,在出现的确认对话框,点击“是”。
43. 如图11-39所示,当指示传送不可能的信息出现时,单击确认对话框中的“是”。
图 11-38 争夺PDC主控 图 11-39 提示
44. 如图11-40所示,出现强制进行传递对话框,点击“是”。
45. 如图11-41所示,可以看到强制争夺PDC主控成功。
图 11-40 强制争夺 图 11-41 争夺PDC主控成功
46. 如图11-42所示,在基础结构标签下,点击“更改”。出现基础结主机角色不应该和GC服务器上提示对话框,点击“是”。
47. 如图11-43所示,提示不能连接当前的操作主机,但可以运行强制传送,点击“是”。
图 11-42 更改基础结构主控 图 11-43 强制传递
48. 如图11-44所示,出现成功传送操作主机角色对话框,点击“确定”。
49. 如图11-45所示,点中RID标签,点击“更改”。出现确认对话框,点击“是”。
图 11-44 成功争夺 图 11-45 更改RID主控
50. 如图11-46所示,出现对话框,提示不能执行当前操作主机角色的传递,因为不能连接当前的操作主机。表明使用这种方式不能争夺RID主控,只能使用下面的命令行工具争夺其他主控。
图 11-46 使用这种方式争夺RID主控失败
争夺其它的操作主控角色
架构主控、域命名主控或RID主控的临时丢失对终端用户来说通常是不可见的,也不影响管理员的工作。因此,这通常不是值得修复的问题。不过,如果预料拥有一种这些操作主控角色的域控制器会出现较长时间的故障,可以争夺该角色让备用的操作主控域控制器接管。但是争夺这些角色是只有在出现永久性故障,例如域控制器物理上遭到了破坏并且不能从备份介质中恢复的情形,才被迫采取的步骤。
由于同一个角色有多个操作主控在线的可能性,角色遭争夺的操作主控不应再运作。在争夺角色前,必须通过将该域控制器和网络断开来确保这个域控制器的故障是永久性的。
使用Ntdsutil争夺角色
在essBDC上使用命令行工具ntdsutil争夺RID主控。继续上面的实验,断开essDC的网络连接。模拟essDC出现故障。
为使用ntdsutil命令来争夺操作主控角色,请执行下列步骤:
51. 在Run文本框中键入cmd然后按回车键。
52. 如图11-47所示,在命令提示符下,键入ntdsutil。
53. 如图11-47所示,在ntdsutil提示符下,键入roles。
54. 如图11-47所示,在fsmo maintenance提示符下,键入connections。
55. 如图11-47所示,在server connections提示符下,键入connect to server essBDC.ess.com。
56. 如图11-47所示,在server connections提示符下,键入quit。
57. 如图11-48所示,在fsmo maintenance提示符下,输入?,回车。可以看到在该提示符下可用的命令。
58. 在fsmo maintenance提示符下,键入下列命令之一以争夺适当的操作主控:
· Seize RID master
· Seize PDC
· Seize domain naming master
· Seize schema master
图 11-47 使用ntdsutil争夺主控 图 11-48 查看可用命令
59. 如图11-49所示,在fsmo maintenance提示符下,输入Seize RID master,争夺RID主控。在出现的确认对话框,点击“是”。
60. 如图11-50所示,可以看到使用命令行工具可以争夺RID主控成功。
图 11-49 争夺RID主控 图 11-50 争夺成功
61. 如图11-51所示,在fsmo maintenance提示符下,键入quit。
62. 如图11-51所示,在ntdsutil提示符下,键入quit。
63. 如图11-52所示,连接上essDC的网卡。
图 11-51 争夺成功 图 11-52 连接essDC网卡
64. 如图11-53所示,在essBDC上,打开Active Directory站点和服务,强制活动目录复制。
65. 如图11-54所示,打开Active Directory用户和计算机,右击ess.com,点击“操作主机”。
图 11-53 复制活动目录 图 11-54 打开操作主机
66. 如图11-55、11-56、11-57所示,可以看到RID主控和PDC主控以及基础结构主控都已经是essBDC.ess.com。
图 11-55 查看RID主控 图 11-56 PDC主控
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1137493,如需转载请自行联系原作者
