兼具任務DC =>FSMO

操作主機的管理 ch10

五個操作主機(五大角色)：架構主機 (Schema Master)、網域命名主機 (Domain Naming Master)、基礎結構主機 (Infrastructure Master)、RID 集區管理員 (RID Master)、PDC (PDC Emulator)

→可Domain中任意找DC來擔任角色

第一個Domain有五個角色，其中前兩個不大會更動

·         Schema Master                      定義物件及屬性

·         Domain Naming Master          新增或刪除網域 (負責網域命名)

每一個Domain中必須要有三個角色，下面會更動

·         RID master

·         PDC emulator

·         Infrastructure master

RID master     停止運作後會馬上出問題

User SID= Domain SID +  RID  (透過>whoami /user檢視，RID為流水號，500是內建Administrator) 可以認證但無法新增user

PDC emulator   停止運作後會馬上出問題

·         模擬NT 4.0 PDC

·         網域中的Time Server 時間同步

·         在該機器進行  >w32tm /config /manualpeerlist: time.nist.gov

·         http://technet.microsoft.com/en-us/library/cc786897(v=ws.10).aspx

Infrastructure Master

·         紀錄群組內的成員

·         DC與GC同一台，則其上的Infrastructure Master停止運作

更換Schema Master

·         預設看不到，要註冊管理元件 >regsvr32 schmmgmt.dll

·         AD網域架構

 
 
 

更換Domain Naming Master

·         AD網域及信任→右鍵→操作主機

更換PDC、RID、Infrastructure

·         AD使用者和電腦→Domain名→右鍵→操作主機

移轉正式流程，汰換舊的DC

DC1─WS2003   DC2─WS2008

1.       DC1確認彼此會複寫

2.       DC1移轉五大角色

3.       DC1匯出EFS憑證(預設放在第一台架設的DC)
mmc→憑證→使用者→個人→憑證→加密檔案系統→右鍵→所有工作→匯出→是

 
 

4.       DC2 double-click*.pfx→輸入密碼→設為可匯出

 

5.       在DHCP Server上將Client的DNS IP指向DC2，不是用DC1

6.       DC1執行>dcpromo→降級DC

強制移轉(Seizure)，五大角色故障

在活著的DC上執行>ntdsutil

>roles

>connections

>connect to server dc2.contoso.com (DC的FQDN)

>quit

>seize pdc

>seize rid master

>seize schema master

>seize domain naming master

>seize infrastructure master

※強制移轉後，原有角色主機若修復，應執行format

更換DC的IP

1.       DC1變更IP

2.       DC2檢查

·         DNS IP: 192.168.1.2  192.168.1.10

3.       DC1 DNS管理員→正向對應區域→contoso.com

·         DC1   A  192.168.1.10

·         contoso.com→右鍵→內容→名稱伺服器→DC1 192.168.1.10