在多域控制器环境下,主域控制器由于硬件故障突然损坏,而又事先又没有做好备份,如
何使额外域控制器接替它的工作,使 Active Directory 正常运行,并在硬件修理好之后,如
何使损坏的主域控制器恢复。
________________________________________
Active Directory 操作主机角色概述
环境分析
从 AD 中清除主域控制器 DC-01.test.com 对象
在额外域控制器上通过 ntdsutil.exe 工具执行夺取五种FMSO操作
设置额外域控制器为GC(全局编录)
重新安装并恢复损坏主域控制器
附:用于检测 AD 中五种操作主机角色的脚本
________________________________________
一、Active Directory 操作主机角色概述
Active Directory 定义了五种操作主机角色(又称FSMO):
架构主机 schema master、
域命名主机 domain naming master
相对标识号 (RID) 主机 RID master
主域控制器模拟器 (PDCE)
基础结构主机 infrastructure master
而每种操作主机角色负担不同的工作,具有不同的功能:
架构主机
具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制
到目录林中的所有其它域控制器中。 架构主机是基于目录林的,整个目录林中只有一个架
构主机。
域命名主机
具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC:
向目录林中添加新域。
从目录林中删除现有的域。
添加或删除描述外部目录的交叉引用对象。
相对标识号 (RID) 主机
此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体
(例如用户、
组或计算机)时,需要将 RID 与域范围内的标识符相结合,以创建唯一的安全标识符
(SID)。 每一个
Windows 2000 DC 都会收到用于创建对象的 RID 池(默认为 512)。 RID 主机通过分配不
同的池来确保这
些 ID 在每一个 DC 上都是唯一的。通过 RID 主机,还可以在同一目录林中的不同域之间
移动所有对象。
域命名主机是基于目录林的,整个目录林中只有一个域命名主机。相对标识号( RID)主
机是基于域的,目录林中的每个域都有自己的相对标识号(RID)主机
PDCE
主域控制器模拟器提供以下主要功能:
向后兼容低级客户端和服务器,允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的
Windows 2000 环境。 本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密
