AD管理员必备技能(一)在线角色转移
作为一个企业管理员来说,日常服务器的备份及灾难恢复是必不可少的技能,所以对于AD的一些灾难性的问题修复对于工程师来说也不算是一个什么大事,但是对于架构的部署是非常严重的一件是,比如环境内有多台DC,如何将AD下的角色进行分开部署等;今天我们主要闲谈AD下5个角色的问题及角色在线迁移;
首先说说五大角色:
**1. 森林级别(一个森林只存在一台DC有这个角色):
1.1.Schema Master:架构主控
1.2.Domain Naming Master:域命名主控

  1. 域级别(一个域里面只存一台DC有这个角色):
    2.1.PDC Emulator :PDC仿真器
    2.2.RID Master :RID
    2.3.Infrastructure Master :结构主控**
    接下来说说五大角色的功能:
    1.Schema Master架构主控
    作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对象和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master,如果大家部署过Exchange的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Master进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以
    2.Domain Naming Master:域命名主控
    这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down
    机状态的话,你的添加和删除操作那上肯定会失败的。
    3.PDC Emulator :PDC仿真器
    ⑴、处理密码验证要求;
    密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性。
    ⑵、统一域内的时间; 微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式***。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。
    (3)、统一修改组策略的模板
    4.RID Master :RID
    在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。
    5.Infrastructure Master :结构主控
    FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

在FSMO的规划时,请大家按以下原则进行:
1、占有Domain Naming Master角色的域控制器必须同时也是GC;
2、不能把Infrastructure Master和GC放在同一台DC上;
3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;
4、建议将Schema Master和Domain Naming Master放在同一台域控制器上;
5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;
6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;
接下来我们介绍如何在线转移角色吧;
我们首先看看,我们环境内有两台AD服务器;
AD角色转移
站点信息
AD角色转移
我们首先查看角色的所有者
我们当前的角色都在ADDS-2服务器上,我们需要将角色转移到ADDS-1上
AD角色转移
在转移前我们需要确认下,转移有两种方式,第一种是在线转移,言外之意就是所有的DC都是正常工作的情况下。
第二种情况下, 角色所在的DC服务器故障处于离线状态,为了保证我们需要将角色强制转移到在线的DC服务器上。
我们首先说说第一种;
当所有的DC都处于在线状态;我们在此使用命令行进行操作;
开始运行--cmd---命令提示符中输入--ntdsutil
然后输入问号(?)来帮助,
AD角色转移
输入roles来进入管理NTDS角色所有者令牌管理
我们通过帮助来看,发现有两种命令,一个是transfer,另外一个是seize;
transfer是所有的DC服务器都处于在线状态使用;
seize是角色所有者处于离线状态来使用;
AD角色转移
我们先使用transfer来进行在线传输;在传输前,我们需要连接到服务器;所以需要使用connections
在 fsmo maintenance 命令提示符下,键入:
connection,回车。继续?(问号)查看帮助
AD角色转移
在 server connections 命令提示符下,键入:
connect to server ADDS-1(需要提升为主域控制器的计算机名),回车。
AD角色转移
在 server connections 命令提示符下,键入:
quit,回车。
在 fsmo maintenance 命令提示符下,键入:
在此时我们通过?(问号)查看帮助命令
AD角色转移
传输角色的顺序建议使用以下顺序

 1.Transfer naming master
 2.Transfer infrastructure master
3.seize pdc
4.seize rid master
5.schema master

我们开始传输域命名主机
Transfer naming master
AD角色转移
AD角色转移
Transfer infrastructure master
AD角色转移
AD角色转移
Transfer RID master
AD角色转移
AD角色转移
Transfer PDC
AD角色转移
AD角色转移
Transfer schema master
AD角色转移
AD角色转移
我们再查看,所有的角色就传输到ADFS-1服务器上了;
netdom query fsmo
AD角色转移