前言:从windows 2000 server 开始,微软扩展了Windows早期版本中的单主机模式,以及多个角色且可以将角色转移给企业中的任何域控制器。由于AD角色未绑定到单个域控制器上,因此称它为“Flexible Single Operation"(FSMO灵活单一主机操作)角色,简称操作主机
- 操作主机角色有哪些?分别在什么范围内唯一?
- 架构主机:整个林中只有一台架构主机
- 域命名主机: 整个林中只有一台域命名主机
- PDC仿真主机:整个域内只有一台PDC仿真主机
- RID主机: 整个域内只有一台RID主机
- 基础架构主机: 整个域内只有一台基础架构主机
2.什么情况下这台DC会成为各种操作主机角色?
在林范围内的操作主机角色包括架构主机和域命名主机,每个林中,这些角色必须是唯一的
操作过程
转移五大操作主机角色;
.(1)在一台域管理器上运行regsvr32 schmmgmt.dll命令。确定,架构主机的管理工具即可安装完成
- 在运行中输入mmc打开控制台
(3)点击文件,选择添加/删除管理单元
(4)选择添加AD架构, AD用户和计算机,AD域和信任关系,三个管理单元
- 右击AD架构并选择更改AD域控制器
- 上方显示的时本服务器计算机,选择另一台计算机
- 回到控制台,右键AD架构,选择操作主机
- 在更改架构主机中选择更改
- 更改完成后当前主机和目标主机都为同一台
转移为RID PDC 基础结构主机
- 在控制台中右击AD用户和计算机,在弹出的对话框中选择更改AD域控制器
- 选择另一台主机,选择更改
- 返回控制台,右击AD用户和计算机,在弹出的对话框中选择操作主机
- 将RID PDC 基础结构主机都转移至另一台主机
转移域命名主机
- 右击AD域和信任关系,在弹出的对话框中选择更改域控制器
- 选择另一台域控制器
- 再次右击AD域和信任关系,选择操作主机
- 将本域操作主机角色转移至另一台域控制器
- 转移完成后发现,操作主机和目标主机一致
2.占用一种操作主机角色。
(1)打开命令提示符,输入"ntdsutil" 命令.在ntdsutil 命令提示符下,输入"roles" 命令。
在fsmo Maintenance命令提示符下,输入“ connection” 命令。
-
- 在server connections 命令提示符下,输入connect to server dc02 .benet.com 命令(由于第1台DC脱机.需要使用第2台DC进行域名解析)。
-
- 在sever comectiens命令提示符下, 输入"qut' 命令, 返回上一级命令提示符
(4)在fsrmo maintenance 命令提示符下,输入”seize rild master" 命令,按提示确认是否占用RIDMoster角色,单击‘是”
- 回到控制台,发现已被占用
(6)在fsmomaintenance命令提示符下继续分别输入. seize schema master”" seize PDC”“seize infrasttucture master””seize naming master”命令, 强制转移架构主机. POC仿真主机.基础结构主机和域命名主机
7域命名主机也被成功占用
总结:
(1)转移操作主机角色什么情况下使用?
当承担着操作主机角色的域控制器突然崩溃,或无法正常运行时.
(2)占用操作主机角色什么情况下使用?
如果占用操作主机角色的域控制器出了故障,并且短期内无法恢复,将无法转移操作主机角色,为了保证AD的正常运行,此时可以使用强制手段占用操作主机角色
(3)转移操作主机角色和占用操作主机角色的区别?
1.使用场景:转移必须是被转移操作主机角色的DC和需要获取操作角色的DC必须同时在线,而占用是必须被转移操作主机角色的DC宕机无法正常在线工作情况下才能使用
2.安全性上来说,转移比占用更加安全,原因是强占操作主机角色使得原先的DC不知晓自己的操作主机角色被占用,还是认为自己是有操作主机角色的,所以被强占操作主机角色的DC不允许再上线。