AD管理员必备技能(一)在线角色转移 作为一个企业管理员来说,日常服务器的备份及灾难恢复是必不可少的技能,所以对于AD的一些灾难性的问题修复对于工程师来说也不算是一个什么大事,但是对于架构的部署是非常严重的一件是,比如环境内有多台DC,如何将AD下的角色进行分开部署等;今天我们主要闲谈AD下5个角色的问题及角色在线迁移; 首先说说五大角色: **1. 森林级别(一个森林只存在一台DC有这个角色): 1.1.Schema Master:架构主控 1.2.Domain Naming Master:域命名主控 2. 域级别(一个域里面只存一台DC有这个角色): 2.1.PDC Emulator :PDC仿真器 2.2.RID Master :RID 2.3.Infrastructure Master :结构主控** 接下来说说五大角色的功能: 1.Schema Master架构主控 作用是修改活动目录的源数据。我们知道在活动目录里存在着各种各样的对像,比如用户、计算机、打印机等,这些对像有一系列的属性,活动目录本身就是一个数据库,对象和属性之间就好像表格一样存在着对应关系,那么这些对像和属性之间的关系是由谁来定义的,就是Schema Master,如果大家部署过Exchange的话,就会知道Schema是可以被扩展的,但需要大家注意的是,扩展Schema一定是在Schema Master进行扩展的,在其它域控制器上或成员服务器上执行扩展程序,实际上是通过网络把数据传送到Schema上然后再在Schema Master上进行扩展的,要扩展Schema就必须具有Schema Admins组的权限才可以 2.Domain Naming Master:域命名主控 这也是一个森林级别的角色,它的主要作用是管理森林中域的添加或者删除。如果你要在你现有森林中添加一个域或者删除一个域的话,那么就必须要和Domain Naming Master进行联系,如果Domain Naming Master处于Down 机状态的话,你的添加和删除操作那上肯定会失败的。 3.PDC Emulator :PDC仿真器 ⑴、处理密码验证要求; 密码的修改,一般情况下,一旦密码被修改,会先被复制到PDC Emulator,然后由PDC Emulator触发一个即时更新,以保证密码的实时性。 ⑵、统一域内的时间; 微软活动目录是用Kerberos协议来进行身份认证的,在默认情况下,验证方与被验证方之间的时间差不能超过5分钟,否则会被拒绝通过,微软这种设计主要是用来防止回放式***。所以在域内的时间必须是统一的,这个统一时间的工作就是由PDC Emulator来完成的。 (3)、统一修改组策略的模板 4.RID Master :RID 在Windows 2000的安全子系统中,用户的标识不取决于用户名,虽然我们在一些权限设置时用的是用户名,但实际上取决于安全主体SID,所以当两个用户的SID一样的时候,尽管他们的用户名可能不一样,但Windows的安全子系统中会把他们认为是同一个用户,这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID,那么如何避免这种情况?这就需要用到RID Master,RID Master的作用是:分配可用RID池给域内的DC和防止安全主体的SID重复。 5.Infrastructure Master :结构主控 FSMO的五种角色中最无关紧要的可能就是这个角色了,它的主要作用就是用来更新组的成员列表,因为在活动目录中很有可能有一些用户从一个OU转移到另外一个OU,那么用户的DN名就发生变化,这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。 在FSMO的规划时,请大家按以下原则进行: 1、占有Domain Naming Master角色的域控制器必须同时也是GC; 2、不能把Infrastructure Master和GC放在同一台DC上; 3、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上; 4、建议将Schema Master和Domain Naming Master放在同一台域控制器上; 5、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上; 6、尽量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上; 接下来我们介绍如何在线转移角色吧; 我们首先看看,我们环境内有两台AD服务器; ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/c6f1b029490c252366abb5a4a6f10473.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 站点信息 ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/e35d445294cb61258679eae3dcae7d4f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 我们首先查看角色的所有者 我们当前的角色都在ADDS-2服务器上,我们需要将角色转移到ADDS-1上 ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/cc8cfb5a2ef601d4cadb7d5041446aa0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 在转移前我们需要确认下,转移有两种方式,第一种是在线转移,言外之意就是所有的DC都是正常工作的情况下。 第二种情况下, 角色所在的DC服务器故障处于离线状态,为了保证我们需要将角色强制转移到在线的DC服务器上。 我们首先说说第一种; 当所有的DC都处于在线状态;我们在此使用命令行进行操作; 开始运行--cmd---命令提示符中输入--ntdsutil 然后输入问号(?)来帮助, ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/587263ba9302cb8c2a20ec447e196dd1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 输入roles来进入管理NTDS角色所有者令牌管理 我们通过帮助来看,发现有两种命令,一个是transfer,另外一个是seize; transfer是所有的DC服务器都处于在线状态使用; seize是角色所有者处于离线状态来使用; ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/8dfea83f7aa1ef2b6ea9ad7d254bbb94.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 我们先使用transfer来进行在线传输;在传输前,我们需要连接到服务器;所以需要使用connections 在 fsmo maintenance 命令提示符下,键入: connection,回车。继续?(问号)查看帮助 ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/829a275d5da3d6b56847ae66f770b5e7.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 在 server connections 命令提示符下,键入: connect to server ADDS-1(需要提升为主域控制器的计算机名),回车。 ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/21800ec6f8de6579f8e48ca9bf6f5c23.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 在 server connections 命令提示符下,键入: quit,回车。 在 fsmo maintenance 命令提示符下,键入: 在此时我们通过?(问号)查看帮助命令 ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/f3ecfc39e9c078bfe6693824cf130223.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 传输角色的顺序建议使用以下顺序 ``` 1.Transfer naming master 2.Transfer infrastructure master 3.seize pdc 4.seize rid master 5.schema master ``` 我们开始传输域命名主机 `Transfer naming master` ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/10c908138c08f44643d6d3665162253d.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/33650c00e665df82f1636eb54a0340c2.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) `Transfer infrastructure master` ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/7ac215705c9abbd07c51467e504b6192.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/e83ec00badfc21677492d0e7e6ceac1c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) `Transfer RID master` ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/5e17d7d65969a30da6de1d60f03899ec.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/5c20c7ace262aa19331c4e5a67a90ca6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ` Transfer PDC` ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/3b22bfd44f09e1f1c5cfd987365f5564.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/9ffa4397378ec1d969962dba992c72f0.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) `Transfer schema master` ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/0118cadbe3a371eb9c50ae67d893941e.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/62039b09c7051170fd1272048e6eedac.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=) 我们再查看,所有的角色就传输到ADFS-1服务器上了; `netdom query fsmo` ![AD角色转移](https://s4.51cto.com/images/blog/201801/17/5bb5b6f9c23f4547e54c3054c99a4201.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)