實戰：Windows Server 2008 活動目錄 傳送和争奪操作主要角色

當建立Windows Server 2008域時，Windows Server 2008将自動配置所有的操作主要角色。不過，給目錄林或域内的另一個域控制器重新配置設定操作主要角色可能還是必要的。比如解除安裝活動目錄服務前，可以将該域控制器承擔的角色傳送給其他域控制器，這樣就避免了在解除安裝過程中出現故障，操作主要可能沒有傳遞個其他域控制器。為給另一個域控制器重新配置設定操作主要角色，需要：

u 确定操作主要角色的保持者。

u 傳送該操作主要角色。

u 争奪該操作主要角色。

<a href="http://91xueit.blog.51cto.com/attachment/201302/22/400469_1361493653N0g7.png"></a>

圖 11-4 實戰場景

如圖11-4所示，該公司有IT部門組建了兩個域，北京組建了ess.com域，石家莊組建了ess.com域的子域sjz.ess.com域。

父域包括3個域控制器，其中essDC是目錄林ess.com中的一個域控制器。essBDC是ess.com域中的第二個域控制器，這兩個域控制器安裝Windows Server 2008企業版。shDC是ess.com域的第三域控制器，該域控制器安裝了Windows Server Core企業版。

sjzDC是子域sjz.ess.com中唯一的一個域控制器，安裝Windows Server 2008企業版。

bjPC是ess.com域的成員，安裝有Windows 7作業系統。

在管理操作主要之前，應該确認操作主要角色擁有指定的域控制器。

在考慮要移動操作主要角色前，可能需要确定哪個域控制器擁有指定的操作主要角色。驗證的使用者具有确定操作主要角色位于何處的權限。根據要确定操作主要角色，可使用下列活動目錄控制台其中一個：

u Active Directory 使用者和計算機（活動目錄使用者和計算機）

u Active Directory 域和信任關系（活動目錄域和信任）

u Active Directory 架構（活動目錄架構）

确定RID主要、PDC仿真器和基礎結構主要

為确定哪個域控制器擁有RID主要、PDC仿真器或基礎結構主要角色，執行下列步驟：

1. 在essDC上，打開Active Directory 使用者和計算機。

2. 如圖11-5所示，在控制台樹中，右擊ess.com域，然後單擊“操作主要”。

3. 如圖11-6所示，在出現的操作主機對話框，在RID标簽下可以看到操作主機為DCServer.ess.com.

圖 11-5 檢視操作主機 圖 11-6檢視RID操作主機

4. 如圖11-7所示，單擊“PDC”标簽，可以看到操作主機為DCServer.ess.cm。

5. 如圖11-8所示，單擊“基礎結構”标簽，可以看到主機為DCServer.ess.com。

圖 11-7 檢視PDC操作主機 圖 11-8 檢視基礎結構主機

确定域命名主要

為确定哪個域控制器擁有域命名主要角色，執行下列步驟：

6. 如圖11-9所示，點選“開始”à“程式”à“管理工具”，打開Active Directory 域和信任關系。

7. 如圖11-10所示，右擊“Active Directory 域和信任關系”，然後單擊“操作主要”。

圖 11-9 打開管理工具 圖 11-10 打開操作主機

8. 如圖11-11所示，在操作主機對話框，可以看到域命名操作主機為DCServer.ess.com。

<a href="http://91xueit.blog.51cto.com/attachment/201302/22/400469_1361493662yaOe.png"></a>

圖 11-11 檢視域命名主要

确定架構主要

為确定哪個域控制器擁有架構主要角色，請執行下列步驟：

9. 如圖11-12所示，運作下面的指令注冊Active Directory 架構 Snap-in：

regsvr32.exe %systemroot%\system32\schmmgmt.dll

10. 單擊确定關閉顯示注冊成功的資訊。

11. 點選“開始”à“運作”，輸入MMC，點選“确定”。

圖 11-12 注冊架構管理單元 圖 11-13 打開微軟管理控制台

12. 如圖11-14所示，在控制台1對話框，點選“檔案”à“添加/删除管理單元”。

13. 如圖11-15所示，在出現的添加或删除管理單元對話框，點中“Active Directory架構”，點選“添加”。

圖 11-14 添加删除管理單元 圖 11-15 添加管理單元

14. 如圖11-16所示，在控制台樹中，右擊Active Directory 架構，然後單擊“操作主要”。

15. 如圖11-17所示，在出現的更改操作主機對話框，可以看到目前架構主機（聯機狀态）為DCServer.ess.com。

圖 11-16 打開操作主機 圖 11-17 檢視操作主機

說明：為确定不同域中的操作主要，在單擊操作主要前請連接配接到域上。為确定不同目錄林中的操作主要，在單擊操作主要前通過鍵入目錄林的域名連接配接到域上。

傳送操作主要意味着将它從一個域控制器移動到另一個上。

在打開Active Directory 架構前，需要注冊活動目錄架構管理單元。

大多數情形下，目錄林中操作主要角色的位置在目錄林增長時不要求改變，這意味着角色的位置不需更新。不過，當計劃釋放一個域控制器，降低網絡的連通性，或改變一個域控制器的全局目錄伺服器狀态時，需要檢查一下架構，必要時需傳送操作主要角色。傳送操作主要角色意味着将它從一個運作的域控制器移動到另一個域控制器。為傳送角色，兩個域控制器必須正在運作并且連接配接到了網絡上。

在角色傳送過程中沒有資料損失。角色傳送的過程涉及将目前操作主要目錄複制到新的域控制器，這確定了新的操作主要擁有目前的可用資訊。這種角色對象的傳送采用标準的目錄複制機制。

為傳送操作主要角色，必須擁有相應權限。必須是下表列出組的成員才擁有權限改變操作主要角色。

操作主要

授權組

架構主要

改變架構主要的權限預設授權給架構管理者組。

域命名組

改變域命名主要的權限預設授權給企業管理組。

PDC仿真器

改變PDC仿真器預設授權給域管理組。

RID主要

改變RID主要的權限預設授權給域管理組。

基礎結構主要

改變基礎結構主要的權限預設授權給域管理組。

隻有在對域基礎結構做了重大改動時才要傳送角色，例如釋放了擁有角色的域控制器，或者是添加了新的更适合擁有指定角色的域控制器。

當域控制器降為成員伺服器時，所有的操作主要角色都釋放給了其它域控制器。為了控制向其它域控制器的角色傳送，傳送角色要在釋放以前進行。

為傳送一個操作主要角色，請使用和用于釋放操作主要角色相同的活動目錄管理單元。

傳送RID主要、PDC仿真器和基礎結構主要角色

将ess.com域的RID主要、PDC仿真器和基礎結構主要角色傳送到essBDC，請執行下列步驟：

16. 在essDC上打開Active Directory 使用者和計算機。

17. 如圖11-18所示，在控制台樹中右擊“ess.com”，然後單擊“更改域控制器”。

18. 如圖11-19所示，在出現的更改目錄伺服器對話框，選擇“此域控制器或AD LDS執行個體”，點中essBDC.ess.com，單擊“确定”。

圖 11-18 更域控制器 圖 11-19選擇域控制器

19. 如圖11-20所示，在控制台樹中，右擊ess.com ，然後單擊“操作主機”。

20. 如圖11-21所示，在出現的操作主機對話框，點中RID标簽，點選“更改”，在出現的确認對話框，點選“是”。傳遞RID主要。

圖 11-20 打開操作主機 圖 11-21 傳遞操作主機

21. 如圖11-22所示，在出現的成功傳遞了操作主機角色對話框，點選“确定”。

22. 如圖11-23所示，可以看到essBDC.ess.com成為RID的操作主機。

圖 11-22 角色傳遞成功 圖 11-23 目前的操作主機

傳送域命名主要角色

向另一個全局目錄伺服器傳送域命名主要角色，請執行下列步驟：

23. 點選“開始”à“程式”à“管理工具”，打開“Active Directory 域和信任關系”。

24. 如圖11-24所示，在控制台樹中，右擊“Active Directory 域和信任關系”，點選“更改Active Directory域控制器”。

25. 如圖11-25所示，在出現的更改目錄伺服器對話框，選擇“此域控制器或AD LDS執行個體”，選擇essBDC .ess.com，點選“确定”。

圖 11-24 更改域控制器 圖 11-25 選擇域控制器

26. 如圖11-26所示，在控制台樹中，右擊Active Directory 域和信任關系，然後單擊“操作主要”。

27. 如圖11-27所示，在出現的操作主機對話框，點選“更改”。

28. 如圖11-27所示，在出現的确認對話框，點選“是”，顯示成功轉移操作主機。

圖 11-26 打開操作主機 圖 11-27 傳遞操作主機

說明：確定擁有域命名主要角色的域控制器也駐留全局目錄。

傳送架構主要角色

為傳送架構主要角色，請執行下列步驟：

29. 打開Active Directory 架構管理工具。

30. 如圖11-28所示，在控制台樹中，右擊“Active Directory 架構”，然後單擊“更改Active Directory域控制器”。

31. 如圖11-29所示，在出現的更改目錄伺服器對話框，選擇“此域控制器或AD LDS執行個體”，點中“essBDC.ess.com”，點選“确定”。

圖 11-28 更改域控制器 圖 11-29 選擇域控制器

32. 如圖11-30所示，在出現的Active Directory架構對話，提示未連接配接到架構操作主機，不能執行任何更改，點選“确定”。

33. 如圖11-31所示，右擊Active Directory架構，點選“操作主機”。

圖 11-30 提示 圖 11-31 打開操作主機

34. 如圖11-32所示，在出現的更改架構主機對話框，點選“更改”。

35. 如圖11-33所示，在出現的确認對話框，點選“是”。架構主機傳遞成功。

圖 11-32 傳遞架構主機 圖 11-33 确認傳遞

如果擁有操作主要角色的域控制器不能用了，可能就有必要争奪該操作主要角色，将它重新配置設定給另一個域控制器。

争奪操作主要角色指強制将發生故障的域控制器上的操作主要角色傳送到可用的域控制器上。

争奪操作主要角色是非常重要的一個步驟，隻有在目前操作主要永遠不再能用的情況下，才可以考慮。如果發生故障的原因是可以及時解決的網絡問題或軟、硬體故障，請等待該操作主要角色保持者再次可用。隻有當操作主要角色不能傳送時，才應該争奪它。和角色争奪不一樣，角色傳送確定隻有一個域控制器保持着角色，并且該角色保持者擁有更新的角色對象設定。

在争奪操作主要角色前，應确定哪個域控制器擁有該操作主要角色。在确定目前角色保持者後，可以使用用于确定或傳送角色的“活動目錄控制台”或ntdsutil指令來争奪該操作主要角色。最後，确認正運作的域控制器收到了它的新操作主要角色。

争奪PDC仿真器和基礎結構主要角色

下面将會模拟ess.com域中essDC不可用的情況下，使用圖形界面強制使essBDC成為該域的PDC仿真器和基礎結構主要角色，強制執行下面步驟：

注意：使用以下方式不能争奪RID主要。

36. 在essDC 上，打開“Active Directory 使用者和計算機”。右擊ess.com，點選“操作主機”。

37. 如圖11-34所示，在出現的操作主機對話框，在PDC标簽下，确認PDC操作主機是DCServer.ess.com。

38. 如圖11-35所示，在基礎結構标簽下，确認DCServer.ess.com是基礎結構操作主機。

圖 11-34 PDC操作主機 圖 11-35基礎結構操作主機

39. 如圖11-36所示，斷開essDC的網卡，模拟其不可用。

40. 在essBDC 上，打開“Active Directory使用者和計算機”管理工具。

41. 如圖11-37所示，右擊ess.com，點選“操作主機”。

圖 11-36 斷開網絡連接配接 圖 11-37 打開操作主機

42. 如圖11-38所示，在出現的操作主機對話框中，單擊PDC标簽，可以看到不能聯系到操作主機，點選“更改”，在出現的确認對話框，點選“是”。

43. 如圖11-39所示，當訓示傳送不可能的資訊出現時，單擊确認對話框中的“是”。

圖 11-38 争奪PDC主要 圖 11-39 提示

44. 如圖11-40所示，出現強制進行傳遞對話框，點選“是”。

45. 如圖11-41所示，可以看到強制争奪PDC主要成功。

圖 11-40 強制争奪 圖 11-41 争奪PDC主要成功

46. 如圖11-42所示，在基礎結構标簽下，點選“更改”。出現基礎結主機角色不應該和GC伺服器上提示對話框，點選“是”。

47. 如圖11-43所示，提示不能連接配接目前的操作主機，但可以運作強制傳送，點選“是”。

圖 11-42 更改基礎結構主要 圖 11-43 強制傳遞

48. 如圖11-44所示，出現成功傳送操作主機角色對話框，點選“确定”。

49. 如圖11-45所示，點中RID标簽，點選“更改”。出現确認對話框，點選“是”。

圖 11-44 成功争奪 圖 11-45 更改RID主要

50. 如圖11-46所示，出現對話框，提示不能執行目前操作主機角色的傳遞，因為不能連接配接目前的操作主機。表明使用這種方式不能争奪RID主要，隻能使用下面的指令行工具争奪其他主要。

<a href="http://91xueit.blog.51cto.com/attachment/201302/22/400469_1361493889kZg7.png"></a>

圖 11-46 使用這種方式争奪RID主要失敗

争奪其它的操作主要角色

架構主要、域命名主要或RID主要的臨時丢失對終端使用者來說通常是不可見的，也不影響管理者的工作。是以，這通常不是值得修複的問題。不過，如果預料擁有一種這些操作主要角色的域控制器會出現較長時間的故障，可以争奪該角色讓備用的操作主要域控制器接管。但是争奪這些角色是隻有在出現永久性故障，例如域控制器實體上遭到了破壞并且不能從備份媒體中恢複的情形，才被迫采取的步驟。

由于同一個角色有多個操作主要線上的可能性，角色遭争奪的操作主要不應再運作。在争奪角色前，必須通過将該域控制器和網絡斷開來確定這個域控制器的故障是永久性的。

使用Ntdsutil争奪角色

在essBDC上使用指令行工具ntdsutil争奪RID主要。繼續上面的實驗，斷開essDC的網絡連接配接。模拟essDC出現故障。

為使用ntdsutil指令來争奪操作主要角色，請執行下列步驟：

51. 在Run文本框中鍵入cmd然後按Enter鍵。

52. 如圖11-47所示，在指令提示符下，鍵入ntdsutil。

53. 如圖11-47所示，在ntdsutil提示符下，鍵入roles。

54. 如圖11-47所示，在fsmo maintenance提示符下，鍵入connections。

55. 如圖11-47所示，在server connections提示符下，鍵入connect to server essBDC.ess.com。

56. 如圖11-47所示，在server connections提示符下，鍵入quit。

57. 如圖11-48所示，在fsmo maintenance提示符下，輸入？，回車。可以看到在該提示符下可用的指令。

58. 在fsmo maintenance提示符下，鍵入下列指令之一以争奪适當的操作主要：

· Seize RID master

· Seize PDC

· Seize domain naming master

· Seize schema master

圖 11-47 使用ntdsutil争奪主要 圖 11-48 檢視可用指令

59. 如圖11-49所示，在fsmo maintenance提示符下，輸入Seize RID master，争奪RID主要。在出現的确認對話框，點選“是”。

60. 如圖11-50所示，可以看到使用指令行工具可以争奪RID主要成功。

圖 11-49 争奪RID主要 圖 11-50 争奪成功

61. 如圖11-51所示，在fsmo maintenance提示符下，鍵入quit。

62. 如圖11-51所示，在ntdsutil提示符下，鍵入quit。

63. 如圖11-52所示，連接配接上essDC的網卡。

圖 11-51 争奪成功 圖 11-52 連接配接essDC網卡

64. 如圖11-53所示，在essBDC上，打開Active Directory站點和服務，強制活動目錄複制。

65. 如圖11-54所示，打開Active Directory使用者和計算機，右擊ess.com，點選“操作主機”。

圖 11-53 複制活動目錄 圖 11-54 打開操作主機

66. 如圖11-55、11-56、11-57所示，可以看到RID主要和PDC主要以及基礎結構主要都已經是essBDC.ess.com。

圖 11-55 檢視RID主要 圖 11-56 PDC主要

<a href="http://91xueit.blog.51cto.com/attachment/201302/22/400469_1361493999MEK6.png"></a>

本文轉自 onesthan 51CTO部落格，原文連結：http://blog.51cto.com/91xueit/1137493，如需轉載請自行聯系原作者