過了一段時間,需要修改GPO時才發現無法套用至用戶端的情況。也才發現五角換人的情況。
於是…只好再把服務搬回來,中間有些插曲,在此留下記錄…
使用以下指令查詢目前 FSMO 五大角色:
netdom query fsmo轉移 FSMO 五大角色,須用以下工具(在要移轉為AD的系統上):
- Active Directory 使用者和電腦 (Active Directory Users and Computers)
開啟後在網域節點(abc.com)執行「操作主機」
可變更 RID 集區管理員、PDC 與 基礎結構 這三種角色 - Active Directory 網域及信任 (Active Directory Domains and Trusts)
開啟後在網域節點(abc.com)執行「操作主機」
可變更 網域命名操作主機 角色 - Active Directory 架構 管理單元 ( 需透過 MMC 主控台加入「Active Directory 架構」元件 )
須先利用命令提示字元先註冊 schmmgmt.dll 元件,
註冊完後才能在 MMC 主控台中看見 Active Directory 架構 管理單元,開啟後需先變更網域控制站主機,才能變更架構主機。
可變更 架構主機 角色
C:\>Regsvr32 schmmgmt.dll再次查詢五角可得知設定是否成功。
或以DCDiag進行DC檢測,查看有無錯誤
C:\>DCDiag /v問題在NCSecDesc 測試時出現錯誤
這個主要是在測試系統是否有足夠權限進行目錄的變更,所以,如果出現的是
「{Domain}\ENTERPRISE DOMAIN CONTROLLERS」沒有存取權限,要用adsiedit.msc來開權限給它。
如果出現的錯誤是「NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS」端看是否要將當前DC加入RODC,要的話需繼續進行adprep /rodcprep,不然是可以忽略的。
參考資訊:
- Microsoft Support: Dcdiag fails for NCSecDesc test on Windows 2008 Domain Controllers
https://support.microsoft.com/zh-tw/kb/967482 - Will保哥-如何轉移 Active Directory 五大角色(FSMO)至其他網域主控站http://blog.miniasp.com/post/2012/07/16/How-to-transfer-Active-Directory-FSMO-to-another-Domain-Controller.aspx
- neo2124-正常移轉 FSMO 五大角色
http://neo2124.pixnet.net/blog/post/24215437 - Will保哥-網域控制站執行 DCDiag 發現 NCSecDesc 測試失敗的解法http://blog.miniasp.com/post/2011/02/11/Enterprise-Read-only-Domain-Controllers-Replicating-Directory-Changes-not-found.aspx
最後,補充一下FSMO (Flexible Single Master Operations) 五大角色分別為:
架構主機 (Schema Master):
負責更新目錄整個 Forest 只有 1 台。
預設值為:Root Domain 的第 1 台 DC。
有權力操作的群組: Schema Admins 群組才有資格修改 Schema 的內容。
操作的工具,必須先經過註冊。(如:Regsvr32 schmmgmt.dll )。
需使用 mmc 掛入"Active Directory 架構"嵌入式管理單元。
Schema 中的資料會複製到 Forest 中的每 1 台 DC。架構。
網域命名主機 (Domain Naming Master):
負責變更樹系網域目錄名稱空間。
功能:控制 Forest 中,新增移除網域的行為。
整個 Forest 只有 1 台。
預設值為:Root Domain 的第 1 台 DC。
有權力操作的群組:Enterprise Admins。
操作的工具:Active Directory 網域及信任。
基礎結構主機 (Infrastructure Master):
跨網域物件參照中,負責更新物件 SID 與辨別名稱。
功能:確保網域內建操作的物件一致性。
避免與 GC 同一台。
每一個 Domain 都有 1 台。
預設值為:每一個 Domain 的第 1 台 DC。
有權力操作的群組:Domain Admins。
操作的工具:Active Directory 使用者及電腦。
RID 集區管理員 (RID Master):
負責處理 RID (Relative ID) 集區中來自給定的網域的所有 DC 要求。
功能:分配 RID 的號碼給所有 DC,避免物件(object)的 SID 重複。
每一個 Domain 都有 1 台。
預設值為:每一個 Domain 的第 1 台 DC。
有權力操作的群組:Domain Admins。
操作的工具:Active Directory 使用者及電腦。
PDC操作主機 (PDC Emulator):
對舊版的工作站、成員伺服器與網域控制站宣稱自己為主要網域控制站 (PDC)。
功能:模擬 Windows 2000 前版(NT4.0)的 PDC 角色。
網域中時間同步化的主要伺服器。
預設為修改群組原則(GPO)的主要伺服器。
每一個 Domain 都有 1 台。
預設值為:每一個 Domain 的第 1 台 DC。
有權力操作的群組:Domain Admins。
操作的工具:Active Directory 使用者及電腦。
若要查詢目前 AD 環境中 FSMO 五大角色座落於哪幾台網域控制站主機,可以使用以下指令查詢:
netdom query fsmo
轉移 FSMO 五大角色,必須用到以下兩個工具(都內建於 AD CS 角色中):
Active Directory 使用者和電腦 (Active Directory Users and Computers)
可變更 RID 集區管理員、PDC 與 基礎結構 這三種角色
Active Directory 網域及信任 (Active Directory Domains and Trusts)
可變更 網域命名操作主機 角色
Active Directory 架構 管理單元 ( 需透過 MMC 主控台加入 )
可變更 架構主機 角色
沒有留言:
張貼留言