前言:
一:操作主机角色有哪些?分别在什么范围内唯一?
- 架构主机:整个林中只有一台架构主机
- 域命名主机: 整个林中只有一台域命名主机
- PDC仿真主机:整个域内只有一台PDC仿真主机
- RID主机: 整个域内只有一台RID主机
- 基础架构主机: 整个域内只有一台基础架构主机
二:什么情况下这台DC会成为各种操作主机角色?
在林范围内的操作主机角色包括架构主机和域命名主机,每个林中,这些角色必须是唯一的
三:转移操作主机角色什么情况下使用?
当承担着操作主机角色的域控制器突然崩溃,或无法正常运行时
四:占用操作主机角色什么情况下使用?
如果占用操作主机角色的域控制器出了故障,并且短期内无法恢复,将无法转移操作主机角色,为了保证AD的正常运行,此时可以使用强制手段占用操作主机角色
五:转移操作主机角色和占用操作主机角色的区别?
1.使用场景:转移必须是被转移操作主机角色的DC和需要获取操作角色的DC必须同时在线,而占用是必须被转移操作主机角色的DC宕机无法正常在线工作情况下才能使用
2.安全性上来说,转移比占用更加安全,原因是强占操作主机角色使得原先的DC不知晓自己的操作主机角色被占用,还是认为自己是有操作主机角色的,所以被强占操作主机角色的DC不允许再上线
案例:转移和占用五种操作主机角色(环境:有一台主域控制器和一台额外域控制器两台)
转移:步骤一:regsvr32 schmmgmt.dll命令
输入mmc打开控制台
打开后点击左上角文件添加/删除管理单元;选择Active Directory架构然后添加进去
之后再把AD用户和计算机;AD域和信任关系添加进去
- 右击AD架构并选择更改AD域控制器
上方为为主域控制器的名字,更改时选择另一个额外域控制器的名称
步骤二:右键AD架构选择操作主机
都改为额外域控制器的名称
右击AD用户和计算机,在弹出的对话框中选择更改AD域控制器
改为额外域控制器
更改后再右击AD用户和计算机,在弹出的对话框中选择操作主机将RID PDC 基础结构主机都转移至另一台主机
右击AD域和信任关系,在弹出的对话框中选择更改域控制器
改为额外域控制器
更改完后再次右击AD域和信任关系,选择操作主机将RID PDC 基础结构主机都转移至额外域控制器上
转移完成
占用:
打开命令提示符,输入"ntdsutil" 命令.在ntdsutil 命令提示符下,输入"roles" 命令。
在fsmo Maintenance命令提示符下,输入“ connection” 命令 注:以管理员方式打开命令行
在server connections 命令提示符下,输入connect to server dc02 注:dc2为额外域控制器
在sever comectiens命令提示符下 输入quit返回上一级后在fsrmo maintenance 命令提示符下,输入”seize rild master" 命令,按提示确认是否占用RIDMoster角色,单击‘是”
返回控制台发现RID主机已被占用
在fsmomaintenance命令提示符下继续分别输入. seize schema master”" seize PDC”“seize infrasttucture master””seize naming master”命令, 强制转移架构主机. POC仿真主机.基础结构主机和域命名主机
等待占用完后返回控制台查看五台操作主机均被占用