fsmo角色迁移和夺取 - 图文

二．FSMO角色的转移。

须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。 1．Schema Maste

在进行SCHEMA MASTE的图形下转移前，要先对schmmgmt注册。点击“开始-运行”，输入:“regsvr32 schmmgmt”，回车:

注册成功。

运行MMC，“添加/删除管理单元”，将“Active Directory架构”添加进去。 在控制台上选中“Active Directory架构”点击“右键”，选择“操作主机”

如下图所示，当前的架构主机是DC1。

点击“更改”出现提示“您确实要更改架构主机？”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图：

2．RID Master、Infrastructure Master、PDC Emulator

打开“Active Directory用户和计算机”，选中“TEST.CN”域，右键选“操作主机”

在这里依次更改RID Master、Infrastructure Master、PDC Emulator

3．Domain Naming Master

打开“Active Directory域和信任关系”管理器，在“Active Directory域和信任关系”上点右键，选操作主机

在出现的新窗口上，点击更改。

三．FSMO角色的夺取。

当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。以下是命令行的步骤

打红线的地方，是要注意的地方，“connect to server test.cn“这里是连接到test.cn域，实际中，将其改为公司的域名就可以了。

在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移(transfer)。

这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmo maintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。

1．Seize domain naming master

在出现的对话框点“是”

2．Seize infrastrurcture master

呵呵，出错了！不过没关系，这是正常的，因为主域DC1不在线，所以在夺取时会有这个出错信息。红线部份给出了索取继续，所以结构角色会夺取到DC2上，接下来的各个角色的夺取也会有这个出错信息。 3．Seize PDC

．Seize RID master

5．Seize schema master

OK，至此，FSMO的五个角色就全部夺取完成。

再次运行脚本程序或在图形方式下查看，五个角色都已在DC2服务器上。

四．删除损坏DC的信息 对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示。

对于DC1由于损坏已不存在了，所以我们可以将DC1这台域控制器的一些想关信息从域中删除。

1．ntdsutil命令行工具。

在DC2域控制器上运行ntdsutil 以下是ntdsutil工具执行的步骤：

C:\\Documents and Settings\\Administrator.TEST>ntdsutil ntdsutil: ?

? - 显示这个帮助信息

Authoritative restore - 授权还原 DIT 数据库 Configurable Settings - 管理可配置的设置 Domain management - 准备新域创建 Files - 管理 NTDS 数据库文件 Help - 显示这个帮助信息

LDAP policies - 管理 LDAP 协议策略

Metadata cleanup - 清理不使用的服务器的对象 Popups %s - 用“on”或“off”启用或禁用弹出 Quit - 退出实用工具

Roles - 管理 NTDS 角色所有者令牌

Security account management - 管理安全帐户数据库 - 复制 SID 清理 Semantic database analysis - 语法检查器

Set DSRM Password - 重置目录服务还原模式管理员帐户密码

ntdsutil: metadata cleanup metadata cleanup: ?

? - 显示这个帮助信息

Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息 Quit - 返回到上一个菜单

Remove selected domain - 删除所选域的 DS 对象

Remove selected Naming Context - 为定的命名上下文删除 DS 对象 Remove selected server - 从所选服务器上删除 DS 对象 Remove selected server %s - 从所选服务器上删除 DS 对象

Remove selected server %s on %s - 从所选服务器上删除 DS 对象

Select operation target - 选择的站点，服务器，域，角色和命名上下文

metadata cleanup: select operation target select operation target: connect

server connections: connect to domain test.cn 绑定到 \\\\DC2.test.cn ...

用本登录的用户的凭证连接 \\\\DC2.test.cn。 server connections: q select operation target: ?

? - 显示这个帮助信息

Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息

List current selections - 列出当前的站点/域/务?命名上下文 List domains - 列出所有包含交叉引用的域 List domains in site - 列出所选站点中的域 List Naming Contexts - 列出已知命名上下文

List roles for connected server - 列出已连接的服务器已知的角色 List servers for domain in site - 列出所选域和站点中的服务器 List servers in site - 列出所选站点中的服务器 List sites - 在企业中列出站点 Quit - 返回到上一个菜单

Select domain %d - 将 %d 域定为所选域

Select Naming Context %d - 使命名上下文 %d 为选定的命名上下文 Select server %d - 将 %d 服务器定为所选服务器 Select site %d - 将 %d 站点定为所选站点

select operation target: list sites 找到 1 站点

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn select operation target: select site 0

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn 没有当前域 没有当前服务器 当前的命名上下文

select operation target: list domains in site 找到 1 域

0 - DC=test,DC=cn

select operation target: select domain 0

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn 域 - DC=test,DC=cn 没有当前服务器 当前的命名上下文

select operation target: list servers for domain in site 找到 2 服务器

0 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=cn

1 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te st,DC=cn

select operation target: select server 0

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn 域 - DC=test,DC=cn

服务器 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration, DC=test,DC=cn

DSA 对象 - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name ,CN=Sites,CN=Configuration,DC=test,DC=cn DNS 主机名称 - DC1.test.cn

计算机对象 - CN=DC1,OU=Domain Controllers,DC=test,DC=cn 当前的命名上下文 select operation target: q metadata cleanup: ?

? - 显示这个帮助信息

Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息 Quit - 返回到上一个菜单

Remove selected domain - 删除所选域的 DS 对象

Remove selected Naming Context - 为定的命名上下文删除 DS 对象 Remove selected server - 从所选服务器上删除 DS 对象 Remove selected server %s - 从所选服务器上删除 DS 对象

Remove selected server %s on %s - 从所选服务器上删除 DS 对象

Select operation target - 选择的站点，服务器，域，角色和命名上下文

metadata cleanup: remove selected server

点“是”后如下图所示：

Win2000到Win2003域的迁移

我院购置了相关服务器后，进行Win2000到Win2003域的迁移，该域现有500多个用户，负责医院各系统服务的认证工作。

表1 原有域服务器信息 服务器 主域控制器 额外域控制器 主机名 A A1 IP地址 10.0.0.11 10.0.0.11 掩码 255.255.0.0 255.255.0.0 网关 10.0.0.1 10.0.0.1 DNS 10.0.0.11 10.0.0.11 10.0.0.12 10.0.0.12 所属角色 domain naming master schema PDC master infrastructure master RID master 表2 新域服务器信息 额外域控制器 服务器 主域控制器 主机名 B1 B IP地址 10.0.0.51 10.0.0.52 掩码 255.255.0.0 255.255.0.0 网关 10.0.0.1 10.0.0.1 DNS 10.0.0.51 10.0.0.51 10.0.0.52 10.0.0.52 所属角色 domain naming master PDC infrastructure master RID master schema master 原有域服务器的操作系统均为Windows 2000 Server,而本次新的域服务器操作系统改用Windows 2003 Enterprise Server。要实现2000域到2003域的迁移，我们主要通过以下步骤实现：

1.在拥有架构主机角色（schema master）的域控制器上更新林信息。

2.在拥有结构主机角色（infrastructure master）的域控制器上更新域信息。 3.将两台新服务器（Windows 2003系统）作为额外域控制器加入2000域中。 4.通过ntdsutil工具将5种FSMO角色转换到新主域控制器上。 5.开启新域控制器的全局编录（等待更新同步）。 6.去除原有域控制器的全局编录。

一、更新林信息

1.到架构主机A1服务器上做更新林的操作。更新林或域的工具Adprep.exe位于Windows 2003 Enterprise Server安装光盘的I386目录下,将操作系统光盘插入光驱，并把I386目录拷贝到服务器本机D盘根目录下。

运行窗口中键入cmd，进入命令行模式后点击“开始→运行→cmd”，将当前目录切换到Adprep.exe目录下。具体操作如下：

Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:Documents and SettingsAdministrator>D: D:>cd win2003 D:win2003>cd i386 D: win2003i386> 2.运行adprep /forestprep更新林信息，在操作之前应确保Windows 2000系统已经打上SP2以上补丁,如满足要求则依照提示输入“C”,并按回车键，其生成信息如下： adprep /forestprep ADPREP 警告: 运行Adprep之前，此林中的所有Windows 2000域控制器必须升级到带QFE 265089的Windows 2000 Service Pack 1（SP1），或者升级到Windows 2000 SP2（或更新）。

需要QFE 265089（包括在Windows 2000 SP2和更新版本中）以防止可能的域控制器损坏。 [用户操作]

如果所有现存的 Windows 2000 域控制器满足此要求，键入C，然后按ENTER以继续。否则，键入任何其他键并按 ENTER以退出。 c

SSPI 连接到“A1”

用 SSPI 作为当前用户登录

从 \文件输入目录 加载项目..................................... 111 个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录

加载项目..................................... 68个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从 \文件输入目录 加载项目.................................. 33 个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目...................... 21 个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目................................. 32个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目............................ 27 个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目.................... 19个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目.............. 13个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录

加载项目........................................ 39个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目........... 10个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目................ 15个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目............................... 45个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录

加载项目............................. 28个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目............................. 68个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目...... 5个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目....... 6个项目修改成功。 指令成功完成 连接到“A1”

用SSPI作为当前用户登录

从\文件输入目录 加载项目................ 15个项目修改成功。 指令成功完成

............................... Adprep成功更新了全林性信息。

二、更新域信息

在完成林信息更新后,还需到结构主机A服务器上更新域信息,因为当结构主机

（infrastructure master）和架构主机（schema master）角色位于不同主机上时,在做完林更新后需要等待一段时间(15分钟或更长),使信息得到同步,在同步尚未完成前进行域更新将有如下提示：

E:I386>adprep /domainprep

更新全域性信息之前，必须更新全林性信息。 [用户操作]

登录到此林的架构主机 A1.qzdyyy.com，从安装媒体运行如下命令先完成林更新: adprep.exe /forestprep

然后在结构主机重新运行 adprep.exe /domainprep。

1.域更新和林更新方法相同,均使用安装光盘自带的Adprep.exe工具来实现，可把I386复制到服务器本机上或者直接读取光盘的方式来调用。 2．在I386目录下输入adprep /domainprep来更新域信息，如之前的同步已完成，在输入命令后可直接得到完成信息： E:I386>adprep /domainprep Adprep 成功更新了全域性信息。

三、加入Win2000域

1.在完成对林信息和域信息的更新后,可将新的服务器(Windows2003系统)加入原有的2000域中。 注意：如没有进行林和域信息更新,则装有Windows2003系统的服务器是无法作为额外域控制器加入2000域的。

2.要作为额外域控制器加入域,可在命令提示栏输入：dcpromo,按提示选择,最后选择作为现有域的额外域控制器。

3.用同样的方法将两台服务器都作为额外域控制器加入到2000域中。

四、转换FSMO角色 1.在Windows 2000系统之后,域环境中不再区分主域控制器和备份域控制器,改为主域控制器和额外域控制器,其地位功能都是相等的,区别在于五种FSMO角色的所属主机,当某台主机建立域时,五种角色都位于第一台域控制器上,当有多台域控制器时,为实现不同的功能主机,可用ntdsutil命令对角色进行转换。

2.Netdom位于Windows2003安装光盘support目录下,可点击同一目录下的安装程序进行安装,如已经选择安装,则可在命令行下直接调用命令（用于查询角色）。

3.可使用系统自带的ntdsutil命令进行角色转换,并用netdom命令进行角色查询确认。 注意:角色转换需要时间进行同步,时间和网络环境的复杂程度有关,在同步完成前,无法进行角色查询,或者用“AD用户和计算机→操作主机”查看时会当前操作主机显示为”错误”。 4.以下为角色转换的操作过程,附带相关说明: Microsoft Windows [版本 5.2.3790]

(C) 版权所有 1985-2003 Microsoft Corp.

C:Documents and SettingsAdministrator.QZDYYY>ntdsutil //使用ntdsutil工具 ntdsutil: roles //进行角色操作

fsmo maintenance: connections //进行连接操作

server connections: connect to server B //选择连接对象为B 绑定到 B ...

用本登录的用户的凭证连接 B。

server connections: quit //退出角色操作 fsmo maintenance: ?

? - 显示这个帮助信息

Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息 Quit - 返回到上一个菜单

Seize domain naming master - 在已连接的服务器上覆盖域角色 Seize infrastructure master - 在已连接的服务器上覆盖结构角色 Seize PDC - 在已连接的服务器上覆盖 PDC 角色 Seize RID master - 在已连接的服务器上覆盖 RID 角色 Seize schema master - 在已连接的服务器上覆盖架构角色

Select operation target - 选择的站点，服务器，域，角色和命名上下文 Transfer domain naming master - 将已连接的服务器定为域命名主机 Transfer infrastructure master - 将已连接的服务器定为结构主机 Transfer PDC - 将已连接的服务器定为 PDC

Transfer RID master - 将已连接的服务器定为 RID 主机 Transfer schema master - 将已连接的服务器定为架构主机

fsmo maintenance: transfer domain naming master //转换域命名主机 服务器 \知道有关 5 作用

架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C

N=Configuration,DC=qzdyyy,DC=com

PDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

结构 - CN=NTDS Settings,CN=A,CN=Servers,CN=Default-First-Site-Name,CN=Si tes,CN=Configuration,DC=qzdyyy,DC=com

fsmo maintenance: transfer infrastructure master //转换结构主机 服务器 \知道有关 5 作用

架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C N=Configuration,DC=qzdyyy,DC=com

PDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

fsmo maintenance: transfer pdc //转换PDC 服务器 \知道有关 5 作用

架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C N=Configuration,DC=qzdyyy,DC=com

PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

RID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

fsmo maintenance: transfer rid master //转换RID主机 服务器 \知道有关 5 作用

架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C N=Configuration,DC=qzdyyy,DC=com

PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

RID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

fsmo maintenance: transfer schema master //转换架构主机 服务器 \知道有关 5 作用

架构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com

域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C N=Configuration,DC=qzdyyy,DC=com

PDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

RID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites, CN=Configuration,DC=qzdyyy,DC=com

结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites ,CN=Configuration,DC=qzdyyy,DC=com fsmo maintenance: quit ntdsutil: quit 从 B 断开...

C:Documents and SettingsAdministrator.QZDYYY>cd C:>cd \

C:Program Files>cd \

C:Program FilesSupport Tools>netdom query fsmo Schema owner B.qzdyyy.com Domain role owner B.qzdyyy.com PDC role B.qzdyyy.com RID pool manager B.qzdyyy.com Infrastructure owner B.qzdyyy.com The command completed successfully.

四、转换全局编录

1.在两台新的域控制器上，启动“Active Directory 站点和服务”管理单元。要启动该管理单元，请单击开始，指向程序，指向管理工具，然后单击“Active Directory 站点和服务”。 2.在控制台树中，双击站点，然后双击站点名。

3.双击服务器，单击您的域控制器，右键单击 NTDS 设置，然后单击属性。

4.在常规选项卡上，单击以选中“全局编录”复选框，以便将全局编录角色分配给此服务器。 5.重新启动域控制器。

注意: 在从原域控制器上删除全局编录之前，要保证有足够的时间让帐户和架构信息复制到新的全局编录服务器上，待运行正常后再关闭原有域控制器的全局编录。

本文来源：https://www.bwwdw.com/article/xns7.html