fsmo角色迁移和夺取.doc
《fsmo角色迁移和夺取.doc》由会员分享,可在线阅读,更多相关《fsmo角色迁移和夺取.doc(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流fsmo角色迁移和夺取点击“更改”出现提示“您确实要更改架构主机?”,点确定,出面成功传送了操作主机,且当前架构主机已经变为DC2了,如下图:2RID Master、Infrastructure Master、PDC Emulator打开“Active Directory用户和计算机”,选中“TEST.CN”域,右键选“操作主机”在这里依次更改RID Master、Infrastructure Master、PDC Emulator 3Domain Naming Master打开“Active Directory域和信任关系”管理器,在“Ac
2、tive Directory域和信任关系”上点右键,选操作主机在出现的新窗口上,点击更改。 三FSMO角色的夺取。当在主域控制器DC1出现故障损坏的情况下,对于FSMO的角色就不能进行转移了,这时就只能强行夺取了,需要用到ntdsutil命令行工具。以下是命令行的步骤打红线的地方,是要注意的地方,“connect to server “这里是连接到域,实际中,将其改为公司的域名就可以了。在此由于DC1主域损坏不在线,所以只能用夺取(seize)而不能转移(transfer)。这样就进入了正式夺取FSMO角色的关键步骤了,打入“?”号,查看帮助,以Seize开头的FSMO五个角色命令都显示出来了
3、,接下来我们只须在“fsmo maintenance:”依次输入这五个命令就可以完成FSMO的五个角色的夺取。1Seize domain naming master在出现的对话框点“是” 2Seize infrastrurcture master呵呵,出错了!不过没关系,这是正常的,因为主域DC1不在线,所以在夺取时会有这个出错信息。红线部份给出了索取继续,所以结构角色会夺取到DC2上,接下来的各个角色的夺取也会有这个出错信息。 3Seize PDCSeize RID master5Seize schema masterOK,至此,FSMO的五个角色就全部夺取完成。再次运行脚本程序或在图形方式
4、下查看,五个角色都已在DC2服务器上。四删除损坏DC的信息对于网络中DC1损坏,虽然经过以上的FSMO角色夺取到DC2上后,整个域已可以正常使用。但在日志中,还是会有AD数据库复制信息出错的提示。对于DC1由于损坏已不存在了,所以我们可以将DC1这台域控制器的一些想关信息从域中删除。1ntdsutil命令行工具。在DC2域控制器上运行ntdsutil以下是ntdsutil工具执行的步骤:C:Documents and SettingsAdministrator.TESTntdsutilntdsutil: ? - 显示这个帮助信息Authoritative restore - 授权还原 DIT
5、数据库Configurable Settings - 管理可配置的设置Domain management - 准备新域创建Files - 管理 NTDS 数据库文件Help - 显示这个帮助信息LDAP policies - 管理 LDAP 协议策略Metadata cleanup - 清理不使用的服务器的对象Popups %s - 用“on”或“off”启用或禁用弹出Quit - 退出实用工具Roles - 管理 NTDS 角色所有者令牌Security account management - 管理安全帐户数据库 - 复制 SID 清理Semantic database analysis
6、- 语法检查器Set DSRM Password - 重置目录服务还原模式管理员帐户密码ntdsutil: metadata cleanupmetadata cleanup: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Remove selected domain - 删除所选域的 DS 对象Remove selected Naming Context - 为定的命名上下文删除 DS 对象Remove selected server - 从所选服务器上删除 DS 对象Remove selected ser
7、ver %s - 从所选服务器上删除 DS 对象Remove selected server %s on %s - 从所选服务器上删除 DS 对象Select operation target - 选择的站点,服务器,域,角色和命名上下文metadata cleanup: select operation targetselect operation target: connectserver connections: connect to domain 绑定到 DC .用本登录的用户的凭证连接 DC。server connections: qselect operation target:
8、? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息List current selections - 列出当前的站点/域/务?命名上下文List domains - 列出所有包含交叉引用的域List domains in site - 列出所选站点中的域List Naming Contexts - 列出已知命名上下文List roles for connected server - 列出已连接的服务器已知的角色List servers for domain in site - 列出所选域和站点中的服务器List servers in sit
9、e - 列出所选站点中的服务器List sites - 在企业中列出站点Quit - 返回到上一个菜单Select domain %d - 将 %d 域定为所选域Select Naming Context %d - 使命名上下文 %d 为选定的命名上下文Select server %d - 将 %d 服务器定为所选服务器Select site %d - 将 %d 站点定为所选站点select operation target: list sites找到 1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC
10、=cnselect operation target: select site 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn没有当前域没有当前服务器当前的命名上下文select operation target: list domains in site找到 1 域0 - DC=test,DC=cnselect operation target: select domain 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC
11、=test,DC=cn域 - DC=test,DC=cn没有当前服务器当前的命名上下文select operation target: list servers for domain in site找到 2 服务器0 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn1 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnselect operation
12、target: select server 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn域 - DC=test,DC=cn服务器 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnDSA 对象 - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC
13、=test,DC=cnDNS 主机名称 - DC计算机对象 - CN=DC1,OU=Domain Controllers,DC=test,DC=cn当前的命名上下文select operation target: qmetadata cleanup: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Remove selected domain - 删除所选域的 DS 对象Remove selected Naming Context - 为定的命名上下文删除 DS 对象Remove selected serve
14、r - 从所选服务器上删除 DS 对象Remove selected server %s - 从所选服务器上删除 DS 对象Remove selected server %s on %s - 从所选服务器上删除 DS 对象Select operation target - 选择的站点,服务器,域,角色和命名上下文metadata cleanup: remove selected server点“是”后如下图所示:Win2000到Win2003域的迁移我院购置了相关服务器后,进行Win2000到Win2003域的迁移,该域现有500多个用户,负责医院各系统服务的认证工作。表1 原有域服务器信息服
15、务器主域控制器额外域控制器主机名AA1IP地址10.0.0.1110.0.0.11掩码255.255.0.0255.255.0.0网关10.0.0.110.0.0.1DNS10.0.0.1110.0.0.1210.0.0.1110.0.0.12所属角色domain naming masterPDCinfrastructure masterRID masterschema master表2 新域服务器信息服务器主域控制器额外域控制器主机名BB1 IP地址10.0.0.5110.0.0.52掩码255.255.0.0255.255.0.0网关10.0.0.110.0.0.1DNS10.0.0.51
16、10.0.0.5210.0.0.5110.0.0.52所属角色domain naming masterPDCinfrastructure masterRID masterschema master原有域服务器的操作系统均为Windows 2000 Server,而本次新的域服务器操作系统改用Windows 2003 Enterprise Server。要实现2000域到2003域的迁移,我们主要通过以下步骤实现:1.在拥有架构主机角色(schema master)的域控制器上更新林信息。2.在拥有结构主机角色(infrastructure master)的域控制器上更新域信息。3.将两台新服务
17、器(Windows 2003系统)作为额外域控制器加入2000域中。4.通过ntdsutil工具将5种FSMO角色转换到新主域控制器上。5.开启新域控制器的全局编录(等待更新同步)。6.去除原有域控制器的全局编录。一、更新林信息1.到架构主机A1服务器上做更新林的操作。更新林或域的工具Adprep.exe位于Windows 2003 Enterprise Server安装光盘的I386目录下,将操作系统光盘插入光驱,并把I386目录拷贝到服务器本机D盘根目录下。运行窗口中键入cmd,进入命令行模式后点击“开始运行cmd”,将当前目录切换到Adprep.exe目录下。具体操作如下:Microso
18、ft Windows 2000 Version 5.00.2195(C) 版权所有 1985-2000 Microsoft Corp.C:Documents and SettingsAdministratorD:D:cd win2003D:win2003cd i386D: win2003i3862.运行adprep /forestprep更新林信息,在操作之前应确保Windows 2000系统已经打上SP2以上补丁,如满足要求则依照提示输入“C”,并按回车键,其生成信息如下:adprep /forestprepADPREP 警告:运行Adprep之前,此林中的所有Windows 2000域控制
19、器必须升级到带QFE 265089的Windows 2000 Service Pack 1(SP1),或者升级到Windows 2000 SP2(或更新)。需要QFE 265089(包括在Windows 2000 SP2和更新版本中)以防止可能的域控制器损坏。用户操作如果所有现存的 Windows 2000 域控制器满足此要求,键入C,然后按ENTER以继续。否则,键入任何其他键并按 ENTER以退出。cSSPI 连接到“A1”用 SSPI 作为当前用户登录从 D:WINNTsystem32sch14.ldf 文件输入目录加载项目. 111 个项目修改成功。指令成功完成连接到“A1”用SSPI
20、作为当前用户登录从D:WINNTsystem32sch15.ldf 文件输入目录加载项目. 68个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从 D:WINNTsystem32sch16.ldf 文件输入目录加载项目.33 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch17.ldf 文件输入目录加载项目.21 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch18.ldf文件输入目录加载项目.32个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用
21、户登录从D:WINNTsystem32sch19.ldf文件输入目录加载项目.27 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch20.ldf文件输入目录加载项目.19个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch21.ldf文件输入目录加载项目.13个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch22.ldf 文件输入目录加载项目.39个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINN
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- fsmo 角色 迁移 夺取
限制150内