項(xiàng)目9 管理操作主機(jī)

1、Windows Server Windows Server 活動(dòng)目錄企業(yè)應(yīng)用（微課版）活動(dòng)目錄企業(yè)應(yīng)用（微課版）項(xiàng)目項(xiàng)目9 9 管理操作主機(jī)管理操作主機(jī)楊云楊云 主編主編9.1 9.1 操作主機(jī)概述操作主機(jī)概述AD DS數(shù)據(jù)庫內(nèi)絕大部分?jǐn)?shù)據(jù)的復(fù)制是采用多主機(jī)復(fù)制模式(multi-master replicationmodel)，也就是您可以直接更新任何一臺(tái)域控制器內(nèi)絕大部分的AD DS對(duì)象，之后這個(gè)對(duì)象會(huì)被自動(dòng)復(fù)制到其他域控制器。然而只有少部分?jǐn)?shù)據(jù)的復(fù)制是采用單主機(jī)復(fù)制模式（single-master replication model）。在此模式下，當(dāng)您提出更改對(duì)象的請(qǐng)求時(shí)，只會(huì)由其中一臺(tái)被

2、稱為操作主機(jī)的域控制器負(fù)責(zé)接收與處理此請(qǐng)求，也就是說該對(duì)象先被更新在這臺(tái)操作主機(jī)內(nèi)，再由它將其復(fù)制到其他域控制器。Active Directory域服務(wù)（AD DS）內(nèi)總共有5個(gè)操作主機(jī)角色：架構(gòu)操作主機(jī)（schema operations master）域命名操作主機(jī)（domain naming operations master）RID操作主機(jī)（relative identifier operations master）PDC模擬器操作主機(jī)（PDC emulator operations master）基礎(chǔ)結(jié)構(gòu)操作主杌（infrastructure operations master） 一

3、個(gè)林中只有一臺(tái)架構(gòu)操作主機(jī)與一臺(tái)域命名操作主機(jī)，這兩個(gè)林級(jí)別的角色默認(rèn)都由林根域內(nèi)的第一臺(tái)域控制器所扮演。而每一個(gè)域擁有自己的RID操作主機(jī)、PDC模擬器操作主機(jī)與基礎(chǔ)結(jié)構(gòu)操作主機(jī)，這3個(gè)域級(jí)別的角色默認(rèn)由該域內(nèi)的第1臺(tái)域控制器所扮演。9.1.1 架構(gòu)操作主機(jī)架構(gòu)操作主機(jī) 扮演架構(gòu)操作主機(jī)角色的域控制器，負(fù)責(zé)更新與修改架構(gòu)( schema)內(nèi)的對(duì)象種類與屬性數(shù)據(jù)。隸屬于Schema Admins組內(nèi)的用戶才有權(quán)利修改架構(gòu)。一個(gè)林中只能有一臺(tái)架構(gòu)操作主機(jī)。9.1.2 域命名操作主機(jī)域命名操作主機(jī) 扮演域命名操作主機(jī)角色的域控制器，負(fù)責(zé)林內(nèi)域目錄分區(qū)的新建與刪除，即負(fù)責(zé)林內(nèi)的域添加與刪除工作。它也

4、負(fù)責(zé)應(yīng)用程序目錄分區(qū)的新建與刪除。一個(gè)林中只能有一臺(tái)域命名操作主機(jī)。9.1.3 RID操作主機(jī)操作主機(jī) 每一個(gè)域內(nèi)只能有一臺(tái)域控制器來扮演RID操作主機(jī)角色，而其主要的工作是發(fā)放RID （relative ID）給其域內(nèi)的所有域控制器。RID有何用途呢？當(dāng)域控制器內(nèi)新建了一個(gè)用戶、組或計(jì)算機(jī)等對(duì)象時(shí)，域控制器需指派一個(gè)唯一的安全標(biāo)識(shí)符（SID）給這個(gè)對(duì)象，此對(duì)象的SID是由域SID與RID所組成的，也就是說對(duì)象對(duì)象SID=域域SID+ RID，而RID并不是由每臺(tái)域控制器自己產(chǎn)生的，它是由RID操作主機(jī)來統(tǒng)一發(fā)放給其域內(nèi)的所有域控制器。每臺(tái)域控制器需要RID時(shí)，它會(huì)向RID操作主機(jī)索取一些RI

5、D，RID用完后再向RID操作主機(jī)索取。由于是由RID操作主機(jī)來統(tǒng)一發(fā)放RID，因此不會(huì)有RID重復(fù)的情況發(fā)生，也就是說每一臺(tái)域控制器所獲得的RID都是唯一的，因此對(duì)象的SID也是唯一的。如果是由每一臺(tái)域控制器各自產(chǎn)生RID的話，則可能不同的域控制器會(huì)產(chǎn)生相同的RID，因而會(huì)有對(duì)象SID重復(fù)的情況發(fā)生。9.1.4 PDC模擬器操作主機(jī)模擬器操作主機(jī) 每一個(gè)域內(nèi)只可以有一臺(tái)域控制器來扮演PDC模擬器操作主機(jī)角色而它所負(fù)責(zé)的工作包括支持舊客戶端計(jì)算機(jī)、減少因?yàn)槊艽a復(fù)制延遲所造成的問題支持舊客戶端計(jì)算機(jī)、減少因?yàn)槊艽a復(fù)制延遲所造成的問題和負(fù)責(zé)負(fù)責(zé)整個(gè)域時(shí)問的同步整個(gè)域時(shí)問的同步。1. 支持舊客戶端計(jì)

6、算機(jī)支持舊客戶端計(jì)算機(jī)： 用戶在域內(nèi)的舊客戶端計(jì)算機(jī)（例如Windows NT 4.0）上修改 密碼時(shí)，這個(gè)密碼數(shù)據(jù)會(huì)被更新在PDC（Primary Domain Controller）上，而AD DS通過PDC模擬器聚作主機(jī)來扮演PDC的角色。另外，若域內(nèi)有Windows NT Server 4.0 BDC（Backup Domain Controller），它會(huì)要求 從Windows NT Server 4.0 PDC來復(fù)制用戶賬戶與密碼等數(shù)據(jù)，而AD DS通過PDC模擬器操作主機(jī)來扮演PDC的角色。2. 減少因?yàn)槊艽a復(fù)制延遲所造成的問題減少因?yàn)槊艽a復(fù)制延遲所造成的問題當(dāng)用戶的密碼變更后，

7、需要一段時(shí)間這個(gè)密碼才會(huì)被復(fù)制到其他所有的域控制器，若在這個(gè)密碼還沒有被復(fù)制到其他所有域控制器之前，用戶利用新密碼登錄，則可能會(huì)因?yàn)樨?fù)責(zé)檢查用戶密碼的域控制器內(nèi)還沒有用戶的新密碼數(shù)據(jù)，而無法登錄成功。AD DS采用下面方法來減少這個(gè)問題發(fā)生的幾率：當(dāng)用戶的密碼變更后，這個(gè)密碼會(huì)優(yōu)先被復(fù)制到PDC模擬器操作主機(jī)，而其他域控制器仍然依照標(biāo)準(zhǔn)復(fù)制程序，也就是需要等一段時(shí)間后才會(huì)收到這個(gè)最新的密碼。如果用戶登錄時(shí)，負(fù)責(zé)驗(yàn)證用戶身份的域控制器發(fā)現(xiàn)密碼不對(duì)，它會(huì)將驗(yàn)證身份的工作轉(zhuǎn)發(fā)給擁有新密碼的PDC模擬器操作主機(jī)，以便讓用戶可以登錄成功。3. 負(fù)責(zé)整個(gè)域時(shí)問的同步負(fù)責(zé)整個(gè)域時(shí)問的同步域用戶登錄時(shí)，若其計(jì)

8、算機(jī)時(shí)間與域控制器不一致的話，將無法登錄，而PDC模擬器操作主機(jī)就負(fù)責(zé)整個(gè)域內(nèi)所有計(jì)算機(jī)時(shí)間的同步工作。 結(jié)合前面的林結(jié)構(gòu)，林根域的PDC模擬器操作主機(jī)DC1默認(rèn)使用本地計(jì)算機(jī)時(shí)間，也可以將其設(shè)置為與外部的時(shí)間服務(wù)器同步。 所有其他域的PDC模擬器操作主機(jī)的計(jì)算機(jī)時(shí)間會(huì)自動(dòng)與林根域內(nèi)的PDC模擬器操作主機(jī)同步。 各域內(nèi)的其他域控制器都會(huì)自動(dòng)與該域的PDC模擬器操作主機(jī)時(shí)間同步。 域內(nèi)的成員計(jì)算機(jī)會(huì)與驗(yàn)證其身份的域控制器同步。 由于林根域內(nèi)的PDC模擬器操作主機(jī)的計(jì)算機(jī)時(shí)間會(huì)影響到林內(nèi)所有計(jì)算機(jī)的時(shí)間，因此請(qǐng)確保此臺(tái)PDC模擬器操作主機(jī)時(shí)間的正確性。 我們可以利用w32tm /query/con

9、figuration命令來查著時(shí)間同步的設(shè)置，例如林根域。L的PDC模擬器操作機(jī)DC1默認(rèn)使用本地計(jì)算機(jī)時(shí)間，如圖9-1所示是Local CMOSClock（主板上的CMOS定時(shí)器）。圖9-1 Local CMOSClock（主板上的CMOS定時(shí)器） 若要將其改為與外部時(shí)間服務(wù)器同步，可執(zhí)行下面命令（參考圖9-2），重啟計(jì)算機(jī)后生效。w32tm /config /manualpeerlist: /syncfromflags:manual /reliable:yes /update圖9-2 改為與外部時(shí)間服務(wù)器同步 此命令被設(shè)置成可與

10、3臺(tái)時(shí)間服務(wù)器（、與）同步，服務(wù)器的DNS主機(jī)名之間使用空格來隔開，同時(shí)利用符號(hào)將這些服務(wù)器括起來。 客戶端計(jì)算機(jī)也可以通過w32tm /query /configuration命令來查看時(shí)間同步的設(shè)置，而我們可以從此命令的結(jié)果界面（參考圖9-3）的Type字段來判斷此客戶端計(jì)算機(jī)時(shí)間的同步方式，未加入域的客戶端計(jì)算機(jī)可能需要先啟動(dòng)Windows Time服務(wù)，再來執(zhí)行上述程序，而且必須以系統(tǒng)管理員的身份來運(yùn)行此程序。圖9-3 客戶端計(jì)算機(jī)時(shí)間的同步方式NoSync：表示客戶端不會(huì)同步時(shí)間。NTP：表示客戶端會(huì)從外部的時(shí)間服務(wù)器來同步，

11、而所同步的服務(wù)器會(huì)顯示在圖中的NtpServer字段中，例如圖中的。NT5DS：表示客戶端是通過圖9-1的域架構(gòu)方式來同步時(shí)間的。AIISync表示客戶端會(huì)選擇所有可用的同步機(jī)制，包含外部時(shí)間服務(wù)器與域架構(gòu)方式。9.1.5 基礎(chǔ)結(jié)構(gòu)操作主機(jī)基礎(chǔ)結(jié)構(gòu)操作主機(jī)每一個(gè)域內(nèi)只能有一臺(tái)域控制器來扮演基礎(chǔ)結(jié)構(gòu)操作主機(jī)的角色。如果域內(nèi)有對(duì)象引用到其他域的對(duì)象時(shí)，基礎(chǔ)結(jié)構(gòu)操作主機(jī)會(huì)負(fù)責(zé)更新這些引用對(duì)象的數(shù)據(jù)，例如本域內(nèi)有一個(gè)組的成員包含另外一個(gè)域的用戶賬戶，當(dāng)這個(gè)用戶賬戶有變動(dòng)時(shí)，基礎(chǔ)結(jié)構(gòu)操作主機(jī)便會(huì)負(fù)責(zé)來更新這個(gè)組的成員信息，并將其復(fù)制到同一個(gè)域內(nèi)的其他域控制器?；A(chǔ)結(jié)構(gòu)操作主機(jī)通過全局編錄服務(wù)器來得到這些

12、引用數(shù)據(jù)的最新版本，因?yàn)槿志庝浄?wù)器會(huì)收到由每一個(gè)域所復(fù)制來的最新變動(dòng)數(shù)據(jù)。9.1.6 操作主機(jī)的放置建議操作主機(jī)的放置建議默認(rèn)情況：架構(gòu)主機(jī)和域命名主機(jī)在根域的第一臺(tái)DC上，其他3個(gè)主機(jī)（RID主機(jī)、PDC模擬主機(jī)、基礎(chǔ)結(jié)構(gòu)主機(jī)）角色在各自域的第一臺(tái)DC上。需要關(guān)注的兩個(gè)問題。 基礎(chǔ)結(jié)構(gòu)主控和GC的沖突基礎(chǔ)結(jié)構(gòu)主控應(yīng)該關(guān)閉GC功能，避免沖突（域控制器非唯一）。 域運(yùn)行的性能考慮如果存在大量的域用戶和客戶機(jī)，并且部署了多臺(tái)額外域控制器，那么可以考慮將域的角色轉(zhuǎn)移一些到其他的額外域控制器上以分擔(dān)部分工作。9.2 項(xiàng)目設(shè)計(jì)及準(zhǔn)備9.2.1 項(xiàng)目設(shè)計(jì)未名公司基于AD管理用戶和計(jì)算機(jī)，為提高客戶登錄

13、和訪問域控制器效率，公司安裝了多臺(tái)額外域控制器，并啟用全局編錄。在AD運(yùn)營(yíng)一段時(shí)間后，隨著公司用戶和計(jì)算機(jī)數(shù)量的增加，公司發(fā)現(xiàn)用戶AD主域控制器CPU經(jīng)常處于繁忙狀態(tài)，而額外域控制則只有5%不到。公司希望額外域控制能適當(dāng)分擔(dān)主域控制器的負(fù)載。某次意外，突然導(dǎo)致主域控制器崩潰，并無法修復(fù)，公司希望能通過額外域控制修復(fù)域功能，保證公司的生產(chǎn)環(huán)境能夠正常運(yùn)行。公司拓?fù)淙鐖D9-4所示。圖9-4 管理操作主機(jī)示意圖9.2.2 項(xiàng)目分析項(xiàng)目分析AD額外域控制啟用全局編錄后，用戶可以選擇最近的GC查詢相關(guān)對(duì)象信息，并且它還可以讓域用戶和計(jì)算機(jī)找到最近的域控制器并完成用戶的身份驗(yàn)證等工作，這可以減輕主域控制的

14、工作負(fù)載量。AD域控制器存在5種角色，如果沒有將角色轉(zhuǎn)移到其他域控制器上，則主域控制器會(huì)非常繁忙，所以通常將這5種角色“轉(zhuǎn)移”一部分到其他額外域控制器上，這樣各域控制器的CPU負(fù)擔(dān)就相對(duì)均等，起到負(fù)載均衡作用。額外域控制器和主域控制器數(shù)據(jù)完全一致，具有AD備份作用，如果主域控制器崩潰，可以將主域控制器的角色“強(qiáng)占”到額外域控制器，讓額外域控制器自動(dòng)成為主域控制器。如果后期主域控制器修復(fù)，那么可以再將角色“轉(zhuǎn)移”回原主域控制器上。根據(jù)本項(xiàng)目背景，我們將從以下3個(gè)操作來知道域管理員完成角色管理的相關(guān)工作。 在域控制器都正常運(yùn)行情況下，使用圖形界面將主域控制器（DC1）的角色轉(zhuǎn)移至額外域控制器（DC

15、2）。 在域控制器都正常運(yùn)行情況下，使用“ntdsutil”命令將額外域控制器（DC2）的角色轉(zhuǎn)移至主域控制器（DC1）。 關(guān)閉主域控制器（模擬主域控制器故障），使用“ntdsutil”命令將主域控制器（DC1）的角色強(qiáng)占至額外域控制器（DC2）。角色管理控制臺(tái)架構(gòu)操作主機(jī)Active Directory架構(gòu)域命名操作主機(jī)Active Directory域及信任RID操作主機(jī)Active Directory用戶和計(jì)算機(jī)PDC模擬操作主機(jī)Active Directory用戶和計(jì)算機(jī)基礎(chǔ)結(jié)構(gòu)操作主機(jī)Active Directory用戶和計(jì)算機(jī)9.3 項(xiàng)目實(shí)施項(xiàng)目實(shí)施9.3.1 任務(wù)任務(wù)1 使用圖形

16、界面轉(zhuǎn)移操作主機(jī)角色使用圖形界面轉(zhuǎn)移操作主機(jī)角色不同的操作主機(jī)角色可以利用不同的Active Directory管理控制臺(tái)來檢查，如表9-1所示。表9-1 主機(jī)角色及對(duì)應(yīng)的控制臺(tái)1找出架構(gòu)操作主機(jī)并轉(zhuǎn)移至DC2利用Active Directory架構(gòu)控制臺(tái)來找出當(dāng)前扮演架構(gòu)操作主機(jī)角色的域控制器。 請(qǐng)到域控制器上登錄、注冊(cè)schmmgmt.dll，才可使用Active Directory架構(gòu)控制臺(tái)，若尚未注冊(cè)schmmgmt.dll，請(qǐng)先執(zhí)行下面命令： 并在出現(xiàn)注冊(cè)成功界面后，再繼續(xù)下面的步驟。步驟 2 在開始菜單的運(yùn)行中輸入MMC后單擊確定確定按鈕。選擇文件文件菜單添加添加/刪除管理單元?jiǎng)h除

17、管理單元在圖9-5中選擇Active Directory架構(gòu)架構(gòu)單擊添加添加按鈕單擊確定確定按鈕。圖9-5添加/刪除管理單元-Active Directory架構(gòu) 步驟 4 如圖9-6所示，【選中Active Directory架構(gòu)并單擊右鍵操作主機(jī)】。 圖9-6 Active Directory架構(gòu)控制臺(tái) 步驟5 從圖9-7可知架構(gòu)操作主機(jī)架構(gòu)操作主機(jī)為DC。圖9-7 架構(gòu)操作主機(jī)為DC 步驟 6 在圖9-6的Active Directory架構(gòu)控制臺(tái)中，【選中Active Directory架構(gòu)并單擊右鍵更改更改Active Directory域控制器域控制器】。單擊確定確定按鈕，修改當(dāng)前

18、目錄服務(wù)器為DC。如圖9-9所示。圖9-9 更改Active Directory域控制器 步驟 3 按確定確定按鈕回到Active Directory架構(gòu)架構(gòu)控制臺(tái)中，【選中Active Directory架架構(gòu)構(gòu)D并單擊右鍵操作主機(jī)】。如圖9-10所示，單擊更改更改按鈕，修改架構(gòu)操作主機(jī)為DC。更改完成關(guān)閉對(duì)話框。圖9-10 更改架構(gòu)主機(jī)2找出域命名操作主機(jī)并轉(zhuǎn)移至找出域命名操作主機(jī)并轉(zhuǎn)移至dc2 步驟 1 找出當(dāng)前扮演域命名操作主機(jī)角色的域控制器的方法為：【開始管理工具Active Directory域和信任關(guān)系如圖9-11所示選中Active Directory域和信任關(guān)系并單擊右鍵操作

19、主機(jī)由圖可知域命名操作主機(jī)為DC】。圖9-11 域命名操作主機(jī)為DC 步驟 2 更改當(dāng)前的目錄服務(wù)器為dc2：【開始管理工具Active Directory域和信任關(guān)系如圖9-12所示選中Active Directory域和信任關(guān)系并單擊右鍵更改更改Active Directory域控制器域控制器】。更改完成回到Active Directory域和信任關(guān)系域和信任關(guān)系控制臺(tái)。圖9-12 更改Active Directory域控制器 步驟3 【選中Active Directory域和信任關(guān)系域和信任關(guān)系并單擊右鍵操作主機(jī)操作主機(jī)】。如圖9-13所示，單擊更改更改按鈕，修改域命名操作主機(jī)為DC。更

20、改完成關(guān)閉對(duì)話框。圖9-13 更改域命名操作主機(jī)3找出找出RID、PDC模擬器與基礎(chǔ)結(jié)構(gòu)操作主機(jī)模擬器與基礎(chǔ)結(jié)構(gòu)操作主機(jī) 步驟 1 找出當(dāng)前扮演這3個(gè)操作主機(jī)角色的域控制器的方法為：【開始管理工具Active Directory用戶和計(jì)算機(jī)如圖9-14所示選中域名（）并單擊右鍵操作主機(jī)由圖可知RID操作主機(jī)為DC】，您還可以從圖中的PDC與基礎(chǔ)結(jié)構(gòu)選項(xiàng)卡來得知扮演這兩個(gè)角色的域控制器。圖9-14 RID、PDC模擬器與基礎(chǔ)結(jié)構(gòu)操作主機(jī) 步驟 2 更改當(dāng)前的目錄服務(wù)器為dc2：【開始管理工具Active Directory用戶和計(jì)算機(jī)如圖9-14所示選中域名（）并單擊右鍵更改更改Active D

21、irectory域控域控制器制器】。更改完成回到Active Directory用戶和計(jì)算機(jī)用戶和計(jì)算機(jī)控制臺(tái)。圖9-14 更改域控制器 步驟 3 【選中Active Directory用戶和計(jì)算機(jī)用戶和計(jì)算機(jī)并單擊右鍵操作主機(jī)操作主機(jī)】。如圖9-15所示，單擊更改更改按鈕，修改RID操作主機(jī)為DC。更改完成關(guān)閉對(duì)話框。圖9-15 更改RID操作主機(jī) 步驟 3 在圖9-15中，分別選中“PDC”和“基礎(chǔ)結(jié)構(gòu)”選項(xiàng)卡，用同樣的方式可以更改PDC模擬操作主機(jī)和基礎(chǔ)結(jié)構(gòu)主機(jī)為。如圖9-16所示。 圖9-16 更改PDC模擬操作主機(jī)和基礎(chǔ)結(jié)構(gòu)主機(jī)4. 利用命令找出扮演操作主機(jī)的域控制器利用命令找出扮演

22、操作主機(jī)的域控制器 您可以打開命令提示符或Windows PowerShell窗口，然后通過執(zhí)行netdom query fsmo命令來查看扮演操作主機(jī)角色的域控制器，如圖9-17所示。圖9-17 執(zhí)行netdom query fsmo命令 您也可以在Windows PowerShell窗口內(nèi)，通過執(zhí)行下面的Get-ADDomain命令來查看扮演域級(jí)別操作主機(jī)角色的域控制器（參考圖9-18）。圖9-18 執(zhí)行Get-ADDomain命令 或是通過執(zhí)行下面的Get-ADForest命令來查看扮演林級(jí)別操作主機(jī)角色的域控制器(參考圖9-19)。圖9-19 執(zhí)行Get-ADForest命令 步驟 1

23、 打開【W(wǎng)indows PowerShell】并輸入“ntdsutil”命令，在“ntdsutil”里，不用記那些繁瑣的命令，只要隨時(shí)打“？”理解中文解釋就可以了，如圖9-20所示。圖9-20 “ntdsutil”命令 步驟 2 從圖24-12可以看出“Roles”命令可以“管理管理NTDS角色所有者令牌角色所有者令牌”，輸入“Roles”進(jìn)入“Roles”狀態(tài)下，我們首先要使用“connections”命令來連接到操作主機(jī)轉(zhuǎn)移的目標(biāo)域控制器，這里我們要將額外域控制（DC2）的角色轉(zhuǎn)移至主域控制器（DC1），所以這里應(yīng)該輸入“connect to server ” ，如圖9-21和圖9-22所

24、示。圖9-21 進(jìn)入“Roles”狀態(tài)圖9-22 連接目標(biāo)域控制器 步驟 3 連接到【】后，使用“quit”命令返回上級(jí)菜單，使用“？”列出當(dāng)前狀態(tài)下的所有可執(zhí)行指令，可以發(fā)現(xiàn)轉(zhuǎn)移5個(gè)操作主機(jī)角色只需要簡(jiǎn)單執(zhí)行5條命令即可，如圖9-23所示。圖9-23 轉(zhuǎn)移操作主機(jī)命令 步驟 4 在【W(wǎng)indows PowerShell】里選中就是【復(fù)制】，單擊右鍵就是【粘貼】，這里我們將5個(gè)角色都轉(zhuǎn)移至【】，轉(zhuǎn)換過程會(huì)有【角色傳送確認(rèn)對(duì)話】，單擊【是】確認(rèn)傳送即可，如圖9-24所示。圖9-24 轉(zhuǎn)移操作主機(jī) 步驟 5 轉(zhuǎn)移完成之后，按兩次“quit”，然后使用“netdom query fsmo”查看操作主

25、機(jī)的信息，如圖9-25所示。圖9-25 查看操作主機(jī)9.3.3 任務(wù)任務(wù)3 使用使用“ntdsutil命令強(qiáng)占操作主機(jī)角色命令強(qiáng)占操作主機(jī)角色 步驟 1 將主域控制器（DC1）的網(wǎng)卡禁用，模擬主域控制器出現(xiàn)故障，在額外域控制器（DC2）測(cè)試能否“ping”通DC1，如圖9-26所示。圖9-26 測(cè)試能否“ping”通DC1 步驟 2 在額外域控制器（DC2）上打開【W(wǎng)indows PowerShell】并輸入“ntdsutil”命令，再輸入“Roles”進(jìn)入“Roles”狀態(tài)下，這里我們連接額外域控制器（DC2），所以這里應(yīng)該輸入“connect to server ” ，如圖9-27所示。圖9-27 連接額外域控制器 步驟 3 首先使用安全的轉(zhuǎn)移方法來傳送，會(huì)報(bào)錯(cuò)，因?yàn)橐呀?jīng)無法和通信了，也就不能在安全情況下進(jìn)行轉(zhuǎn)移了，如圖9-28所示。圖9-28 安全轉(zhuǎn)移操作主機(jī)失敗 步驟 4不能正常轉(zhuǎn)移操作主機(jī)，那只能進(jìn)行強(qiáng)占操作主機(jī)，同樣輸入“？”可以看到以下5條強(qiáng)占操作主機(jī)的命令，如圖9-29所示。圖9-29 強(qiáng)占操作主機(jī)命令 步