Acitvie Directory 中有所謂的五大「彈性單一主機操作 (FSMO)」角色,由 DC 負責:
架構主機:架構主機網域控制站會控制對架構所做的所有更新及修改。如果要更新樹系的架構,必須具有架構主機的存取權限。整個樹系中只能有一個架構主機。
- 功能:只有 Schema Master 的 Schema 資料庫可以修改。
- 整個 Forest 只有 1 台。
- 預設值為:Root Domain 的第 1 台 DC。
- 有權力操作的群組: Schema Admins 群組才有資格修改 Schema 的內容。
- 操作的工具,必須先經過註冊。(如:Regsvr32 schmmgmt.dll )。
- 需使用 mmc 掛入"Active Directory 架構"嵌入式管理單元。
- Schema 中的資料會複製到 Forest 中的每 1 台 DC。
網域命名主機:網域命名主機網域控制站會控制在樹系中新增或移除網域。整個樹系中只能有一個網域命名主機。
- 功能:控制 Forest 中,新增移除網域的行為。
- 整個 Forest 只有 1 台。
- 預設值為:Root Domain 的第 1 台 DC。
- 有權力操作的群組:Enterprise Admins。
- 操作的工具:Active Directory 網域及信任。
基礎結構主機:基礎結構負責更新自己網域中物件對其他網域中物件的參考。在任何時候,每個網域中只能有一個網域控制站做為基礎結構主機。
- 功能:確保網域內建操作的物件一致性。
- 避免與 GC 同一台。
- 每一個 Domain 都有 1 台。
- 預設值為:每一個 Domain 的第 1 台 DC。
- 有權力操作的群組:Domain Admins。
- 操作的工具:Active Directory 使用者及電腦。
相對 ID (RID) 主機:RID 主機負責處理來自特
定網域中所有網域控制站的 RID 集區要求。在任何時候,每個網域中只能有一個網域控制站做為 RID 主機。
- 功能:分配 RID 的號碼給所有 DC,避免物件(object)的 SID 重複。
- 每一個 Domain 都有 1 台。
- 預設值為:每一個 Domain 的第 1 台 DC。
- 有權力操作的群組:Domain Admins。
- 操作的工具:Active Directory 使用者及電腦。
PDC操作主機:PDC操作主機是一個網域控制站,它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站(PDC)。例如,如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或 Microsoft Windows 2000 用戶端軟體的電腦,或者如果其中包含 Microsoft Windows NT 備份網域控制站,PDC 操作主機就會成為 Windows NT PDC。它也是網域主機瀏覽器 (Domain Master Browser),而且會處理密碼不符的問題。在任何時候,樹系的每個網域中只能有一個網域控制站做為 PDC 操作主機。
- 功能:
- 模擬 Windows 2000 前版(NT4.0)的 PDC 角色。
- 網域中時間同步化的主要伺服器。
- 預設為修改群組原則(GPO)的主要伺服器。
- 每一個 Domain 都有 1 台。
- 預設值為:每一個 Domain 的第 1 台 DC。
- 有權力操作的群組:Domain Admins。
- 操作的工具:Active Directory 使用者及電腦。
當公司新進一台設備打算取代原舊有 DC 時,就必須「確定」正常移轉 FSMO 五大角色才行..
步驟一: 針對 RID、PDC 與基礎架構主機
在要轉移角色的新網域控制站上,在網域的圖示上按右鍵,然後按「操作主機」,在「變更操作主機」對話方塊,按您要傳送角色的標籤,按下「變更」按鈕,再按「確定」按鈕。
步驟二: 針對 網域命名主機
在要轉移角色的新網域控制站上,在「Active Dierctory 網域與信任」的圖示上按右鍵,然後按「操作主機」,其他步驟與上一步驟同。
步驟三: 針對 架構主機
在要轉移角色的新網域控制站上,在「Active Dierctory 架構」的圖示上按右鍵,然後按「操作主機」,其他步驟與上一步驟同。不過,預設並沒有「Active Dierctory 架構」選項,需要自行變更!
- 由「開始」→「執行」→輸入 regsvr32 schmmgmt.dll,然後按「確定」。
成功的話會有下列訊息
2. 在「主控台」功能表,按「增加/移除嵌入式管理單元」
按一下「新增」,選擇「Active Directory 架構」,按一下「新增」。
3. 在主控台樹狀目錄中,以滑鼠右鍵按一下「Active Directory 架構」,再按一下「變更網域控制站」。
按一下「指定名稱」,輸入即將要轉移角色的新網域控制站名稱,再按一下 「確定」。
在主控台樹狀目錄中,以滑鼠右鍵按一下「Active Directory 架構」,再按一下「操作主機」。
按一下「變更」、「確定」,確認您要轉移角色,再按一下「關閉」。
最後還有一個角色需要移轉
通用類別目錄(Global Catalog,以下稱 GC)
• 尋找物件。通用類別目錄讓使用者可尋找樹系中所有網域的目錄資訊,而不論資料存放何處。您可在最快速度及最低網路流量條件下,進行樹系內尋找。
• 支援使用者主要名稱 (UPN) 驗證。當驗證網域控制站缺少帳戶資料時,通用類別目錄就會解析使用者主要名稱。舉例來說,如果使用者帳戶位於「example1.microsoft.com」,使用者決定以使用者主要名稱「user1@example1.microsoft.com」,從「example2.microsoft.com」的電腦登入,則「example2.microsoft.com」的網域控制站就會找不到使用者帳戶,接著,就會聯絡通用類別目錄伺服器完成登入程序。
• 支援多重網域環境的萬用群組成員資格資訊。不像儲存在每個網域的通用群組 (Global Group) 成員資格,萬用群組 (Universal Group) 成員資格只存在通用類別目錄。舉例來說,當萬用群組的使用者,登入到Windows 2000網域或更高版本的網域時,通用類別目錄就會提供萬用群組成員資料給使用者帳戶。
當使用者登入到Windows 2000網域或更高版本的網域,卻無法使用通用類別目錄時,如果使用者曾經登入過,電腦利用電腦中的快取憑證幫助使用者登入。如果使用者並未登入過該網域,則使用者就僅能登入本機。
步驟四: 針對 通用類別目錄
1. 在「Active Dierctory 站台和服務」的圖示上,
點選「Sites → Default-First-Site-Name → Servers」,選擇要轉移角色的新網域控制站(也可直接從那台設定),然後選擇右方欄位中的「NTDS Settings」按滑鼠右鍵選擇「內容」。
2. 將「通用類別目錄」勾選,啟動。
3. 完成之前五大角色及GC的移轉後把原先DC關機,觀察個一、二個禮拜看看是否無誤
4. 最後確認沒問題後,利用 dcpromo 將原先 DC降級為成員伺服器
5. 移除網域架構站台
原有的物件點選「Sites → Default-First-Site-Name → Servers」,選擇舊有DC,然後按滑鼠右鍵選擇「刪除」。
**如果說你的狀況是屬於原Win 2000 AD 要更換為新設備且升級為 Win 2003 AD
則在移轉五大角色前需先把 Win 2003 加入到原2000 AD下成為成員伺服器,並在 Windows Server 2003 光碟片的 i386 的目錄下
執行:adprep /forestprep (此為執行樹系升級作業)
這是為了使 Windows 2000 Server DC 的網域樹系提升到能與 Windows Server 2003 DC 相容
adprep /domainprep (此為執行網域升級作業)
這是為了使 Windows 2000 Server DC 的網域提升到能與 Windows Server 2003 DC 相容
參考資料:
http://www.wretch.cc/blog/josephphoto/3644722
http://forums.microsoft.com/Technet-CHT/ShowPost.aspx?PostID=4025533&SiteID=23
http://support.microsoft.com/kb/324801
http://forum.icst.org.tw/phpbb/viewtopic.php?f=15&t=8495&st=0&sk=t&sd=a&start=135
留言列表