Windows Server 2016域控部署-主辅域控切换

nick814 Windows Server 2016 3,095 次浏览 没有评论

主辅域控切换

我们在生产环境中有时候会碰到比如服务器损坏或者服务器更新的问题,没有什么硬件是能100%不坏的,所以当我们生产环境的域控硬件出问题了,这时候由于有2台以上的域控,那么我们可以把主域控切换到辅助域控上。

传输主控的时候要把5个操作主机角色都转移过去

五个操作主机角色的分布:

• 每个林有一个架构主机(schema master)及一个域命名主机(domain naming master)。

• 每个 AD DS 域有一个 RID 主机(RID master)、一个结构主机(infrastructure master)和一个主域控制器(primary domain controller, PDC)仿真器。

林操作主机(Forest operations masters)

林包含以下单一主机角色:

  • 域命名主机(Dmain naming master)。这是当您添加或删除域及更改域名时,必须要联络的域控制器。

如果域命名主机不可用,您将不能添加域到林。

  • 架构主机(Schema master)。这是您可以进行所有架构变更的域控制器。要进行变更,您通常会以Schema Admins 及 Enterprise Admins 组的成员登录到架构主机。身为这两个组的成员及拥有适当的权限时,则可使用脚本(script)来编辑架构。

    如果架构主机不可用,您将不能对架构进行任何的变更。这将阻止需要变更架构的应用程序安装,例如, Exchange 服务器。

域操作主机(Domain operations masters)

域包含以下单一主机角色:

  • RID 主机(RID master)。每当在 AD DS 中创建一个对象时, 创建该对象的域控制器将会指定一个称的为 SID 的唯一标识数字(identifying number)。为了确保没有任何两个域控制器将相同的 SID指定给两个不同的对象, RID 主机会分配不同的 RIDs 数值范围 给域中的每个域控制器,以用在配置SID 时使用。

    如果 RID 主机不可用,您可能域中添加对象时遇到困难。由于域控制器使用其现有的 RID,当它们最后用完时,将无法再创建新的对象。

  • 结构主机(Infrastructure master)。这个角色负责维护域间的对象参考(references),例如,当一个域中的组包含了来自另一个域的成员。在这个情况下,结构主机负责维护这个参考的完整性。

    例如,当你看到一个对象的 Security 标签(tab) 时,系统会查询对象的 SID,并将其转换为名称。在多域的林中,结构主机从其他域中查询 SID。

    如果结构主机不可用,非全局编录的域控制器将无法检查通用组成员关系(universal groupmemberships)或验证用户。

    除非您有的是一个单域林,否则基础结构角色不应存放在全局编录服务器。例外状况是当你遵循最佳实践及让每个域控制器都有全局编录。在这种情况下,基础结构角色是没有存在的必要,因为每个域控制器都知道林中每个对象。

  • PDC 仿真器主机(PDC emulator master)。掌管 PDC 仿真器主机的域控制器是域的时间来源。 林中每个域的 PDC 仿真器主机与林根域的 PDC 仿真器主机同步它们的时间。您配置林根域的 PDC 仿真器主机与可靠的外部时间来源进行同步。

    PDC 仿真器主机也是接收紧急密码更改的域控制器。如果一个用户的密码被变更,信息会立即送到持有 PDC 仿真器主机角色的域控制器。这意味着如果有用户尝试登录,即使用户是在尚未收到新密码信息的不同位置的域控制器认证,用户目前位置的域控制器将会联络持有 PDC 仿真器主机角色的域控制器,以检查是否有最新的变更。

    如果主域控制器仿真器主机不可用,用户在登录时可能会碰到麻烦,直到他们的密码变更复制到所有域控制器。

    DC 仿真器主机也可用于编辑 GPO。当打开一个非本地(local) GPO 进行编辑时,编辑的副本会储存在 PDC 仿真器主机。这样可避免两个系统管理员在不同的域控制器上,尝试同时编辑同一个 GPO时发生冲突。但是,您可以选择使用特定的域控制器来编辑 GPO。这对使用慢速连接到 PDC 仿真器来编辑 GPO 的远程办公室特别有用。

进行域控切换

上面讲完了域控的五个角色,下面就开始进行切换了。

首先我们在DC1上运行下命令netdom query fsmo ,查看下现在我们的5个角色在哪台机器上。

命令行迁移FSMO角色步骤如下

Ntdsutil

Roles

Connections

Connect to server dc2-srv.contoso.com连接dc2-srv域控制器(要迁移到的域控)

Quit

转移架构主机

输入Transfer schema master命令,转移架构主机dc2-srv.contoso.com,根据弹窗提示确定是否将架构主机的角色传送到dc2-srv,这里选择”是”继续:

转移成功信息如下:

转移RID主机角色

输入Transfer RID master命令,转移RID主机角色dc2-srv.contoso.com,根据弹窗提示确定是否将RID主机的域角色传送到服务器dc2-srv,这里选择”是”继续:

转移成功信息如下:

转移PDC 模拟主机

输入Transfer PDC命令,转移PDC 模拟主机角色到dc2-srv.contoso.com,根据弹窗提示确定是否将主域控制器的域角色传送到服务器dc2-srv,这里选择”是”继续:


转移成功信息如下:


转移域命名主机

输入Transfer naming master命令,转移域命名主机dc2-srv.contoso.com,根据弹窗提示确定是否将命名主机的角色传送到服务器dc2-srv,这里选择”是”继续:


转移成功信息如下:


转移基础结构主机

输入Transfer infrastructure master命令,转移基础结构主机dc2-srv.contoso.com,根据弹窗提示确定是否将结构主机的域角色传送到服务器dc2-srv,这里选择”是”继续:


转移成功信息如下:


都完成后就输入2次quit,回到cmd模式


通过netdom query fsmo查看当前FSMO角色位置均为dc2-srv.contoso.com:


本次通过DOS命令Ntdsutil迁移FSMO角色成功。操作完成。

 

发表评论

Go