情境: 同domain,我有2部DC(有複寫、同網段),分別是DC1、DC2,且每日有做system state的備份,而DC1是(FSMO五大角色)。
狀況一、DC1掛點,已無法正常開機,如何讓新設備快速回復線上當DC1,繼續持有(FSMO五大角色)? 盡快恢復DC複寫。
狀況二、DC1掛點,已無法正常開機,公司暫無預算添購新設備,如果暫時只能將(FSMO五大角色)轉移至DC2上, 此時動作該如何執行?
以上,查過一些別人發問,都是在DC1快掛前轉移,用指令、視窗介面進行轉移FSMO角色,只是我找不到以上情境,可請前輩賜教囉! 謝謝,或是有相關的解決文件可提供呢?
已邀請的邦友 {{ invite_list.length }}/5
狀況一或二都要先做一個動作: 用 DC2 奪取 角色. 但是有兩種做法:
如果你的 DC1 還想要回來上線的話:
此時只需要由 DC2 暫時奪取 PDC 的角色, 其他角色可以暫時不動.
請同樣在 DC2 上執行 ntdsutil 指令, 然後輸入以下冒號後面的粗體字指令:
ntdsutil: role
fsmo maintenance: connections
server connections: connect to server DC2
server connections: quit
fsmo maintenance: seize pdc
quit
quit
但要注意, 這個方法不能撐太久, 你也不能在網域內繼續安裝其他的 Server 級軟體, 例如: Exchange, OSC, SQL...等等. 如果真的撐不到 DC1 回來的話, 你只能繼續往下做:
如果原本的 DC1 不再上線, 或是會另外安裝一台新的 DC3 的話:
同樣執行以上工作, 但在 seize pdc 之後, 再多做以下的指令:
fsmo maintenance: seize schema master
fsmo maintenance: seize domain naming master
fsmo maintenance: seize RID master
fsmo maintenance: seize infrastructure master
quit
quit
但要特別注意: 此處一旦奪取所有 5 大角色之後, DC1 就絕對不能再上線了!! 否則 AD 可能會大亂甚至毀損!! 建議將 DC1 的硬碟格式化, 永久抹除資料, 以避免發生意外. 不過, 你可以重新安裝另外一台 DC, 加入這個網域. (但就是千萬不能把 DC1 的備份給還原回來!!)
Dear raytracy:
首先謝謝您的詳細回覆,那假設性問題,一開始DC1就離線(不在線上),在DC2上用seize指令,一樣可奪取到FSMO嗎? 因為DC1離線了,怎麼奪取呢? 我對這關念較不清楚,再請解惑囉!
奪取指令的作用, 就是當 AD 中負責 FSMO 的主機消失時, 不理會原來的 FSMO 主機, 強制將角色指定給某台還可連線的主機. 奪取過程不需要原主機的同意, 所以可以不必管原來的主機是否在線上.
這也是為何上面強調: 一旦奪取所有 5 大角色之後, DC1 就絕對不能再上線了!! 因為奪取的命令並未經過 DC1 同意, DC1 若上線會以為自己還保有那些角色, 就會造成衝突.
那如果只是演習測試DC2功能正常後, 5 大角色要在還給DC1可以嗎?
iThome鐵人賽
看影片追技術