|
發表於 2021-4-11 23:29:23
|
查看: 4224 |
回復: 0
一.和平移轉:當第一台DC活著時,儘量用和平移轉的方式,將5種角色,移轉至第2台DC,分散工作份量.
(一).Schema Master(架構主機)
1.有權力操作的群組: Schema Admins群組才有資格修改 Schema 的內容
2.操作的工具,必須先經過註冊
(1)下指令Regsvr32 schmmgmt.dll
(2)使用mmc掛入”Active Directory架構”嵌入式管理單元
(3)變更網域控制站
(4)按下指定名稱,輸入即將成為新角色持有者的網域控制站名稱
(5)操作主機-->變更
(二)Domain Naming Master(網域命名操作主機)
1.功能:控制 Forest 中,新增移除網域的行為。
2.有權力操作的群組:Enterprise Admins
3.操作的工具:Active Directory網域及信任
選系統管理工具-->Active Directory網 域及信任-->Active Directory網域及信任(按右鍵)-->操作主機-->變更
(三)PDC Emulator(PDC操作主機)
1.功能:
(1)模擬Windows 2000前版(NT4.0)的PDC角色
(2)網域中時間同步化的主要伺服器
(3)預設為修改群組原則(GPO)的主要伺服器
2.有權力操作的群組:Domain Admins
3.操作的工具:Active Directory使用者及電腦
選系統管理工具-->Active Directory使用者及電腦--->對著AD網域(例chps.tcc.edu.tw)按右鍵-->操作主機-->PDC-->變更.
(四)RID Master(RID操作主機)
1.功能:
(1)分配 RID 的號碼給所有 DC
(2)避免物件(object)的 SID 重複
2.有權力操作的群組:Domain Admins
3.操作的工具:Active Directory使用者及電腦
選系統管理工具-->Active Directory使用者及電腦--->對著AD網域(例chps.tcc.edu.tw)按右鍵-->操作主機-->RID-->變更.
(五)Infrastructure Master(基礎結構主機)
1.功能:
(1).確保網域內建操作的物件一致性
(2).避免與GC同一台
2.有權力操作的群組:Domain Admins
3.操作的工具:Active Directory使用者及電腦
選系統管理工具-->Active Directory使用者及電腦--->對著AD網域(例chps.tcc.edu.tw)按右鍵-->操作主機-->基礎結構-->變更.
二、手動移除死掉的DC
第一:先將AD中五個operation roles移轉到第二台DC上
大致的操作順序如下,照著做就可以了
cmd
ntdsutil
roles
connections
connect to server "第二台DC的名稱"
quit
seize rid master
seize pdc
seize infrasturcture master
seize domain naming master
seize schema master
第二:清除NTDS內有關第一台DC的資料
照下列步驟做...
cmd
ntdsutil
metadata cleanup
connections
connect to server "第二台DC的名稱"
quit
select operation target
list domains
select domain "看螢幕選擇適當的號碼"
list sites
select site "看螢幕選擇適當的號碼"
list servers in site
select server "看螢幕選擇要第一台DC"
quit
remove selected server
詳細說明與範例
如何移除無效的DC
病狀:當Domain中的一台DC突然掛點,如果沒無法拿一台相同的硬體將之前的ghost倒回時,原來的DC(例DC1)因還沒有退出Domain,這時如何又做一台名為DC1的Server要加入Domain時就會出現錯誤訊息。這時就要做下列動作手動將已陣亡的DC1刪掉,如此才可將新的Server以DC1的名稱加入Domain。
以下所有命令皆在命令提示字元(CMD)下操作
C:\>ntdsutil
可用?查看有提供那些功能
ntdsutil:?
? - 顯示這個說明資訊
Authoritative restore - 系統授權還原 DIT 資料庫
Configurable Settings - 管理可變更的設定值
Domain management - 準備建立新網域
Files - 管理 NTDS 資料庫檔案
Help - 顯示這個說明資訊
LDAP policies - 管理 LDAP 通訊協定原則
Metadata cleanup - 清除在解除委任伺服器上的物件
Popups %s - 以 "on" 或 "off" 來啟用或停用快顯
Quit - 結束公用程式
Roles - 管理 NTDS 角色擁有者的權杖
Security account management - 管理安全性帳戶資料庫 - 重複 SID 的清除
Semantic database analysis - 語義檢查程式
Set DSRM Password - 重設目錄服務還原模式系統管理員帳戶密碼
ntdsutil: Metadata cleanup
metadata cleanup: Connections
server connections: Connect to server dc1.worker.com(連線到有Schema Master的DC)
連結到 dc1.worker.com ...
使用本機登入的使用者認證來連線到 dc1.worker.com。
server connections: q (連線到DC後按q退到metadata cleanup的介面)
metadata cleanup:
metadata cleanup: Select operation target
select operation target: ?
在這個界面下可以看到很多AD的資訊。一樣可用?看有提供那指令
? - 顯示這個說明資訊
Connections - 連線到一個指定的網域控制站
Help - 顯示這個說明資訊
List current selections - 列出目前的站台/網域/伺服器/命名內容
List domains - 列出所有含有交互參照的網域
List domains in site - 列出在選取站台內的網域
List Naming Contexts - 列出已知的命名內容
List roles for connected server - 列出連線伺服器所知道的功能
List servers for domain in site - 列出選取網域和站台所需的伺服器
List servers in site - 列出在選取站台內的伺服器
List sites - 列出企業內的站台
Quit - 回到上個功能表
Select domain %d - 將網域 %d 做為選取的網域
Select Naming Context %d - 將命名內容 %d 當做選取的命名內容
Select server %d - 將伺服器 %d 做為選取的伺服器
Select site %d - 將站台 %d 做為選取的站台
select operation target: List sites
發現 1 個站台
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com
select operation target: Select site 0 (因我們要刪除的DC1是在site 0故要下此指令)
站台 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com
沒有目前的網域
沒有目前的伺服器
目前沒有命名內容
select operation target: List domains in site
找到 1 個網域
0 - DC=worker,DC=com
select operation target: Select domain 0
站台 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com
網域 - DC=worker,DC=com
沒有目前的伺服器
目前沒有命名內容
select operation target: List servers in site
發現 2 台伺服器
0-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com
1-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com
select operation target: Select server 0 (我們要刪除的DC1是編號0)
站台 -CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=worker,DC=com
網域 - DC=worker,DC=com
伺服器-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,
DC=worker,DC=com
DSA 物件 - CN=NTDSSettings,CN=DC2,CN=Servers,CN=Default-First-Site-Name
,CN=Sites,CN=Configuration,DC=worker,DC=com
DNS 主機名稱 - DC2.worker.com
電腦物件 - CN=DC2,OU=Domain Controllers,DC=worker,DC=com
目前沒有命名內容
select operation target: q
下此行指令就可以將我們剛選擇的Server在AD上的所有記錄都刪除了
metadata cleanup: Remove selected server
|
|