2020 年 3 月 25 日

IT Skills 波林

Polin WEI – 資訊工作者的技術手札

Active Directory 操作主機角色移轉與拿取

1 min read
露營車

Active Directory 操作主機角色移轉與拿取

Active Directory ( AD:以下以 AD 來作簡稱 ) 定義五種操作主機的角色

  1. 架構操作主機 (Schema Master)
  2. 網域命名操作主機 (Domain Naming Master)
  3. PDC 模擬主機 (Primary Domain Controller Emulator)
  4. RID 操作主機 (Relative Identifier Master)
  5. 基礎結構操作主機 (Infrastructure Master)

 

  • AD結構預設組態說明:

在AD結構預設組態中,「每個樹系」 內所建立的「第一個網域控制器( 樹系根網域的第一個網域控制器 )」,會自動擔任樹系中的 架構操作主機(Schema Master)」 網域命名操作主機 (Domain Naming Master) 」兩個角色;而 「每個網域」 中所建立的第一個網域控制器」,就會扮演網域內的 PDC、RID、基礎結構操作主機」 的角色。不過系統管理人員若有特別的需求或規劃,這些預設位置是隨時允許變更的。

AD結構提供兩種方式變更主機角色,一種為 [ 移轉 ] ,另一種為 [ 拿取 ],移轉為單純的主機角色變更,而拿取為當網域控制器因損毀無法再提供服務時,強制抽出該網域控制器的角色,所以用[ 拿取 ] 後的網域控制器將無法再繼續擔任該網域的網域控制器,請特別注意使用上的選擇。

 

  1. 圖形介面的工具移轉角色
  2. 命令列指令 ntdsutil 移轉角色
  3. 命令列指令 ntdsutil 拿取角色

 

移轉角色,須有足夠的權限及正確的工具整理如下:

角色範圍操作主機角色需有權限圖形介面工具
樹系架構操作主機 ( Schema Master )樹系根網域的 Schema Admins 成員AD架構
網域命名操作主機 ( Domain Naming Master )樹系根網域的 Enterprise Admins 成員AD網域及信任
網域PDC 模擬主機 ( Primary Domain Controller Emulator )自己網域的 Domain Admins 成員AD使用者及電腦
RID 操作主機 ( Relative Identifier Master )
基礎結構操作主機 (Infrastructure Master)

移轉角色提供兩種工具介面 ,先來介紹圖形介面的工具,以下動作,均以移轉至目前操作主機為例,此實例是要由 DC1 移轉到 DC2,所以要連到網域控制器 DC2 操作

  • 移轉架構操作主機 ( Schema Master )

需由 [Active Directory架構] 中操作,要使用 [Active Directory架構] 工具必需先進行註冊動態鏈結庫的動作,首先在 [ 開始 ]->[ 執行 ] 中輸入「regsvr32 schmmgmt.dll」,點選[確定],看到動態鏈結庫註冊成功的畫面出現

regsvr32-schmmgmt

regsvr32-schmmgmt-ok

 

接著再到 [開始]->[執行] 中輸入「mmc」,再點選 [確定] 後,開啟 MMC 主控台,點選 [ 檔案 ]->[ 新增/移除嵌入式管理單元 ]

mmc-add-extension

[ 新增或移除嵌入式管理單元 ] 設定頁中,再點選 [ Active Directory架構 ] -> [ 確認 ]

mmc-add-ad-schema

 

在MMC的主控台中,點選 [ Active Directory架構 ] 滑鼠左鍵 [ 操作主機 ] ,注意要先連到 網域控制器 DC2 操作

ad-change-schema-server

它會出現變更架構主機的確認視窗,按下 [ 變更 ]就可以移轉了。

ad-schema-dc1-dc2

 

  • 移轉 網域命名操作主機  (Domain Naming Master) 的角色

在伺服器管理員中,[ 工具 ][ Active Directory網域及信任 ]

ad-site-trust

[ Active Directory網域及信任 ] 上按滑鼠右鍵,選擇 [ 操作主機 ] ,再作變更即可。注意要先連到 網域控制器: DC2 操作。

ad-Naming-Maste-change

 

  • 移轉 PDC 模擬主機 (Primary Domain Controller Emulator)、RID 操作主機 (Relative Identifier Master)、基礎結構操作主機  (Infrastructure Master) 的角色

在伺服器管理員中,[ 工具 ][ Active Directory使用者及電腦 ]

ad-site-trust

開啟 [ Active Directory 使用者及電腦 ],在網域名稱上按滑鼠右鍵選 [操作主機]

ad-user-computer

選擇不同的頁面: RID、PDC、基礎結構 去作變更即可。下面是 RID 由 DC1 變更為 DC2 。待會會用 命令列指令 ntdsutil 再移轉回來。

ad-rid-pic

ad-rid-dc2

 

  • 命令列指令 ntdsutil 移轉角色

[開始] -> [命令提示字元] 輸入: ntdsutil,在提示字元下輸入下列指令,可以依序 [ 移轉 ] 這 5 大角色:

roles
connections
connect to server ‘要擔任角色的另一個網域控制器電腦名稱 ’
quit
transfer schema master (移轉架構主操作主機)
transfer domain naming master (移轉網域命名操作主機)
transfer pdc (移轉PDC模擬主機)
transfer rid master (移轉RID操作主機)
transfer infrastructure master (移轉基礎結構操作主機)
quit
quit

實例如:RID 由 DC2 再移轉回為 DC1

ad-rid-change-cmd-confirm

確認後,就可以移轉回來了。

ad-rid-change-cmd-ok

 

  • 拿取操作主機的步驟

這個動作允許管理人員在無法連接到目前的原有操作主機角色的情況: 如原操作主機當機開不起來,又沒有備份可還原,將其功能強制的轉換給其它的網域控制器,再次提醒 ,只有在目前的操作主機無法繼績使用時(例如機器損毀或當機無法開啟),而且未來這個網域控制器再也不會回復到網路上正常運作時,才可以考量採用 [拿取] 操作主機角色的步驟。管理人員必需使用ntdsutil 工具來進行拿取操作主機角色的作業。

在 [命令提示字元] 輸入: ntdsutil,主要的差別只在 [ 移轉 ] 是用 transfer ,而 [ 拿取 ] 是用 seize ,在提示字元下輸入下列指令,可以依序[ 拿取 ]這 5 大角色:

roles
connections
connect to server‘要擔任角色的另一個網域控制器電腦名稱 ’
quit    
seize schema master (拿取架構操作主機)
seize domain naming master (拿取網域命名操作主機)
seize pdc (拿取PDC模擬主機)
seize rid master (拿取RID操作主機)
seize infrastructure master (拿取基礎結構操作主機)
quit
quit

 

Copyright © All rights reserved. | Newsphere by AF themes.