转移域控角色的两种方式

转移域控角色的两种方式.txt 每个女孩都曾是无泪的天使，当遇到自己喜欢的男孩时，便会流泪一一，于是坠落凡间变为女孩，所以，男孩一定不要辜负女孩，因为女孩为你放弃整个天堂。朋友, 别哭, 今夜我如昙花

转移域控角色的两种方式.txt 每个女孩都曾是无泪的天使，当遇到自己喜欢的男孩时，便会流泪一一，于是坠落凡间变为女孩，所以，男孩一定不要辜负女孩，因为女孩为你放弃整个天堂。朋友, 别哭, 今夜我如昙花绽放在最美的瞬间凋谢, 你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式

当网域崩溃后或者我们买了新服务器，需要将新机器作为主域控制器那么我们需要转移角色，在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域 控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方 式，5 大角色相信地球人都知道，HOHO.

PS:转移角色需要注意的是：额外域设置为 GC，这样才能将额外域升级为主域，设置 GC 方法如下： 打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称，找到额外域服务器，双击打开服务器，下面有个 NTDS Settings 右键单击属性，在弹出的属性页面勾选“全

局编录”然后确定就 OKl 了，等待 5-10 分钟整个网域复写完成刚才的动作。

PS:部分步骤来源于网络, 此文为综合以及描述注意点

一. 使用图形化界面 MMC 来转移域控角色

一. 转移架构主机角色

使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册 Schmmgmt.dll

文件，然后才能使用此管理单元。 注册 Schmmgmt.dll

单击开始，然后单击运行。在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

收到操作成功的消息时，单击确定。

1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击“添加/删除管理单元”。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

7. 在控制台树中，右键单击 Active Directory 架构，然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色，然后单击关闭。

二. 转移域命名主机角色

1. 单击开始，指向管理工具，然后单击“Active Directory 域和信任关系”。

2. 右键单击“Active Directory 域和信任关系”，然后单击“连接到域控制器”。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在“输入其他域控制器名称”框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

- “或者，选择一个可用的域控制器”列表中，单击将成为新角色持有者的域控制器，然后单击确定。

4. 在控制台树中，右键单击“Active Directory 域和信任关系”，然后单击操作主机。

5. 单击更改。

6. 单击确定以确认您要转移该角色，然后单击关闭。

三. 转移 RID 主机角色、PDC 模拟器角色和结构主机角色

1. 单击开始，指向管理工具，然后单击“Active Directory 用户和计算机”。

2. 右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在“输入其他域控制器名称”框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

“或者，选择一个可用的域控制器”列表中，单击将成为新角色持有者的域控制器，然后单击确定。

4. 在控制台树中，右键单击“Active Directory 用户和计算机”，指向所有任务，然后单

击操作主机。

5. 单击要转移角色（RID 、PDC 或 结构）的相应选项卡，然后单击更改。

6. 单击确定以确认您要转移该角色，然后单击关闭

二. 使用 ntdsutil 工具转移域控角色和清除不存在的域控制器

1． 用 ntdsutil 来清除无效的 DC 信息

假如你的备份域为 abc.mstc.com 主域为 ctu.mstc.com,现在备份域坏了。那么你在装有 super tools 的主控域上执行如下命令：

C:>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服务器的对象

metadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文

select operation target: connections - 连接到一个特定域控制器

server connections: connect to server ctu.mstc.com --绑定到 ctu.

用本登录的用户的凭证连接 ctu。

server connections: quit - 返回上一层目录

select operation target: list site - 在企业中列出站点(找到 1 个站点，标识为 0)

找到 1 站点

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com select operation target: select site 0 - 将标识为 0 的站点定为所选站点

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

没有当前域 没有当前服务器 当前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域 找到 1 域

0 - DC= mstc,DC=com

select operation target: select domain 0 - 将标识为 0 的域定为所选域

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

域 - DC= mstc,DC=com 没有当前服务器 当前的命名上下文

select operation target: list servers for domain in site - 列出所选域和站点中的服务 器(找到两个：0-abc.mstc.com ；1-ctu. mstc.com)

找到 2 服务器

0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

select operation target: select server 0 - 将标识为 0 的服务器（abc ）定为所选服务器

——也就是要删除的 DC

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

域 - DC= mstc,DC=com

服务器 -

CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

DSA 对象 - CN=NTDS

Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主机名称 - abc.mstc.com

计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com

当前的命名上下文

select operation target: quit - 返回上一层目录

metadata cleanup: remove select server - 从所选服务器上删除 DS 对象在弹出的对话提示框上选择“是”，

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com”删除了，从服务器“ctu”

现在，abc.mstc.com 这个 Dc 对象就在你的 AD 里消失了.

2．用 ntdsutil 来转移 fsmo 五种角色。

当您运行 Dcpromo.exe 程序并安装 AD 时，将向目录林中的第一个域控制器授予五个 FSMO 角 色。其中有两个 FSMO 角色是目录林范围的，另外三个是域范围的。如果创建了子域，两个目录林范

围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO；其中两个是目录林范围的角色，每 个域各有三个特定于域的 FSMO 角色。这五个角色是 schema master-架构主机，Domain naming

master-域命名主机，Rid master-rid 主机，pdc master-pdc 防真器，Infrastructure Master-结构 主机。想要把这几种角色移动到另一台计算机上有 2 种方法，一种是转移，但必须 2 台计算机处于正 常运行状态。如果有其中某台处于离线状态只能用第二种方法，使用 ntdsutil 工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上，请在装有 support tools 工具新的域控或备份 域控上执行如下命令：首先在 CMD 下运行

netdom query /d:域名 fsmo

查看一下当前哪些角色在哪台服务器上， 然后在 CMD 下运行

"ntdsutil" 如果不知道命令怎么写，可以输入？得到帮助提示，

"roles"

"connections"

"connect to server 服务器名" 绑定一台当前在线的 DC 当连接成功后输入 q 退出回到上一层（roles ）准备做角色迁移

"Seize schema master"

"Seize domain naming master"

"Seize RID master"

"Seize PDC"

"Seize infrastructure master"

以上五个命令，分别用作迁移上面所提到的 5 个角色到我们之前绑定的服务器上。 完成后再次回到 CMD 下执行"netdom query /d:域名 fsmo"，检查角色是否已被迁移

在“常规”选项卡上，找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。

3．对 AD 数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明, 所以在这里我只稍微重复一下, 再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作, 一旦出错将是灾难性的.