实战操作主机角色转移Active Directory系列之十.docx

1、实战操作主机角色转移Active Directory系列之十实战操作主机角色转移 上篇博文中我们介绍了操作主机在Active Directory中的用途，今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果Active Directory中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。 我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别，例如PDC主机，结构主机和RID主机，那就意味着一个域内只能有一个这样的操作主机角色

2、。 我们的实验拓扑如下图所示，A域内有两个域控制器，Florence和Firenze。Florence是域内的第一个域控制器，目前所有的操作主机角色都在Florence上，我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。 其实当我们用Dcpromo卸载域控制器上的Active Directory时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。一 从

3、Florence转移到Firenze 在Florence上打开Active Directory用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。如下图所示，我们发现可以转移三个操作主机角色，分别是PDC主机，RID主机和结构主机，但奇怪的是，我们希望把操作主机角色从Florence转移到Firenze，但为何工具中显示的是我们只能把操作主机角色从Florence转移到Florence呢？上述问题很容易解释，如果我们希望把Firenze作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向Firenze。从下图所示，在Active Directory用户和计算机中右键单

4、击，选择“连接到域控制器”，从域控制器列表中选择Firenze即可。我们把域控制器的焦点指向Firenze后，接下来就发现可以把操作主机角色从Florence转移到Firenze了，如下图所示，我们点击“更改”，准备把RID主机角色从Florence转移到Firenze。系统弹出窗口询问是否确定进行操作主机角色的转移，我们选择“是”。通过上述过程，我们可以非常轻松地把RID主机角色从Florence转移到Firenze，如下图所示，操作主机角色的转移已经成功。用同样的方法，我们可以很轻松地把PDC和结构主机也转移到Firenze上。转移了RID主机，PDC主机和结构主机后，我们来尝试一下域命名

5、主机。在Florence上打开Active Directory域和信任关系，注意先把域控制器的焦点指向Firenze，然后如下图所示，右键单击Active Directory域和信任关系，从菜单中选择“操作主机”。如下图所示，我们点击“更改”把域命名主机角色从Florence转移到Firenze，整个过程实现起来非常简单。如下图所示，域命名主机角色已经转移到Firenze上了。 最后我们要转移的操作主机角色是架构主机，架构主机由于角色非常重要，微软甚至没有为我们预设管理工具，因此我们首先要通过注册动态链接库来获得转移架构主机所需要的管理工具。如下图所示，我们运行regsvr32 schmmgm

6、t.dll，系统提示注册动态链接库成功。注册了动态链接库后，我们运行MMC，在文件菜单中选择“添加/删除管理单元”，这时我们会发现可以添加一个名为“Active Directory架构”的管理单元，这就是注册了动态链接库的作用。使用这个Active Directory架构管理单元，如下图所示，选择“操作主机”进行架构主机的转移，同样不要忘记在之前把域控制器焦点指向Firenze。如下图所示，点击“更改”把架构主机角色转移到Firenze上。 从下图的结果来看，架构主机的转移是成功的，至此，我们完成了五个操作主机角色的转移。 二 从Firenze转移到Florence现在五个操作主机角色都集中在

7、Firenze上，我们再为大家介绍一种方法把操作主机角色完璧归赵，还给Florence，这种方法就是使用我们非常熟悉的工具NTDSUTIL。如下图所示，运行ntdsutil，然后输入roles，准备进行操作主机角色的转移。 如下图所示，在Roles状态下，我们首先要使用connections命令来连接到特定的域控制器，连接到哪个域控制器呢？应该连接到操作主机转移的目标域控制器，在我们这个例子中应该是Florence，如图所示，我们输入命令connect to server Florence。连接到Florence后，如下图所示，我们用quit命令返回上级菜单，用？列出当前状态下的所有可执行指令

8、，我们发现转移五个操作主机角色只需要简单执行五条命令即可，这五条指令分别是：Transfer domain naming master 转移域命名主机Transfer infrastructure master 转移结构主机Transfer PDC 转移PDC主机Transfer RID master 转移RID主机Transfer schema master 转移架构主机还有五条命令是强行把连接到的域控制器指定为操作主机角色，这个很适合在操作主机离线时进行操作，如果我们不小心把操作主机所在的域控制器给格式化了，我们就可以利用这些指令强行把一个域控制器指定为操作主机。这五条指令分别是：Seize domain naming master 指定域命名主机Seize infrastructure master 指定结构主机Seize PDC 指定PDC主机Seize RID master 指定RID主机Seize schema master 指定架构主机 如下图所示，我们执行转移操作主机角色的五条指令，很轻松地把操作主机角色从Firenze又转到了Florence上。 在本篇博文中，我们可以利用MMC和NTDSUITL进行操作主机角色的转移，也可以在操作主机离线的情况下进行操作主机角色的指定，掌握了这些，基本上就可以应对工作中对操作主机的需求了