AD管理員必備技能(一)在線角色轉移

AD管理員必備技能(一)在線角色轉移
做爲一個企業管理員來講，平常服務器的備份及災難恢復是必不可少的技能，因此對於AD的一些災難性的問題修復對於工程師來講也不算是一個什麼大事，可是對於架構的部署是很是嚴重的一件是，好比環境內有多臺DC，如何將AD下的角色進行分開部署等；今天咱們主要閒談AD下5個角色的問題及角色在線遷移；
首先說說五大角色：
**1. 森林級別(一個森林只存在一臺DC有這個角色):
1.1.Schema Master:架構主控
1.2.Domain Naming Master:域命名主控

2. 域級別(一個域裏面只存一臺DC有這個角色):
   2.1.PDC Emulator :PDC仿真器
   2.2.RID Master :RID
   2.3.Infrastructure Master :結構主控**
   接下來講說五大角色的功能：
   1.Schema Master架構主控
   做用是修改活動目錄的源數據。咱們知道在活動目錄裏存在着各類各樣的對像，好比用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄自己就是一個數據庫，對象和屬性之間就好像表格同樣存在着對應關係，那麼這些對像和屬性之間的關係是由誰來定義的，就是Schema Master，若是你們部署過Exchange的話，就會知道Schema是能夠被擴展的，但須要你們注意的是，擴展Schema必定是在Schema Master進行擴展的，在其它域控制器上或成員服務器上執行擴展程序，其實是經過網絡把數據傳送到Schema上而後再在Schema Master上進行擴展的，要擴展Schema就必須具備Schema Admins組的權限才能夠
   2.Domain Naming Master:域命名主控
   這也是一個森林級別的角色，它的主要做用是管理森林中域的添加或者刪除。若是你要在你現有森林中添加一個域或者刪除一個域的話，那麼就必需要和Domain Naming Master進行聯繫，若是Domain Naming Master處於Down
   機狀態的話，你的添加和刪除操做那上確定會失敗的。
   3.PDC Emulator :PDC仿真器
   ⑴、處理密碼驗證要求;
   密碼的修改，通常狀況下，一旦密碼被修改，會先被複制到PDC Emulator，而後由PDC Emulator觸發一個即時更新，以保證密碼的實時性。
   ⑵、統一域內的時間; 微軟活動目錄是用Kerberos協議來進行身份認證的，在默認狀況下，驗證方與被驗證方之間的時間差不能超過5分鐘，不然會被拒絕經過，微軟這種設計主要是用來防止回放式***。因此在域內的時間必須是統一的，這個統一時間的工做就是由PDC Emulator來完成的。
   (3)、統一修改組策略的模板
   4.RID Master :RID
   在Windows 2000的安全子系統中，用戶的標識不取決於用戶名，雖然咱們在一些權限設置時用的是用戶名，但實際上取決於安全主體SID，因此當兩個用戶的SID同樣的時候，儘管他們的用戶名可能不同，但Windows的安全子系統中會把他們認爲是同一個用戶，這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID，那麼如何避免這種狀況?這就須要用到RID Master，RID Master的做用是:分配可用RID池給域內的DC和防止安全主體的SID重複。
   5.Infrastructure Master :結構主控
   FSMO的五種角色中最可有可無的可能就是這個角色了，它的主要做用就是用來更新組的成員列表，由於在活動目錄中頗有可能有一些用戶從一個OU轉移到另一個OU，那麼用戶的DN名就發生變化，這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。

在FSMO的規劃時，請你們按如下原則進行:
一、佔有Domain Naming Master角色的域控制器必須同時也是GC;
二、不能把Infrastructure Master和GC放在同一臺DC上;
三、建議將Schema Master和Domain Naming Master放在森林根域的GC服務器上;
四、建議將Schema Master和Domain Naming Master放在同一臺域控制器上;
五、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;
六、儘可能不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上;
接下來咱們介紹如何在線轉移角色吧；
咱們首先看看，咱們環境內有兩臺AD服務器；

站點信息

咱們首先查看角色的全部者
咱們當前的角色都在ADDS-2服務器上，咱們須要將角色轉移到ADDS-1上

在轉移前咱們須要確認下，轉移有兩種方式，第一種是在線轉移，言外之意就是全部的DC都是正常工做的狀況下。
第二種狀況下， 角色所在的DC服務器故障處於離線狀態，爲了保證咱們須要將角色強制轉移到在線的DC服務器上。
咱們首先說說第一種；
當全部的DC都處於在線狀態；咱們在此使用命令行進行操做；
開始運行--cmd---命令提示符中輸入--ntdsutil
而後輸入問號(?)來幫助，

輸入roles來進入管理NTDS角色全部者令牌管理
咱們經過幫助來看，發現有兩種命令，一個是transfer，另一個是seize；
transfer是全部的DC服務器都處於在線狀態使用；
seize是角色全部者處於離線狀態來使用；

咱們先使用transfer來進行在線傳輸；在傳輸前，咱們須要鏈接到服務器；因此須要使用connections
在 fsmo maintenance 命令提示符下，鍵入：
connection，回車。繼續？（問號）查看幫助

在 server connections 命令提示符下，鍵入：
connect to server ADDS-1(須要提高爲主域控制器的計算機名)，回車。

在 server connections 命令提示符下，鍵入：
quit，回車。
在 fsmo maintenance 命令提示符下，鍵入：
在此時咱們經過？（問號）查看幫助命令

傳輸角色的順序建議使用如下順序

1.Transfer naming master
 2.Transfer infrastructure master
3.seize pdc
4.seize rid master
5.schema master

咱們開始傳輸域命名主機
Transfer naming master


Transfer infrastructure master


Transfer RID master


Transfer PDC


Transfer schema master


咱們再查看，全部的角色就傳輸到ADFS-1服務器上了；
netdom query fsmo