Active Directory FSMO角色应用

Active Directory中有5个FSMO角色，如果您只有一个域控制器（DC），则所有5个角色都将驻留在该DC上。

在企业部署中，可能由于硬件设备故障导致服务器故障，无法恢复。但此台服务器配置信息存在林架构配置信息中，如重新部署域控需把旧域控从林架构中删除，否则新搭建域控会默认从同一站点旧故障域控服务器建立链接复制。

1. 架构主机 - 架构主机角色在整个林中，每个林都有一个。需要此角色来扩展Active Directory林的架构或运行adprep / domainprep命令。
2. 域命名主机 - 域命名主机角色是林范围的，每个林都有一个。在林中添加或删除域或应用程序分区时，需要此角色。
3. RID主机 - RID主机角色是域范围的，每个域都有一个。需要此角色来分配RID池，以便新的或现有的域控制器可以创建用户帐户，计算机帐户或安全组。
4. PDC模拟器 - PDC模拟器角色是域范围的，每个域都有一个。将数据库更新发送到Windows NT备份域控制器的域控制器需要此角色。拥有此角色的域控制器也是某些管理工具以及用户帐户和计算机帐户密码更新的目标。
5. 基础架构主机 - 基础架构主机角色是域范围的，每个域都有一个。域控制器需要此角色才能成功运行adprep / forestprep命令，并更新跨域引用的对象的SID属性和可分辨名称属性。

通常，转移角色被认为是一个相对安全的过程，它要求源服务器和目标服务器都在网络上运行并可用。但是，占用该角色的目的是在极少数情况下使用，例如已崩溃的DC，您需要将其替换为新服务器。在这种情况下，即使源服务器不可用，强制转移FSMO角色

以下是可用于获取FSMO角色的步骤。

1. 最好登录到要为其分配FSMO角色的域控制器。登录用户应该是企业管理员组的成员，以传输架构或域命名主机角色，或者是传输PDC模拟器，RID主机和基础架构主机角色的域的域管理员组的成员。
2. 单击“ 开始”，单击“运行”，在“ 打开”框中键入ntdsutil，然后单击“ 确定”
3. 键入角色，然后按ENTER键。
4. 键入连接，然后按ENTER键。
5. 键入connect to server servername，然后按Enter，其中servername是要为其分配FSMO角色的域控制器的名称。
6. 在服务器连接提示符下，键入q，然后按Enter。
7. 键入seize role，其中role是要捕获的角色。有关可以获取的角色列表，请键入？在fsmo维护提示符下，然后按Enter，或查看本文开头的角色列表。例如，要获取RID主机角色，请键入seize rid master。

          

 

    8.     在fsmo维护提示符下，键入q，然后按Enter以访问ntdsutil提示符。键入q，然后按Enter以退出Ntdsutil实用程序

 

ntdsutil清除AD残留信息

登录主域控服务器，域控管理员运行命令提示符，输入命令ntdsutil，然后输入命令metadate cleanup，再输入connections。

在connections输入后，输入connect to server **连接到DC服务器，连接成功后输入quit回到上一级菜单，然后输入select operation target（选择目标），回车

使用命令list servers in site列出站点site中的AD服务器列表, 选择需要删除的残留信息服务器

运行命令remove selected server.