FSMO角色的转移

FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作)BDC,FSMO,硬件,角色,损坏由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器.这个过程的实施给写下来:服务器操作系统.2003EntpriseEdition客户端系统.XPpro拓朴如下:[本帖最后由lianggj于06-10-1713:30编辑]1.jpg(21.32KB)1评分人数回复引用报告使用道具TOPlianggj论坛资产11042wb2#发表于2006-10-1711:31|只看该作者现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的.购买了一台新的机器,放到这个网络来了,IP:192.168.10.2.准备替换之前那台DC那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来.操作过程如下:(新机器上操作)检查本机跟DC的域名解释.[本帖最后由lianggj于06-10-1713:25编辑]1.JPG(30.17KB)2.JPG(23.13KB)回复引用报告使用道具TOPlianggj3#发表于2006-10-1711:33|只看该作者MCITPEA远程培训|WindowsServer2008R2应用技术|CCNA远程培训|CCNA视频课件|企业服务建立BDC论坛资产11042wb3.JPG(15.74KB)4.JPG(34.27KB)5.JPG(38.7KB)回复引用报告使用道具TOPlianggj4#发表于2006-10-1711:38|只看该作者输入具有权限的用户,我用的是administrator,属于enterpriseadmins现有DNS名称.6.JPG(28.5KB)论坛资产11042wb7.JPG(31.52KB)回复引用报告使用道具TOPlianggj5#发表于2006-10-1711:41|只看该作者论坛资产11042wb数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统.8.JPG(34.62KB)9.JPG(30.97KB)回复引用报告使用道具TOPlianggj6#发表于2006-10-1711:42|只看该作者论坛资产11042wb输放还原模式密码,用于目录服务的还原.10.JPG(35.58KB)回复引用报告使用道具TOPlianggj论坛资产11042wb7#发表于2006-10-1711:46|只看该作者BDC建立成功.11.JPG(32.59KB)回复引用报告使用道具TOPlianggj8#发表于2006-10-1712:05|只看该作者BDC重启.接下来在BDC上建立DNS服务器,同步AD信息.打开控制面版,winodws组件向导.12.JPG(50.43KB)论坛资产11042wb回复引用报告使用道具TOPlianggj论坛资产11042wb9#发表于2006-10-1712:07|只看该作者BDC的DNS指向自己.接着在运行输放dnsmgmt.msc新建正向区域.[本帖最后由lianggj于06-10-1818:18编辑]15.JPG(58.66KB)16.JPG(56.59KB)回复引用报告使用道具TOPlianggj10#发表于2006-10-1712:09|只看该作者输入域名.允许动态更新.17.JPG(46.96KB)论坛资产11042wb18.JPG(59.09KB)重新加载DNS,目的是让区域生成SRV(资源指针记录).用到命令如图,,或重新启动.20.jpg(52.96KB)回复引用报告使用道具TOPlianggj论坛资产12#发表于2006-10-1712:30|只看该作者接下来可以指自己做为GC.在运行里输放dssite.msc[本帖最后由lianggj于06-10-1818:18编辑]21.JPG(49.56KB)11044wb回复引用报告使用道具TOPlianggj论坛资产11044wb13#发表于2006-10-1712:32|只看该作者MCITPEA远程培训|WindowsServer2008R2应用技术|CCNA远程培训|CCNA视频课件|企业服务在前面,yansy有过一篇简单的基于图形角色的转移.下面我是基于命令符实现的.yansy的参考文章:=1527回复引用报告使用道具TOPlianggj14#发表于2006-10-1712:42|只看该作者具体命令作用,在这我不详述.论坛资产11044wb用到的命令是命令符下,ntdsutil后接命令,请用问号,有详细的中文说明.以下图是用于建立连接.转移用的是transfer命令[本帖最后由lianggj于06-10-1712:59编辑]22.JPG(29.05KB)29.JPG(52.5KB)回复引用报告使用道具TOPlianggj15#发表于2006-10-1712:46|只看该作者以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图)论坛资产11044这也问到重点了.跟转移时用法一样,但这时DC是在线的.如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize....这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的)[本帖最后由lianggj于06-10-1713:28编辑]23.JPG(40.31KB)wb24.JPG(67.82KB)回复引用报告使用道具TOPlianggj16#发表于2006-10-1712:49|只看该作者把如4个角色像刚才一样操作,那就5种角色转移成功.25.JPG(78.6KB)论坛资产11044wb回复引用报告使用道具TOPlianggj17#发表于2006-10-1712:53|只看该作者如下:26.JPG(98.68KB)论坛资产11044wb27.JPG(49.45KB)28.JPG(43.14KB)回复引用报告使用道具TOPlianggj18#发表于2006-10-1713:24|只看该作者到现在为止,基本这程实验完毕.还有就是IP地址的问题,现在的BDC可以正常工作了.验证结果.有人就会想到,现在DC的IP不是192.168.10.2吗??客户端DNS指向是192.168.10.1.怎么办?有两种方法:论坛资产11044wb1.把DC的IP改为192.168.10.1.2.把客户端DNS的IP改为192.168.10.2.清理DNS记录,(我把之前的区域删除,重新建了个)之前在旧DC上建立的用户a,现在到客户端登录.看是否能登录,如果能,说明新DC是可以正常工作了.回复引用报告使用道具TOPlianggj论坛资产19#发表于2006-10-1713:30|只看该作者这是之前旧DC上建立的用户a,如下.结果也如下:客户端成功登录,也即是大功告成.[本帖最后由lianggj于06-10-1713:31编辑]30.JPG(32.28KB)11044wb31.JPG(46.77KB)回复引用报告使用道具TOP天地无用20#windows2008AD操作主机(FSMO)完全攻略windows,FSMO,攻略,主机本帖最后由ttzztt2于2009-7-616:19编辑在windows2003和windows2008的域环境下,ActiveDirectory支持域中所有域控制器之间的目录数据存储的多主机复制，因此域中的所有域控制器实质上都是对等的,并没有主域控与辅助域控之分。但是，有些更改不适合使用多主机复制执行，因此对于这种类型的更改，都有一个称为“操作主机(FSMO)”的域控制器接收此类更改的请求。对应于处理请求内容的不同,AD内操作主机有以下五种角色:1.架构主机schemamaster2.域命名主机domainnamingmaster3.相对标识号(RID)主机RIDmaster4.主域控制器仿真主机(PDCE)5.基础结构主机infrastructuremaster下面我们就这五种操作主机的作用范围、功能、查看、传送及占用操作主机的方法来进行了解：一、作用范围：林范围内操作主机有：架构主机和域命名主机，这两种操作主机森林范围内唯一，也就是说如果一个森林内有10个域，那么这总共10个域只会有一个架构主机和域命名主机，通常这两种操作主机角色默认存在于森林根域的第一台域控内。域范围内操作主机有：RID主机、PDC仿真主机、基础结构主机，这三种主机域范围唯一，如果森林范围内有10个域，那每个域中都会存在这三种主机。每个域中的这三种操作主机角色默认存在于该域的第一台域控内。二、功能：1.架构主机：负责森林范围内对架构的更新和修改。简单来说，就是负责AD中对象的增加、删除以及属性的修改。比如林中常见对象有用户、组、打印机等，通过对AD架构的修改，可以去删除一个已经存在的对象，如将打印机从AD架构中删除，那么用户在AD中将无法看到打印机对象。2.域命名主机：负责林中域的添加和删除。在森林内创建新域时，会向域命名主机提交请求，查看是否在林中已有同名对象，如没有同名对象才能创建该域，并在域命名主机内做相应记录。3.RID主机：负责将相对ID号分配给域中每个域控制器。在域中创建用户、组或计算机账户时需要有一个唯一的sid,如果存在sid主机，sid主机每次向域内所有域控分发一批完全不同的sid号，再由域控器将自己得到的sid号分配给在该域控上创建的对象，以此来控制域内创建对象不会出现sid重复的情况，如果没有sid主机的话,对象sid出现重复将是无法避免的现象。4.PDC仿真主机：负责处理来自客户端的密码更改，及负责同步整个域内所有域控上的时间。如果域内存在多台域控，管理员在其中一台域控上对用户密码做了修改，那密码的修改会第一时间复制到PDC仿真主机上，该用户使用新密码登录时，如果验证的dc密码修改信息还未复制过来，会认为该用户密码错误，但是不会马上拒绝，会立刻将验证信息发往pdc仿真主机，由于密码的修改已经复制到pdc,该用户身份验证会通过。一个域或森林内所有主机时间相差不能超过五分钟，如超过该时限，复制机制会出错，父域pdc主机与外部时间服务器同步，子域pdc主机与父域pdc时间同步，子域所有主机与子域pdc时间同步，以此实现森林内所有主机时间均为同步。5.基础结构主机：负责更新从它所在域中对象到其它域中对象的引用，以及负责在重命名或更改组成员关系时更新组到用户的引用。基础结构主机将其数据与全局编录的数据进行比较，全局编录通过复制接收所有域中对象的定期更新，使全局编录的数据始终保持最新，如果基础结构主机发现数据已过时，则会从全局编录请求更新的数据，基础结构主机再将这些更新的数据复制到域中的其它域控制器。如本地有用户zhangs属于其它域的groups组，当本域将用户zhangs的用户名改为lis后，在其它域的groups组中存放的用户还是zhangs,此时权限设置会出现问题，如存在基础结构主机，当本域中出现用户重名命情况，域中基础结构主机会查找用户相关的组，将用户变化信息提交到相关基础结构主机并复制到相应的域控上。三、如何使用图形界面查看及传送操作主机(占用只能在命令行下完成)1.查看及更改架构主机(1).在森林根域的域控制器上开始--运行--regsvr32schmmgmt.dll(2).打开mmc-添加AD架构-确定windows2003AD升级到Windows2008ADwindows,Windows本帖最后由zh_cxl于2009-2-415:43编辑本系列文章单独发于bbs.winos.cn，供论坛朋友交流分享，希望能有更多的交流和分享，大家一起学习和提高，因近期有文章被作少许改动后在大型网站转载，并未注明原文作者以及来源为bbs.winos.cn，为支持和保护论坛原创，如需转载或对原文进行修改、裁剪编辑