实战操作主机角色转移,Active Directory系列之十

我们首先要明确一个重要原则,那就是操作主机角色有且只能有一个!如果操作主机角色工作在林级别,例如架构主机和域命名主机,那在一个域林内只能有一个架构主机和域命名主机。如果操作主机角色工作在域级别,例如PDC主机,结构主机和RID主机,那就意味着一个域内只能有一个这样的操作主机角色。

我们的实验拓扑如下图所示,Adtest.com域内有两个域控制器,Florence和Firenze。Florence是域内的第一个域控制器,目前所有的操作主机角色都在Florence上,我们通过实验来介绍如何在Florence和Firenze间切换操作主机角色。


其实当我们用Dcpromo卸载域控制器上的Active Directory时,这个域控制器会自动把自己所承担的操作主机角色转移给自己的复制伙伴,这个过程完全不需要管理员的干预。但如果我们希望指定一个域控制器来负责操作主机角色,我们就需要手工操作了。我们首先为大家介绍如何用MMC控制台把五个操作主机角色从Florence转移到Firenze上。

一 从Florence转移到Firenze

在Florence上打开Active Directory用户和计算机,如下图所示,右键点击域名,在菜单中选择“操作主机”。

时间: 2024-09-17 04:50:36

实战操作主机角色转移,Active Directory系列之十的相关文章

详解操作主机角色,Active Directory系列之九

而且修改后的结果会被其他的域控制器所承认.从这个角度讲,域控制器之间的地位是平等的,但我们决不能认为域控制器之间是没有区别的!事实上,域中的第一个域控制器往往比其他的域控制器承担了更多的任务. 有些企业中部署了多个域控制器之后,就开始忽略第一个域控制器的作用,有时甚至可能会一不经意间把第一个域控制器给处理掉了.但这些企业的用户很快就会发现域中会出现一些异常现象,例如无法创建域用户账号,无法安装Exchange,无法部署子域等等.原因很简单,第一个域控制器承担的任务并没有被转嫁到其他的域控制器上,

实战域树部署,Active Directory系列之十九

域树是Active Directory针对NT4的传统域模型所进行的重要改进.在NT4时代的域模型中,每个域都要使用没有层次结构的NETBIOS名称,而且域和域之间缺少关联,只能创建不能传递的域信任关系.这会在企业管理方面造成诸多不利因素,首先域和域之间很难根据域名判断彼此间的隶属关系,例如beijing域和shanghai域:其次由于域之间的信任关系不可传递,在域数量较多时光是创建域之间的完全信任就要耗费大量时间.假定有10个域,那我们在10个域之间要建立45次信任关系才能让这些域相互之间都完

理解域信任关系,Active Directory系列之十六

在同一个域内,成员服务器根据Active Directory中的用户账号,可以很容易地把资源分配给域内的用户.但一个域的作用范围毕竟有限,有些企业会用到多个域,那么在多域环境下,我们该如何进行资源的跨域分配呢?也就是说,我们该如何把A域的资源分配给B域的用户呢?一般来说,我们有两种选择,一种是使用镜像账户.也就是说,我们可以在A域和B域内各自创建一个用户名和口令都完全相同的用户账户,然后在B域把资源分配给这个账户后,A域内的镜像账户就可以访问B域内的资源了. 镜像账户的方法显然不是一个好的选择,

域控制器的终极卸载,Active Directory系列之十五

这种强制卸载方法的思路是先进入目录服务还原模式,这样就可以避开损坏的Active Directory,以安全模式进入系统.然后通过修改注册表强行将域控制器改为独立服务器,最后再手工删除Active Directory数据库.这样做完后从形式上看域控制器就变成一个成员服务器了,只是系统中还保留了一些域控制器使用的服务和注册表键值.如果希望做得更完善一些,可以临时把这台计算机升级为一个域的域控制器,升级完成后立即进行域控制器的卸载,这样一番复杂操作后基本上可以保证卸载效果和运行Dcpromo/for

域控制器的强制卸载,Active Directory系列之十四

为什么需要对域控制器进行强制卸载呢?如果域控制器不能和复制伙伴正常通讯,而且更正无望,那我们就要考虑进行强制卸载了.例如我曾见过一个单位有10个域控制器,居然有7个不能相互复制,主要是管理员误以为域控制器越多越好-.类似这样的情况,我们就可以果断出手,把域控制器强行卸载掉.域控制器强行卸载的原理也很简单,那就是卸载时不再通知复制伙伴,直接把AD删除就好.这样的卸载方式是要相对简单一些,但其实后续的操作很麻烦,例如我们需要在Active Directory中手工清除被强制卸载的域控制器,手工清除D

创建Win2003域和Win2008域之间的信任关系,Active Directory系列之十八

今天我们更换一个实验场景,拓扑如下图所示.一个是Win2003域,另一个是Win2008域.两个域都使用各自的域控制器提供DNS解析,而且Win2008域的功能级别是Win2003,我们将为大家演示如何在这两个域之间创建信任关系. 这个实验的关键是DNS!操作系统的差异并不重要,Win2008域可以和Win2003域,甚至可以和Win2000域创建信任关系.我们要注意的是DNS的设置,每个域控制器要确保自己使用的DNS服务器不但可以解析本域的SRV记录,还可以解析与自己有信任关系域的SRV记录,

实战Active Directory站点部署与管理,Active Directory系列之十二

实验拓扑如下图所所示,adtest.com域中有四个域控制器,分别是Florence,Berlin,Firenze和Perth.其中Florence和Berlin在北京,隶属于192.168.11网段:Firenze和Perth在上海,隶属于192.168.12网段.由于北京和上海之间使用了一条64K的DDN慢速链路,因此我们有必要使用站点对域内的计算机进行合理规划,以便能够让域内的计算机在现有的带宽条件下能以最有效率的方式通讯. 目前四台域控制器都在一个站点中,如下图所示,就是默认的Defau

为什么我们需要域?Active Directory系列之一

对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象.域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory.但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录-.很多初学者容易陷入这些技术细节而缺少了对全局的把握.从今天开始,我们将推出Active Directory系列博文,希望对广大学习AD的朋友有所帮

域控制器的常规卸载,Active Directory系列之十三

我们现在已经有一些Active Directory的部署及管理经验了,今天我们要考虑一个问题,如果一个域控制器我们不需要了,那应该如何处理呢?直接把它砸了是不对的,这未免太暴力了,和当前的和谐环境有些格格不入哦.关键是,如果我们让这台域控制器直接消失,那么其他的域控制器就无法得知这个消息,每隔一段时间其他的域控制器还会试图和这个域控制器进行AD复制,客户机也有可能会把用户名和口令送到这个不存在的域控制器上进行验证.如果这个被暴力卸载的域控制器还承担着一些操作主机角色,我们就更麻烦了.因此,我们进