额外域建立和FSMO角色转移及夺取.docx

额外域建立和FSMO角色转移及夺取.docx

《额外域建立和FSMO角色转移及夺取.docx》由会员分享，可在线阅读，更多相关《额外域建立和FSMO角色转移及夺取.docx（25页珍藏版）》请在冰豆网上搜索。

额外域建立和FSMO角色转移及夺取

额外域建立和FSMO角色转移及夺取

网络环境：

DC+DNS

操作系统：

MicrosoftWindowsServer2003EER2

网卡信息：

IP：

10.10.10.1/24

首选DNS：

10.10.10.1

备用DNS：

10.10.10.2

DC+DNS

操作系统：

MicrosoftWindowsServer2003EER2

网卡信息：

IP：

10.10.10.2/24

首选DNS：

10.10.10.2

备用DNS：

10.10.10.1

对于公司网络管理员来说，最怕的就是域控服务器出故障。

一般都是采用备份系统状态和添加额外域控。

添加其他域控制器有助于提供容错，平衡现有域控制器的负载，提高网络服务的可用性和可靠性。

一．额外域控制器建立

对于公司中的第一台域控制器的安装，就不写了，以下为额外域控的安装。

先将DC2的IP设好，DNS设为DC1的IP，运行DCPROMO。

在如下图所示画面选“现有域的额外域控制器”

如果要提升为额外域控制器的这台电脑的本机管理员没有加密码，就会出现上图所示的错误信息。

安装完毕重启后,这样这台额外的域控制器就安装完成了。

但我们还要做些其它设定，

在DC1这台主域控上，打开DNS管理介面

选中正向区域的“_MSDCS.TEST.CN“，点右键属性，

确定打红线处的各项改为如上图所示，将DNS集成到AD中，便于管理和维护。

在“名称服务器”中将另外一台额外域控器添加进来。

点选“区域复制”，将“允许区域复制”打勾，并点选“只有在“名称服务器”选项卡中列出的服务器”这项。

依次在“TEST.CN”和反向解析区域“10.10.10.*subnet”做以上各步履，这样主域DNS服务器就设置完成。

在额外域控制器上安装DNS服务，安装完毕后，打开DNS管理器

你会发现，DNS的正向和反向区域都已经建好了，和主域控上的DNS服务器上一内容是一样。

在这台电脑上现再将各区域设置“允许区域复制”。

再将主域控的备用DNS地址填上额外域控的地址，相应的，将额外域控的首选DNS设为本身，备用DNS设为主域控的IP地址。

再将额外域控制器DC2本身设为“全局编录”

打开“ActiveDirectory站点和服务”，点选如图所示属性

将“全局编录”打勾，点确定退出。

网络就已经具备了AD的负载均衡。

这个时候，就算是主域DC1出现故障损坏，客户端（客户端首选和备用DNS各填写DC1和DC2的IP）依然可以正常登陆域和使用网络资源。

但是不能在额外域上对AD进行操作（比如进行Exchange和SMS2003的安装时圹展Schema）。

先查看FSMO角色的分布情况，这里用VBS脚本来查看，具体代码如下：

SetobjRootDSE=GetObject（"LDAP:

//rootDSE"）

Dimtext

'SchemaMaster

SetobjSchema=GetObject（"LDAP:

//"&objRootDSE.Get（"schemaNamingContext"））

strSchemaMaster=objSchema.Get（"fSMORoleOwner"）

SetobjNtds=GetObject（"LDAP:

//"&strSchemaMaster）

SetobjComputer=GetObject（objNtds.Parent）

text="Forest-wideSchemaMasterFSMO:

"&objComputer.Name&vbCrLf

SetobjNtds=Nothing

SetobjComputer=Nothing

'DomainNamingMaster

SetobjPartitions=GetObject（"LDAP:

//CN=Partitions,"&_

objRootDSE.Get（"configurationNamingContext"））

strDomainNamingMaster=objPartitions.Get（"fSMORoleOwner"）

SetobjNtds=GetObject（"LDAP:

//"&strDomainNamingMaster）

SetobjComputer=GetObject（objNtds.Parent）

text=text&"Forest-wideDomainNamingMasterFSMO:

"&objComputer.Name&vbCrLf

SetobjNtds=Nothing

SetobjComputer=Nothing

'PDCEmulator

SetobjDomain=GetObject（"LDAP:

//"&objRootDSE.Get（"defaultNamingContext"））

strPdcEmulator=objDomain.Get（"fSMORoleOwner"）

SetobjNtds=GetObject（"LDAP:

//"&strPdcEmulator）

SetobjComputer=GetObject（objNtds.Parent）

text=text&"Domain'sPDCEmulatorFSMO:

"&objComputer.Name&vbCrLf

SetobjNtds=Nothing

SetobjComputer=Nothing

'RIDMaster

SetobjRidManager=GetObject（"LDAP:

//CN=RIDManager$,CN=System,"&_

objRootDSE.Get（"defaultNamingContext"））

strRidMaster=objRidManager.Get（"fSMORoleOwner"）

SetobjNtds=GetObject（"LDAP:

//"&strRidMaster）

SetobjComputer=GetObject（objNtds.Parent）

text=text&"Domain'sRIDMasterFSMO:

"&objComputer.Name&vbCrLf

SetobjNtds=Nothing

SetobjComputer=Nothing

'InfrastructureMaster

SetobjInfrastructure=GetObject（"LDAP:

//CN=Infrastructure,"&_

objRootDSE.Get（"defaultNamingContext"））

strInfrastructureMaster=objInfrastructure.Get（"fSMORoleOwner"）

SetobjNtds=GetObject（"LDAP:

//"&strInfrastructureMaster）

SetobjComputer=GetObject（objNtds.Parent）

text=text&"Domain'sInfrastructureMasterFSMO:

"&objComputer.Name&vbCrLf

WScript.Echotext

将其存为VBS文件，运行后。

如下图：

二．FSMO角色的转移。

须要在主域控制器DC1正常工作和在线的情况下才能执行转移，在此给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。

1．SchemaMaste

在进行SCHEMAMASTE的图形下转移前，要先对schmmgmt注册。

点击“开始-运行”，输入:

“regsvr32schmmgmt”，回车:

注册成功。

在次AD服务器上运行MMC，“添加/删除管理单元”，将“ActiveDirectory架构”添加进去。

先在控制台上选中“ActiveDirectory架构”点击“右键”，选择“更改域控制器”

先在控制台上选中“ActiveDirectory架构”点击“右键”，选择“操作主机”

如下图所示，当前的架构主机是DC1。

点击“更改”出现提示“您确实要更改架构主机？

”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图：

2．RIDMaster、InfrastructureMaster、PDCEmulator

打开“ActiveDirectory用户和计算机”，选中“TEST.CN”域，右键选“操作主机”

在这里依次更改RIDMaster、InfrastructureMaster、PDCEmulator

3．DomainNamingMaster

打开“ActiveDirectory域和信任关系”管理器，在“ActiveDirectory域和信任关系”上点右键，选操作主机

在出现的新窗口上，点击更改。

三．FSMO角色的夺取。

当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。

以下是命令行的步骤

打红线的地方，是要注意的地方，“connecttoserver“这里是连接到域，实际中，将其改为公司的域名就可以了。

在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移（transfer）。

这样就进入了正式夺取FSMO角色的关键步骤了，打入“？

”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmomaintenance：

”依次输入这五个命令就可以完成FSMO的五个角色的夺取。

1．Seizedomainnamingmaster

在出现的对话框点“是”

2．Seizeinfrastrurcturemaster

出错了！

不过没关系，这是正常的，因为主域DC1不在线，所以在夺取时会有这个出错信息。

红线部份给出了索取继续，所以结构角色会夺取到DC2上，接下来的各个角色的夺取也会有这个出错信息。

3．SeizePDC

4．SeizeRIDmaster

5．Seizeschemamaster

OK，至此，FSMO的五个角色就全部夺取完成。

再次运行脚本程序或在图形方式下查看，五个角色都已在DC2服务器上。