1.操作主机角色:*操作主机概念*操作主机角色2,转移和占用操作主机角色*转移操作主机角色*占用操作主机角色3,操作主机应用例**********操作主机的概念:单主复制PDC修改AD数据库内容BDC读取AD数据库内容多主复制DC都可以修改AD被修改的数据库内容将被复制到其他内容DC操作主机在单主机模式下执行某些操作*防止域名重复*决定了同步域内的时间DC域中的功能**********************五个操作主机角色林范围*架构主机(Schema Master )*域命名主机(Domain Naming Master)域范围*PDC仿真主机(PDC Emulator Master)*RID主机(RID Master)*基础设施主机(Infrastructure Master)*************************架构主机:(整个森林只能有一个架构主机):定义森林中所有对象及其属性之间的关系**架构可扩展1,安装Exchange2,升级windows server 2003 AD 到 win server 2008 R2 AD***检查架构主机:(regsvr32 schmmgmt.dll)**使用mmc添加“active directory架构文件-添加或删除管理单元-添加或删除管理单元-添加active directory架构---右键‘操作主机’**********************域名主机(整个林中只有一个域名主机)的功能:控制林中域的添加或删除,防止林中域名重复查看:active directory 域与信任关系**********************PDC模拟主机:(整个域只能有一个):1,负责同步域时间(双方时间不超过5分钟)2,复制密码变化的最小等待时间(时差取决于网络规模和线路条件)3,对win2000 以前的操作系统提供支持检查:active directory用户和计算机*********************RID主机(整个域只有一个)的功能:相对ID(RID)将序列分配给域内每个域控制器对象SID=域SID RID查看:active directory用户和计算机***************************基础设施主机:(整个域只能有一个)功能:负责更新从其域对象引用到其他域对象的查看:active directory用户和计算机************操作主机角色总结:*林中第一台域控制器默认拥有林中两个角色*默认情况下,域内第一台域控制器有三个角色*******************转移和占用转移操作主机的角色:1,承担操作主机角色的责任DC需要降级2,承担操作主机角色的责任DC和目标DC都在线3,转移主机角色的过程可逆占用:**承担操作主机角色的责任DC转移工具不能再使用,不能恢复:1、结构主机管理工具转移结构主机2,active directory 域与信任关系转移域命名主机3,active directory用户和计算机转移RID,PDC模拟和基础设施主机!!!!若可转移,则不占用!!架构主机、域命名主机,RID主角被占用后,永远不要将原角色的域控制器连接到网络上!!使用ntdsutil具体步骤:公司有两个域控制器(win2022r2)20222-1和2022-2,2022-1承担五种操作主机角色。2022-1突然停机,无法启动,2022-2打开操作主机对话框,显示操作主机错误,角色无法传输。1,cmd--ntdsutil2,roles3,fsmo maintenance -- connection4,server connections -- connect to server zhongguo.shanghai.com(由于dc需要使用01脱机dc5.quit6,fsmo maintenance:在这种命令模式下占用操作主机角色rid主机seize rid master架构主机seize schema masterpdc仿真主机seize PDC基础设施主机seize infrastructure master域命名主机seize naming master!!!!在fsmo maintenance里,输入help,占用角色的命令可以查看。域控制器正常时,会seize换为transfer,可转移**************************操作主机应用实例:环境:已部署win2003域安装在2003域dc01域和林功能水平为win2003。添加额外域控制器win2008r2 (dc02)要求:将win2003 AD 升级到 win2008r2 AD(升级域和林win2008r2)实现思路:1)安装虚拟机win2003激活码:MPQ6X-3MCCF-47H9T-TKC2F-T69WM 2)安装dc域环境192.168.6.102.1)安装dns服务2.2)安装dc域控制器dcpromo******************************************** win如何升级到2003域?win2008r21,扩展win2003 AD林和域结构,组战略对象权限更新,AD对RODC(只读域控)支持*win2003安装域控制器,打开dns服务需要挂载光盘,选择windows组件-网络服务-域名系统**提升win2003域和林功能水平**挂载win2008r2光盘,cmd输入以下命令d:dircd supportdircd adprepadprep32.exe /forestprep (这是32位系统)c (enter)adprep32.exe /domainprepadprep32.exe /domainprep /gpprepadprep32.exe /rodcprep2,将dc02加入现有域,升级为额外域DC*配置ip地址和dns地址(dns指向dc01)192.168.6.20*dcpromo -- 提升为额外域控制器*将dns地址改为自己3,将操作主机角色转移到dc02在windows2008r上述操作将五个操作主机角色转移到上面dc023.1 启用架构主机角色***检查架构主机:(regsvr32 schmmgmt.dll)**使用mmc添加“active directory架构文件-添加或删除管理单元-添加或删除管理单元-添加active directory架构-右键操作主机4,将dc01降级为普通成员服务器dc01的dns指向dc02运行dcpromo 将其降级到普通成员服务器5,提升域和林功能级别到win2008r2*提升dc02域和林功能水平*打开AD站点和服务---sites -- default-first-site-name -- servers -- 删除dc01的残留信息