Windows 2008 R2 AD活动目录主控(fsmo)强制切换管理

2018年1月19日15:37:23Windows 2008 R2 AD活动目录主控(fsmo)强制切换管理已关闭评论 672
摘要

正在运行的域控制器发生宕机时,此时必须要采取必要的措施保证域的正常运行,依据宕机的具体情况对宕机的域控制器采取必要的措施,个人建议不是十分紧急的情况下,不要轻易转移或者夺取操作主机,尽量等故障的主机恢复,重新回到域中,如果实在无法恢复,只能采取转移或者夺取操作

正在运行的域控制器发生宕机时,此时必须要采取必要的措施保证域的正常运行,依据宕机的具体情况对宕机的域控制器采取必要的措施,个人建议不是十分紧急的情况下,不要轻易转移或者夺取操作主机,尽量等故障的主机恢复,重新回到域中,如果实在无法恢复,只能采取转移或者夺取操作。

AD活动目录五种角色 基于森林的操作主控:架构主控(Schema Master)域命名主控(Domain Naming Master)在每个林中这些角色都必须是唯一的,基于域范围的主控:PDC仿真器(PDC Emunlator)RID主控(RID Master)基础结构主控(Infrastructure Master)以上三种在每个域中必须是唯一的,下面将介绍Windows Server 2008 R2 AD活动目录操作主控fsmo 查看迁移操作

操作主控fsmo查看

可以使用cmd命令或者通过AD活动目录用户和计算机,活动目录域和信任管理查看,输入"netdom query fsmo"

Windows 2008 R2 AD活动目录主控(fsmo)强制切换管理

图形状态查看架构主机

必须先运行“regsvr32 schmmgmt”进行注册。然后运行“mmc”,在文件菜单中选择添加删除管理单元,添加“AD架构”在弹出的对话框,右键选择操作主机可以看到当前架构主机是那个主机

打开Active Directory 用户和计算机,右键选择操作主机可以看到RID PDC 基础架构是那个主机,打开Active Directory 域和信任关系,右键选择操作主机可以看到域命名操作主机是那个主机的

fsmo操作主控转移有两种

自动转移将DC降为成员服务器或独立服务器时候,会将FSMO转移到一台并行的DC,另一种是可以手动将某一个FSMO转移到某一台的DC,转移是可逆的。图形转移这里我就转移操作主控FSMO(其它主控转移一样)

使用MMC管理控制台可以实现操作主控的转移操作:

注明:RID、PDC、结构主控作用于域级别,在AD用户和计算机中操作。

域命名主控作用于林级别,在AD域和信任中操作。

单击AD用户和计算机,右击域名选择操作主机,弹出对话框,右击连接到域控制器,即可选择需要连接的DC,将操作主控转移到其他主机。

转移域命名主控,单击AD域和信任关系,右键选择操作主机,在更改操作主机对话框中单击更改。

架构主控很重要,系统没有预设管理工具,在运行里输入”regsvr32 schmmgmt.dll“(注册架构主控)系统提示注册动态链接库成功。运行中输入MMC,调出管理控制台,单击文件-添加/删除管理单元-添加,将注册的AD架构添加进来,右键AD架构选择操作主机,在弹出的对话窗口中更改主机。

使用命令强占操作主控

打开另一台AD 输入cmd 打开命令提示框 输入“ntdsutil” 在输入“roles” 然和输入?帮助,再输入"connections"链接到一个特定AD 后 "connect to server AD名称 ";返回输入“quit”

注意:此处中"connect to server <servername>",servername一定是目标DC主机

输入"transfer domain naming master",在弹出的对话窗口确认;

依次输入以下命令

Transfer infrastructure master

Transfer PDC

Transfer RID master

Transfer schema master

便完成了五大操作主控的转移,使用“netdom query fsmo”即可查看,在AD站点和服务上,单击AD站点和服务-》sites-》default-first-sites-name-》server,展开服务器,单击NTDS,属性;常规选项卡中,将原有GC的全局编目的勾去掉,在新转移的DC中NTDS常规选项卡中,将全局编目的勾选上,即完成了辅域到主域的转移操作。

夺取的步骤如下所示

打开另一台AD 输入cmd 打开命令提示框 输入“ntdsutil” 在输入“roles” 然和输入?帮助,再输入"connections"链接到一个特定AD 后 "connect to server AD名称 ";返回输入“quit”

再输入"seize schema master"强占操作主控FMSO角色 (弹出确认对话窗)

接下来的四个组控仍按以上方法操作即可!

seizer infrastructure master

seizie PDC

seize RID master

seize schema master

最后,在AD站点和服务上,单击AD站点和服务-》sites-》default-first-sites-name-》servers,展开服务器,单击NTDS,属性;常规选项卡中,将原有GC的全局编目的勾去掉,在新转移的DC中NTDS常规选项卡中,将全局编目的勾选上,即完成了辅域到主域的夺取操作。

清理无用域控

运行--cmd---ntdsutil  

ntdsutil: metadata cleanup   //进入服务器对象清理模式

metadata cleanup: select operation target //进入操作对象选择模式

select operation target: connections  //进入连接模式

server connections: connect to domain adger.com  //连接到域

server connections:quit

select operation target: list sites  //列出当前连接的域中的站点

select operation target: select site 0  //选择站点0

select operation target: List domains in site  /列出站点中的域

select operation target: select domain 0   //选择域0

select operation target: List servers for domain in site //列出所有服务器

select operation target: select server 0  //选择域中的将要删掉服务器(域控)

select operation target: quit

metadata cleanup:Remove selected server

出现对话框,按“确定“删除DC-01主控服务器。

metadata cleanup:quit

ntdsutil: quit