內(nèi)  容

操  作  步  驟

0.        實驗準備

(1)   啟動以下三臺虛擬機：DC1.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5

1.        一臺Windows Server 2003服務器提升為域控制器以后，會自動安裝相關(guān)管理工具。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“管理工具”，查看成功安裝“Active Directory 用戶和計算機”，“Active Directory 域和信任關(guān)系”，“Active Directory站點和服務”，“域安全策略”，“域控制器安全策略”。

(3)   作為對比，以帳戶Administrator、口令P@ssw0rd登錄獨立服務器Svr5。點擊“開始”-“程序”-“管理工具”，可以發(fā)現(xiàn)“本地安全策略”工具。說明一臺服務器提升為域控制器后，“本地安全策略”工具被刪除。

2.        同時，在文件系統(tǒng)中將會產(chǎn)生相關(guān)文件夾和文件來存儲Active Directory數(shù)據(jù)。

(4)   在虛擬機DC1中，打開資源管理器。

(5)   瀏覽“C:\WINDOWS\NTDS”文件夾。

(6)   瀏覽“C:\WINDOWS\SYSVOL”文件夾。

(7)   作為對比，可以發(fā)現(xiàn)獨立服務器Svr5中沒有這些文件夾。

內(nèi)  容

操  作  步  驟

1.      在正確配置Active Directory后，可以成功完成相關(guān)功能，如創(chuàng)建/刪除 用戶、組、組織單位等。

(1)   如果對Active Directory不太熟悉，可以通過打開“Active Directory 用戶和計算機”工具進行創(chuàng)建或刪除 用戶、組、組織單位等操作。

2.      由于默認安裝時自動配置了操作主機功能，所以可以成功完成創(chuàng)建新域、刪除域、等操作。
操作主機的概念將在實驗四和實驗五種詳細討論。
該操作作為實驗四和實驗五的對比實驗。以了解正常情況下的現(xiàn)象。

(2)   嘗試刪除Sales.Nwtraders.msft域：

a)        以帳戶Administrator、口令P@ssw0rd登錄域控制器DC4。

b)        在菜單“開始”-“運行”中輸入“Dcpromo.exe”，單擊“確定”。

c)        在“Active Directory安裝向?qū)?/span>”中，單擊“下一步”。

d)        選中“這個服務器是域中的最后一個域控制器”，點擊“下一步”。

e)        輸入用戶名“administrator”口令“P@ssw0rd”，單擊“下一步”。

f)          在新口令中連輸兩次“P@ssw0rd”，單擊“下一步”。

g)        單擊“下一步”。

h)        可以看到，域控制器卸載正常進行。

(3)   嘗試增加新域

a)        以帳戶Administrator、口令P@ssw0rd登錄域控制器Svr5。

b)        在菜單“開始”-“運行”中輸入“Dcpromo.exe”，單擊“確定”。

c)        在“Active Directory安裝向?qū)?/span>”中，單擊兩次“下一步”。

d)        選擇“新域的域控制器”，單擊“下一步”。

e)        選擇“在現(xiàn)有域樹中的子域”，單擊“下一步”。

f)          在用戶名、口令、域中分別輸入“administrator”“P@ssw0rd”“nwtraders.msft”，單擊“下一步”。

g)        在“父域”中，輸入“nwtraders.msft”，在“子域”中，輸入“Tech”，單擊“下一步”。

h)        連續(xù)單擊“下一步”，直到開始創(chuàng)建子域。

i)          可以看到，子域創(chuàng)建正常進行。

(4)    

內(nèi)  容

操  作  步  驟

1.      全局編錄的概念

全局編錄是存儲林中所有 Active Directory 對象的副本的域控制器。全局編錄存儲林中主持域的目錄中所有對象的完全副本，以及林中所有其他域中所有對象的部分副本。

全局編錄中包含的所有域?qū)ο蟮牟糠指北臼怯脩羲阉鞑僮髦凶畛Ｊ褂玫牟糠帧Ｗ鳛槠浼軜?gòu)定義的一部分，這些屬性被標記為包含到全局編錄中。在全局編錄中存儲所有域?qū)ο蟮淖畛Ｋ阉鞯膶傩?，可以為用戶提供高效的搜索，而不會以不必要的域控制器參考影響網(wǎng)絡性能。

在林中的初始域控制器上，會自動創(chuàng)建全局編錄?？梢韵蚱渌蚩刂破魈砑尤志庝浌δ埽蛘邔⑷志庝浀哪J位置更改到另一個域控制器上。

2.      查看和更改全局編錄角色。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“管理工具”-“Active Directory站點和服務”。

(3)   依次展開“Active Directory站點和服務”-“Sites”-“Default-First-Site-Name”-“Servers”-“DC1”。

(4)   右鍵點擊“DC1”下的“NTDS Settings”，點擊快捷菜單的“屬性”，打開“NTDS Settings屬性”對話框。

(5)   在對話框的“常規(guī)”屬性頁，可以看到“全局編錄”前的復選框被選中。說明DC1具有全局編錄角色。

(6)   可以通過選中或清空此復選框來啟用或禁用一臺服務器的全局編錄角色。

(7)   為保證后續(xù)實驗的正常進行，關(guān)閉DC1。
單擊DC1虛擬機右上角“關(guān)閉”按鈕，在“Close”對話框中選擇“Turn off and delete changes”，單擊“OK”，關(guān)閉DC1虛擬機。

(8)   用同樣的方法關(guān)閉所有打開的虛擬機。

內(nèi)  容

操  作  步  驟

0          實驗準備

(1)   確保作完實驗1.2后已經(jīng)以“Turn off and delete changes”選項關(guān)閉了DC1。

(2)   啟動DC1.nwtraders.msft、Svr3.nwtraders.msft兩臺虛擬機。

1          Active Directory的正常運行依賴于DNS。
DNS中的SRV記錄用于將服務解析為主機名。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“管理工具”-“DNS”，打開DNS管理控制臺。

(3)   依次展開“正向查找區(qū)域”-“Nwtraders.msft”，可以看到除了常規(guī)的“SOA”“NS”“A”記錄外，有一系列子節(jié)點如“_tcp”,展開次節(jié)點，可以看到一系列記錄類型為“服務位置(SRV)”的記錄。

內(nèi)  容

操  作  步  驟

1          用戶登錄、安全設置等大量操作依賴DNS。
此處以設置用戶權(quán)限為例進行演示。

(1)   以帳戶Administrator、口令P@ssw0rd登錄虛擬機Svr3。

(2)   打開Windows資源管理器。

(3)   右鍵單擊C:盤下文件夾Test1，在快捷菜單中選擇“屬性”，打開Test1屬性對話框，選擇“安全”屬性頁。

(4)   點擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框。

(5)   可以看到“查找位置”為“Nwtraders.msft”。單擊“位置”按鈕，打開“位置”對話框，可以改變查找位置。

(6)   點擊“高級”-“立即查找”。

(7)   選擇任意用戶，如“Zhang3”，連擊兩次“確定”。

(8)   設置“Zhang3”為“完全控制”。單擊“取消”，關(guān)閉“屬性”對話框。

2          如果DNS配置錯誤，可能導致各種故障。
此處假設Svr3的DNS解析指向Internet上的DNS服務器，觀察故障現(xiàn)象。

(9)   在虛擬機Svr3中，點擊菜單“開始”-“設置”-“網(wǎng)絡連接”，打開網(wǎng)絡連接窗口。

(10) 右鍵點擊“本地連接”，選擇“屬性”，打開“本地連接 屬性”對話框。

(11) 選擇“Internet協(xié)議(TCP/IP)”，點擊“屬性按鈕”

(12) 將“首選DNS服務器”和“備用DNS服務器”分別改為Internet上的DNS服務器地址：
61.134.1.4和61.134.1.9。

(13) 點擊兩次“確定”，關(guān)閉相關(guān)對話框。

(14) 在菜單“開始”-“運行”中輸入命令“IPCONFIG /FLUSHDNS”，單擊“確定”。

(15) 在“開始”菜單中選擇“關(guān)機”，在對話框中選擇“重新啟動”，重啟Svr3。

(16) 重啟完成后，以帳戶Administrator、口令P@ssw0rd登錄虛擬機Svr3。

(17) 打開Windows資源管理器。

(18) 右鍵單擊C:盤下文件夾Test1，在快捷菜單中選擇“屬性”，打開Test1屬性對話框，選擇“安全”屬性頁。

(19) 點擊“添加”按鈕，打開“選擇用戶、計算機或組”對話框。

(20) 可以看到，“查找位置”處為“Svr3”，點擊“位置”按鈕，無法將查找位置設置為“Nwtraders.msft”。

(21) 由此可見，由于DNS配置錯誤，將無法導航到Nwtraders.msft域。

3          以上只演示了DNS配置錯誤的一個極端的例子。但這個例子在許多配置了Active Directory同時又通過簡單防火墻上Internet的企業(yè)中卻有發(fā)生。
類似的錯誤配置還包括使用早期的不支持SRV記錄的DNS服務器、將DNS區(qū)域設置為不允許動態(tài)更新等。此不贅述。

(22) 為保證后續(xù)實驗的正常進行，關(guān)閉Svr3。
單擊Svr3虛擬機右上角“關(guān)閉”按鈕，在“Close”對話框中選擇“Turn off and delete changes”，單擊“OK”，關(guān)閉Svr3虛擬機。

內(nèi)  容

操  作  步  驟

0.        實驗準備

(1)   啟動以下兩臺虛擬機：DC1.nwtraders.msft、DC2.nwtraders.msft。

(2)   為保證備份內(nèi)容在后續(xù)實驗步驟中使用，需要將備份內(nèi)容放到主機上而不是虛擬機中。
為此，將主機的C:\VMShare文件夾映射為DC1虛擬機的Z:盤。具體設置步驟如下：

a)        在主機C:盤上建立文件夾C:\VMShare.

b)        在DC1的虛擬機窗口的“Edit”菜單中選擇“Settings”。

c)        在“Settings for DC1”對話框中，選擇“Shared Folders”。點擊“Share Folder”按鈕。

d)        在“瀏覽文件夾”對話框中，選擇C:\VMShare文件夾。在“Drive Letter”中選擇“Z:”，選中“Share Every Time”復選框。點擊“確定”。

e)        點擊“OK”。

1.        可以使用Windows 備份工具來備份系統(tǒng)狀態(tài)數(shù)據(jù)已達到備份Active Directory的目的。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“附件”-“系統(tǒng)工具”-“備份”，打開“備份或還原向?qū)?/span>”。

(3)   在向?qū)g迎頁面點擊“高級模式”。

(4)   在“備份工具”對話框中選擇“備份”屬性頁。

(5)   在備份內(nèi)容中，選擇“System State”復選框。

(6)   在“備份工具”對話框左下方的“備份媒體或文件夾”中，點擊“瀏覽”按鈕，打開“另存為”對話框。

(7)   在“保存在”下拉框中，選擇“我的電腦”下的“網(wǎng)絡驅(qū)動器(Z:)”。

(8)   保持文件名“Backup.bkf”。單擊“保存”按鈕。

(9)   在“備份工具”對話框右下方，點擊“開始備份”按鈕。

(10) 在“備份作業(yè)信息”對話框中，點擊“開始備份”按鈕。

(11) 等待備份完成，約需5分鐘左右。

(12) 備份完成后，點擊“關(guān)閉”。

(13) 在“備份工具”對話框的“作業(yè)”菜單下，選擇“退出”。

內(nèi)  容

操  作  步  驟

0.        當域控制器故障后，可以使用Windows 備份工具進行還原。
這樣的還原過程有兩點需要了解：

a)        還原過程序要在目錄服務還原模式下進行。

b)        還原完成后，被還原的域控制器將和其他域控制器同步，以獲取自上次備份后的更新。

以下步驟將演示上述兩個特點。

1.        假設在上次備份后，有一些更新。例如刪除了用戶Zhang3.

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“管理工具”-“Active Directory 用戶和計算機”

(3)   在“Active Directory 用戶和計算機”管理控制臺中，展開“Nwtraders.msft”，展開“TestOU”。

(4)   右鍵點擊用戶“Zhang3”，選擇“刪除”，單擊“是”，刪除用戶“Zhang3”。

(5)   在虛擬機DC2中，打開“Active Directory 用戶和計算機”，展開“Nwtraders.msft”，展開“TestOU”。確認對“Zhang3”的刪除已復制到DC2。如果尚未刪除，等待片刻，刷新。

2.        還原域控制器DC1

(6)   在虛擬機DC1的“開始”菜單中，點擊“關(guān)機”，選擇“重新啟動”。重啟DC1。

(7)   在啟動過程中，按下“F8”鍵，進入Windows啟動高級選項。

(8)   按向下箭頭，選擇“目錄服務還原模式(只用于Windows域控制器)”，按回車，將系統(tǒng)啟動到目錄服務還原模式。

(9)   以帳戶Administrator、口令P@ssw0rd登錄。

(10) 在安全模式提示對話框中單擊“確定”。

(11) 點擊“開始”-“程序”-“附件”-“系統(tǒng)工具”-“備份”，打開“備份或還原向?qū)?/span>”。

(12) 在向?qū)g迎頁面點擊“高級模式”。

(13) 在“備份工具”對話框中選擇“還原和管理媒體”屬性頁。

(14) 依次展開“文件”-“backup.bkf…”，選中“System State”前的復選框。

(15) 點擊右下方的“開始還原”按鈕，點擊兩次“確定”。

(16) 等待還原完成，約需5分鐘左右。

(17) 還原完成后，單擊“關(guān)閉”按鈕，系統(tǒng)提示是否重啟，選擇“是”，重啟DC1。

(18) 在DC2虛擬機窗口的“Action”菜單下，選擇“Pause”。

3.        DC1還原以后，其數(shù)據(jù)并不是最新的。DC1重啟以后，在域控制器復制過程中，會與DC2同步，以獲取最新數(shù)據(jù)。

(19) DC1啟動完成后，以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(20) 點擊“開始”-“程序”-“管理工具”-“Active Directory 用戶和計算機”

(21) 在“Active Directory 用戶和計算機”管理控制臺中，展開“Nwtraders.msft”，展開“TestOU”。

(22) 由于DC2被暫停，可以看到，曾被刪除的用戶“Zhang3”被還原。

(23) 在DC2虛擬機窗口的“Action”菜單下，選擇“Resume”。等待片刻。

(24) 在DC1中，刷新“Active Directory 用戶和計算機”管理控制臺?？梢园l(fā)現(xiàn)，剛剛還原的用戶“Zhang3”被自動刪除。這是因為DC1在復制過程中獲得了來自DC2的更新信息。

內(nèi)  容

操  作  步  驟

0.        實驗Lab3.2 適用于還原受損的域控制器。
但如果還原的目的是為了挽救誤操作，例如由于不慎刪除了用戶“Wang5”，希望通過還原操作恢復用戶帳戶“Wang5”，則需要使用域控制器的授權(quán)還原操作。

1.        授權(quán)還原與實驗Lab3.2的非授權(quán)還原過程基本類似，只是在進入“目錄服務還原模式”下完成還原以后，不要立即重啟，而是通過命令指定要授權(quán)還原的對象路徑。
該命令的本質(zhì)是強行大大增加還原對象的版本號，使其在復制過程中保持最高版本。

(1)   根據(jù)Lab3.2的操作步驟（1）-（5）同樣的步驟刪除用戶“Wang5”。

(2)   根據(jù)Lab3.2的操作步驟（6）-（16）同樣的步驟啟動DC1到目錄服務還原模式下，完成還原操作。但不要重啟機器。

(3)   在“開始”菜單中選擇“運行”，輸入“CMD”，打開命令提示符窗口。

(4)   輸入命令“NTDSUTIL”，回車。

(5)   在ntdsutil:提示符下，輸入“Authoritative Restore”。

(6)   在“Authoritative Restore”提示符下，輸入以下內(nèi)容：
Restore subtree “cn=wang5,ou=testou,
dc=nwtraders,dc=msft”  （以上內(nèi)容在以行內(nèi)輸入，包括雙引號及逗號）。回車。

(7)   在“授權(quán)還原確認對話”對話框中，點擊“是”。

(8)   以上命令完成后。輸入兩次“Quit”，退出ntdsutil.

(9)   在“開始”菜單中，選擇“關(guān)機”，選擇“重新啟動”，重啟DC1。

2.        查看授權(quán)還原效果。

(10) DC1成功重啟之后，打開“Active Directory 用戶和計算機”管理控制臺，展開“Nwtraders.msft”，展開“TestOU”。

(11) 可以看到，用戶“Wang5”被恢復。

(12) 在DC2中，打開“Active Directory 用戶和計算機”管理控制臺，展開“Nwtraders.msft”，展開“TestOU”?？梢园l(fā)現(xiàn)用戶“Wang5”被恢復。如果還沒有，等待片刻，刷新。

(13) 以“Turn off and delete changes”選項關(guān)閉所有虛擬機。以備后續(xù)實驗操作。

內(nèi)  容

操  作  步  驟

0.        該實驗討論一下場景：
假設一個小型企業(yè)只有一個單域Nwtraders.msft，且該域中只有一臺域控制器DC1. Nwtraders.msft。該域中還有一臺成員服務器Svr3. Nwtraders.msft。
管理員對此域控制器定期備份。
該唯一的域控制器不幸徹底崩潰。

1.        假設該企業(yè)的唯一域控制器DC1.Nwtraders.msft徹底崩潰。
在原有機器上完全重裝操作系統(tǒng)，或用一臺硬件配置一致的機器安裝全新的操作系統(tǒng)。

2.        假設Svr5即是剛剛裝好的服務器，計劃在該服務器上恢復域控制器功能。

(1)   啟動虛擬機Svr5。

(2)   啟動時按“F8”

(3)   按向下箭頭，選擇“目錄服務還原模式(只用于Windows域控制器)”，按回車，將系統(tǒng)啟動到目錄服務還原模式。

(4)   按實驗Lab3.1“備份Active Directory”的內(nèi)容“0.實驗準備”中第(2)步的操作，將主機的C:\VMShare文件夾映射為Svr5虛擬機的Z:盤。

(5)   以帳戶Administrator、口令P@ssw0rd登錄。

(6)   在安全模式提示對話框中單擊“確定”。

(7)   查看“我的電腦”屬性，確認機器名為“Svr5”，不屬于任何域。查看IP地址配置，確認其為10.10.10.5。

(8)   點擊“開始”-“程序”-“附件”-“系統(tǒng)工具”-“備份”，打開“備份或還原向?qū)?/span>”。

(9)   在向?qū)g迎頁面點擊“高級模式”。

(10) 在“工具”菜單下，選擇“還原向?qū)?/span>”。點擊“下一步”。

(11) 在“還原項目”頁，點擊“瀏覽”按鈕。

(12) 在“打開備份文件”對話框，輸入“Z:\backup.bkf”。單擊“確定”。

(13) 在“要還原的項目”下，依次展開“文件”-“backup.bkf”。

(14) 選中“System State”前的復選框。

(15) 點擊“下一步”，點擊“完成”。點擊“確定”，開始還原。

(16) 還原完成后，單擊“關(guān)閉”按鈕，系統(tǒng)提示是否重啟，選擇“是”，重啟Svr5。

(17) 此后，Svr5即承擔原DC1的功能。

3.        驗證還原效果

(18) Svr5還原并重啟后，系統(tǒng)提示需要激活，如果有條件激活該系統(tǒng)，激活完成后，可以看到其機器名已成為DC1，IP地址也成為10.10.10.1，所有特性呈現(xiàn)為DC1. Nwtraders.msft的特性。

(19) 如果無條件激活，可以通過以下方式驗證：

a)        在Svr5（現(xiàn)在已變?yōu)?/span>DC1）保持運行的狀態(tài)下，啟動虛擬機Svr3. Nwtraders.msft.

b)        可以發(fā)現(xiàn)Svr3正常啟動、登錄。

c)        以Administrator登錄Svr3后，打開命令提示符。

d)        輸入Ping 10.10.10.1，可以Ping通。

e)        輸入“NSLOOKUP”，可以正常連到DC1的DNS服務器，依次輸入DC1、DC2、SVR3、DC4.SALES，均可正常解析。

f)          打開Windows資源管理器，在地址欄里輸入\\DC1\C$，按提示輸入用戶名Administrator及口令P@ssw0rd，可以打開此共享。

(20) 以“Turn off and delete changes”選項關(guān)閉所有虛擬機。以備后續(xù)實驗操作。

內(nèi)  容

操  作  步  驟

0.        實驗準備

(1)   啟動以下兩臺虛擬機：DC1.nwtraders.msft、DC2.nwtraders.msft

1.        操作主機的概念

Active Directory 支持域中所有域控制器之間的目錄數(shù)據(jù)存儲的多主機復制，因此域中的所有域控制器實質(zhì)上都是對等的。

但是，某些更改不適合使用多主機復制執(zhí)行，因此對于每一個此類更改，都有一個稱為“操作主機”的域控制器接收此類更改的請求。

在每個林中，至少有五個指派給一個或多個域控制器的操作主機角色。在每個林中，林范圍的操作主機角色必須只出現(xiàn)一次。在林中的每個域中，域范圍的操作主機角色必須在每個域中出現(xiàn)一次。

操作主機角色有時稱為 Flexible Single Master Operations (FSMO) 角色。

這五個操作主機角色分別是：

ü       架構(gòu)主機

ü       域命名主機

ü       相對 ID (RID) 主機

ü       主域控制器 (PDC) 仿真主機

ü       結(jié)構(gòu)主機

有關(guān)操作主機的詳細概念，可以參閱微軟幫助文檔。

2.        通過圖形界面查看以下三個操作主機角色。

ü         相對 ID (RID) 主機

ü         主域控制器 (PDC) 仿真主機

ü         結(jié)構(gòu)主機

以上三個操作主機角色是域范圍的，可以在同一個界面中查看。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“管理工具”-“Active Directory 用戶和計算機”，打開“Active Directory 用戶和計算機”管理控制臺。

(3)   右鍵點擊域名“Nwtraders.msft”，在快捷菜單中選擇“操作主機”，打開“操作主機”對話框。

(4)   分別單擊“RID”“PDC”“結(jié)構(gòu)”屬性頁，在屬性頁的“操作主機”框中所顯示的即為該域的上述三個操作主機角色所在的域控制器。

3.        通過圖形界面查看“域命名主機”角色。

(5)   點擊“開始”-“程序”-“管理工具”-“Active Directory 域和信任關(guān)系”，打開“Active Directory 域和信任關(guān)系”管理控制臺。

(6)   鼠標右鍵點擊“Active Directory 域和信任關(guān)系”，在快捷菜單中選擇“操作主機”，打開“更改操作主機”對話框。

(7)   “更改操作主機”對話框的“域命名操作主機”框中所示即為該林的域命名操作主機角色所在域控制器。

4.        通過圖形界面查看“架構(gòu)主機”角色。

(8)   Windows Server2003默認不安裝“”，為此，需要先注冊該管理工具。

(9)   在“開始”菜單-“運行”中，輸入以下命令：
Regsvr32 Schmmgmt.dll
點擊“確定”。

(10) 系統(tǒng)提示注冊成功，點擊“確定”。

(11) 在“開始”菜單-“運行”中，輸入MMC，點擊“確定”。打開微軟管理控制臺。

(12) 在控制臺中，點擊菜單“文件”-“添加/刪除管理單元”。

(13) 在“添加/刪除管理單元”對話框中，點擊“添加”按鈕。

(14) 在“可用的獨立管理單元”下，選擇“Active Directory 架構(gòu)”。依次點擊“添加”“關(guān)閉”“確定”，完成管理單元添加操作。

(15) 在管理控制臺中，右鍵點擊“Active Directory 架構(gòu)”，在快捷菜單中選擇“操作主機”，打開“更改架構(gòu)主機”對話框。

(16) 在“更改架構(gòu)主機”對話框的“當前架構(gòu)主機（聯(lián)機狀態(tài)）”框中所示，即為該林的架構(gòu)主機。

5.        使用命令行工具NTDSUTIL查看操作主機角色。

(17) 在“開始”菜單-“運行”中，輸入CMD，點擊“確定”。打開命令行控制臺。

(18) 在命令提示符下，鍵入
ntdsutil，回車。

(19) 在 ntdsutil 命令提示符下，鍵入：
domain management，回車。

(20) 在domain management命令提示符下，鍵入
connections，回車。

(21) 在server connections命令提示符下，鍵入
connect to server DC1，回車。

(22) 在server connections命令提示符下，鍵入
quit，回車。

(23) 在domain management命令提示符下，鍵入
select operation target，回車。

(24) 在select operation target命令提示符下，鍵入
list roles for connected server，回車。

(25) 系統(tǒng)將列出DC1所擁有的角色?？梢钥吹?， 5個操作主機角色均為DC1。

(26) 用上述步驟連接到DC2，(注：不必登錄到DC2，只需將步驟(21)的命令改為connect to server DC2即可。)

(27) 可以看到，依然提示5個操作主機角色均為DC1。

內(nèi)  容

操  作  步  驟

0.        在Active Directory的維護過程中，由于各種原因，可能需要將操作主機角色遷移到另一臺域控制器。

1.        通過圖形界面遷移操作主機角色。

在實驗Lab4.1中大家已經(jīng)注意到，通過圖形界面查看各操作主機角色時，在顯示操作主機的對話框中可以點擊“更改”按鈕來將操作主機角色遷移到另一臺域控制器。

但是，“更改”按鈕上下兩個文本框中都為同一個服務器。

這是因為當前的管理工具所連接的域控制器恰好為某操作主機角色。

所以，我們需要更改當前管理工具所連接的域控制器，以進行角色遷移。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC1。

(2)   點擊“開始”-“程序”-“管理工具”-“Active Directory 用戶和計算機”，打開“Active Directory 用戶和計算機”管理控制臺。

(3)   右鍵點擊域名“Nwtraders.msft”，在快捷菜單中選擇“連接到域控制器”，打開“連接到域控制器”對話框。

(4)   在“或者選擇一個可用的域控制器”下，點擊“DC2.Nwtraders.msft”。

(5)   點擊“確定”。此時，該“Active Directory 用戶和計算機”管理控制臺已連接到DC2。

(6)   右鍵點擊域名“Nwtraders.msft”，在快捷菜單中選擇“操作主機”，打開“操作主機”對話框。

(7)   在“操作主機”對話框的“RID”屬性頁，可以看到，當前操作主機為DC1，可以遷移為DC2。點擊“更改”按鈕。確認對話框中點擊“是”。提示成功后點擊“確定”。

(8)   請用同樣的方式，完成所有5個操作主機的角色遷移。

2.        使用命令提示符遷移操作主機角色。

在這里我們通過命令提示符將剛剛遷移到DC2上的5個角色再遷移到DC1上。

(9)   在“開始”菜單-“運行”中，輸入CMD，點擊“確定”。打開命令行控制臺。

(10) 在命令提示符下，鍵入
ntdsutil，回車。

(11) 在 ntdsutil 命令提示符下，鍵入：
roles，回車。

(12) 在 fsmo maintenance 命令提示符下，鍵入：
connection，回車。

(13) 在 server connections 命令提示符下，鍵入：
connect to server DC1，回車。

(14) 在 server connections 命令提示符下，鍵入：
quit，回車。

(15) 在 fsmo maintenance 命令提示符下，鍵入：
transfer PDC，回車。

(16) 在“角色傳送確認對話”對話框中，單擊“是”。

(17) 系統(tǒng)列出5個操作主機角色，可以看到，PDC仿真主機已成功遷移到DC1。

(18) 在 fsmo maintenance 命令提示符下，依次鍵入：
transfer RID master
transfer infrastructure master
transfer schema master
transfer domain naming master
完成所有五個操作主機角色的遷移。

3.        為了保證Active Directory正常運行，建議同時考慮全局編錄角色的遷移。過程可參見實驗Lab1.3。

(19) 以“Turn off and delete changes”選項關(guān)閉所有虛擬機。以備后續(xù)實驗操作。

內(nèi)  容

操  作  步  驟

0.        如果操作主機崩潰，將會影響到一系列操作。

在實驗Lab1.2中，已經(jīng)演示了操作主機正常工作時的情形。作為對比，這一部分將看到操作主機故障時的現(xiàn)象。

本實驗沒有啟動域控制器DC1，可以模擬作為5個操作主機角色宿主的DC1徹底崩潰的情形。

(1)   啟動以下三臺虛擬機：DC2.nwtraders.msft、DC4.sales.nwtraders.msft、Svr5

1.        嘗試刪除Sales.Nwtraders.msft域。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC4。

(2)   在菜單“開始”-“運行”中輸入“Dcpromo.exe”，單擊“確定”。

(3)   在“Active Directory安裝向?qū)?/span>”中，單擊“下一步”。

(4)   選中“這個服務器是域中的最后一個域控制器”，點擊“下一步”。

(5)   輸入用戶名“administrator”口令“P@ssw0rd”，單擊“下一步”。

(6)   在新口令中連輸兩次“P@ssw0rd”，單擊“下一步”。

(7)   單擊“下一步”。

(8)   等待卸載操作進行，可以發(fā)現(xiàn)域控制器卸載過程出錯。

(9)   單擊“確定”，關(guān)閉“Active Directory 安裝向?qū)?/span>”。

(10) 不要關(guān)閉虛擬機DC4。實驗六將繼續(xù)使用該虛擬機。

2.        嘗試增加新域

(11) 以帳戶Administrator、口令P@ssw0rd登錄域控制器Svr5。

(12) 在菜單“開始”-“運行”中輸入“Dcpromo.exe”，單擊“確定”。

(13) 在“Active Directory安裝向?qū)?/span>”中，單擊兩次“下一步”。

(14) 選擇“新域的域控制器”，單擊“下一步”。

(15) 選擇“在現(xiàn)有域樹中的子域”，單擊“下一步”。

(16) 在用戶名、口令、域中分別輸入“administrator”“P@ssw0rd”“nwtraders.msft”，單擊“下一步”。

(17) 在“父域”中，輸入“nwtraders.msft”，在“子域”中，輸入“Tech”，單擊“下一步”。

(18) 連續(xù)單擊“下一步”，直到開始創(chuàng)建子域。

(19) 等待創(chuàng)建過程運行，直到提示出錯?？梢园l(fā)現(xiàn)，出錯原因是無法連接到域命名主機。

(20) 以“Turn off and delete changes”選項關(guān)閉虛擬機Svr5。

3.        其他場景不再一一演示。

(21) 以“Turn off and delete changes”選項關(guān)閉虛擬機Svr5。以備后續(xù)實驗。

(22) 注意不要關(guān)閉虛擬機DC4。實驗六將繼續(xù)使用該虛擬機。

內(nèi)  容

操  作  步  驟

0.        實驗準備

假設作為作為5個操作主機角色宿主的DC1徹底崩潰。為了Active Directory等正常運行，只能強行讓DC2獲取操作主機角色。該過程稱作占用操作主機角色。

(1)   啟動虛擬機：DC2.nwtraders.msft

1.        通過命令行強行獲取操作主機角色。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC2。

(2)   在“開始”菜單-“運行”中，輸入CMD，點擊“確定”。打開命令行控制臺。

(3)   在命令提示符下，鍵入
ntdsutil，回車。

(4)   在 ntdsutil 命令提示符下，鍵入：
roles，回車。

(5)   在 fsmo maintenance 命令提示符下，鍵入：
connection，回車。

(6)   在 server connections 命令提示符下，鍵入：
connect to server DC2，回車。

(7)   在 server connections 命令提示符下，鍵入：
quit，回車。

(8)   在 fsmo maintenance 命令提示符下，鍵入：
Seize PDC，回車。

(9)   在“角色占用確認對話”對話框中，單擊“是”。

(10) 系統(tǒng)首先嘗試正常遷移，發(fā)現(xiàn)無法連到原有操作主機后，將強行索取。

(11) 索取完成后，系統(tǒng)列出5個操作主機角色，可以看到，PDC仿真主機已被DC2成功占用。

(12) 在 fsmo maintenance 命令提示符下，依次鍵入：
Seize RID master
Seize infrastructure master
Seize schema master
Seize domain naming master
完成所有五個操作主機角色的強制獲取。

2.        為了保證Active Directory正常運行，建議同時考慮設置全局編錄角色的。過程可參見實驗Lab1.3。

(13) 不要關(guān)閉虛擬機DC2。實驗六將繼續(xù)使用該虛擬機。

(14) 注意不要關(guān)閉虛擬機DC4。實驗六將繼續(xù)使用該虛擬機。

內(nèi)  容

操  作  步  驟

0.        實驗準備

(1)   本實驗使用實驗Lab5.1中出現(xiàn)卸載故障的虛擬機DC4。

1.        在實驗Lab5.1中，DC4卸載出現(xiàn)故障。這將使得DC4無法作為一個正常的域控制器使用，但也無法卸載為一個正常的成員服務器。為此，可以使用強行卸載的方法。

(1)   切換到虛擬機DC4。

(2)   在“開始”菜單的“運行”中，輸入命令：
dcpromo /forceremoval

(3)   打開“Active Directory安裝向?qū)?/span>”，開始強制刪除Active Directory。單擊“下一步”。

(4)   在新管理員密碼和確認密碼中，輸入P@ssw0rd。

(5)   點擊兩次“下一步”，開始刪除過程。

(6)   刪除完成后，重新啟動該服務器。

內(nèi)  容

操  作  步  驟

0.        實驗準備

(1)   以下操作使用實驗Lab5.2中強制獲取操作主機角色的DC2。

1.        刪除域控制器降級失敗后的殘留數(shù)據(jù)。

Active Directory 安裝向?qū)?/span> (Dcpromo.exe) 用于將服務器提升為域控制器，以及將域控制器降級為成員服務器。

作為降級過程的一部分，此向?qū)⒃撚蚩刂破鞯呐渲脭?shù)據(jù)從 Active Directory 中刪除。

此數(shù)據(jù)的形式是“NTDS 設置”對象，在“Active Directory 站點和服務”中作為服務器對象的一個子對象存在。

在實驗Lab6.1中，DC4的卸載是強制執(zhí)行的，所有操作發(fā)生在DC4上，即卸載過程并未通知Active Directory刪除該域控制器的信息。

此時，需要手工刪除這些信息。

(1)   以帳戶Administrator、口令P@ssw0rd登錄域控制器DC2。

(2)   在“開始”菜單-“運行”中，輸入CMD，點擊“確定”。打開命令行控制臺。

(3)   在命令提示符下，鍵入
ntdsutil，回車。

(4)   在 ntdsutil 命令提示符下，鍵入：
metadata cleanup，回車。

(5)   在metadata cleanup命令提示符下，鍵入：
connections，回車。

(6)   在 server connections 命令提示符下，鍵入：
connect to server DC2，回車。

(7)   在 server connections 命令提示符下，鍵入：
quit，回車。

(8)   在metadata cleanup命令提示符下，鍵入：
select operation target，回車。

(9)   在select operation target命令提示符下，鍵入：
list domains，回車。
系統(tǒng)將列出兩個域：
0 - DC=Nwtraders,DC=msft
1 - DC=Sales,DC=Nwtraders,DC=msft

(10) 在select operation target命令提示符下，鍵入：
select domain 1，回車。表示選擇了Sales域。

(11) 在select operation target命令提示符下，鍵入：
list sites，回車。系統(tǒng)將列出所有站點。當前只有一個站點Default-First-Site-Name，編號為0。

(12) 在select operation target命令提示符下，鍵入：
select site 0，回車。表示選擇了站點Default-First-Site-Name。

(13) 在select operation target命令提示符下，鍵入：
list servers in site，回車。
系統(tǒng)列出了該站點中的三域控制器DC1、DC2、DC4，編號分別為0、1、2。

(14) 在select operation target命令提示符下，鍵入：
select server 2，回車。表明選中服務器DC4。

(15) 在select operation target命令提示符下，鍵入：
quit，回車。退到metadata cleanup提示符下。

(16) 在metadata cleanup命令提示符下，鍵入：
remove selected server，回車。

(17) 在“服務器刪除確認對話框”中，單擊兩次“是”。

(18) 至此，DC4的殘留信息被成功從DC2刪除。

(19) 輸入兩次“quit”退出ntdsutil工具。

2.        為使Active Directory正常運行，在實際工作中還要考慮DNS記錄的清理等問題。

(20) 以“Turn off and delete changes”選項關(guān)閉所有虛擬機。以利于其他學員的實驗操作。