我在Windows 2003 AD 中加入第二台DC後,關掉第一台DC,user無法logon domain。為什麼? 是因為我第二台DC是用VMware架的嗎?
已邀請的邦友 {{ invite_list.length }}/5
因為你的五大角色都還在第一台DC上~表示~你的認証主機也還在第一台DC上
第一台DC掛掉後,只有用指令把角色強制抓取過來第二台DC上
因為是指示抓取,第一台DC已離線,這樣一來~若第一台修復後也不能再接上網線,也不能再當DC使用。
AD五大角色:
一、架構主機 ( Schema master )
二、命名主機 ( Naming master )
三、RID主機 (RID master )
四、PDC 主機 (PDC master )
五、基礎結構主機 (infrastructure master )
以下是指令
一、拿取架構主機角色
1.依序按一下[開始]及[執行]後 ,再鍵入cmd
2.在命令提示字元上鍵入 ntdsutil
3.在ntdsutil 提示字元上鍵入 roles
4.在fsmo maintenance提示字元上鍵入 connections
5.在server connections 提示字元上鍵入connect to server □ 接著輸入完整主機名稱
如 :connect to server shad1.audrey.com.cn
6.在server connections 提示字元上鍵入 quit
7.在fsmo maintenance提示字元上鍵入 seize schema master
8.在fsmo maintenance提示字元上鍵入quit
9.在ntdsutil提示字元上鍵入 quit
二、拿取命名主機角色
1.依序按一下[開始]及[執行]後 ,再鍵入cmd
2.在命令提示字元上鍵入 ntdsutil
3.在ntdsutil 提示字元上鍵入 roles
4.在fsmo maintenance提示字元上鍵入 connections
5.在server connections 提示字元上鍵入connect to server □ 接著輸入完整主機名稱
如 :connect to server shad1.audrey.com.cn
6.在server connections 提示字元上鍵入 quit
7.在fsmo maintenance提示字元上鍵入 seize domain naming master
8.在fsmo maintenance提示字元上鍵入quit
9.在ntdsutil提示字元上鍵入 quit
三、拿取相關ID主角色
1.依序按一下[開始]及[執行]後 ,再鍵入cmd
2.在命令提示字元上鍵入 ntdsutil
3.在ntdsutil 提示字元上鍵入 roles
4.在fsmo maintenance提示字元上鍵入 connections
5.在server connections 提示字元上鍵入connect to server □ 接著輸入完整主機名稱
如 :connect to server shad1.audrey.com.cn
6.在server connections 提示字元上鍵入 quit
7.在fsmo maintenance提示字元上鍵入 seize RID master
8.在fsmo maintenance提示字元上鍵入quit
9.在ntdsutil提示字元上鍵入 quit
四、拿取PDC模擬器角色
1.依序按一下[開始]及[執行]後 ,再鍵入cmd
2.在命令提示字元上鍵入 ntdsutil
3.在ntdsutil 提示字元上鍵入 roles
4.在fsmo maintenance提示字元上鍵入 connections
5.在server connections 提示字元上鍵入connect to server □ 接著輸入完整主機名稱
如 :connect to server shad1.audrey.com.cn
6.在server connections 提示字元上鍵入 quit
7.在fsmo maintenance提示字元上鍵入 seize PDC
8.在fsmo maintenance提示字元上鍵入quit
9.在ntdsutil提示字元上鍵入 quit
五、拿取基礎結構主機角色
1.依序按一下[開始]及[執行]後 ,再鍵入cmd
2.在命令提示字元上鍵入 ntdsutil
3.在ntdsutil 提示字元上鍵入 roles
4.在fsmo maintenance提示字元上鍵入 connections
5.在server connections 提示字元上鍵入connect to server □ 接著輸入完整主機名稱
如 :connect to server shad1.audrey.com.cn
6.在server connections 提示字元上鍵入 quit
7.在fsmo maintenance提示字元上鍵入 seize infrastructure master
8.在fsmo maintenance提示字元上鍵入quit
9.在ntdsutil提示字元上鍵入 quit
感謝您詳盡的回答。
所以,我無法做災難演練?
riggstsai提到:
所以,我無法做災難演練?
樓上說的「拿取」seize = 奪取,占領;沒收,查封....這是用在 DC 意外身亡時的緊急處置...
災難演練不需要動到 seize, 改用 Transfer 就好了:
如何在 Windows Server 2003 中檢視及轉移 FSMO 角色
或是把上面的 sieze 都改成 Transfer 來執行.
這樣, 演練完了還是可以 Transfer 回來; 若用 seize 的話, 就只能把舊 DC 給砍了...
你有將 FSMO 移轉到新的 DC 上去嗎? 新的 DC 有沒有勾選 GC 功能?
另善意提醒: Server 2003 的主流技術支援, 已經在今年 7/13 終止:
Microsoft 技術支援週期
也就是說, 就算是買正版的, 您已經不能跟微軟的客服中心要求技術支援.
請盡快升級到更新版的 Windows Server.
都還沒。因我現只是在測試如果第一台DC突然掛點時,AD是否還能暫時正常運作?
riggstsai提到:
因我現只是在測試如果第一台DC突然掛點時,AD是否還能暫時正常運作?
你必須移轉 FSMO 和 GC 才能完全正常作業....至少 GC 要勾選, 才能登入...
其次, Client 端的電腦, 必須把 DNS 指向備用的 DC 才會有作用, 否則會找不到 DC....
我平常的習慣是把所有 DC 的 GC 都勾選起來, Client 端的 DNS 設定則是把所有 DC 都列進去...
災難演練可以做,但你要用虛擬網路下去做。
也就是說…假設在vm當中,有一台DC跟pc
主要的ad掛點後,在vm當中以dc對pc(一對一)的方式進行模擬。
若你主硬體很好,也可以一對多的方式進行模擬。
iThome鐵人賽
看影片追技術