实战操作主机角色转移，Active Directory系列之十

实战操作主机角色转移

         上篇博文中我们介绍了操作主机在 Active Directory 中的用途，今天我们通过一个实例为大家介绍如何实现操作主机角色的转移，这样如果 Active Directory 中操作主机角色出现了问题，我们就可以用今天介绍的知识来进行故障排除。

         我们首先要明确一个重要原则，那就是操作主机角色有且只能有一个！如果操作主机角色工作在林级别，例如架构主机和域命名主机，那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别，例如 PDC 主机，结构主机和 RID 主机，那就意味着一个域内只能有一个这样的操作主机角色。

         我们的实验拓扑如下图所示， Adtest.com 域内有两个域控制器， Florence 和 Firenze 。 Florence 是域内的第一个域控制器，目前所有的操作主机角色都在 Florence 上，我们通过实验来介绍如何在 Florence 和 Firenze 间切换操作主机角色。

         其实当我们用 Dcpromo 卸载域控制器上的 Active Directory 时，这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴，这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色，我们就需要手工操作了。我们首先为大家介绍如何用 MMC 控制台把五个操作主机角色从 Florence 转移到 Firenze 上。

一   从 Florence 转移到 Firenze

         在 Florence 上打开 Active Directory 用户和计算机，如下图所示，右键点击域名，在菜单中选择“操作主机”。

 

如下图所示，我们发现可以转移三个操作主机角色，分别是 PDC 主机， RID 主机和结构主机，但奇怪的是，我们希望把操作主机角色从 Florence 转移到 Firenze ，但为何工具中显示的是我们只能把操作主机角色从 Florence 转移到 Florence 呢？

 

上述问题很容易解释，如果我们希望把 Firenze 作为操作主机角色转移的目标，那我们就需要把域控制器的焦点首先指向 Firenze 。从下图所示，在 Active Directory 用户和计算机中右键单击 adtest.com ，选择“连接到域控制器”，从域控制器列表中选择 Firenze 即可。

 

我们把域控制器的焦点指向 Firenze 后，接下来就发现可以把操作主机角色从 Florence 转移到 Firenze 了，如下图所示，我们点击“更改”，准备把 RID 主机角色从 Florence 转移到 Firenze 。系统弹出窗口询问是否确定进行操作主机角色的转移，我们选择“是”。

 

通过上述过程，我们可以非常轻松地把 RID 主机角色从 Florence 转移到 Firenze ，如下图所示，操作主机角色的转移已经成功。用同样的方法，我们可以很轻松地把 PDC 和结构主机也转移到 Firenze 上。

 

转移了 RID 主机， PDC 主机和结构主机后，我们来尝试一下域命名主机。在 Florence 上打开 Active Directory 域和信任关系，注意先把域控制器的焦点指向 Firenze ，然后如下图所示，右键单击 Active Directory 域和信任关系，从菜单中选择“操作主机”。

 

如下图所示，我们点击“更改”把域命名主机角色从 Florence 转移到 Firenze ，整个过程实现起来非常简单。

 

如下图所示，域命名主机角色已经转移到 Firenze 上了。

                 

 

最后我们要转移的操作主机角色是架构主机，架构主机由于角色非常重要，微软甚至没有为我们预设管理工具，因此我们首先要通过注册动态链接库来获得转移架构主机所需要的管理工具。如下图所示，我们运行 regsvr32   schmmgmt.dll ，系统提示注册动态链接库成功。

 

注册了动态链接库后，我们运行 MMC ，在文件菜单中选择“添加 / 删除管理单元”，这时我们会发现可以添加一个名为“ Active Directory 架构”的管理单元，这就是注册了动态链接库的作用。使用这个 Active Directory 架构管理单元，如下图所示，选择“操作主机”进行架构主机的转移，同样不要忘记在之前把域控制器焦点指向 Firenze 。

 

如下图所示，点击“更改”把架构主机角色转移到 Firenze 上。

      

 

从下图的结果来看，架构主机的转移是成功的，至此，我们完成了五个操作主机角色的转移。

          

 

二 从 Firenze 转移到 Florence

现在五个操作主机角色都集中在 Firenze 上，我们再为大家介绍一种方法把操作主机角色完璧归赵，还给 Florence ，这种方法就是使用我们非常熟悉的工具 NTDSUTIL 。如下图所示，运行 ntdsutil ，然后输入 roles ，准备进行操作主机角色的转移。

                                                                                    

 

如下图所示，在 Roles 状态下，我们首先要使用 connections 命令来连接到特定的域控制器，连接到哪个域控制器呢？应该连接到操作主机转移的目标域控制器，在我们这个例子中应该是 Florence ，如图所示，我们输入命令 connect   to   server   Florence 。

 

连接到 Florence 后，如下图所示，我们用 quit 命令返回上级菜单，用？列出当前状态下的所有可执行指令，我们发现转移五个操作主机角色只需要简单执行五条命令即可，这五条指令分别是：

Transfer domain naming master    转移域命名主机

Transfer infrastructure master     转移结构主机

Transfer PDC                   转移 PDC 主机

Transfer RID master              转移 RID 主机

Transfer schema master         转移架构主机

 

还有五条命令是强行把连接到的域控制器指定为操作主机角色，这个很适合在操作主机离线时进行操作，如果我们不小心把操作主机所在的域控制器给格式化了，我们就可以利用这些指令强行把一个域控制器指定为操作主机。这五条指令分别是：

Seize domain naming master    指定域命名主机

Seize infrastructure master     指定结构主机

Seize PDC                   指定 PDC 主机

Seize RID master              指定 RID 主机

Seize schema master         指定架构主机

 

                

如下图所示，我们执行转移操作主机角色的五条指令，很轻松地把操作主机角色从 Firenze 又转到了 Florence 上。

 

         在本篇博文中，我们可以利用 MMC 和 NTDSUITL 进行操作主机角色的转移，也可以在操作主机离线的情况下进行操作主机角色的指定，掌握了这些，基本上就可以应对工作中对操作主机的需求了。