Windows server 2012 利用ntdsutil工具实现AD角色转移及删除域控方法

场景1：主域控制器与辅助域控制器运行正常，相互间能够实现AD复制功能。须要把辅助域控制器提高为主域控制器 ，把主域控制器降级为普通成员服务器；这种场景通常应用到原主域控制器进行系统升级（先转移域角色，再降级，再安装或升级高版本系统，再次转移角色恢复到主域控制器角色）或使用配置更高的服务器替代原主域控制器起到主域控制的做用（使用高配置的服务器配置成辅助域控制器，而后把原主域控制器角色转移到该主机，原主机成为辅助域控制器，高配置主机成为主域控制器）

    场景2：辅助域控服务器运行正常，主域控服务器因突发性紧急故障形成Down机且主域没法正常运行。须要辅助域控服务器强制夺取RID、PDC、Domain、Schema、Naming角色及GC功能成为新主域控，并强制删除域中残留原有主域控信息 ；这种场景通常应用到主域系统或数据损坏没法正常工做，由辅助域控强制争夺5种角色提高为主域控制器，同时删除残留原主域控制器信息。原有主域控主机在从新加入域环境时（从新安装系统后），建议使用不一样的主机名及ip地址。

 

场景一：

---

环境：主域控制器ds01.bicionline.org ，辅域控制器pdc01.bicionline.org  ， 两台域控服务器运行正常，相互间能够实现AD复制。

目的：主域控服务器把RID、PDC、Domain、Schema、Naming角色及GC功能转移到辅助域控制器，并降级成普通服务器。

解决思路：经过图形界面或命令行界面进行角色转移， 经过服务管理器进行域降级 ，删除DNS服务器中全部区域内的原有主域控DNS 记录 ，删除‘站点与服务’里原主域控server 。

 

图形界面操做：

1. 传递PDC、RID 、基础结构角色 ：

   登陆pdc01.bicionline.org 辅助域服务器 ，进入“Active Directory 用户和计算机 pdc01.bicionline.org”，右击“bicionline.org”选择操做主机 ，对3个主机角色进行更改：以下图 

    

    

2. 传递架构主机角色：

   Windwos  server 2012  注册 regsvr32 schmmgmt  命令，经过mmc查看域架构 。以下图 

   a、注册域架构 

    

   b、打开mmc控制台，添加单元“Active Directory 架构”。

    

   c、右击“Active Directory 架构 pdc01.bicionline.org”选择“操做主机” 选项。

    

3. 传递域命名操做主机：

   进入“Active Directory 域和信任关系 pdc01.bicionline.org”，右击选择操做主机 ，对Naming角色进行更改：以下图 

    

 

命令行操做：

1. 前面步骤是经过图形界面进行的操做，另经过ntdsutil 工具方式亦可实现角色转移 ：步骤以下

   运行-cmd -ntdsutil 回车  #

   技巧： 输入 ？  ，能够查看该模式下可输入的命令行及命令功能注释 。

   roles 回车             //角色功能选项

   connections 回车    //进入链接模式

   connect to server pdc01.bicionline.org  回车   //链接pdc01 服务器

   quit  回车                                         //退出 

   transfer  naming master  回车   //将已链接服务器定为命名主机 

   transfer infrastructure master 回车

   transfer PDC 回车

   transfer RID master  回车

   transfer schema master 回车

 

 

场景二：

---

环境 ：主域控制器ds01.bicionline.org ，辅域控制器pdc01.bicionline.org  ，辅助域控服务器运行正常，主域控服务器Down机且没法恢复。

目的：辅助域控服务器强制夺取RID、PDC、Domain、Schema、Naming角色及GC功能成为新主域控，并强制删除域中残留原有主域控信息 。

解决思路：经过Ntdsutil工具强制夺取5种角色， 并删除原主域控server ，另删除DNS服务器中全部区域内的原有主域控DNS 记录 ，删除‘站点与服务’里原主域控server 。

 

解决步骤：

1. 另经过ntdsutil 工具方式亦可实现角色转移 ：步骤以下

   运行-cmd -ntdsutil 回车  #

   技巧： 输入 ？  ，能够查看该模式下可输入的命令行及命令功能注释 。

   roles 回车             //角色功能选项

   connections 回车    //进入链接模式

   connect to server pdc01.bicionline.org  回车   //链接pdc01 服务器

   quit  回车                                         //退出 

   seize  naming master  回车   //在已链接的服务器上覆盖命名主机角色 

   seize infrastructure master 回车

   seize PDC 回车

   seize RID master  回车

   seize schema master 回车

    

2. 清理ds01 server的残留信息（元数据）

   运行--cmd---ntdsutil 

   metadata cleanup 回车     //进入服务器对象清理模式

   select operation target   回车     //进入操做对象选择模式

   connections  回车      //进入链接模式

   connect to server pdc01  回车  //链接到pdc01服务器端

   quit  回车

   list sites   回车 //列出当前链接的域中的站点

   select site 0  //选择站点0

   list domains in site  /列出站点中的域

   select domain 0   //选择域0

   list servers for domain in site //列出0站点0域内全部服务器

   select server ０  //选择域中的将要删掉服务器(域控)

   remove selected server     //删除选择的服务器(域控)

    

3. 删除DNS服务器中每个区域中关于ds01的 DNS 记录 ，删除‘站点与服务’里DS01 server ，并配置pdc01 为GC （全局编录） ，这些点容易被忽略，请谨记 。

 

 

 

############################################################################################################################################################################################################

AD中FSMO五大角色的介绍及操做（转移与抓取）

############################################################################################################################################################################################################

FSMO是Flexible single master operation的缩写，意思就是灵活单主机操做。营运主机（Operation Masters，又称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定角色信息的网域控制站，在每个活动目录网域中，至少会存在三种营运主机的角色。但对于大型的网络,整个域森林中,存在5种重要的FSMO角色.并且这些角色都是惟一的。 

　　五大角色：
　　一、 森林级别(一个森林只存在一台DC有这个角色):

　　(1)、Schema Master(也叫Schema Owner):架构主控

　　(2)、Domain Naming Master:域命名主控

　　二、 域级别(一个域里面只存一台DC有这个角色):

　　(1)、PDC Emulator :PDC仿真器

　　(2)、RID Master :RID主控

　　(3)、Infrastructure Master :结构主控

　　对于查询FSMO主机的方式有不少,本人通常在命令行下,用netdom query fsmo命令查询.要注意的是本命令须要安装windows 的Support Tools.

 

　　五种角色主控有什么做用？
　　一、 Schema Master（架构主控）

　　做用是修改活动目录的源数据。咱们知道在活动目录里存在着各类各样的对像，好比用户、计算机、打印机等，这些对像有一系列的属性，活动目录自己就是一个数据库，对象和属性之间就好像表格同样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，若是你们部署过Exchange的话，就会知道Schema是能够被扩展的，但须要你们注意的是，扩展Schema必定是在Schema Master进行扩展的，在其它域控制器上或成员服务器上执行扩展程序，其实是经过网络把数据传送到Schema上而后再在Schema Master上进行扩展的，要扩展Schema就必须具备Schema Admins组的权限才能够。

　　建议:在占有Schema Master的域控制器上不须要高性能，由于咱们不是常常对Schema进行操做的，除非是常常会对Schema进行扩展，不过这种状况很是的少，但咱们必须保证可用性，不然在安装Exchange或LCS之类的软件时会出错。

　　二、 Domain Naming Master （域命名主控）

　　这也是一个森林级别的角色，它的主要做用是管理森林中域的添加或者删除。若是你要在你现有森林中添加一个域或者删除一个域的话，那么就必需要和Domain Naming Master进行联系，若是Domain Naming Master处于Down机状态的话，你的添加和删除操做那上确定会失败的。

　　建议:对占有Domain Naming Master的域控制器一样不须要高性能，我想没有一个网络管理员会常常在森林里添加或者删除域吧?固然高可用性是有必要的，不然就没有办法添加删除森里的域了。

　　三、 PDC Emulator （PDC仿真器）

　　在前面已经提过了，Windows 2000域开始，再也不区分PDC仍是BDC，但实际上有些操做则必需要由PDC来完成，那么这些操做在Windows 2000域里面怎么办呢?那就由PDC Emulator来完成，主要是如下操做:

　　⑴、处理密码验证要求;

　　在默认状况下，Windows 2000域里的全部DC会每5分钟复制一次，但有一些状况是例外的，好比密码的修改，通常状况下，一旦密码被修改，会先被复制到PDC Emulator，而后由PDC Emulator触发一个即时更新，以保证密码的实时性，固然，实际上因为网络复制也是须要时间的，因此仍是会存在必定的时间差，至于这个时间差是多少，则取决于你的网络规模和线路状况。

　　⑵、统一域内的时间;

　　微软活动目录是用Kerberos协议来进行身份认证的，在默认状况下，验证方与被验证方之间的时间差不能超过5分钟，不然会被拒绝经过，微软这种设计主要是用来防止回放式攻击。因此在域内的时间必须是统一的，这个统一时间的工做就是由PDC Emulator来完成的。

　　⑶、向域内的NT4 BDC提供复制数据源;

　　对于一些新建的网络，不大会存在Windows 2000域里包含NT4的BDC的现象，可是对于一些从NT4升级而来的Windows 2000域却极可能存有这种状况，这种状况下要向NT4 BDC复制，就须要PDC Emulator。

　　⑷、统一修改组策略的模板;

　　⑸、对Windows 2000之前的操做系统，如WIN98之类的计算机提供支持;

　　对于Windows 2000以前的操做系统，它们会认为本身加入的是NT4域，因此当这些机器加入到Windows 2000域时，它们会尝试联系PDC，而实际上PDC已经不存在了，因此PDC Emulator就会成为它们的联系对象!

　　建议:从上面的介绍里你们应该看出来了，PDC Emulator是FSMO五种角色里任务最重的，因此对于占用PDC Emulator的域控制器要保证高性能和高可用性。

　　四、RID Master （RID主控）

　　在Windows 2000的安全子系统中，用户的标识不取决于用户名，虽然咱们在一些权限设置时用的是用户名，但实际上取决于安全主体SID，因此当两个用户的SID同样的时候，尽管他们的用户名可能不同，但Windows的安全子系统中会把他们认为是同一个用户，这样就会产生安全问题。而在域内的用户安全SID=Domain SID+RID，那么如何避免这种状况?这就须要用到RID Master，RID Master的做用是:分配可用RID池给域内的DC和防止安全主体的SID重复。

　　建议:对于占有RID Master的域控制器，其实也没有必要必定要求高性能，由于咱们不多会常常性的利用批处理或脚本向活动目录添加大量的用户。这个请你们视实际状况而定了，固然高可用性是必不可少的，不然就没有办法添加用户了。

　　五、 Infrastructure Master （结构主控）

　　FSMO的五种角色中最可有可无的可能就是这个角色了，它的主要做用就是用来更新组的成员列表，由于在活动目录中颇有可能有一些用户从一个OU转移到另一个OU，那么用户的DN名就发生变化，这时其它域对于这个用户引用也要发生变化。这种变化就是由Infrastructure Master来完成的。

　　建议:其实在活动目录森林里仅仅只有一个域或者森林里全部的域控制器都是GC(全局编录)的状况下，Infrastructure Master根本不起做用，因此通常状况下对于占有Infrastructure Master的域控制器往忽略性能和可能性。

 

　　在FSMO的规划时，请你们按如下原则进行:

　　一、占有Domain Naming Master角色的域控制器必须同时也是GC;

　　二、不能把Infrastructure Master和GC放在同一台DC上;

　　三、建议将Schema Master和Domain Naming Master放在森林根域的GC服务器上;

　　四、建议将Schema Master和Domain Naming Master放在同一台域控制器上;

　　五、建议将PDC Emulator、RID Master及Infrastructure Master放在同一台性能较好的域控制器上;

　　六、尽可能不要把PDC Emulator、RID Master及Infrastructure Master放置在GC服务器上;

 

－－以上内容参考自百度百科：
http://baike.baidu.com/view/1623435.htm

——————————————————————————————————————————————————

 

对FSMO角色的操做，即更改角色的操做主机（传送或抓取，抓取也叫占用）　　
　　咱们在安装完第一台主DC后，必定会再安装第二台DC作为额外DC，以保持其域的安全可靠。从额外DC角色转换为主DC角色能够有二种方法——通用FSMO的传送或抓取来实现。

 

１、传送：当主DC工做正常，但出于某些缘由要将其上的FSMO角色主机传到其它额外DC上时可使用“传送”方式。

２、抓取：当主DC工做出现严重故障，AD工做不正常时，如：操做系统故障且AD没法修复，亦或是硬件问题不能开机等缘由，这时咱们能够用“抓取”方式。

 

　　1、传送（使用图形化界面操做）
　　１、除Schema Master(也叫Schema Owner):架构主控 外，其它四个角色主控均可以经过下面这个方式进行操做：

１）打开服务器管理器，找到 [角色] --> [Active Directory 域服务] ，而后右建点击 [Active Directory 用户和计算机] 
在 [全部任务] 中，先选择 [更改域控制器] （此步骤是让此DC计算机直接链接到另外一台额外DC计算机上的主控）

 

 

２）选择要传送的DC（联机的即为当前是主控角色）

 

 

３）以后再回到第一步，从新找到 [角色] --> [Active Directory 域服务] ，而后右建点击 [Active Directory 用户和计算机] 
在 [全部任务] 中，先选择 [操做主机] 。而后单击 [更改] 就能够将此角色主控传送到刚才选择的额外DC上去。
注：在这里，域级别的三个角色主控RID、PDC、Infrastructure Master都在这里操做。 另外一个域林级别的Domain Naming Master:域命名主控则须要在[角色] --> [Active Directory 站点和服务] 中右键单击进行操做，操做方式与这里同样。

 

 

　　２、架构主控的传送操做有一点点麻烦，由于微软为了安全考虑并无默认安装架构主控的管理单元。因此咱们要本身手动安装并在MMC中添加一下。方法以下：

１）用管理员身份运行CMD（必定要管理员身份哦！否则下面注册时会报错）

 

 

２）在命令行中输入：regsvr32 schmmgmt.dll

而后回车！

 

 

３）在命令窗口输入：mmc

回车后会弹出 [控制台] 窗口

 

 

４）在管理台中，点击 [文件] --> [添加/删除管理单元]

 

 

５）在添加或删除管理单元中找到刚才注册的 [Active Directory 架构] 单元，而后点 [添加]，以后肯定

 

 

６）仍是和前面同样，在架构单元上点右键，先要选择 [更改Active Directory 域控制器] ，将管理的单元直接切换到另外一个将要传送角色的额外DC上，以后再点击 [操做主机]

 

 

７）在弹出的窗口中点击更改，就能够将架构主控从DC传送到DC2上。

 

 

 

　　到此，主控上的五大主控都传送到另外一台额外DC上去了。这时额外DC就成了真正意义上的主控DC，而原主控DC刚成了额外了。（注意，windows2003开始，已经没有主和副的概念了，只有主DC和额外DC，全部DC都是平等的，谁担任了这五大FSMO主控角色谁就是主DC）。以后，能够把用户的DNS指向新的这台DC（已有DNS服务）。或将原主控DC下线，把新的DC改IP为原主DC（不推荐改新DC主机的IP方式，这样作存在一些可可见的风险）

 

　　2、抓取，也叫占用（抓取只能使用命令行工具，传送也能够用命令行方式）
1 ntdsutil   　　　　　　　　　进入ntds工具提示符
2 roles  　　　　　　　　　 　调整操做主机角色
3 connections  　　　　　　　 进入链接模式
4 connect to server "DC名"  　 链接到可用DC上
5 quit                                      返回上层菜单
6 transfer pdc                        （或其余） 进行转移或抓取
7 quit 退出

 

 

第6步的命令能够改成如下：
－抓取角色命令－

占用 RID 主机角色
seize RID master

占用 PDC 模拟器角色
seize PDC

占用结构主机角色
seize infrastructure master

占用域命名主机角色
seize domain naming master

占用架构主机角色
seize schema master

 

－传送角色命令－

转移 RID 主机角色
transfer RID master

转移 PDC 模拟器角色
transfer PDC

转移结构主机角色
transfer infrastructure master

转移域命名主机角色
transfer domain naming master

转移架构主机角色transfer schema master