转移网域域控角色的方式
当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色, 在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域 控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方 式,5 大角色相信地球人都知道,HOHO.
PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下: 打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额 外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全
局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。
使用图形化界面 MMC 来转移域控角色
转移架构主机角色
使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册 Schmmgmt.dll
文件,然后才能使用此管理单元。 注册 Schmmgmt.dll
单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。
收到操作成功的消息时,单击确定。
1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。
2. 在文件菜单上,单击“添加/删除管理单元”。
3. 单击添加。
4. 依次单击 Active Directory 架构、添加、关闭和确定。
5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。
6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。
8. 单击更改。
9. 单击确定以确认您要转移该角色,然后单击关闭。
转移域命名主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 域和信任关系”。
2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角 色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名 称,然后单击确定。
- “或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击操作主机。
5. 单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
转移 RID 主机角色、PDC 模拟器角色和结构主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。
2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角 色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名 称,然后单击确定。
“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向所有任务,然后单击操作主机。
5. 单击要转移角色(RID、PDC 或 结构)的相应选项卡,然后单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭
使用 ntdsutil 工具转移域控角色和清除不存在的域控制器
1. 用 ntdsutil 来清除无效的 DC 信息
假如你的备份域为 abc.mstc.com 主域为 ctu.mstc.com,现在备份域坏了。那么你在装有 super tools 的主控域上执行如下命令:
C:\>ntdsutil
ntdsutil: metadata cleanup - 清理不使用的服务器的对象
metadata cleanup: select operation target - 选择的站点,服务器,域,角色和命名上下文
select operation target: connections - 连接到一个特定域控制器
server connections: connect to server ctu.mstc.com --绑定到 ctu.
用本登录的用户的凭证连接 ctu。
server connections: quit - 返回上一层目录
select operation target: list site - 在企业中列出站点(找到 1 个站点,标识为 0)
找到 1 站点
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com select operation target: select site 0 - 将标识为 0 的站点定为所选站点
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
没有当前域 没有当前服务器 当前的命名上下文
select operation target: list domains - 列出所有包含交叉引用的域 找到 1 域
0 - DC= mstc,DC=com
select operation target: select domain 0 - 将标识为 0 的域定为所选域
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
域 - DC= mstc,DC=com 没有当前服务器 当前的命名上下文
select operation target: list servers for domain in site - 列出所选域和站点中的服务 器(找到两个:0-abc.mstc.com;1-ctu. mstc.com)
找到 2 服务器
0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com
1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com
select operation target: select server 0 - 将标识为 0 的服务器(abc)定为所选服务器
——也就是要删除的 DC
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com
域 - DC= mstc,DC=com
服务器 -
CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com
DSA 对象 - CN=NTDS
Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
DNS 主机名称 - abc.mstc.com
计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com
当前的命名上下文
select operation target: quit - 返回上一层目录
metadata cleanup: remove select server - 从所选服务器上删除 DS 对象 在弹出的对话提示框上选择“是”,
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com”删除了,从服务器“ctu”
现在,abc.mstc.com 这个 Dc 对象就在你的 AD 里消失了.
2.用 ntdsutil 来转移 fsmo 五种角色。
当您运行 Dcpromo.exe 程序并安装 AD 时,将向目录林中的第一个域控制器授予五个 FSMO 角 色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范
围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每 个域各有三个特定于域的 FSMO 角色。这五个角色是 schema master-架构主机,Domain naming
master-域命名主机,Rid master-rid 主机,pdc master-pdc 防真器,Infrastructure Master-结构 主机。想要把这几种角色移动到另一台计算机上有 2 种方法,一种是转移,但必须 2 台计算机处于正 常运行状态。如果有其中某台处于离线状态只能用第二种方法,使用 ntdsutil 工具来强制获取这些 角色。现在如果你的主控坏了这些角色也都在主控上,请在装有 support tools 工具新的域控或备份 域控上执行如下命令:首先在 CMD 下运行
netdom query /d:域名 fsmo
查看一下当前哪些角色在哪台服务器上, 然后在 CMD 下运行
"ntdsutil"如果不知道命令怎么写,可以输入?得到帮助提示,
"roles"
"connections"
"connect to server 服务器名" 绑定一台当前在线的 DC 当连接成功后输入 q 退出 回到上一层(roles)准备做角色迁移
"Seize schema master"
"Seize domain naming master"
"Seize RID master"
"Seize PDC"
"Seize infrastructure master"
以上五个命令,分别用作迁移上面所提到的 5 个角色到我们之前绑定的服务器上。 完成后再次回到 CMD 下执行"netdom query /d:域名 fsmo",检查角色是否已被迁移
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。
3.对 AD 数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在 这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一 个很关键的操作,一旦出错将是灾难性的.
1. 用必要的备份软件备份你即将要操作的每一架 DC,如果没有专业的备份软件用 NTBackup 也可
以.
2. 重启 DC 按 F8 键进入目录服务恢复模式以进行对 AD 的操作.
3. 如果硬盘还有足够的空间那么请再次备份当前的 ntds.dit 文件,把它拷贝到一个临时文件夹
内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.
4. 在命令行下键入以下的命令:
a) Ntdsutil b) Files
c) Info (记下当前 ntds.dit 的路径.)
d) 键入 compact to "c:\compact" 以把经过压缩处理的 ntds.dit 文件放置到这个文件夹中保 存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).
5. 如果要退出 Ntdsutil 的界面,请连续两次键入下面的命令:
a) quit b) quit
6. 用在 c:\compact 文件夹下已经经过压缩后的 ntds.dit 覆盖当前的 ntds.dit.
7. 删除在 AD 数据库文件文件夹下的所有.log 文件.
8. 重新正常启动 DC.
9. 再次备份整理后的 DC,如果一切正常,你就可以把刚才复制备份的 ntds.dit 删