FSMO角色的Windows界面查看和轉移示例

如下內容摘自全國惟一一套全實戰，獲得無數讀者充分承認的《金牌網管師》系列中的《金牌網管師——大中型企業網絡組建、配置與管理》一書。

 1.3.1 FSMO角色的Windows界面查看和轉移示例

利用Windows管理工具控制檯界面能夠完成以上所介紹的全部五種操做主機角色的查看和轉移，但不一樣角色須要在不一樣的管理單元控制檯中進行。

建議在如下狀況下轉移FSMO角色：

l 當前角色擔任者能夠運行，而且新的 FSMO 全部者能夠經過網絡訪問它。也就是在當前角色擔當者不能正常工做時，不能採用角色轉移方法，也不能轉移成功。

l 正在正常降級一臺域控制器，它目前正擔任着Active Directory林中某個特定域控制器的某個FSMO角色。

l 因爲要進行按期維護，須要使目前擔任FSMO角色的域控制器脫機，而且須要將該主機當前所提示的特定FSMO角色分配給一臺「活動的」域控制器主機。對於PDC仿真器角色來講，尤爲如此；但對於RID主機角色、域命名主機角色和架構主機角色來講，則不盡然，由於這些主機角色的工做負擔比較輕，通常不多須要作按期維護。

1. 林級別的操做主機角色查看與轉移

經過前面的介紹咱們知道，林級別有兩種操做主機角色：架構主機和域命名主機。但查看和轉移它們所用的管理單元控制檯是不一樣的。架構主機角色的查看和轉移必須在「Active Directory架構」管理單元控制檯中進行；而域命名主機角色的查看和轉移必須在「Active Directory域和信任關係」管理單元控制檯中進行。

l 架構主機角色的查看和轉移

架色主機 角色的轉移必須在林當前架構主機所在的根域域控制器（能夠是額外域控制器）的「Active Directory架構」管理單元控制檯上進行操做，不能在子域域控制器上進行（當前林中的架構主機角色能夠在林中任何域控制器上進行查看）。但在Windows 2000 Server和Windows Server 2003域中，「Active Directory架構」管理單元默認是沒有註冊的，在控制檯中不能直接調用。

在本實驗中，林中根域的第一臺域控器爲lycb-DC1.lycb.local，它默認是集林級別下的架構主機、域命名主機角色，以及林根域lycb.local的RID主機、PDC仿真器主機和基礎結構主機三種域級別主機角色。下面以把林級別架構主機角色轉移到林根域lycb.local的lycb-DC2額外域控制器爲例介紹架構主機角色的查看和轉移方法。

【注意】利用Windows控制檯界面方法轉移任何主機角色時，都必須保證相應角色的源操做主機和目標操做主機域控制器當前已開啓且正常工做，不然轉移不會成功。

（1）在執行架構主機角色轉移的林根域域控制器上（若是是僅查看架構主機角色，則能夠林中任何域的域控制器上，本示例以lycb-DC1上操做爲例進行介紹）的「運行」窗口中輸入「regsvr32 schmmgmt.dll」命令註冊「Active Directory架構」管理單元。註冊成功後會彈出如圖1-24所示提示。

圖1-24 「Active Directory架構」管理單元註冊成功提示框

（2）在「運行」窗口中輸入「mmc」命令，打開一個新的控制檯窗口，如圖1-25所示。

（3）執行【文件】→【添加/刪除管理單元】菜單操做，打開如圖1-26所示對話框。

（4）單擊「添加」按鈕，打開如圖1-27所示對話框。

（5）選擇「Active Directory架構」選項（若是不先進行第1步的「Active Directory架構」管理單元註冊操做，則在此看不到此管理單元），而後單擊「添加」按鈕，把「Active Directory架構」管理單元添加到如圖1-26所示的管理單元列表中。

（6）單擊「關閉」按鈕返回到如圖1-26所示對話框。而後單擊「肯定」按鈕返回到如圖1-25所示控制檯窗口。此時已添加了「Active Directory架構」管理單元，如圖1-28所示。

圖1-25 新的控制檯窗口

圖1-26 「添加/刪除管理單元」對話框「獨立」選項卡 圖1-27 「添加獨立管理單元」對話框

圖1-28 添加了「Active Directory架構」管理單元的控制檯窗口

（7）在「Active Directory架構」節點上單擊右鍵，在彈出菜單中選擇「更改域控制器」選項，打開如圖1-29所示對話框。選擇「指定名稱」單選項，而後在後面的文本框中輸入要把架構主機角色轉移到的域控制器的DNS完整合格域名——lycb-DC2.lycb.local。而後單擊「肯定」按鈕返回到圖1-28所示「Active Directory架構」控制檯窗口把當前鏈接的域控制器指向了lycb-DC2。默認鏈接的是當前域控制器。固然必需要先保證lycb-DC2域控制器當前處於正常工做狀態。

（8）再在圖1-28所示控制檯窗口的「Active Directory架構」節點上單擊右鍵，在彈出菜單中選擇「操做主機」選項，打開如圖1-30所示對話框。在其中顯示了當前架構主機所在的域控制器，以及要轉移後的架構主機所在域控制器。

【說明】若是是在子域控制器上進行上述操做，打開的如圖1-30所示對話框中，「更改」按鈕呈灰色顯示，不可操做。說明在子域中不能對林級別主機角色進行更改。

圖1-29 「改變域控制器」對話框 圖1-30 「更改架構主機」對話框

（9）在確保源操做主機（也就是當前當前擔當某角色的主機）和目標操做主機（也就是要把某角色轉移到的主機）當前都處於正常工做狀態時，單擊「更改」按鈕，彈出如圖1-31所示警告提示框。要求再次確認是否要轉移架構主機角色。單擊「是」按鈕，即開始轉移架構主機角色。成功後顯示如圖1-32所示成功提示框。

【注意】要轉移主機角色，必須先先執行第7步操做，不然若是直接進行第八、第9步的主機角色更改操做，則系統會彈出如圖1-33所示錯誤提示框。指出當前域控制器已爲該操做主機角色，要更改成其餘域控制器，須要先將「Active Directory架構」指向該域控制器。

圖1-31 架構主機轉移確認警告提示框 圖1-32 架構主機轉移成功提示框

圖1-33 在沒有更改當前鏈接域控制器狀況下進行主機角色更改時的錯誤提示

【經驗之談】在進行包括架 構主機角色，或者域命名角色或者三種域級別操做主機角色轉移時（在轉移域級別操做主機角色時也可能會出現），每每會出現如圖1-34所示錯誤提示，說「不能鏈接當前的FSMO盒」。這是由於源或者目標角色主機當前沒有處於正常工做狀態，或者當前進行角色轉移操做的域控制器不能與源，或者目標角色主機角色創建通訊聯繫所致。若是確認都正常工做，則建議按照域控制器的安裝順序重啓源和目標域控制器，通常均可以解決這一問題。有時也多是在FSMO角色轉移命令輸入中的域控制器的DNS名稱輸入錯誤所致，輸入時必定要仔細檢查。注意輸入的是目標域控制器的完整合格的DNS名稱，而不是NetBIOS名稱。

圖1-34 林級別主機角色轉移時常見的一種故障提示框

l 域命名主機角色的查看與轉移

與架構主機角色同樣，域命名主機角色也是林級別的，域命名主機角色的轉移也須要在林根域中的域控制器上進行操做，不能在子域域控制器上進行操做（若是僅是查看，則能夠）。與架構主機角色查看和轉移不一樣的是，域命名主機角色的查看和轉移是在林根域域控制器的「Active Directory域和信任關係」管理單元控制檯中進行，而不是在「Active Directory架構」管理單元上進行。

由於通常來講，建議架構主機與域命名主機這兩種角色最好是在同一臺林根域域控制器之上，前面咱們已把架構主機角色從lycb-DC1轉移到了lycb-DC2上，因此在此也把域命名主機角色從lycb-DC1轉移到了lycb-DC2域控制器上。能夠在林根域的任何域控制器上進行操做，在此就以在命名主機當前所在的lycb-DC1域控制器上操做爲例進行介紹。

（1）在林根域主域控制器lycb-DC1上執行【開始】→【管理工具】→【Active Directory域和信任關係】菜單操做，打開如圖1-35所示「Active Directory域和信任關係」管理單元控制檯窗口。

圖1-35 「Active Directory域和信任關係」管理單元控制檯窗口

（2）在「Active Directory域和信任關係」節點上單擊右鍵，在彈出菜單中選擇「鏈接到域控制器」選項，打開如圖1-36所示對話框。在下面「輸入另外一個域控制器名稱」的文本框中輸入，或者在下面的「或者選擇一個可用的域控制器」列表中選擇要把域命名主機角色轉移到的域控制器完整域名——lycb-DC2.lycb.local。而後單擊「肯定」按鈕返回到圖1-35所示「Active Directory域和信任關係」控制檯窗口把當前鏈接的域控制器指向了lycb-DC2（默認鏈接的是當前域控制器）。固然也必需要先保證lycb-DC2域控制器處於正常工做狀態。

若是目標域控制器lycb-DC2.lycb.local當前沒有開啓，或者工做不正常，在鏈接時都會彈出如圖1-37所示錯誤提示框。因此在轉移角色時，目標域控制器必須開啓且正常工做。

（3）再在「Active Directory域和信任關係」節點上單擊右鍵，在彈出菜單中選擇「操做主機」選項，打開如圖1-38所示對話框。在其中能夠查看到域命名主機角色當前所在的域控制器完整合格爲lycb-DC1.lycb.local，而如今要把域命名角色轉移到的域控制器完整合格是lycb-DC2.lycb.local。

（4）在確保源操做主機和目標操做主機當前都處於正常工做狀態時，單擊「更改」按鈕，系統首先彈出如圖1-39所示確認對話框，詢問是否真的要把域命名主機角色轉移到其餘域控制器上。單擊「是」按鈕，若是轉移成功，會彈出如圖1-40所示提示框。單擊「肯定」按鈕即完成域命名主機角色的轉移。若是彈出的是如圖1-34所示錯誤提示框，則仍按照上節介紹的方法進行排除。

圖1-36 「鏈接到域控制器」對話框 圖1-37 當鏈接沒有開啓或者不正常工做的目標域控制器時出現的錯誤提示框

圖1-38 「更改操做主機」對話框 圖1-39 域命名角色轉移確認提示框

圖1-40 域命名主機成功轉移提示框

2. 域級別操做主機角色的查看和轉移

上面介紹的是兩種林級別操做主機角色（包括架構主機角色和域命名主機角色兩種）Windows控制檯界面的查看和轉移方法，下面介紹域級別操做主機角色（包括RID主機角色、PDC仿真器主機角色和基礎結構主機角色三種）的Windows控制檯界面的查看和轉移方法。

與林級別的兩種操做主機要分別在兩種不一樣管理單元控制檯中進行操做不一樣，域級別操做主機角色的查看和轉移都是在對應域或者子域下的域控制器「Active Directory用戶和計算機」（ADUC）管理單元上進行操做，更加方便。對於信任域（有關域的信任關係將在本書第3章具體介紹），能夠在任意信任域進行角色轉移操做（須要事先在ADUC管理單元控制檯中進行「鏈接到域」操做），但也只能把角色轉移到相同域下的域控制器上。

下面仍以本實驗中的lycb.local根域下的主機角色查看和轉移爲例進行介紹，由於本實驗中兩個子域下各只有一臺域控制器，沒法把主機角色轉移到其餘域控制器上。固然，若是子域中也有多臺域控制器，一樣能夠在對應子域的域控制器上進行角色查看和轉移。

域級別的三種操做主機角色默認都集中在相應域的第一臺域控制器上。如本實驗中的lycb.local根域的三種域級別操做主機角色默認都集中在第一臺域控制器lycb-DC1上。現假設要把RID主機角色轉移到lycb-DC2域控制器上，而要把PDC仿真器主機和基礎結構主機角色都轉移到lycb-DC3域控制器上。下面是具體的轉移方法（假設是在lycb-DC1域控制器上進行操做，但能夠在對應域的任意域控制器上操做）。

（1）在lycb-DC1域控制器上執行【開始】→【管理單元】→【Active Directory用戶和計算機】菜單操做，打開如圖1-41所示ADUC管理單元控制檯窗口。

圖1-41 「Active Directory用戶和計算機」控制檯窗口

（2）先來轉移RID主機角色。在lycb.local域上單擊右鍵，在彈出菜單中選擇「鏈接到域控制器」選項，打開如圖1-36同樣的對話框。在下面「輸入另外一個域控制器名稱」的文本框中輸入，或者在下面的「或者選擇一個可用的域控制器」列表中選擇要把RID主機角色轉移到的域控制器完整域名——lycb-DC2.lycb.local。而後單擊「肯定」按鈕返回到圖1-41所示「Active Directory用戶和計算機」控制檯窗口把當前鏈接的域控制器指向了lycb-DC2（默認鏈接的是當前域控制器）。固然首先要確保lycb-DC2當前正在正常工做之中，不然會彈出如圖1-37所示錯誤提示框。

（3）再在「Active Directory用戶和計算機」控制檯窗口的lycb.local節點上單擊右鍵，在彈出菜單中選擇「操做主機」選項，打開如圖1-42所示對話框。在其中顯示了三種域級別操做主機角色查看和轉移所用的RID、PDC仿真器和基礎結構三個選項卡。因而可知三種主機角色轉移操做均可以在此集中進行操做，而沒必要分開在不一樣管理單元進行。從中能夠看出，當前，lycb.local的RID操做主機角色是位於lycb-DC1域控制器上，而當前能夠轉移到的域控制器都是lycb-DC2域控制器，由於在上一步已把ADUC控制檯鏈接到了lycb-DC2域控制器上。

（4）按照實驗要求，先把RID主機角色轉移到lycb-DC2域控制器上，固然事先必須確保RID源操做主機lycb-DC1和目標RID操做主機lycb-DC2域控制器已開啓且處於正常工做狀態。在圖1-42所示對話框中單擊「更改」按鈕，系統會彈出如圖1-43所示主機角色轉移確認提示框。單擊「是」按鈕便可完成把RID主機角色從lycb-DC1域控制器轉移到lycb-DC2域控制器上。成功後會彈出如圖1-44所示提示框。

（5）再按照實驗要求，把PDC仿真器主機角色和基礎結構主機角色從lycb-DC1域控制器上轉移到lycb-DC3上（一樣要求當前這兩種角色之前所在主機lycb-DC1和目標主機lycb-DC3都處於正常工做狀態）。在如圖1-42所法ADUC控制lycb.local域名上單擊右鍵，在彈出菜單中選擇「鏈接到域控制器」選項，一樣打開如圖1-36同樣的對話框。此時要輸入或者選擇lycb-DC3域控制器，使ADUC鏈接到lycb-DC3域控制器。

（6）再在「Active Directory用戶和計算機」控制檯窗口的lycb.local節點上單擊右鍵，在彈出菜單中選擇「操做主機」選項，在打開的對話框中選擇「PDC」選項卡，如圖1-45所示。從中能夠看出，當前，lycb.local的PDC仿真器主機角色是位於lycb-DC1域控制器上，而當前能夠轉移到的域控制器都是lycb-DC3域控制器，由於在上一步已把ADUC控制檯鏈接到了lycb-DC3域控制器上。

圖1-42 「操做主機」對話框「RID」選項卡 圖1-43操做主機轉移確認提示框

圖1-44 操做主機角色成功轉移提示框 圖1-45「操做主機」對話框「PDC」選項卡

（7）在確保源操做主機和目標操做主機當前都處於正常工做狀態時，單擊「更改」按鈕，系統會彈出如圖1-43所示主機角色轉移確認提示框。單擊「是」按鈕便可完成把PDC仿真器主機角色從lycb-DC1域控制器轉移到lycb-DC3域控制器上。成功後也會彈出如圖1-44所示提示框。

（8）在如圖1-45所示對話框中選擇「結構」選項卡，如圖1-46所示。從中能夠看出，當前，lycb.local的基礎結構主機角色是位於lycb-DC1域控制器上，而當前能夠轉移到的域控制器都是lycb-DC3域控制器，由於在第5步已把ADUC控制檯鏈接到了lycb-DC3域控制器上。固然首先要確保lycb-DC2當前正在正常工做之中。

（9）在確保源操做主機和目標操做主機當前都處於正常工做狀態時，單擊「更改」按鈕，系統會彈出如圖1-43所示主機角色轉移確認提示框。單擊「是」按鈕便可完成把基礎結構主機角色從lycb-DC1域控制器轉移到lycb-DC3域控制器上。成功後也會彈出如圖1-44所示提示框。而後單擊圖1-46所示「結構」選項卡的「關閉」按鈕關閉對話框，完成了實驗中要求的全部三種域級別主機角色的查看和轉移操做。

圖1-46 「操做主機」對話框「結構」選項卡

【經驗之談】在信任域之間（如父域與子域之間，在Windows Server 2003域網絡中默認是相互信任的），能夠經過在「Active Directory用戶和計算機」管理單元控制檯（ADUC）中執行「鏈接到域」操做，實現跨域的操做主機角色轉移。如如今如圖1-41所示的lycb-DC1上的ADUC控制「Active Directory用戶和計算機」根節點或者lycb.local域名上單擊右鍵，在彈出菜單中選擇「鏈接到域控制器」選項，打開如圖1-47所示對話框。在其中輸入信任域的域名，如本實驗中的BeiJing.lycb.local子域。單擊「肯定」按鈕後便可顯示如圖1-48所示的BeiJing.lycb.local子域的ADUC。在其中的BeiJing.lycb.local子域上單擊右鍵，依次按照前面域級別操做主機角色轉移方法中介紹的，在彈出菜單中選擇「更改域控制器」和「操做主機」選項，則可在父域lycb.local的lycb-DC1域控制器上進行子域級別域級別操做主機角色的轉移。固然，必需要先確保要轉移的主機角色的BeiJing.lycb.local子域上的源和目標主機都處於正常工做狀態。

圖1-47 「鏈接到域」對話框

圖1-48 更改域後的ADUC