FSMO五大角色轉移的3種方法

在域控制器的系統升級或災難恢復過程當中，涉及到五種FSMO角色，即：結構主機、PDC模擬器、RID主機、域命名主機和架構主機。對這五種角色的成功操做與否，將直接影響域控制器的升級或災難恢復的成敗。

說明：本實驗中使用的2臺DC分別是AD和AD-FSMO，AD在進行遷移前作了快照。

1.一鍵奪取FSMO 5大角色

首先來看這臺即將被奪取FSMO角色的AD，IP地址爲192.168.1.1/24，網關：192.168.1.2

域中有一臺客戶端計算機Client，用於測試在域控AD掛掉且轉移FSMO後測試Client是否仍可正常工做

可寫域控制器能夠看到只有一臺AD，以下所示

本次測試用到的域用戶是Lelon

接下來再準備一臺DC，我這裏是AD-FSMO，用來將原AD上的FSMO角色遷移到該DC上，具體配置以下所示，注意DNS要指向原AD的DNS，我這裏AD和DNS位於同一臺服務器上

安裝AD和DNS角色，下一步

提示安裝成功，點擊「將此服務器提高爲域控制器」

選中「將域控制器添加到現有域」，下一步

勾選「全局編錄（GC）」，選擇站點名稱，輸入DSRM密碼，下一步

下一步

下一步

點擊「安裝」

提示此服務器已成功配置爲域控制器，點擊「關閉」

能夠看到域中的計算機賬戶已經順利同步到了新安裝的域控AD-FSMO上

域控制器AD-FSMO也是GC

域用戶Lelon也已經同步過來了

如今模擬域控制器AD掛掉，將其關機

此時登陸到AD站點和服務，展開對應站點「陝西」下的Servers文件夾，選中並展開模擬掛掉的AD，右擊刪除掉「NTDS Settings」（說明：深圳站點對應的是RODC）

點擊「是」

點擊「刪除」

點擊「是」

此時，會提示「選定的服務器當前擔當一個或多個FSMO主機角色，爲了繼續進行刪除操做，必須將這些角色移動到新服務器上」，此時能夠先不點擊「肯定」，以管理員身份打開命令提示符，輸入命令：netdom query fsmo ，能夠看到點擊肯定以前FSMO角色還在已經掛掉的域控AD上

當點擊「肯定」後，再次進行FSMO角色查詢，能夠看到FSMO的五個角色已經被成功轉移到了新安裝的域控制器AD-FSMO上了

登陸AD用戶和計算機，刪除掉原有域控AD

登陸到Client，變動Client DNS服務器，同時咱們在進行ping原有AD，提示目標主機不可達

本實驗已經完成

2.利用圖形界面奪取FSMO 5大角色

說明：此時實驗用到2臺DC分別是AD和AD-fsmo1，AD我使用上個實驗前建立的快照。

一樣，須要新安裝一臺域控制器AD-fsmo1，並將其加入到現有域中

勾選「域名系統（DNS）服務器和全局編錄（GC）」，選擇站點名稱，並輸入DSRM密碼，下一步

採用默認，下一步

提示，此服務器已成功配置爲域控制器

此時能夠看到域控制器只有3臺AD、AD-FSMO1和RODC，RODC本次實驗不用。查詢FSMO角色能夠看到5大角色均位於AD域控制器上

以命令dsa.msc打開AD用戶和計算機，右擊「Corp.sxleilong.com」域，選擇「操做主機」

點擊「更改」，此時會報以下所示錯誤

右擊「Corp.sxleilong.com」，選擇「更改域控制器」

選中「此域控制器或AD LDS實例」，選中「AD-fsmo1」，點擊「肯定」

此時，再次點擊「更改」，未見報錯，點擊「是」，注意咱們此時是在RID選項卡，故轉移的僅僅是RID角色

提示已經成功傳送了操做主機角色

同理進行PDC主機角色傳送

還有基礎結構主機角色傳送

以命令domain.msc打開AD域和信任關係，右擊AD域和信任關係，選擇「操做主機」

傳送域命名操做主機角色

以管理員身份打開命令提示符窗口，查詢FSMO 5大角色遷移情況，能夠看到只剩下架構主機角色未遷移。接下來進行架構主機角色遷移。

在遷移前須要首先註冊schmmgmt.dll，輸入命令：regsvr32 schmmgmt.dll，回車後提示註冊成功

運行窗口中輸入mmc並回車，打開控制檯1，選擇「文件」下拉菜單中的「添加或刪除管理單元」，選中「Active Directory架構」點擊「添加」

選中剛添加的AD架構，並右擊，選擇「操做主機」

點擊「更改」，提示傳送成功

再次進行FSMO角色查詢，能夠看到5大角色已經所有傳送到AD-fsmo1域控制器上了

本實驗結束

3.利用命令再奪回FSMO 5大角色

以管理員身份打開命令提示符窗口，輸入：ntdsutil，回車，而後再輸入：？，能夠查看該工具的具體命令（此時fsmo 5大角色位於AD-fsmo1上，咱們將其奪回到原有AD上）

輸入：roles，進入fsmo維護模式，再次輸入：？，能夠查看維護命令。

說明：Seize奪取，即在主AD已經掛了狀況下，輔助AD強制奪取5大角色。Transfer傳送，是在原主AD未掛的狀況下，傳送5大角色到輔助AD，適合AD升級。

輸入命令：connections回車後，再輸入命令：connect to server ad，當綁定到ad時，退出服務器鏈接進入fsmo維護模式，再次打問號：？查看都有哪些命令可使用。接下來進行主機角色傳遞，Transfer infrastructure master （傳送基礎結構主機）

同種方式進行傳送餘下的幾個主機角色

接下來須要退出fsmo維護模式，進行fsmo 5種角色的查詢。能夠看到5種角色主機已經成功傳送到原有域控制器AD上

實驗結束。