额外域控制器,指的是在域中部署第二个甚至更多的域控制器,每个域控制器都拥有一个Active Directory数据库。使用额外域控制器可以避免因主域控制器损坏所造成的业务停滞,如果一个域控制器损坏了,只要域内其他的域控制器有一个是工作正常的,域用户就可以继续完成用户登录,访问网络资源等一系列工作。另外使用域控制器还可以起到负载平衡的作用,当用户数非常大时,同时登录就会有一定的延迟,而多台额外域控制器都可以处理用户的登录请求,分担访问流量,用户就不用等待那么长时间了。但是主域控制器坏了,额外域控制器是不会自动接替工作的,导致的后果就是域用户无法登陆(如果禁止缓存)。要使额外域控制器接替工作,只能把额外域升级为主域控,操作的办法是抢夺FSMO和全局编录角色。
简单说一下FSMO角色。FSMO操作主机角色共分五种,分别是PDC主机,RID主机,结构主机,域命名主机和架构主机。
PDC是主域控制器的缩写。PDC主机的作用级别是域级别,在一个域中只能有一台域控制器充当PDC主机。
RID是SID(安全标识符)的组成部分,RID主机的作用就是为Active Directory提供一个可用的RID池(默认500个),而且当池中的RID被消耗到一定程度后再自动补充满。如果RID主机出现故障,显然会对我们创建大量的用户账号造成麻烦。和PDC主机类似,RID主机的作用级别也是域级别。
结构主机的作用是负责对跨域对象的引用进行更新,假如A域的一个用户加入了B域的一个组,B域的结构主机就会负责关注A域的这个用户是否发生了什么变化,例如是否被删除了,结构主机的工作可以确保域间对象引用的可操作性。如果是一个单域,基本上用不着结构主机做什么工作。如果在一个多域的林环境,有一点要切记,结构主机不要和GC(全局编录)放在同一台域控制器上,否则结构主机无法正常工作。结构主机的作用级别也是域级别。
域命名主机,这个操作主机的作用级别是林级别的!域命名主机主要负责控制域林内域的添加或删除,也就是说如果在域林内添加一个新域,必须由域命名主机判断域名合法,操作才可以继续。如果域命名主机不在线,我们就无法完成域林内新域的创建。
架构主机,这个主机的作用级别同样是林级别。架构主机的作用非常重要,如果要修改Active Directory的架构,我们只能从架构主机上进行操作。微软的很多高级服务器产品在部署时都需要修改Active Directory的架构,例如Exchange,Office Communications Server,SMS等。以最著名的Exchange为例,如果我们在域中部署Exchange时无法在线联系上架构主机,那Exchange的部署就无法继续。
抢夺角色需要使用ntdsutil.exe工具(转移角色可以在界面下做,关于架构的转移要先regsvr32 schmmgmt.dll然后在mmc中添加架构管理项)。抢夺角色的具体过程如下:
c:\>ntdsutil
ntdsutil: roles(管理NTDS角色的所有者令牌)
fsmo maintenance: Select operation target(选择操作的目标)
select operation target: connections(连接到一个特定域控器)
server connections: connect to domain lianxi.com(这里连接到额外域)
连接成功后,按“q”退出到上层菜单
这里有两种方法分别是Seize和Transfer,如果原来的FSMO角色的拥有者处于离线状态或因硬件损坏无法启动了,那么就要用Seize,如果处于联机状态,那么就要用Transfer。例如SERVER已经离线了崩溃了,我们就用“Seize”。
fsmo maintenance:Seize domain naming master
出现对话框,按“确定“
fsmo maintenance:Seize infrastructure master
出现对话框,按“确定“
fsmo maintenance:Seize PDC
出现对话框,按“确定“
fsmo maintenance:Seize RID master
出现对话框,按“确定“
fsmo maintenance:Seize schema master
出现对话框,按“确定“
fsmo maintenance:quit
ntdsutil: quit
最后打开Administrative Tools中的Active Directory Sites and Services,展开Sites,展开Default-First-Site-Name,展开Servers,展开PDC,右击NTDS Settings选择属性:
在"全局编录"前面打勾,单击"确定"按钮,然后重新启动服务器,正常后域用户就可以登录现在的域控和浏览资源了。
(调整现在域控的dns重新配置为主要区域解析,并在客户端pc进行修改dns的指向为现有的主域,域中的帐户就可以登录到现在的域控制器了。针对dns集成在域控上的情况)
