AD管理员必备技能(一)在线角色转移

时间 2020-01-09

原文原文链接

AD管理员必备技能(一)在线角色转移
做为一个企业管理员来讲，平常服务器的备份及灾难恢复是必不可少的技能，因此对于AD的一些灾难性的问题修复对于工程师来讲也不算是一个什么大事，可是对于架构的部署是很是严重的一件是，好比环境内有多台DC，如何将AD下的角色进行分开部署等；今天咱们主要闲谈AD下5个角色的问题及角色在线迁移；
首先说说五大角色：
**1. 森林级别(一个森林只存在一台DC有这个角色):
1.1.Schema Master:架构主控
1.2.Domain Naming Master:域命名主控数据库

域级别(一个域里面只存一台DC有这个角色):
2.1.PDC Emulator :PDC仿真器
2.2.RID Master :RID
2.3.Infrastructure Master :结构主控**
接下来讲说五大角色的功能：
1.Schema Master架构主控
做用是修改活动目录的源数据。咱们知道在活动目录里存在着各类各样的对像，好比用户、计算机、打印机等，这些对像有一系列的属性，活动目录自己就是一个数据库，对象和属性之间就好像表格同样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，若是你们部署过Exchange的话，就会知道Schema是能够被扩展的，但须要你们注意的是，扩展Schema必定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，其实是经过网络把数据传送到Schema上而后再在Schema Master上进行扩展的，要扩展Schema就必须具备Schema Admins组的权限才能够
2.Domain Naming Master:域命名主控
这也是一个森林级别的角色，它的主要做用是管理森林中域的添加或者删除。若是你要在你现有森林中添加一个域或者删除一个域的话，那么就必需要和Domain Naming Master进行联系，若是Domain Naming Master处于Down
机状态的话，你的添加和删除操做那上确定会失败的。
3.PDC Emulator :PDC仿真器
⑴、处理密码验证要求;
密码的修改，通常状况下，一旦密码被修改，会先被复制到PDC Emulator，而后由PDC Emulator触发一个即时更新，以保证密码的实时性。
⑵、统一域内的时间; 微软活动目录是用Kerberos协议来进行身份认证的，在默认状况下，验证方与被验证方之间的时间差不能超过5分钟，不然会被拒绝经过，微软这种设计主要是用来防止回放式***。因此在域内的时间必须是统一的，这个统一时间的工做就是由PDC Emulator来完成的。
(3)、统一修改组策略的模板
4.RID Master :RID
在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然咱们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，因此当两个用户的SID同样的时候，尽管他们的用户名可能不同，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种状况?这就须要用到RID Master，RID Master的做用是:分配可用RID池给域内的DC和防止安全主体的SID重复。
5.Infrastructure Master :结构主控
FSMO的五种角色中最可有可无的可能就是这个角色了，它的主要做用就是用来更新组的成员列表，由于在活动目录中颇有可能有一些用户从一个OU转移到另一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

在FSMO的规划时，请你们按如下原则进行:
一、占有Domain Naming Master角色的域控制器必须同时也是GC;
二、不能把Infrastructure Master和GC放在同一台DC上;
三、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;
四、建议将Schema Master和Domain Naming Master放在同一台域控制器上;
五、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;
六、尽可能不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;
接下来咱们介绍如何在线转移角色吧；
咱们首先看看，咱们环境内有两台AD服务器；

站点信息

咱们首先查看角色的全部者
咱们当前的角色都在ADDS-2服务器上，咱们须要将角色转移到ADDS-1上

在转移前咱们须要确认下，转移有两种方式，第一种是在线转移，言外之意就是全部的DC都是正常工做的状况下。
第二种状况下，角色所在的DC服务器故障处于离线状态，为了保证咱们须要将角色强制转移到在线的DC服务器上。
咱们首先说说第一种；
当全部的DC都处于在线状态；咱们在此使用命令行进行操做；
开始运行--cmd---命令提示符中输入--ntdsutil
而后输入问号(?)来帮助，

输入roles来进入管理NTDS角色全部者令牌管理
咱们经过帮助来看，发现有两种命令，一个是transfer，另一个是seize；
transfer是全部的DC服务器都处于在线状态使用；
seize是角色全部者处于离线状态来使用；

咱们先使用transfer来进行在线传输；在传输前，咱们须要链接到服务器；因此须要使用connections
在 fsmo maintenance 命令提示符下，键入：
connection，回车。继续？（问号）查看帮助

在 server connections 命令提示符下，键入：
connect to server ADDS-1(须要提高为主域控制器的计算机名)，回车。

在 server connections 命令提示符下，键入：
quit，回车。
在 fsmo maintenance 命令提示符下，键入：
在此时咱们经过？（问号）查看帮助命令

传输角色的顺序建议使用如下顺序安全

1.Transfer naming master
 2.Transfer infrastructure master
3.seize pdc
4.seize rid master
5.schema master

咱们开始传输域命名主机
Transfer naming master

Transfer infrastructure master

Transfer RID master

Transfer PDC

Transfer schema master

咱们再查看，全部的角色就传输到ADFS-1服务器上了；
netdom query fsmo
服务器