实战操作主机角色转移
实战操作主机角色转移(一)
今天我们通过一个实例为大家介绍如何实现操作主机角色的转移,这样如果Active Directory中操作主机角色出现了问题,我们就可以用今天介绍的知识来进行故障排除。
我们首先要明确一个重要原则,那就是操作主机角色有且只能有一个!如果操作主机角色工作在林级别,例如架构主机和域命名主机,那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别,例如PDC主机,结构主机和RID主机,那就意味着一个域内只能有一个这样的操作主机角色。
我们的犯罪现场很简单,contoso.com域里有2台08R2,dc.contoso.com是域内的第一台DC,fileserver是第二台DC,目前所有的角色都在dc上面,我们通过实验来重现角色的转移!
其实当我们用Dcpromo卸载域控制器上的Active Directory时,这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴,这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色,我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从DC转移到Fileserver上。
拓扑
犯罪过程:
一, 从DC转移到fileserver上
1,打开cmd,输入:netdom query fsmo,列出当前角色所在的位置,从图中可以看出。五个角色都在DC上!
2,然后我们运行,dsa.msc,打开用户和计算机,选择“查看”--“高级功能”
3,然后选择“操作”---操作主机,如图
4,右键选择Fileserver域控制器,因为我们要把现在连接的DC上的角色转移到Fileserver。所以在DC上首先连接到Fileserver,如图,细心的同学就会看到。dc.contoso.com后面的状态为“不可用”,这是因为他不能本身转给本身,所以这样显示!
5,我们发现可以转移三个操作主机角色,分别是PDC主机,RID主机和结构主机,分别选择主机类型然后更改,如图
6,接下来打开“域和信任关系”,首先连接Fileserver,来转移域命令主机,打开如图
7,更改即可!
8,还有一个GC,GC是需要注册一个组件的如图:
9,打开mmc,添加AD架构到mmc里,然后如图,首先连接Fileserver
10,最后我们来查看下角色的位置:
11,至此,我们完成了五个操作主机角色的转移。下面一篇是在命令行下进行转移!敬请期待!
实战操作主机角色转移(二)
上一篇,我们实战演示了图形界面的操作主机角色的转移,那么这一次呢,我们使用另外一种方法把角色完璧归赵,下面有请我们的老朋友---ntdsutil,如下图,运行ntdsutil,然后输入,roles,准备进行角色的转移
1,在ntdsutil里,不用记那些繁琐的命令,只要随时打“?”理解中文解释就可以了!是不是很方便去呀!
2,在Roles状态下,我们首先要使用connections命令来连接到特定的域控制器,连接到哪个域控制器呢?应该连接到操作主机转移的目标域控制器,在我们这个例子中应该是dc.contoso.com,如图所示,我们输入命令connect to server dc.contoso.com
3,连接到dc.contoso.com后,如下图所示,我们用quit命令返回上级菜单,用?列出当前状态下的所有可执行指令,我们发现转移五个操作主机角色只需要简单执行五条命令即可,这五条指令分别是:
Transfer domain naming master 转移域命名主机
Transfer infrastructure master 转移结构主机
Transfer PDC 转移PDC主机
Transfer RID master 转移RID主机
Transfer schema master 转移架构主机
4,比如,传送架构主机,在powershell里复制粘贴,然后确定,很快就会显示,dc.contoso.com服务器知道了有关5作用,也就是说成功了,其他的也是,直接复制粘贴,然后确定即可!
5,如图所说,我们已经完成了在命令行下进行角色的转移,
6,以上是在2台DC正常的情况下进行的,也就是说是正常操作,那么,在我们生产环境中,有时候情况并不是那么乐观,如果说DC。contoso.com这台服务器挂了。没办法在修复好了,需要重装系统等,不能正常的进行通信了,那么我们该如何处理呢?
不要急,有问题就会有解决的办法的,让我们来看过程
7,首先。我禁用了dc.contoso.com的网卡,模拟DC这台服务器挂了,联系不上了,此时角色在dc.contoso.com上。我们需要转移到Fileserver行继续提供服务
8,进入ntdsutil---roles---连接Fileserver,
9,我们测试的用安全的转移方法来传送,会报错,因为他已经没办法和dc.contoso.com通信了也就不能再安全情况下进行转移了!那么我们只有强制的占用
10,使用占用的命令,如图,和转移到命令一样,可以在“?”里面复制粘贴即可,先测试一个架构主机的占用。时间稍微长了一点,大概2分钟左右,其他的也一样,都占用一次即可,我们就可以利用这些指令强行把一个域控制器指定为操作主机。这五条指令分别是:
Seize naming master指定域命名主机 Seize infrastructure master指定结构主机 Seize PDC指定PDC主机 Seize RID master指定RID主机 Seize schema master指定架构主机
11,最后完成后我们来检测一下角色的位置,如图,已经成功的占用了角色
12,至此,角色的转移和占用都已经演示完毕了,但问题还没完,在角色占用完成后,还有后期的处理,比如DNS里记录的删除,站点和服务组件里的默认站点里的默认拓扑还需要手动的进行删除已经不存在或者损坏了的DC,还需要进行元数据的删除等,这些内容将在下一篇进行解释!
实战操作主机角色转移之清除宕机DC的元数据(三)
根据上一篇的演示,我们已经会运用ntdsutil来进行角色的转移和占用,但问题也就来了,当我们使用了占用角色后,就不在允许之前的DC重新的接入域中,必须重装系统重新加入域,然后提升才可以,这在生产环境中也是必然的,因为如果主DC的故障能够很快的修复,那么我们也就没必要进行角色的占用了,占用是用在主DC系统损坏,硬件故障等比较长时间离线,进而影响到生产的时候才用!下面就让我们来看看占用角色后的进一步处理过程:
拓扑:
dc.contoso.com 主DC,硬盘格式化了,需要删除
fileserver.Contoso.com 辅助DC,占用角色
犯罪过程:
1,打开cmd输入:ntdsutil 然后 Enter
2、ntdsutil:
输入:metadata cleanup 然后 Enter
这一步的意思:进入清理不使用的服务器的对象
3、metadata cleanup:
输入 :connections 然后 Enter
这一步的意思是连接到一个特定的ADDC/LDS实例
4、server connections:
输入:connect to server fileserver.Contoso.com 然后 Enter
这一步的意思是:选择一个存活的一台DC
系统提示:
绑定到 fileserver
用本登录的用户的凭证连接 fileserver
5、server connections:
输入 :quit 然后 Enter
这时进入“清除元数据”菜单
6、metadata cleanup: 输入 :select operation target 然后 Enter
进入:选择的站点,服务器,域,角色和命名上下文
7、select operation target: 输入 :list domains 然后 Enter
这一步的意思是:列出在fileserver上的所有域,如果有多个域的话,后面还会显示一行,比如:1 - dc=test,dc=com
系统提示:
找到 1 域
0 - DC=contoso,DC=com
8,select operation target:
输入:select domain 0 然后 Enter
这一步的意思是:在这里,cotoso这个域的代码是前面的数字“0“,你必须填写代码,填写contoso域名的话会报语法错误,如果有多个域,选择的时候看清楚域名前面的数字代码进行选择即可
9、select operation target:
输入:list site 然后 Enter
这一步的意思是:列出fileserver上的所有站点
系统提示:
找到 1 站点
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com
10、select operation target:
输入:select site 0 然后 Enter
这一步的意思是:选择当前列出的站点“0“和前面一样也是用数字代表的,不能用域名替代,会报语法错误!
系统提示:
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=contoso,DC=com
域 - DC=contoso,DC=com
没有当前服务器
当前的命名上下文
11、select operation target:
输入:list servers in site 然后 Enter
这一步的意思是:列出刚才所选择的在“0“站点里的”0“域名里的所有域控制器
12、select operation target:
输入:select server 0 然后 Enter
这一步的意思是:选择列出的2个域控制的第一个代码“0”的域控制器,也就是dc.contoso.com,这里也是选择数字代码,不支持选择域名!
13、select operation target:
输入: quit 然后 Enter
14、metadata cleanup:
输入: remove select server 然后 Enter
这一步的意思是:移动刚刚选择的域控制器“0”,也就是dc.contoso.com
系统提示:弹出服务器删除确认对话框
注意:此服务器应该已经永久脱机且不再返回服务,如果返回联机,该服务器对象将被恢复
你想继续吗?
选择“是”
OK,到此在命令提示符下的操作己完成。
15、最后打开““Active Driectory站点和服务””找到默认站点上的DC按右键“删除”
最后重启fileserver