2015年10月28日 星期三

Windows 2003 AD 正常移轉 FSMO 五大角色

轉自 http://neo2124.pixnet.net/blog/post/24215437

Acitvie Directory 中有所謂的五大「彈性單一主機操作 (FSMO)」角色,由 DC 負責:
架構主機:架構主機網域控制站會控制對架構所做的所有更新及修改。如果要更新樹系的架構,必須具有架構主機的存取權限。整個樹系中只能有一個架構主機。
  • 功能:只有 Schema Master 的 Schema 資料庫可以修改。
  • 整個 Forest 只有 1 台。
  • 預設值為:Root Domain 的第 1 台 DC。
  • 有權力操作的群組: Schema Admins 群組才有資格修改 Schema 的內容。
  • 操作的工具,必須先經過註冊。(如:Regsvr32 schmmgmt.dll )。
  • 需使用 mmc 掛入"Active Directory 架構"嵌入式管理單元。
  • Schema 中的資料會複製到 Forest 中的每 1 台 DC。
網域命名主機:網域命名主機網域控制站會控制在樹系中新增或移除網域。整個樹系中只能有一個網域命名主機。
  • 功能:控制 Forest 中,新增移除網域的行為。
  • 整個 Forest 只有 1 台。
  • 預設值為:Root Domain 的第 1 台 DC。
  • 有權力操作的群組:Enterprise Admins。
  • 操作的工具:Active Directory 網域及信任。
基礎結構主機:基礎結構負責更新自己網域中物件對其他網域中物件的參考。在任何時候,每個網域中只能有一個網域控制站做為基礎結構主機。
  • 功能:確保網域內建操作的物件一致性。
  • 避免與 GC 同一台。
  • 每一個 Domain 都有 1 台。
  • 預設值為:每一個 Domain 的第 1 台 DC。
  • 有權力操作的群組:Domain Admins。
  • 操作的工具:Active Directory 使用者及電腦。
相對 ID (RID) 主機:RID 主機負責處理來自特
定網域中所有網域控制站的 RID 集區要求。在任何時候,每個網域中只能有一個網域控制站做為 RID 主機。
  • 功能:分配 RID 的號碼給所有 DC,避免物件(object)的 SID 重複。
  • 每一個 Domain 都有 1 台。
  • 預設值為:每一個 Domain 的第 1 台 DC。
  • 有權力操作的群組:Domain Admins。
  • 操作的工具:Active Directory 使用者及電腦。
PDC操作主機:PDC操作主機是一個網域控制站,它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站(PDC)。例如,如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或 Microsoft Windows 2000 用戶端軟體的電腦,或者如果其中包含 Microsoft Windows NT 備份網域控制站,PDC 操作主機就會成為 Windows NT PDC。它也是網域主機瀏覽器 (Domain Master Browser),而且會處理密碼不符的問題。在任何時候,樹系的每個網域中只能有一個網域控制站做為 PDC 操作主機。
  • 功能:
    • 模擬 Windows 2000 前版(NT4.0)的 PDC 角色。
    • 網域中時間同步化的主要伺服器。
    • 預設為修改群組原則(GPO)的主要伺服器。
  • 每一個 Domain 都有 1 台。
  • 預設值為:每一個 Domain 的第 1 台 DC。
  • 有權力操作的群組:Domain Admins。
  • 操作的工具:Active Directory 使用者及電腦。
當公司新進一台設備打算取代原舊有 DC 時,就必須「確定」正常移轉 FSMO 五大角色才行..
步驟一: 針對 RID、PDC 與基礎架構主機
在要轉移角色的新網域控制站上,在網域的圖示上按右鍵,然後按「操作主機」,在「變更操作主機」對話方塊,按您要傳送角色的標籤,按下「變更」按鈕,再按「確定」按鈕。 1
2
步驟二: 針對 網域命名主機
在要轉移角色的新網域控制站上,在「Active Dierctory 網域與信任」的圖示上按右鍵,然後按「操作主機」,其他步驟與上一步驟同。
3
步驟三: 針對 架構主機
在要轉移角色的新網域控制站上,在「Active Dierctory 架構」的圖示上按右鍵,然後按「操作主機」,其他步驟與上一步驟同。不過,預設並沒有「Active Dierctory 架構」選項,需要自行變更!
  1. 由「開始」→「執行」→輸入 regsvr32 schmmgmt.dll,然後按「確定」。
4
成功的話會有下列訊息
5
2. 在「主控台」功能表,按「增加/移除嵌入式管理單元」
按一下「新增」,選擇「Active Directory 架構」,按一下「新增」。
7
3. 在主控台樹狀目錄中,以滑鼠右鍵按一下「Active Directory 架構」,再按一下「變更網域控制站」。
按一下「指定名稱」,輸入即將要轉移角色的新網域控制站名稱,再按一下 「確定」。
8
在主控台樹狀目錄中,以滑鼠右鍵按一下「Active Directory 架構」,再按一下「操作主機」。
按一下「變更」、「確定」,確認您要轉移角色,再按一下「關閉」。
9
最後還有一個角色需要移轉
 通用類別目錄(Global Catalog,以下稱 GC)
  • 功能:
      • 尋找物件。通用類別目錄讓使用者可尋找樹系中所有網域的目錄資訊,而不論資料存放何處。您可在最快速度及最低網路流量條件下,進行樹系內尋找。 
      • 支援使用者主要名稱 (UPN) 驗證。當驗證網域控制站缺少帳戶資料時,通用類別目錄就會解析使用者主要名稱。舉例來說,如果使用者帳戶位於「example1.microsoft.com」,使用者決定以使用者主要名稱「user1@example1.microsoft.com」,從「example2.microsoft.com」的電腦登入,則「example2.microsoft.com」的網域控制站就會找不到使用者帳戶,接著,就會聯絡通用類別目錄伺服器完成登入程序。 
      • 支援多重網域環境的萬用群組成員資格資訊。不像儲存在每個網域的通用群組 (Global Group) 成員資格,萬用群組 (Universal Group) 成員資格只存在通用類別目錄。舉例來說,當萬用群組的使用者,登入到Windows 2000網域或更高版本的網域時,通用類別目錄就會提供萬用群組成員資料給使用者帳戶。 
      當使用者登入到Windows 2000網域或更高版本的網域,卻無法使用通用類別目錄時,如果使用者曾經登入過,電腦利用電腦中的快取憑證幫助使用者登入。如果使用者並未登入過該網域,則使用者就僅能登入本機。
  • 預設值為:每一個 Domain 的第 1 台 DC。
  • 有權力操作的群組:Domain Admins。
  • 操作的工具:Active Directory 站台及服務。

  • 步驟四: 針對 通用類別目錄
    1. 在「Active Dierctory 站台和服務」的圖示上,
    點選「Sites → Default-First-Site-Name → Servers」,選擇要轉移角色的新網域控制站(也可直接從那台設定),然後選擇右方欄位中的「NTDS Settings」按滑鼠右鍵選擇「內容」。
    2.  將「通用類別目錄」勾選,啟動。
    11
    3.  完成之前五大角色及GC的移轉後把原先DC關機,觀察個一、二個禮拜看看是否無誤
    4.  最後確認沒問題後,利用 dcpromo 將原先 DC降級為成員伺服器
    5.  移除網域架構站台
    原有的物件點選「Sites → Default-First-Site-Name → Servers」,選擇舊有DC,然後按滑鼠右鍵選擇「刪除」。
    **如果說你的狀況是屬於原Win 2000 AD 要更換為新設備且升級為 Win 2003 AD
    則在移轉五大角色前需先把 Win 2003 加入到原2000 AD下成為成員伺服器,並在 Windows Server 2003 光碟片的 i386 的目錄下
    執行:adprep /forestprep (此為執行樹系升級作業)
    12
    13 
    這是為了使 Windows 2000 Server DC 的網域樹系提升到能與 Windows Server 2003 DC 相容
             adprep /domainprep (此為執行網域升級作業)
    14
     這是為了使 Windows 2000 Server DC 的網域提升到能與 Windows Server 2003 DC 相容
    參考資料:


    沒有留言:

    張貼留言