一.目的

在布署微软域环境过程中,系统会默认将域中第一台DC做为五种角色的操作主机,但是有时候我们需要手工指定更可靠更安全的DC来做操作主机,因为操作主机一旦损坏,那么整个域就会产生非常严重的后果,比如:无法新建(大量)用户帐户,用户无法访问AD和更改密码等。

二.目标:

将域中五种操作主机角色进行迁移

三.实现:

迁移之前先查看当前的FSMO操作主机:命令行执行netdom query fsmo

clip_p_w_picpath001

以上图可知,现在的操作主机角色全在DC2上,接下来我们将五种操作主机角色迁移到DC1

1. RID角色转移:

RIP主机主要是管理域中对象相对标识符(RID)池,对象安全标识符SID=域安全标识符+相对标识符(RID),一旦损坏,域中对象将无法获得新的RID池分配,现象为:无法新建(大量)用户。

转移方法:在“管理工具”-“AD用户和组”管理单元,右键-操作主机中更改。

clip_p_w_picpath002

clip_p_w_picpath003

2. PDC角色转移

模拟Windows NT PDC,默认的域主浏览器,默认的域内权威时间服务源,统一管理域帐号密码更新、验证及锁定。一旦损坏,底端客户将不能访问AD,不能更改用户密码,时间也不能同步。

转移:

转移方法:在“管理工具”-“AD用户和组”管理单元,右键-操作主机中更改。

clip_p_w_picpath004

clip_p_w_picpath005

3. 结构主机转移

结构主机主要是负责对跨域对象的引用更新,单域情况下一般不工作,一般产生故障后影响不太明显,故障现象为不能识别外域帐号。

转移:

转移方法:在“管理工具”-“AD用户和组”管理单元,右键-操作主机中更改。

clip_p_w_picpath006

clip_p_w_picpath007

4. 域命名主机转移

主要功能是负责控制域林内域的添加和删除,损坏后不能添加、删除域。

转移:

转移方法:在“管理工具”-“AD域和信任关系”管理单元,右键-操作主机中更改。

clip_p_w_picpath008

clip_p_w_picpath009

clip_p_w_picpath010

5. 架构主机转移

架构主机主要是控制AD内所有对象/属性的定义,损坏后短期内看不到影响,只是在安装布署高级的服务器产品时将会出现问题。比如:安装Exchange时,如果联系不上架构主机,将无法安装成功。

? 转移方法:

先注册架构域控:regsvr32 C:\WINDOWS\system32\schmmgmt.dll

然后在MMC控制台上添加其管理单元,进行角色转换:

clip_p_w_picpath011

clip_p_w_picpath012

clip_p_w_picpath013

clip_p_w_picpath014

clip_p_w_picpath015

clip_p_w_picpath016

clip_p_w_picpath017

四.测试:

至此五种操作主机在各主机角色都正常的情况下,完成了角色的转移,用VBS脚本查看:

clip_p_w_picpath018

命令行查看:

clip_p_w_picpath019

至此,FSMO五种操作主机角色就完成了正常的迁移了。

检验操作主机持有者VBS:看附件