AD管理員必備技能(一)在線角色轉移

AD管理員必備技能(一)在線角色轉移
作為一個企業管理員來說，日常服務器的備份及災難恢復是必不可少的技能，所以對于AD的一些災難性的問題修復對于工程師來說也不算是一個什么大事，但是對于架構的部署是非常嚴重的一件是，比如環境內有多臺DC，如何將AD下的角色進行分開部署等；今天我們主要閑談AD下5個角色的問題及角色在線遷移；
首先說說五大角色：
**1. 森林級別(一個森林只存在一臺DC有這個角色):
1.1.Schema Master:架構主控
1.2.Domain Naming Master:域命名主控

2. 域級別(一個域里面只存一臺DC有這個角色):
   2.1.PDC Emulator :PDC仿真器
   2.2.RID Master :RID
   2.3.Infrastructure Master :結構主控**
   接下來說說五大角色的功能：
   1.Schema Master架構主控
   作用是修改活動目錄的源數據。我們知道在活動目錄里存在著各種各樣的對像，比如用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄本身就是一個數據庫，對象和屬性之間就好像表格一樣存在著對應關系，那么這些對像和屬性之間的關系是由誰來定義的，就是Schema Master，如果大家部署過Exchange的話，就會知道Schema是可以被擴展的，但需要大家注意的是，擴展Schema一定是在Schema Master進行擴展的，在其它域控制器上或成員服務器上執行擴展程序，實際上是通過網絡把數據傳送到Schema上然后再在Schema Master上進行擴展的，要擴展Schema就必須具有Schema Admins組的權限才可以
   2.Domain Naming Master:域命名主控
   這也是一個森林級別的角色，它的主要作用是管理森林中域的添加或者刪除。如果你要在你現有森林中添加一個域或者刪除一個域的話，那么就必須要和Domain Naming Master進行聯系，如果Domain Naming Master處于Down
   機狀態的話，你的添加和刪除操作那上肯定會失敗的。
   3.PDC Emulator :PDC仿真器
   ⑴、處理密碼驗證要求;
   密碼的修改，一般情況下，一旦密碼被修改，會先被復制到PDC Emulator，然后由PDC Emulator觸發一個即時更新，以保證密碼的實時性。
   ⑵、統一域內的時間; 微軟活動目錄是用Kerberos協議來進行身份認證的，在默認情況下，驗證方與被驗證方之間的時間差不能超過5分鐘，否則會被拒絕通過，微軟這種設計主要是用來防止回放式***。所以在域內的時間必須是統一的，這個統一時間的工作就是由PDC Emulator來完成的。
   (3)、統一修改組策略的模板
   4.RID Master :RID
   在Windows 2000的安全子系統中，用戶的標識不取決于用戶名，雖然我們在一些權限設置時用的是用戶名，但實際上取決于安全主體SID，所以當兩個用戶的SID一樣的時候，盡管他們的用戶名可能不一樣，但Windows的安全子系統中會把他們認為是同一個用戶，這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID，那么如何避免這種情況?這就需要用到RID Master，RID Master的作用是:分配可用RID池給域內的DC和防止安全主體的SID重復。
   5.Infrastructure Master :結構主控
   FSMO的五種角色中最無關緊要的可能就是這個角色了，它的主要作用就是用來更新組的成員列表，因為在活動目錄中很有可能有一些用戶從一個OU轉移到另外一個OU，那么用戶的DN名就發生變化，這時其它域對于這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。

在FSMO的規劃時，請大家按以下原則進行:
1、占有Domain Naming Master角色的域控制器必須同時也是GC;
2、不能把Infrastructure Master和GC放在同一臺DC上;
3、建議將Schema Master和Domain Naming Master放在森林根域的GC服務器上;
4、建議將Schema Master和Domain Naming Master放在同一臺域控制器上;
5、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;
6、盡量不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上;
接下來我們介紹如何在線轉移角色吧；
我們首先看看，我們環境內有兩臺AD服務器；

站點信息

我們首先查看角色的所有者
我們當前的角色都在ADDS-2服務器上，我們需要將角色轉移到ADDS-1上

在轉移前我們需要確認下，轉移有兩種方式，第一種是在線轉移，言外之意就是所有的DC都是正常工作的情況下。
第二種情況下， 角色所在的DC服務器故障處于離線狀態，為了保證我們需要將角色強制轉移到在線的DC服務器上。
我們首先說說第一種；
當所有的DC都處于在線狀態；我們在此使用命令行進行操作；
開始運行--cmd---命令提示符中輸入--ntdsutil
然后輸入問號(?)來幫助，

輸入roles來進入管理NTDS角色所有者令牌管理
我們通過幫助來看，發現有兩種命令，一個是transfer，另外一個是seize；
transfer是所有的DC服務器都處于在線狀態使用；
seize是角色所有者處于離線狀態來使用；

我們先使用transfer來進行在線傳輸；在傳輸前，我們需要連接到服務器；所以需要使用connections
在 fsmo maintenance 命令提示符下，鍵入：
connection，回車。繼續？（問號）查看幫助

在 server connections 命令提示符下，鍵入：
connect to server ADDS-1(需要提升為主域控制器的計算機名)，回車。

在 server connections 命令提示符下，鍵入：
quit，回車。
在 fsmo maintenance 命令提示符下，鍵入：
在此時我們通過？（問號）查看幫助命令

傳輸角色的順序建議使用以下順序

 1.Transfer naming master
 2.Transfer infrastructure master
3.seize pdc
4.seize rid master
5.schema master

我們開始傳輸域命名主機
Transfer naming master


Transfer infrastructure master


Transfer RID master


Transfer PDC


Transfer schema master


我們再查看，所有的角色就傳輸到ADFS-1服務器上了；
netdom query fsmo