本文出自 “王达博客” 博客,转载请与作者联系!
作者已授权本博客转载
1.3.1 FSMO角色的Windows界面查看和转移示例
利用Windows管理工具控制台界面可以完成以上所介绍的所有五种操作主机角色的查看和转移,但不同角色需要在不同的管理单元控制台中进行。
建议在以下情况下转移FSMO角色:
l 当前角色担任者可以运行,并且新的 FSMO 所有者可以通过网络访问它。也就是在当前角色担当者不能正常工作时,不能采用角色转移方法,也不能转移成功。
l 正在正常降级一台域控制器,它目前正担任着Active Directory林中某个特定域控制器的某个FSMO角色。
l 由于要进行定期维护,需要使目前担任FSMO角色的域控制器脱机,并且需要将该主机当前所提示的特定FSMO角色分配给一台“活动的”域控制器主机。对于PDC仿真器角色来说,尤其如此;但对于RID主机角色、域命名主机角色和架构主机角色来说,则不尽然,因为这些主机角色的工作负担比较轻,一般很少需要做定期维护。
1. 林级别的操作主机角色查看与转移
通过前面的介绍我们知道,林级别有两种操作主机角色:架构主机和域命名主机。但查看和转移它们所用的管理单元控制台是不同的。架构主机角色的查看和转移必须在“Active Directory架构”管理单元控制台中进行;而域命名主机角色的查看和转移必须在“Active Directory域和信任关系”管理单元控制台中进行。
l 架构主机角色的查看和转移
架色主机 角色的转移必须在林当前架构主机所在的根域域控制器(可以是额外域控制器)的“Active Directory架构”管理单元控制台上进行操作,不能在子域域控制器上进行(当前林中的架构主机角色可以在林中任何域控制器上进行查看)。但在Windows 2000 Server和Windows Server 2003域中,“Active Directory架构”管理单元默认是没有注册的,在控制台中不能直接调用。
在本实验中,林中根域的第一台域控器为lycb-DC1.lycb.local,它默认是集林级别下的架构主机、域命名主机角色,以及林根域lycb.local的RID主机、PDC仿真器主机和基础结构主机三种域级别主机角色。下面以把林级别架构主机角色转移到林根域lycb.local的lycb-DC2额外域控制器为例介绍架构主机角色的查看和转移方法。
【注意】利用Windows控制台界面方法转移任何主机角色时,都必须保证相应角色的源操作主机和目标操作主机域控制器当前已开启且正常工作,否则转移不会成功。
(1)在执行架构主机角色转移的林根域域控制器上(如果是仅查看架构主机角色,则可以林中任何域的域控制器上,本示例以lycb-DC1上操作为例进行介绍)的“运行”窗口中输入“regsvr32 schmmgmt.dll”命令注册“Active Directory架构”管理单元。注册成功后会弹出如图1-24所示提示。
图1-24 “Active Directory架构”管理单元注册成功提示框
(2)在“运行”窗口中输入“mmc”命令,打开一个新的控制台窗口,如图1-25所示。
(3)执行【文件】→【添加/删除管理单元】菜单操作,打开如图1-26所示对话框。
(4)单击“添加”按钮,打开如图1-27所示对话框。
(5)选择“Active Directory架构”选项(如果不先进行第1步的“Active Directory架构”管理单元注册操作,则在此看不到此管理单元),然后单击“添加”按钮,把“Active Directory架构”管理单元添加到如图1-26所示的管理单元列表中。
(6)单击“关闭”按钮返回到如图1-26所示对话框。然后单击“确定”按钮返回到如图1-25所示控制台窗口。此时已添加了“Active Directory架构”管理单元,如图1-28所示。
图1-25 新的控制台窗口
图1-26 “添加/删除管理单元”对话框“独立”选项卡 图1-27 “添加独立管理单元”对话框
图1-28 添加了“Active Directory架构”管理单元的控制台窗口
(7)在“Active Directory架构”节点上单击右键,在弹出菜单中选择“更改域控制器”选项,打开如图1-29所示对话框。选择“指定名称”单选项,然后在后面的文本框中输入要把架构主机角色转移到的域控制器的DNS完整合格域名——lycb-DC2.lycb.local。然后单击“确定”按钮返回到图1-28所示“Active Directory架构”控制台窗口把当前连接的域控制器指向了lycb-DC2。默认连接的是当前域控制器。当然必须要先保证lycb-DC2域控制器当前处于正常工作状态。
(8)再在图1-28所示控制台窗口的“Active Directory架构”节点上单击右键,在弹出菜单中选择“操作主机”选项,打开如图1-30所示对话框。在其中显示了当前架构主机所在的域控制器,以及要转移后的架构主机所在域控制器。
【说明】如果是在子域控制器上进行上述操作,打开的如图1-30所示对话框中,“更改”按钮呈灰色显示,不可操作。说明在子域中不能对林级别主机角色进行更改。
图1-29 “改变域控制器”对话框 图1-30 “更改架构主机”对话框
(9)在确保源操作主机(也就是当前当前担当某角色的主机)和目标操作主机(也就是要把某角色转移到的主机)当前都处于正常工作状态时,单击“更改”按钮,弹出如图1-31所示警告提示框。要求再次确认是否要转移架构主机角色。单击“是”按钮,即开始转移架构主机角色。成功后显示如图1-32所示成功提示框。
【注意】要转移主机角色,必须先先执行第7步操作,否则如果直接进行第8、第9步的主机角色更改操作,则系统会弹出如图1-33所示错误提示框。指出当前域控制器已为该操作主机角色,要更改为其他域控制器,需要先将“Active Directory架构”指向该域控制器。
图1-31 架构主机转移确认警告提示框 图1-32 架构主机转移成功提示框
图1-33 在没有更改当前连接域控制器情况下进行主机角色更改时的错误提示
【经验之谈】在进行包括架 构主机角色,或者域命名角色或者三种域级别操作主机角色转移时(在转移域级别操作主机角色时也可能会出现),往往会出现如图1-34所示错误提示,说“不能连接当前的FSMO盒”。这是因为源或者目标角色主机当前没有处于正常工作状态,或者当前进行角色转移操作的域控制器不能与源,或者目标角色主机角色建立通信联系所致。如果确认都正常工作,则建议按照域控制器的安装顺序重启源和目标域控制器,一般都可以解决这一问题。有时也可能是在FSMO角色转移命令输入中的域控制器的DNS名称输入错误所致,输入时一定要仔细检查。注意输入的是目标域控制器的完整合格的DNS名称,而不是NetBIOS名称。
图1-34 林级别主机角色转移时常见的一种故障提示框
l 域命名主机角色的查看与转移
与架构主机角色一样,域命名主机角色也是林级别的,域命名主机角色的转移也需要在林根域中的域控制器上进行操作,不能在子域域控制器上进行操作(如果仅是查看,则可以)。与架构主机角色查看和转移不同的是,域命名主机角色的查看和转移是在林根域域控制器的“Active Directory域和信任关系”管理单元控制台中进行,而不是在“Active Directory架构”管理单元上进行。
因为一般来说,建议架构主机与域命名主机这两种角色最好是在同一台林根域域控制器之上,前面我们已把架构主机角色从lycb-DC1转移到了lycb-DC2上,所以在此也把域命名主机角色从lycb-DC1转移到了lycb-DC2域控制器上。可以在林根域的任何域控制器上进行操作,在此就以在命名主机当前所在的lycb-DC1域控制器上操作为例进行介绍。
(1)在林根域主域控制器lycb-DC1上执行【开始】→【管理工具】→【Active Directory域和信任关系】菜单操作,打开如图1-35所示“Active Directory域和信任关系”管理单元控制台窗口。
图1-35 “Active Directory域和信任关系”管理单元控制台窗口
(2)在“Active Directory域和信任关系”节点上单击右键,在弹出菜单中选择“连接到域控制器”选项,打开如图1-36所示对话框。在下面“输入另一个域控制器名称”的文本框中输入,或者在下面的“或者选择一个可用的域控制器”列表中选择要把域命名主机角色转移到的域控制器完整域名——lycb-DC2.lycb.local。然后单击“确定”按钮返回到图1-35所示“Active Directory域和信任关系”控制台窗口把当前连接的域控制器指向了lycb-DC2(默认连接的是当前域控制器)。当然也必须要先保证lycb-DC2域控制器处于正常工作状态。
如果目标域控制器lycb-DC2.lycb.local当前没有开启,或者工作不正常,在连接时都会弹出如图1-37所示错误提示框。所以在转移角色时,目标域控制器必须开启且正常工作。
(3)再在“Active Directory域和信任关系”节点上单击右键,在弹出菜单中选择“操作主机”选项,打开如图1-38所示对话框。在其中可以查看到域命名主机角色当前所在的域控制器完整合格为lycb-DC1.lycb.local,而现在要把域命名角色转移到的域控制器完整合格是lycb-DC2.lycb.local。
(4)在确保源操作主机和目标操作主机当前都处于正常工作状态时,单击“更改”按钮,系统首先弹出如图1-39所示确认对话框,询问是否真的要把域命名主机角色转移到其他域控制器上。单击“是”按钮,如果转移成功,会弹出如图1-40所示提示框。单击“确定”按钮即完成域命名主机角色的转移。如果弹出的是如图1-34所示错误提示框,则仍按照上节介绍的方法进行排除。
图1-36 “连接到域控制器”对话框 图1-37 当连接没有开启或者不正常工作的目标域控制器时出现的错误提示框
图1-38 “更改操作主机”对话框 图1-39 域命名角色转移确认提示框
图1-40 域命名主机成功转移提示框
2. 域级别操作主机角色的查看和转移
上面介绍的是两种林级别操作主机角色(包括架构主机角色和域命名主机角色两种)Windows控制台界面的查看和转移方法,下面介绍域级别操作主机角色(包括RID主机角色、PDC仿真器主机角色和基础结构主机角色三种)的Windows控制台界面的查看和转移方法。
与林级别的两种操作主机要分别在两种不同管理单元控制台中进行操作不同,域级别操作主机角色的查看和转移都是在对应域或者子域下的域控制器“Active Directory用户和计算机”(ADUC)管理单元上进行操作,更加方便。对于信任域(有关域的信任关系将在本书第3章具体介绍),可以在任意信任域进行角色转移操作(需要事先在ADUC管理单元控制台中进行“连接到域”操作),但也只能把角色转移到相同域下的域控制器上。
下面仍以本实验中的lycb.local根域下的主机角色查看和转移为例进行介绍,因为本实验中两个子域下各只有一台域控制器,无法把主机角色转移到其他域控制器上。当然,如果子域中也有多台域控制器,同样可以在对应子域的域控制器上进行角色查看和转移。
域级别的三种操作主机角色默认都集中在相应域的第一台域控制器上。如本实验中的lycb.local根域的三种域级别操作主机角色默认都集中在第一台域控制器lycb-DC1上。现假设要把RID主机角色转移到lycb-DC2域控制器上,而要把PDC仿真器主机和基础结构主机角色都转移到lycb-DC3域控制器上。下面是具体的转移方法(假设是在lycb-DC1域控制器上进行操作,但可以在对应域的任意域控制器上操作)。
(1)在lycb-DC1域控制器上执行【开始】→【管理单元】→【Active Directory用户和计算机】菜单操作,打开如图1-41所示ADUC管理单元控制台窗口。
图1-41 “Active Directory用户和计算机”控制台窗口
(2)先来转移RID主机角色。在lycb.local域上单击右键,在弹出菜单中选择“连接到域控制器”选项,打开如图1-36一样的对话框。在下面“输入另一个域控制器名称”的文本框中输入,或者在下面的“或者选择一个可用的域控制器”列表中选择要把RID主机角色转移到的域控制器完整域名——lycb-DC2.lycb.local。然后单击“确定”按钮返回到图1-41所示“Active Directory用户和计算机”控制台窗口把当前连接的域控制器指向了lycb-DC2(默认连接的是当前域控制器)。当然首先要确保lycb-DC2当前正在正常工作之中,否则会弹出如图1-37所示错误提示框。
(3)再在“Active Directory用户和计算机”控制台窗口的lycb.local节点上单击右键,在弹出菜单中选择“操作主机”选项,打开如图1-42所示对话框。在其中显示了三种域级别操作主机角色查看和转移所用的RID、PDC仿真器和基础结构三个选项卡。由此可见三种主机角色转移操作都可以在此集中进行操作,而不必分开在不同管理单元进行。从中可以看出,当前,lycb.local的RID操作主机角色是位于lycb-DC1域控制器上,而当前可以转移到的域控制器都是lycb-DC2域控制器,因为在上一步已把ADUC控制台连接到了lycb-DC2域控制器上。
(4)按照实验要求,先把RID主机角色转移到lycb-DC2域控制器上,当然事先必须确保RID源操作主机lycb-DC1和目标RID操作主机lycb-DC2域控制器已开启且处于正常工作状态。在图1-42所示对话框中单击“更改”按钮,系统会弹出如图1-43所示主机角色转移确认提示框。单击“是”按钮即可完成把RID主机角色从lycb-DC1域控制器转移到lycb-DC2域控制器上。成功后会弹出如图1-44所示提示框。
(5)再按照实验要求,把PDC仿真器主机角色和基础结构主机角色从lycb-DC1域控制器上转移到lycb-DC3上(同样要求当前这两种角色以前所在主机lycb-DC1和目标主机lycb-DC3都处于正常工作状态)。在如图1-42所法ADUC控制lycb.local域名上单击右键,在弹出菜单中选择“连接到域控制器”选项,同样打开如图1-36一样的对话框。此时要输入或者选择lycb-DC3域控制器,使ADUC连接到lycb-DC3域控制器。
(6)再在“Active Directory用户和计算机”控制台窗口的lycb.local节点上单击右键,在弹出菜单中选择“操作主机”选项,在打开的对话框中选择“PDC”选项卡,如图1-45所示。从中可以看出,当前,lycb.local的PDC仿真器主机角色是位于lycb-DC1域控制器上,而当前可以转移到的域控制器都是lycb-DC3域控制器,因为在上一步已把ADUC控制台连接到了lycb-DC3域控制器上。
图1-42 “操作主机”对话框“RID”选项卡 图1-43操作主机转移确认提示框
图1-44 操作主机角色成功转移提示框 图1-45“操作主机”对话框“PDC”选项卡
(7)在确保源操作主机和目标操作主机当前都处于正常工作状态时,单击“更改”按钮,系统会弹出如图1-43所示主机角色转移确认提示框。单击“是”按钮即可完成把PDC仿真器主机角色从lycb-DC1域控制器转移到lycb-DC3域控制器上。成功后也会弹出如图1-44所示提示框。
(8)在如图1-45所示对话框中选择“结构”选项卡,如图1-46所示。从中可以看出,当前,lycb.local的基础结构主机角色是位于lycb-DC1域控制器上,而当前可以转移到的域控制器都是lycb-DC3域控制器,因为在第5步已把ADUC控制台连接到了lycb-DC3域控制器上。当然首先要确保lycb-DC2当前正在正常工作之中。
(9)在确保源操作主机和目标操作主机当前都处于正常工作状态时,单击“更改”按钮,系统会弹出如图1-43所示主机角色转移确认提示框。单击“是”按钮即可完成把基础结构主机角色从lycb-DC1域控制器转移到lycb-DC3域控制器上。成功后也会弹出如图1-44所示提示框。然后单击图1-46所示“结构”选项卡的“关闭”按钮关闭对话框,完成了实验中要求的所有三种域级别主机角色的查看和转移操作。
图1-46 “操作主机”对话框“结构”选项卡
【经验之谈】在信任域之间(如父域与子域之间,在Windows Server 2003域网络中默认是相互信任的),可以通过在“Active Directory用户和计算机”管理单元控制台(ADUC)中执行“连接到域”操作,实现跨域的操作主机角色转移。如现在如图1-41所示的lycb-DC1上的ADUC控制“Active Directory用户和计算机”根节点或者lycb.local域名上单击右键,在弹出菜单中选择“连接到域控制器”选项,打开如图1-47所示对话框。在其中输入信任域的域名,如本实验中的BeiJing.lycb.local子域。单击“确定”按钮后即可显示如图1-48所示的BeiJing.lycb.local子域的ADUC。在其中的BeiJing.lycb.local子域上单击右键,依次按照前面域级别操作主机角色转移方法中介绍的,在弹出菜单中选择“更改域控制器”和“操作主机”选项,则可在父域lycb.local的lycb-DC1域控制器上进行子域级别域级别操作主机角色的转移。当然,必须要先确保要转移的主机角色的BeiJing.lycb.local子域上的源和目标主机都处于正常工作状态。
图1-47 “连接到域”对话框
图1-48 更改域后的ADUC