Windows server 2012 利用ntdsutil工具實現AD角色轉移及刪除域控方法

場景1：主域控制器與輔助域控制器運行正常，相互間能夠實現AD複製功能。須要把輔助域控制器提高爲主域控制器 ，把主域控制器降級爲普通成員服務器；這種場景通常應用到原主域控制器進行系統升級（先轉移域角色，再降級，再安裝或升級高版本系統，再次轉移角色恢復到主域控制器角色）或使用配置更高的服務器替代原主域控制器起到主域控制的做用（使用高配置的服務器配置成輔助域控制器，而後把原主域控制器角色轉移到該主機，原主機成爲輔助域控制器，高配置主機成爲主域控制器）

    場景2：輔助域控服務器運行正常，主域控服務器因突發性緊急故障形成Down機且主域沒法正常運行。須要輔助域控服務器強制奪取RID、PDC、Domain、Schema、Naming角色及GC功能成爲新主域控，並強制刪除域中殘留原有主域控信息 ；這種場景通常應用到主域系統或數據損壞沒法正常工做，由輔助域控強制爭奪5種角色提高爲主域控制器，同時刪除殘留原主域控制器信息。原有主域控主機在從新加入域環境時（從新安裝系統後），建議使用不一樣的主機名及ip地址。

 

場景一：

---

環境：主域控制器ds01.bicionline.org ，輔域控制器pdc01.bicionline.org  ， 兩臺域控服務器運行正常，相互間能夠實現AD複製。

目的：主域控服務器把RID、PDC、Domain、Schema、Naming角色及GC功能轉移到輔助域控制器，並降級成普通服務器。

解決思路：經過圖形界面或命令行界面進行角色轉移， 經過服務管理器進行域降級 ，刪除DNS服務器中全部區域內的原有主域控DNS 記錄 ，刪除‘站點與服務’裏原主域控server 。

 

圖形界面操做：

1. 傳遞PDC、RID 、基礎結構角色 ：

   登陸pdc01.bicionline.org 輔助域服務器 ，進入「Active Directory 用戶和計算機 pdc01.bicionline.org」，右擊「bicionline.org」選擇操做主機 ，對3個主機角色進行更改：以下圖 

    

    

2. 傳遞架構主機角色：

   Windwos  server 2012  註冊 regsvr32 schmmgmt  命令，經過mmc查看域架構 。以下圖 

   a、註冊域架構 

    

   b、打開mmc控制檯，添加單元「Active Directory 架構」。

    

   c、右擊「Active Directory 架構 pdc01.bicionline.org」選擇「操做主機」 選項。

    

3. 傳遞域命名操做主機：

   進入「Active Directory 域和信任關係 pdc01.bicionline.org」，右擊選擇操做主機 ，對Naming角色進行更改：以下圖 

    

 

命令行操做：

1. 前面步驟是經過圖形界面進行的操做，另經過ntdsutil 工具方式亦可實現角色轉移 ：步驟以下

   運行-cmd -ntdsutil 回車  #

   技巧： 輸入 ？  ，能夠查看該模式下可輸入的命令行及命令功能註釋 。

   roles 回車             //角色功能選項

   connections 回車    //進入鏈接模式

   connect to server pdc01.bicionline.org  回車   //鏈接pdc01 服務器

   quit  回車                                         //退出 

   transfer  naming master  回車   //將已鏈接服務器定爲命名主機 

   transfer infrastructure master 回車

   transfer PDC 回車

   transfer RID master  回車

   transfer schema master 回車

 

 

場景二：

---

環境 ：主域控制器ds01.bicionline.org ，輔域控制器pdc01.bicionline.org  ，輔助域控服務器運行正常，主域控服務器Down機且沒法恢復。

目的：輔助域控服務器強制奪取RID、PDC、Domain、Schema、Naming角色及GC功能成爲新主域控，並強制刪除域中殘留原有主域控信息 。

解決思路：經過Ntdsutil工具強制奪取5種角色， 並刪除原主域控server ，另刪除DNS服務器中全部區域內的原有主域控DNS 記錄 ，刪除‘站點與服務’裏原主域控server 。

 

解決步驟：

1. 另經過ntdsutil 工具方式亦可實現角色轉移 ：步驟以下

   運行-cmd -ntdsutil 回車  #

   技巧： 輸入 ？  ，能夠查看該模式下可輸入的命令行及命令功能註釋 。

   roles 回車             //角色功能選項

   connections 回車    //進入鏈接模式

   connect to server pdc01.bicionline.org  回車   //鏈接pdc01 服務器

   quit  回車                                         //退出 

   seize  naming master  回車   //在已鏈接的服務器上覆蓋命名主機角色 

   seize infrastructure master 回車

   seize PDC 回車

   seize RID master  回車

   seize schema master 回車

    

2. 清理ds01 server的殘留信息（元數據）

   運行--cmd---ntdsutil 

   metadata cleanup 回車     //進入服務器對象清理模式

   select operation target   回車     //進入操做對象選擇模式

   connections  回車      //進入鏈接模式

   connect to server pdc01  回車  //鏈接到pdc01服務器端

   quit  回車

   list sites   回車 //列出當前鏈接的域中的站點

   select site 0  //選擇站點0

   list domains in site  /列出站點中的域

   select domain 0   //選擇域0

   list servers for domain in site //列出0站點0域內全部服務器

   select server ０  //選擇域中的將要刪掉服務器(域控)

   remove selected server     //刪除選擇的服務器(域控)

    

3. 刪除DNS服務器中每個區域中關於ds01的 DNS 記錄 ，刪除‘站點與服務’裏DS01 server ，並配置pdc01 爲GC （全局編錄） ，這些點容易被忽略，請謹記 。

 

 

 

############################################################################################################################################################################################################

AD中FSMO五大角色的介紹及操做（轉移與抓取）

############################################################################################################################################################################################################

FSMO是Flexible single master operation的縮寫，意思就是靈活單主機操做。營運主機（Operation Masters，又稱爲Flexible Single Master Operation，即FSMO）是被設置爲擔任提供特定角色信息的網域控制站，在每個活動目錄網域中，至少會存在三種營運主機的角色。但對於大型的網絡,整個域森林中,存在5種重要的FSMO角色.並且這些角色都是惟一的。 

　　五大角色：
　　一、 森林級別(一個森林只存在一臺DC有這個角色):

　　(1)、Schema Master(也叫Schema Owner):架構主控

　　(2)、Domain Naming Master:域命名主控

　　二、 域級別(一個域裏面只存一臺DC有這個角色):

　　(1)、PDC Emulator :PDC仿真器

　　(2)、RID Master :RID主控

　　(3)、Infrastructure Master :結構主控

　　對於查詢FSMO主機的方式有不少,本人通常在命令行下,用netdom query fsmo命令查詢.要注意的是本命令須要安裝windows 的Support Tools.

 

　　五種角色主控有什麼做用？
　　一、 Schema Master（架構主控）

　　做用是修改活動目錄的源數據。咱們知道在活動目錄裏存在着各類各樣的對像，好比用戶、計算機、打印機等，這些對像有一系列的屬性，活動目錄自己就是一個數據庫，對象和屬性之間就好像表格同樣存在着對應關係，那麼這些對像和屬性之間的關係是由誰來定義的，就是Schema Master，若是你們部署過Exchange的話，就會知道Schema是能夠被擴展的，但須要你們注意的是，擴展Schema必定是在Schema Master進行擴展的，在其它域控制器上或成員服務器上執行擴展程序，其實是經過網絡把數據傳送到Schema上而後再在Schema Master上進行擴展的，要擴展Schema就必須具備Schema Admins組的權限才能夠。

　　建議:在佔有Schema Master的域控制器上不須要高性能，由於咱們不是常常對Schema進行操做的，除非是常常會對Schema進行擴展，不過這種狀況很是的少，但咱們必須保證可用性，不然在安裝Exchange或LCS之類的軟件時會出錯。

　　二、 Domain Naming Master （域命名主控）

　　這也是一個森林級別的角色，它的主要做用是管理森林中域的添加或者刪除。若是你要在你現有森林中添加一個域或者刪除一個域的話，那麼就必需要和Domain Naming Master進行聯繫，若是Domain Naming Master處於Down機狀態的話，你的添加和刪除操做那上確定會失敗的。

　　建議:對佔有Domain Naming Master的域控制器一樣不須要高性能，我想沒有一個網絡管理員會常常在森林裏添加或者刪除域吧?固然高可用性是有必要的，不然就沒有辦法添加刪除森裏的域了。

　　三、 PDC Emulator （PDC仿真器）

　　在前面已經提過了，Windows 2000域開始，再也不區分PDC仍是BDC，但實際上有些操做則必需要由PDC來完成，那麼這些操做在Windows 2000域裏面怎麼辦呢?那就由PDC Emulator來完成，主要是如下操做:

　　⑴、處理密碼驗證要求;

　　在默認狀況下，Windows 2000域裏的全部DC會每5分鐘複製一次，但有一些狀況是例外的，好比密碼的修改，通常狀況下，一旦密碼被修改，會先被複制到PDC Emulator，而後由PDC Emulator觸發一個即時更新，以保證密碼的實時性，固然，實際上因爲網絡複製也是須要時間的，因此仍是會存在必定的時間差，至於這個時間差是多少，則取決於你的網絡規模和線路狀況。

　　⑵、統一域內的時間;

　　微軟活動目錄是用Kerberos協議來進行身份認證的，在默認狀況下，驗證方與被驗證方之間的時間差不能超過5分鐘，不然會被拒絕經過，微軟這種設計主要是用來防止回放式攻擊。因此在域內的時間必須是統一的，這個統一時間的工做就是由PDC Emulator來完成的。

　　⑶、向域內的NT4 BDC提供複製數據源;

　　對於一些新建的網絡，不大會存在Windows 2000域裏包含NT4的BDC的現象，可是對於一些從NT4升級而來的Windows 2000域卻極可能存有這種狀況，這種狀況下要向NT4 BDC複製，就須要PDC Emulator。

　　⑷、統一修改組策略的模板;

　　⑸、對Windows 2000之前的操做系統，如WIN98之類的計算機提供支持;

　　對於Windows 2000以前的操做系統，它們會認爲本身加入的是NT4域，因此當這些機器加入到Windows 2000域時，它們會嘗試聯繫PDC，而實際上PDC已經不存在了，因此PDC Emulator就會成爲它們的聯繫對象!

　　建議:從上面的介紹裏你們應該看出來了，PDC Emulator是FSMO五種角色裏任務最重的，因此對於佔用PDC Emulator的域控制器要保證高性能和高可用性。

　　四、RID Master （RID主控）

　　在Windows 2000的安全子系統中，用戶的標識不取決於用戶名，雖然咱們在一些權限設置時用的是用戶名，但實際上取決於安全主體SID，因此當兩個用戶的SID同樣的時候，儘管他們的用戶名可能不同，但Windows的安全子系統中會把他們認爲是同一個用戶，這樣就會產生安全問題。而在域內的用戶安全SID=Domain SID+RID，那麼如何避免這種狀況?這就須要用到RID Master，RID Master的做用是:分配可用RID池給域內的DC和防止安全主體的SID重複。

　　建議:對於佔有RID Master的域控制器，其實也沒有必要必定要求高性能，由於咱們不多會常常性的利用批處理或腳本向活動目錄添加大量的用戶。這個請你們視實際狀況而定了，固然高可用性是必不可少的，不然就沒有辦法添加用戶了。

　　五、 Infrastructure Master （結構主控）

　　FSMO的五種角色中最可有可無的可能就是這個角色了，它的主要做用就是用來更新組的成員列表，由於在活動目錄中頗有可能有一些用戶從一個OU轉移到另一個OU，那麼用戶的DN名就發生變化，這時其它域對於這個用戶引用也要發生變化。這種變化就是由Infrastructure Master來完成的。

　　建議:其實在活動目錄森林裏僅僅只有一個域或者森林裏全部的域控制器都是GC(全局編錄)的狀況下，Infrastructure Master根本不起做用，因此通常狀況下對於佔有Infrastructure Master的域控制器往忽略性能和可能性。

 

　　在FSMO的規劃時，請你們按如下原則進行:

　　一、佔有Domain Naming Master角色的域控制器必須同時也是GC;

　　二、不能把Infrastructure Master和GC放在同一臺DC上;

　　三、建議將Schema Master和Domain Naming Master放在森林根域的GC服務器上;

　　四、建議將Schema Master和Domain Naming Master放在同一臺域控制器上;

　　五、建議將PDC Emulator、RID Master及Infrastructure Master放在同一臺性能較好的域控制器上;

　　六、儘可能不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服務器上;

 

－－以上內容參考自百度百科：
http://baike.baidu.com/view/1623435.htm

——————————————————————————————————————————————————

 

對FSMO角色的操做，即更改角色的操做主機（傳送或抓取，抓取也叫佔用）　　
　　咱們在安裝完第一臺主DC後，必定會再安裝第二臺DC作爲額外DC，以保持其域的安全可靠。從額外DC角色轉換爲主DC角色能夠有二種方法——通用FSMO的傳送或抓取來實現。

 

１、傳送：當主DC工做正常，但出於某些緣由要將其上的FSMO角色主機傳到其它額外DC上時可使用「傳送」方式。

２、抓取：當主DC工做出現嚴重故障，AD工做不正常時，如：操做系統故障且AD沒法修復，亦或是硬件問題不能開機等緣由，這時咱們能夠用「抓取」方式。

 

　　1、傳送（使用圖形化界面操做）
　　１、除Schema Master(也叫Schema Owner):架構主控 外，其它四個角色主控均可以經過下面這個方式進行操做：

１）打開服務器管理器，找到 [角色] --> [Active Directory 域服務] ，而後右建點擊 [Active Directory 用戶和計算機] 
在 [全部任務] 中，先選擇 [更改域控制器] （此步驟是讓此DC計算機直接鏈接到另外一臺額外DC計算機上的主控）

 

 

２）選擇要傳送的DC（聯機的即爲當前是主控角色）

 

 

３）以後再回到第一步，從新找到 [角色] --> [Active Directory 域服務] ，而後右建點擊 [Active Directory 用戶和計算機] 
在 [全部任務] 中，先選擇 [操做主機] 。而後單擊 [更改] 就能夠將此角色主控傳送到剛纔選擇的額外DC上去。
注：在這裏，域級別的三個角色主控RID、PDC、Infrastructure Master都在這裏操做。 另外一個域林級別的Domain Naming Master:域命名主控則須要在[角色] --> [Active Directory 站點和服務] 中右鍵單擊進行操做，操做方式與這裏同樣。

 

 

　　２、架構主控的傳送操做有一點點麻煩，由於微軟爲了安全考慮並無默認安裝架構主控的管理單元。因此咱們要本身手動安裝並在MMC中添加一下。方法以下：

１）用管理員身份運行CMD（必定要管理員身份哦！否則下面註冊時會報錯）

 

 

２）在命令行中輸入：regsvr32 schmmgmt.dll

而後回車！

 

 

３）在命令窗口輸入：mmc

回車後會彈出 [控制檯] 窗口

 

 

４）在管理臺中，點擊 [文件] --> [添加/刪除管理單元]

 

 

５）在添加或刪除管理單元中找到剛纔註冊的 [Active Directory 架構] 單元，而後點 [添加]，以後肯定

 

 

６）仍是和前面同樣，在架構單元上點右鍵，先要選擇 [更改Active Directory 域控制器] ，將管理的單元直接切換到另外一個將要傳送角色的額外DC上，以後再點擊 [操做主機]

 

 

７）在彈出的窗口中點擊更改，就能夠將架構主控從DC傳送到DC2上。

 

 

 

　　到此，主控上的五大主控都傳送到另外一臺額外DC上去了。這時額外DC就成了真正意義上的主控DC，而原主控DC剛成了額外了。（注意，windows2003開始，已經沒有主和副的概念了，只有主DC和額外DC，全部DC都是平等的，誰擔任了這五大FSMO主控角色誰就是主DC）。以後，能夠把用戶的DNS指向新的這臺DC（已有DNS服務）。或將原主控DC下線，把新的DC改IP爲原主DC（不推薦改新DC主機的IP方式，這樣作存在一些可可見的風險）

 

　　2、抓取，也叫佔用（抓取只能使用命令行工具，傳送也能夠用命令行方式）
1 ntdsutil   　　　　　　　　　進入ntds工具提示符
2 roles  　　　　　　　　　 　調整操做主機角色
3 connections  　　　　　　　 進入鏈接模式
4 connect to server "DC名"  　 鏈接到可用DC上
5 quit                                      返回上層菜單
6 transfer pdc                        （或其餘） 進行轉移或抓取
7 quit 退出

 

 

第6步的命令能夠改成如下：
－抓取角色命令－

佔用 RID 主機角色
seize RID master

佔用 PDC 模擬器角色
seize PDC

佔用結構主機角色
seize infrastructure master

佔用域命名主機角色
seize domain naming master

佔用架構主機角色
seize schema master

 

－傳送角色命令－

轉移 RID 主機角色
transfer RID master

轉移 PDC 模擬器角色
transfer PDC

轉移結構主機角色
transfer infrastructure master

轉移域命名主機角色
transfer domain naming master

轉移架構主機角色transfer schema master