修改域控制器计算机名不能简单的打开计算机属性直接进行修改,涉及域内名称解析,修改不当可能会造成找不到域控制器的麻烦。建议升级为控制器前先修改计算机名并重启计算机,如的确需要修改域控制器计算机名可以使用netdom命令。在Powershell命令行提示符下:
# Show all computer names of a DC netdowm computername dc02.cloud.z.com /enumerate # Change computer name of a DC from dc02 to dc03 netdom computername dc02.cloud.z.com /add:dc03.cloud.z.com netdom computername dc02.cloud.z.com /makeprimary: dc03.cloud.z.com # Restart the computer netdom computername dc03.cloud.z.com /remove:dc02.cloud.z.com
2、迁移FSMO角色
前文介绍了AD中5个FSMO角色,为在域中多个DC间合理部署这些角色,或者迁移DC时,我们需要考虑迁移FSMO角色。转移FSMO角色有两种方式,第一种通过GUI:
Windows 2012 中在“服务器管理器”菜单“工具”中开“Active Directory 用户和计算机”。默认情况下已经连接到域,在域名上右键选择“操作主机”,这里可以迁移RID、PDC和结构主机。
在“Active Directory 域和信任关系”右键选择“操作主机”,这里可以迁移域命名主机。
在“Active Directory 架构”右键选择“操作主机”,这里可以迁移架构主机。但是“Active Directory 架构”不会出现在服务器管理器中,我们需要事先注册 regsvr32 schmmgmt.dll,然后再mmc控制台中通过菜单“文件”添加“Active Directory 架构”管理单元,而后进行后续的管理。
第二种使用ntdsutil命令,过程中可以输入“?”以查询帮助:
# Show FSMO roles netdom query fsmo # Move FSMO roles from dc01 to dc03 ntdsutil roles connections connect to server dc03.cloud.z.com quit transfer schema master transfer naming master transfer infrastructure master transfer pdc transfer rid master quit quit
3、清理AD元数据
当DC降级后,需要手动清除它在AD中的信息,可以使用utdsutil命令:
# Remove metadata of a DC that need to be deleted ntdsutil metadata cleanup connections connect to server dc03.cloud.z.com quit select operation target list site select domain 0 list domains select domain 0 list severs for domain in site # Select the DC that need to be deleted select server 0 remove select server quit quit
4、迁移域控制器
从dc01到dc03迁移域控制主要包含以下几个步骤:
提升dc03为域控制器(WS2012以前使用命令dcpromo),全局编录、DNS服务器选择与dc01一致。
如果dc01是DNS 服务器,配置dc03网络DNS服务器地址指向dc01,等待dc03和dc01上的DNS数据同步。
在dc01上迁移FSMO角色至dc03。
降级dc01(WS2012以前使用命令dcpromo /forcemoval),在服务器管理器中删除AD DS角色将提示降级域控制器。
清理DNS记录,使用ntdsutil清理dc01的AD元数据。
5、其他维护工具
ntdsutil.exe。ntdsutil.exe 是一个命令行工具,提供对 Active Directory 域服务(AD DS) 和 Active Directory 轻量目录服务(AD LDS)的管理功能。可以使用ntdsutil命令执行 AD DS 数据库维护、 管理和控制FSMO角色以及删除没有被正确卸载的域控制器的元数据。
adsiedit.msc。adsiedit用于编辑 Active Directory 中的单个对象或少量对象。在WS2012服务器管理器中的AD DS服务器右键菜单可以找到。
ldp.exe。ldp.exe用于管理 Active Directory 轻型目录服务 (AD LDS)