转移网域域控角色的方式

转移网域域控角色的方式

当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色, 在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域 控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方 式,5 大角色相信地球人都知道,HOHO.

PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下: 打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额 外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全

局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。

使用图形化界面 MMC 来转移域控角色

转移架构主机角色

使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册 Schmmgmt.dll

文件,然后才能使用此管理单元。 注册 Schmmgmt.dll

单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。

收到操作成功的消息时,单击确定。

1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。

2. 在文件菜单上,单击“添加/删除管理单元”。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。

6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。

7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色,然后单击关闭。

转移域命名主机角色

1. 单击开始,指向管理工具,然后单击“Active Directory 域和信任关系”。

2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。

注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角 色的域控制器,则不必执行此步骤。

3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名 称,然后单击确定。

- “或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。

4. 在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击操作主机。

5. 单击更改。

6. 单击确定以确认您要转移该角色,然后单击关闭。

转移 RID 主机角色、PDC 模拟器角色和结构主机角色

1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。

2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。

注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角 色的域控制器,则不必执行此步骤。

3. 执行下列操作之一: • 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名 称,然后单击确定。

“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。

4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向所有任务,然后单击操作主机。

5. 单击要转移角色(RID、PDC 或 结构)的相应选项卡,然后单击更改。

6. 单击确定以确认您要转移该角色,然后单击关闭

使用 ntdsutil 工具转移域控角色和清除不存在的域控制器

1. 用 ntdsutil 来清除无效的 DC 信息

假如你的备份域为 abc.mstc.com 主域为 ctu.mstc.com,现在备份域坏了。那么你在装有 super tools 的主控域上执行如下命令:

C:\>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服务器的对象

metadata cleanup: select operation target - 选择的站点,服务器,域,角色和命名上下文

select operation target: connections - 连接到一个特定域控制器

server connections: connect to server ctu.mstc.com --绑定到 ctu.

用本登录的用户的凭证连接 ctu。

server connections: quit - 返回上一层目录

select operation target: list site - 在企业中列出站点(找到 1 个站点,标识为 0)

找到 1 站点

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com select operation target: select site 0 - 将标识为 0 的站点定为所选站点

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

没有当前域 没有当前服务器 当前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域 找到 1 域

0 - DC= mstc,DC=com

select operation target: select domain 0 - 将标识为 0 的域定为所选域

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

域 - DC= mstc,DC=com 没有当前服务器 当前的命名上下文

select operation target: list servers for domain in site - 列出所选域和站点中的服务 器(找到两个:0-abc.mstc.com;1-ctu. mstc.com)

找到 2 服务器

0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

select operation target: select server 0 - 将标识为 0 的服务器(abc)定为所选服务器

——也就是要删除的 DC

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

域 - DC= mstc,DC=com

服务器 -

CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

DSA 对象 - CN=NTDS

Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主机名称 - abc.mstc.com

计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com

当前的命名上下文

select operation target: quit - 返回上一层目录

metadata cleanup: remove select server - 从所选服务器上删除 DS 对象 在弹出的对话提示框上选择“是”,

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com”删除了,从服务器“ctu”

现在,abc.mstc.com 这个 Dc 对象就在你的 AD 里消失了.

2.用 ntdsutil 来转移 fsmo 五种角色。

当您运行 Dcpromo.exe 程序并安装 AD 时,将向目录林中的第一个域控制器授予五个 FSMO 角 色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范

围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每 个域各有三个特定于域的 FSMO 角色。这五个角色是 schema master-架构主机,Domain naming

master-域命名主机,Rid master-rid 主机,pdc master-pdc 防真器,Infrastructure Master-结构 主机。想要把这几种角色移动到另一台计算机上有 2 种方法,一种是转移,但必须 2 台计算机处于正 常运行状态。如果有其中某台处于离线状态只能用第二种方法,使用 ntdsutil 工具来强制获取这些 角色。现在如果你的主控坏了这些角色也都在主控上,请在装有 support tools 工具新的域控或备份 域控上执行如下命令:首先在 CMD 下运行

netdom query /d:域名 fsmo

查看一下当前哪些角色在哪台服务器上, 然后在 CMD 下运行

"ntdsutil"如果不知道命令怎么写,可以输入?得到帮助提示,

"roles"

"connections"

"connect to server 服务器名" 绑定一台当前在线的 DC 当连接成功后输入 q 退出 回到上一层(roles)准备做角色迁移

"Seize schema master"

"Seize domain naming master"

"Seize RID master"

"Seize PDC"

"Seize infrastructure master"

以上五个命令,分别用作迁移上面所提到的 5 个角色到我们之前绑定的服务器上。 完成后再次回到 CMD 下执行"netdom query /d:域名 fsmo",检查角色是否已被迁移

在“常规”选项卡上,找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。

3.对 AD 数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在 这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一 个很关键的操作,一旦出错将是灾难性的.

1. 用必要的备份软件备份你即将要操作的每一架 DC,如果没有专业的备份软件用 NTBackup 也可

以.

2. 重启 DC 按 F8 键进入目录服务恢复模式以进行对 AD 的操作.

3. 如果硬盘还有足够的空间那么请再次备份当前的 ntds.dit 文件,把它拷贝到一个临时文件夹

内作为备份直到所有的整理工作成功完成.记住,不要重新命名文件,否则整个压缩过程不可能完成.

4. 在命令行下键入以下的命令:

a) Ntdsutil b) Files

c) Info (记下当前 ntds.dit 的路径.)

d) 键入 compact to "c:\compact" 以把经过压缩处理的 ntds.dit 文件放置到这个文件夹中保 存, 如果这个文件不存在,Ntdsutil 会自动建立一个(这个文件夹可以是任意名字).

5. 如果要退出 Ntdsutil 的界面,请连续两次键入下面的命令:

a) quit b) quit

6. 用在 c:\compact 文件夹下已经经过压缩后的 ntds.dit 覆盖当前的 ntds.dit.

7. 删除在 AD 数据库文件文件夹下的所有.log 文件.

8. 重新正常启动 DC.

9. 再次备份整理后的 DC,如果一切正常,你就可以把刚才复制备份的 ntds.dit 删

转载于:https://www.cnblogs.com/ccfxny/archive/2009/06/10/1500543.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值