作为一个合格的网络管理员,备份是不可避免的,当局域网的重中之重域控制损坏后,更是要迅速的进行恢复。第一,这里可以将额外域控制器提升为域控制器,当然要进行操作主机角色的转移,将五种角色转移到额外域控制器上。第二就是已经有了域控制器的备份,只要恢复一下就可以了。首先还是介绍速度点的,操作主机角色转移
操作主机共分为五种角色,pdc,rid,结构主机,域命名主机,架构主机
其中pdc,rid,结构主机是相对于域操作的,域命名主机和架构主机是对于林操作的
1.pdc主机
域中的时间标准:所有节点时间都和pdc主机一样,也就是说pdc主机是时间源。
密码验证最后权服务器:当域中有用户登录时,输入了错误的密码,dc之间为了避免时间的复制的延迟,会向pdc发出验证申请,是否用户的密码已经更改,而自己却未复制拓扑。
网络浏览器:网上邻居中的结构浏览
2.rid主机
Rid是sid(安全标识符)的一部分,负责创建地址池,对新账号的建立起到关键性作用
3.结构主机
基础结构主机的作用是负责对跨域对象引用进行更新,以确保所有域之间操作的一致性
如果只是一个域就无所谓了
4.架构主机
修改ad的架构会用到它,例如小软的exchange就需要对ad的架构进行修改,如果没有架构主机,exchange架设一定会失败,当然不只exchange需要修改ad的架构,这里就不一一说明了。
5.域命名主机
负责林内域的添加和删除,还有就是添加或删除描述外部目录的交叉引用对象
上面简单介绍了下操作主机的五种角色,大家如果不能理解的话,建议在查找下资料,找相同处,用自己的方式加以理解。
好了,开始吧,先来介绍操作主机角色转移。
操作主机角色分为图形界面转移和微软工具ntdsutil工具转移。
先来简单点的,图像界面
先进行pdc,rid和结构主机的转移,这三个伙计凑合到一块了,转移很简单的。上面介绍了这三种操作主机角色是基于域中的,所以在ad用户和计算机的域中右键点击,看到了吧,直接出现了操作主机
选中操作主机
这个时候是不允许更改
那么要如何来做呢,要连接另外一台dc
当前的域控制器是beijing我们要把beijing的操作主机角色转移到nanjing上,所以选取nanjing,点击确定
再次右键点击域名上面的操作主机角色,一目了然吧,当前操作主机的角色是在beijing上,让你选择是否将操作主机角色传送到nanjing上,点击更改
Rid,pdc,结构主机步骤都一样,看下效果
下面来进行架构主机和域命名主机的转移,打开ad域和信任关系右键点击ad域和信任关系,当然要先选取连接到域控制器连接nanjing,然后选取操作主机,操作和上面的一样
更改完成后的效果
最后来进行架构主机的,这个稍麻烦点,先要去注册动态链接库。
然后在开始运行中,运行mmc,打开管理控制台,选择文件,添加删除管理单元,把ad架构点击添加给仍进去
点击添加后,点击关闭,操作又回到上边了,都是一样的,先连接到要传送的nanjing域控制器,然后点击更改
这里要注意
然后在ad架构上右键点击,选取操作主机,选择更改,看下更改后的效果
已经全部完成了,不过这种方式需要在域控制器在线的情况下更改,如果beijing的主域控制器损坏,无法联系呢,那么就要 借用小软的工具ntdsutil,在开始运行中运行ntdsutil
效果是这样的
命令是又长又难记,但是这里可以用?来查询,而且也支持简写哦,可爱的小软这点还是照顾了广大用户的。这里要注意权限,不是任意用户都可以更改操作主机角色的,建议直接用管理员账户进行操作
我们选择要做什么呢?当然是要进行操作主机角色转移了,那肯定要选roles了,管理ntds角色所有者令牌,输入ro的简写直接进入,也可以输入全称roles进入
继续?查询。太阳,又出来一堆,不过这次已经看见将操作主机的五种角色了,这里要注意关键字,(在已连接的服务器)上覆盖某某某角色,所以要先定位到要转移的域控制器上。选择connections,用简写吧,省事
进入后?查询下我们要定位域控制器选择connect to server 域控制器名
用简写,连接成功后quit退出
继续?查询,输入transfer schema master
再来一个
这里要注意的是transfer和seize都可以将操作主机角色转移,那么它们有什么区别呢
Seize是当操作主机离线时候或者说损坏时候可以强行夺取角色,到此全部结束了,下篇博文来介绍用备份来进行ad的恢复重建。
