额外域建立和FSMO角色转移及夺取.docx
- 文档编号:3799237
- 上传时间:2022-11-25
- 格式:DOCX
- 页数:25
- 大小:1,002.20KB
额外域建立和FSMO角色转移及夺取.docx
《额外域建立和FSMO角色转移及夺取.docx》由会员分享,可在线阅读,更多相关《额外域建立和FSMO角色转移及夺取.docx(25页珍藏版)》请在冰豆网上搜索。
额外域建立和FSMO角色转移及夺取
额外域建立和FSMO角色转移及夺取
网络环境:
DC+DNS
操作系统:
MicrosoftWindowsServer2003EER2
网卡信息:
IP:
10.10.10.1/24
首选DNS:
10.10.10.1
备用DNS:
10.10.10.2
DC+DNS
操作系统:
MicrosoftWindowsServer2003EER2
网卡信息:
IP:
10.10.10.2/24
首选DNS:
10.10.10.2
备用DNS:
10.10.10.1
对于公司网络管理员来说,最怕的就是域控服务器出故障。
一般都是采用备份系统状态和添加额外域控。
添加其他域控制器有助于提供容错,平衡现有域控制器的负载,提高网络服务的可用性和可靠性。
一.额外域控制器建立
对于公司中的第一台域控制器的安装,就不写了,以下为额外域控的安装。
先将DC2的IP设好,DNS设为DC1的IP,运行DCPROMO。
在如下图所示画面选“现有域的额外域控制器”
如果要提升为额外域控制器的这台电脑的本机管理员没有加密码,就会出现上图所示的错误信息。
安装完毕重启后,这样这台额外的域控制器就安装完成了。
但我们还要做些其它设定,
在DC1这台主域控上,打开DNS管理介面
选中正向区域的“_MSDCS.TEST.CN“,点右键属性,
确定打红线处的各项改为如上图所示,将DNS集成到AD中,便于管理和维护。
在“名称服务器”中将另外一台额外域控器添加进来。
点选“区域复制”,将“允许区域复制”打勾,并点选“只有在“名称服务器”选项卡中列出的服务器”这项。
依次在“TEST.CN”和反向解析区域“10.10.10.*subnet”做以上各步履,这样主域DNS服务器就设置完成。
在额外域控制器上安装DNS服务,安装完毕后,打开DNS管理器
你会发现,DNS的正向和反向区域都已经建好了,和主域控上的DNS服务器上一内容是一样。
在这台电脑上现再将各区域设置“允许区域复制”。
再将主域控的备用DNS地址填上额外域控的地址,相应的,将额外域控的首选DNS设为本身,备用DNS设为主域控的IP地址。
再将额外域控制器DC2本身设为“全局编录”
打开“ActiveDirectory站点和服务”,点选如图所示属性
将“全局编录”打勾,点确定退出。
网络就已经具备了AD的负载均衡。
这个时候,就算是主域DC1出现故障损坏,客户端(客户端首选和备用DNS各填写DC1和DC2的IP)依然可以正常登陆域和使用网络资源。
但是不能在额外域上对AD进行操作(比如进行Exchange和SMS2003的安装时圹展Schema)。
先查看FSMO角色的分布情况,这里用VBS脚本来查看,具体代码如下:
SetobjRootDSE=GetObject("LDAP:
//rootDSE")
Dimtext
'SchemaMaster
SetobjSchema=GetObject("LDAP:
//"&objRootDSE.Get("schemaNamingContext"))
strSchemaMaster=objSchema.Get("fSMORoleOwner")
SetobjNtds=GetObject("LDAP:
//"&strSchemaMaster)
SetobjComputer=GetObject(objNtds.Parent)
text="Forest-wideSchemaMasterFSMO:
"&objComputer.Name&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'DomainNamingMaster
SetobjPartitions=GetObject("LDAP:
//CN=Partitions,"&_
objRootDSE.Get("configurationNamingContext"))
strDomainNamingMaster=objPartitions.Get("fSMORoleOwner")
SetobjNtds=GetObject("LDAP:
//"&strDomainNamingMaster)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Forest-wideDomainNamingMasterFSMO:
"&objComputer.Name&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'PDCEmulator
SetobjDomain=GetObject("LDAP:
//"&objRootDSE.Get("defaultNamingContext"))
strPdcEmulator=objDomain.Get("fSMORoleOwner")
SetobjNtds=GetObject("LDAP:
//"&strPdcEmulator)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Domain'sPDCEmulatorFSMO:
"&objComputer.Name&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'RIDMaster
SetobjRidManager=GetObject("LDAP:
//CN=RIDManager$,CN=System,"&_
objRootDSE.Get("defaultNamingContext"))
strRidMaster=objRidManager.Get("fSMORoleOwner")
SetobjNtds=GetObject("LDAP:
//"&strRidMaster)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Domain'sRIDMasterFSMO:
"&objComputer.Name&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'InfrastructureMaster
SetobjInfrastructure=GetObject("LDAP:
//CN=Infrastructure,"&_
objRootDSE.Get("defaultNamingContext"))
strInfrastructureMaster=objInfrastructure.Get("fSMORoleOwner")
SetobjNtds=GetObject("LDAP:
//"&strInfrastructureMaster)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Domain'sInfrastructureMasterFSMO:
"&objComputer.Name&vbCrLf
WScript.Echotext
将其存为VBS文件,运行后。
如下图:
二.FSMO角色的转移。
须要在主域控制器DC1正常工作和在线的情况下才能执行转移,在此给出在图形方式下的转移方法,以下操作都是在额外域控制器DC2上进行。
1.SchemaMaste
在进行SCHEMAMASTE的图形下转移前,要先对schmmgmt注册。
点击“开始-运行”,输入:
“regsvr32schmmgmt”,回车:
注册成功。
在次AD服务器上运行MMC,“添加/删除管理单元”,将“ActiveDirectory架构”添加进去。
先在控制台上选中“ActiveDirectory架构”点击“右键”,选择“更改域控制器”
先在控制台上选中“ActiveDirectory架构”点击“右键”,选择“操作主机”
如下图所示,当前的架构主机是DC1。
点击“更改”出现提示“您确实要更改架构主机?
”,点确定,出面成功传送了操作主机,且当前架构主机已经变为DC2了,如下图:
2.RIDMaster、InfrastructureMaster、PDCEmulator
打开“ActiveDirectory用户和计算机”,选中“TEST.CN”域,右键选“操作主机”
在这里依次更改RIDMaster、InfrastructureMaster、PDCEmulator
3.DomainNamingMaster
打开“ActiveDirectory域和信任关系”管理器,在“ActiveDirectory域和信任关系”上点右键,选操作主机
在出现的新窗口上,点击更改。
三.FSMO角色的夺取。
当在主域控制器DC1出现故障损坏的情况下,对于FSMO的角色就不能进行转移了,这时就只能强行夺取了,需要用到ntdsutil命令行工具。
以下是命令行的步骤
打红线的地方,是要注意的地方,“connecttoserver“这里是连接到域,实际中,将其改为公司的域名就可以了。
在此由于DC1主域损坏不在线,所以只能用夺取(seize)而不能转移(transfer)。
这样就进入了正式夺取FSMO角色的关键步骤了,打入“?
”号,查看帮助,以Seize开头的FSMO五个角色命令都显示出来了,接下来我们只须在“fsmomaintenance:
”依次输入这五个命令就可以完成FSMO的五个角色的夺取。
1.Seizedomainnamingmaster
在出现的对话框点“是”
2.Seizeinfrastrurcturemaster
出错了!
不过没关系,这是正常的,因为主域DC1不在线,所以在夺取时会有这个出错信息。
红线部份给出了索取继续,所以结构角色会夺取到DC2上,接下来的各个角色的夺取也会有这个出错信息。
3.SeizePDC
4.SeizeRIDmaster
5.Seizeschemamaster
OK,至此,FSMO的五个角色就全部夺取完成。
再次运行脚本程序或在图形方式下查看,五个角色都已在DC2服务器上。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 额外 建立 FSMO 角色 转移 夺取