迁移Windows AD五种架构主机

迁移Windows AD五种架构主机

五种架构主机

Active Directory 定义了五种操作主机角色（又称FSMO）：

架构主机 schema master

• 功能：控制活动目录内所有对象/属性的定义 ，AD数据库的表头定义

• 权限组：Schema Admins组

• 故障影响：更新Schema受影响 ，短期内一般看不到影响

域命名主机 domain naming master

• 功能：控制森林内域的添加和删除；添加和删除对外部目录的交叉引用对象

• 提示：建议与GC配置在一起

• 权限组：Enterprise Admins组

• 故障影响：更改域结构受影响，短期内一般看不到影响 ，比如添加删除域的时候无法进行。

相对标识号 (RID) 主机 RID master

• 功能：管理域中对象相对标识符（RID）池；对象安全标识符（SID）= 域安全标识符 + 相对标识符（RID），* 形如：S-1-5-21-1343024091-879983540-3…

• 故障影响：无法获得新的RID池分配。典型问题如：无法新建（大量）用户帐号.

主域控制器模拟器 (PDCE)

• 功能：模拟Windows NT PDC；默认的域主浏览器；默认的域内权威的时间服务源；统一管理域帐号密码更新、验证及锁定．PDC模拟主机不仅仅是模拟NT PDC ，一般负荷较大

• 故障影响：底端客户不能访问AD；不能更改域帐号密码 ；浏览服务问题；时间同步问题 ，需要比较及时地恢复．可以临时的转移抓取到其他DC 。

基础结构主机 infrastructure master

• 功能：负责对跨域对象引用进行更新；单域情况下基础结构主机不需要工作不能同时和GC配置在一起（单域控除外）

• 故障影响：外域帐号不能识别成正确的名称，只显示为SID

• 故障处理：需要比较及时地恢复 ，可以临时抓取到其他DC。

设计与操作方法

设计思路

1. 理想情况下， 架构主机和命名主机在根域的第一台DC上。一个域林中这两个角色只能有一台。剩下的三个角色在各自域的第一台DC上。

2. 每个域中只能一台基础结构主机，在多域的情况下，这台主机不能是GC。

3. 要考虑PDC的性能问题，各个域内需要有至少2台PDCE。

操作方法

转移(Transfer)与抓取(Seize)两种操作。在各服务器都工作正常的情况下的操作是抓取。 可以通过以下3个管理操作台操作。PS：ntdsutil, netdom, dcdiag三个命令也有可能会用得到。

操作方均为在控制台最上面一、二层上点右键，先切换到目标DC上同，然后通过”操作主机“里面的“更改”按钮来实现。注意在“更改”时观察原和新操作主机的名称是不是符合预期。

“Active Directory 架构”管理单元

架构主机

1. 操作前必须首先注册” regsvr32 schmmgmt.dll“ 才能继续。

2. 在mmc.exe中添加“Active Directory架构”管理单元

3. 切换域控制器到目标控制器

4. 右击菜单中选“操作主机”，然后更改。

“Active Directory 域和信任关系”管理单元

命名主机

1. 打开管理单元

2. 右击列表第一层，选择”更改Active Directory域控制器“，然后指定需要变更为的新DC

3. 再次右击列表第一层，选择“操作主机”，点击“更改”

“Active Directory 用户和计算机”管理单元：

RID主机，PDCE，基础结构主机

4. 打开管理单元

5. 在列表最上一层点击右键，先确保当前连接的域控制器是想要承担新角色的域控制器

6. 在域名上右击，选择操作主机

7. 依次去RID，PDC和基础结构页签下面去把旧操作主机更改到新主机下。如果已经是了，就不需要再更改了。

Ntdsutil Netdom Dcdiag