1,操作主机角色：*操作主机概念*操作主机角色2，转移和占用操作主机角色*转移操作主机角色*占用操作主机角色3，操作主机应用举例**********操作主机的概念：单主复制PDC修改AD数据库内容BDC读取AD数据库内容多主复制所有DC都可以修改AD数据库内容被修改的内容会被复制到其它DC操作主机执行某些在单主机模式下的操作*防止域名重复*同步域内时间决定了DC在域中所起的功能**********************五种操作主机角色林范围*架构主机（Schema Master )*域命名主机（Domain Naming Master)域范围*PDC仿真主机（PDC Emulator Master）*RID主机（RID Master）*基础结构主机（Infrastructure Master)*************************架构主机：（整个林中只能有一台架构主机）作用：定义林中所有对象和其属性之间的关系**架构可以被扩展1，安装Exchange2，升级windows server 2003 AD 到 win server 2008 R2 AD***查看架构主机：（regsvr32 schmmgmt.dll)**使用mmc添加“active directory架构”文件---添加或删除管理单元---添加active directory架构---右键‘操作主机’**********************域命名主机（整个林中只能有一台域命名主机）作用：控制林中域的添加或删除，防止林中的域名重复查看：active directory 域和信任关系**********************PDC仿真主机：（整个域只能有一台）作用：1，负责同步域内时间（双方时间不能超过5分钟）2，最小化密码变化的复制等待时间（时间差是多少取决于网络规模和线路情况）3，对win2000 以前的操作系统提供支持查看：active directory用户和计算机*********************RID主机（整个域只能有一台）作用：将相对ID(RID)序列分配给域中的每个域控制器对象的SID=域SID+RID查看：active directory用户和计算机***************************基础结构主机:（整个域只能有一台）作用:负责更新从它所在的域中的对象到其它域中对象的引用查看：active directory用户和计算机************操作主机角色总结：*林中第一台域控制器默认拥有林范围的两种角色*域中第一台域控制器默认拥有域范围的三种角色*******************转移和占用转移操作主机角色：1，承担着操作主机角色的DC需要降级2，承担着操作主机角色的DC和目标DC都在线3，转移操作主机角色的过程可逆占用：**承担着操作主机角色的DC不可再用，无法恢复转移工具：1，结构主机管理工具转移结构主机2，active directory 域和信任关系转移域命名主机3，active directory用户和计算机转移RID,PDC仿真和基础结构主机！！！如果可以转移，就不占用！！架构主机、域命名主机、RID主机角色被占用后，永远不要将原该角色的域控制器再连接到网络上！！使用ntdsutil实用程序进行具体步骤：某公司有两台域控制器（win2022r2）20222-1和2022-2，2022-1承担五种操作主机角色。2022-1突然宕机，无法启动，在2022-2上打开“操作主机”对话框，会显示操作主机错误，角色不能被传送。1，cmd--ntdsutil2,roles3,fsmo maintenance -- connection4,server connections -- connect to server zhongguo.shanghai.com(由于dc01脱机，需要使用dc02进行域名解析）5，quit6，fsmo maintenance:在此命令模式下占用操作主机角色rid主机seize rid master架构主机seize schema masterpdc仿真主机seize PDC基础结构主机seize infrastructure master域命名主机seize naming master!!!在fsmo maintenance里，输入help，可以查看占用角色的命令。在域控制器都正常的情况下，将seize换为transfer，可以进行转移**************************操作主机应用实例：环境：已部署win2003域，已安装域控制器dc01，域和林功能级别为win2003。添加额外域控制器win2008r2 (dc02)要求：将win2003 AD 升级到 win2008r2 AD(将域和林升级到win2008r2）实现思路：1）安装虚拟机win2003激活码：MPQ6X-3MCCF-47H9T-TKC2F-T69WM 2）安装dc域环境192.168.6.102.1）安装dns服务2.2）安装dc域控制器dcpromo******************************************** win2003域如何升级到win2008r21，扩展win2003 AD林和域结构，更新组策略对象权限，更新AD对RODC（只读域控）的支持*win2003安装域控制器，开启dns服务需要挂载光盘，选择windows组件---网络服务--域名系统**提升win2003域和林功能级别**挂载win2008r2光盘，cmd输入以下命令d:dircd supportdircd adprepadprep32.exe /forestprep (此为32位系统）c (enter)adprep32.exe /domainprepadprep32.exe /domainprep /gpprepadprep32.exe /rodcprep2，将dc02加入到现有域，提升为额外DC*配置ip地址和dns地址（dns指向dc01）192.168.6.20*dcpromo -- 提升为额外域控制器*将dns地址更改为自身3，转移操作主机角色到dc02在windows2008r2上面操作将五种操作主机角色转移到dc023.1 启用架构主机角色***查看架构主机：（regsvr32 schmmgmt.dll)**使用mmc添加“active directory架构”文件---添加或删除管理单元---添加active directory架构---右键‘操作主机’4，将dc01降级为普通成员服务器更改dc01的dns指向dc02运行dcpromo 将其降级到普通成员服务器5，提升域和林功能级别到win2008r2*提升dc02的域和林功能级别*打开AD站点和服务---sites -- default-first-site-name -- servers -- 删除dc01的残留信息