AD管理員必備技能(一)在線角色轉(zhuǎn)移

AD管理員必備技能(一)在線角色轉(zhuǎn)移
作為一個(gè)企業(yè)管理員來說，日常服務(wù)器的備份及災(zāi)難恢復(fù)是必不可少的技能，所以對(duì)于AD的一些災(zāi)難性的問題修復(fù)對(duì)于工程師來說也不算是一個(gè)什么大事，但是對(duì)于架構(gòu)的部署是非常嚴(yán)重的一件是，比如環(huán)境內(nèi)有多臺(tái)DC，如何將AD下的角色進(jìn)行分開部署等；今天我們主要閑談AD下5個(gè)角色的問題及角色在線遷移；
首先說說五大角色：
**1. 森林級(jí)別(一個(gè)森林只存在一臺(tái)DC有這個(gè)角色):
1.1.Schema Master:架構(gòu)主控
1.2.Domain Naming Master:域命名主控

2. 域級(jí)別(一個(gè)域里面只存一臺(tái)DC有這個(gè)角色):
   2.1.PDC Emulator :PDC仿真器
   2.2.RID Master :RID
   2.3.Infrastructure Master :結(jié)構(gòu)主控**
   接下來說說五大角色的功能：
   1.Schema Master架構(gòu)主控
   作用是修改活動(dòng)目錄的源數(shù)據(jù)。我們知道在活動(dòng)目錄里存在著各種各樣的對(duì)像，比如用戶、計(jì)算機(jī)、打印機(jī)等，這些對(duì)像有一系列的屬性，活動(dòng)目錄本身就是一個(gè)數(shù)據(jù)庫(kù)，對(duì)象和屬性之間就好像表格一樣存在著對(duì)應(yīng)關(guān)系，那么這些對(duì)像和屬性之間的關(guān)系是由誰(shuí)來定義的，就是Schema Master，如果大家部署過Exchange的話，就會(huì)知道Schema是可以被擴(kuò)展的，但需要大家注意的是，擴(kuò)展Schema一定是在Schema Master進(jìn)行擴(kuò)展的，在其它域控制器上或成員服務(wù)器上執(zhí)行擴(kuò)展程序，實(shí)際上是通過網(wǎng)絡(luò)把數(shù)據(jù)傳送到Schema上然后再在Schema Master上進(jìn)行擴(kuò)展的，要擴(kuò)展Schema就必須具有Schema Admins組的權(quán)限才可以
   2.Domain Naming Master:域命名主控
   這也是一個(gè)森林級(jí)別的角色，它的主要作用是管理森林中域的添加或者刪除。如果你要在你現(xiàn)有森林中添加一個(gè)域或者刪除一個(gè)域的話，那么就必須要和Domain Naming Master進(jìn)行聯(lián)系，如果Domain Naming Master處于Down
   機(jī)狀態(tài)的話，你的添加和刪除操作那上肯定會(huì)失敗的。
   3.PDC Emulator :PDC仿真器
   ⑴、處理密碼驗(yàn)證要求;
   密碼的修改，一般情況下，一旦密碼被修改，會(huì)先被復(fù)制到PDC Emulator，然后由PDC Emulator觸發(fā)一個(gè)即時(shí)更新，以保證密碼的實(shí)時(shí)性。
   ⑵、統(tǒng)一域內(nèi)的時(shí)間; 微軟活動(dòng)目錄是用Kerberos協(xié)議來進(jìn)行身份認(rèn)證的，在默認(rèn)情況下，驗(yàn)證方與被驗(yàn)證方之間的時(shí)間差不能超過5分鐘，否則會(huì)被拒絕通過，微軟這種設(shè)計(jì)主要是用來防止回放式***。所以在域內(nèi)的時(shí)間必須是統(tǒng)一的，這個(gè)統(tǒng)一時(shí)間的工作就是由PDC Emulator來完成的。
   (3)、統(tǒng)一修改組策略的模板
   4.RID Master :RID
   在Windows 2000的安全子系統(tǒng)中，用戶的標(biāo)識(shí)不取決于用戶名，雖然我們?cè)谝恍?quán)限設(shè)置時(shí)用的是用戶名，但實(shí)際上取決于安全主體SID，所以當(dāng)兩個(gè)用戶的SID一樣的時(shí)候，盡管他們的用戶名可能不一樣，但Windows的安全子系統(tǒng)中會(huì)把他們認(rèn)為是同一個(gè)用戶，這樣就會(huì)產(chǎn)生安全問題。而在域內(nèi)的用戶安全SID=Domain SID+RID，那么如何避免這種情況?這就需要用到RID Master，RID Master的作用是:分配可用RID池給域內(nèi)的DC和防止安全主體的SID重復(fù)。
   5.Infrastructure Master :結(jié)構(gòu)主控
   FSMO的五種角色中最無(wú)關(guān)緊要的可能就是這個(gè)角色了，它的主要作用就是用來更新組的成員列表，因?yàn)樵诨顒?dòng)目錄中很有可能有一些用戶從一個(gè)OU轉(zhuǎn)移到另外一個(gè)OU，那么用戶的DN名就發(fā)生變化，這時(shí)其它域?qū)τ谶@個(gè)用戶引用也要發(fā)生變化。這種變化就是由Infrastructure Master來完成的。

在FSMO的規(guī)劃時(shí)，請(qǐng)大家按以下原則進(jìn)行:
1、占有Domain Naming Master角色的域控制器必須同時(shí)也是GC;
2、不能把Infrastructure Master和GC放在同一臺(tái)DC上;
3、建議將Schema Master和Domain Naming Master放在森林根域的GC服務(wù)器上;
4、建議將Schema Master和Domain Naming Master放在同一臺(tái)域控制器上;
5、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺(tái)性能較好的域控制器上;
6、盡量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務(wù)器上;
接下來我們介紹如何在線轉(zhuǎn)移角色吧；
我們首先看看，我們環(huán)境內(nèi)有兩臺(tái)AD服務(wù)器；

站點(diǎn)信息

我們首先查看角色的所有者
我們當(dāng)前的角色都在ADDS-2服務(wù)器上，我們需要將角色轉(zhuǎn)移到ADDS-1上

在轉(zhuǎn)移前我們需要確認(rèn)下，轉(zhuǎn)移有兩種方式，第一種是在線轉(zhuǎn)移，言外之意就是所有的DC都是正常工作的情況下。
第二種情況下， 角色所在的DC服務(wù)器故障處于離線狀態(tài)，為了保證我們需要將角色強(qiáng)制轉(zhuǎn)移到在線的DC服務(wù)器上。
我們首先說說第一種；
當(dāng)所有的DC都處于在線狀態(tài)；我們?cè)诖耸褂妹钚羞M(jìn)行操作；
開始運(yùn)行--cmd---命令提示符中輸入--ntdsutil
然后輸入問號(hào)(?)來幫助，

輸入roles來進(jìn)入管理NTDS角色所有者令牌管理
我們通過幫助來看，發(fā)現(xiàn)有兩種命令，一個(gè)是transfer，另外一個(gè)是seize；
transfer是所有的DC服務(wù)器都處于在線狀態(tài)使用；
seize是角色所有者處于離線狀態(tài)來使用；

我們先使用transfer來進(jìn)行在線傳輸；在傳輸前，我們需要連接到服務(wù)器；所以需要使用connections
在 fsmo maintenance 命令提示符下，鍵入：
connection，回車。繼續(xù)？（問號(hào)）查看幫助

在 server connections 命令提示符下，鍵入：
connect to server ADDS-1(需要提升為主域控制器的計(jì)算機(jī)名)，回車。

在 server connections 命令提示符下，鍵入：
quit，回車。
在 fsmo maintenance 命令提示符下，鍵入：
在此時(shí)我們通過？（問號(hào)）查看幫助命令

傳輸角色的順序建議使用以下順序

 1.Transfer naming master
 2.Transfer infrastructure master
3.seize pdc
4.seize rid master
5.schema master

我們開始傳輸域命名主機(jī)
Transfer naming master


Transfer infrastructure master


Transfer RID master


Transfer PDC


Transfer schema master


我們?cè)俨榭?，所有的角色就傳輸?shù)紸DFS-1服務(wù)器上了；
netdom query fsmo