在域控制器的系统升级或灾难恢复过程中,涉及到五种FSMO角色,即:结构主机、PDC模拟器、RID主机、域命名主机和架构主机。对这五种角色的成功操作与否,将直接影响域控制器的升级或灾难恢复的成败。

说明:本实验中使用的2DC分别是ADAD-FSMOAD在进行迁移前做了快照。

1.一键夺取FSMO 5大角色

首先来看这台即将被夺取FSMO角色的ADIP地址为192.168.1.1/24,网关:192.168.1.2

FSMO五大角色转移的3种方法_第1张图片


域中有一台客户端计算机Client,用于测试在域控AD挂掉且转移FSMO后测试Client是否仍可正常工作

FSMO五大角色转移的3种方法_第2张图片


可写域控制器可以看到只有一台AD,如下所示

FSMO五大角色转移的3种方法_第3张图片


本次测试用到的域用户是Lelon

FSMO五大角色转移的3种方法_第4张图片


接下来再准备一台DC,我这里是AD-FSMO,用来将原AD上的FSMO角色迁移到该DC上,具体配置如下所示,注意DNS要指向原ADDNS,我这里ADDNS位于同一台服务器上

FSMO五大角色转移的3种方法_第5张图片


安装ADDNS角色,下一步

FSMO五大角色转移的3种方法_第6张图片


提示安装成功,点击“将此服务器提升为域控制器”

FSMO五大角色转移的3种方法_第7张图片


选中“将域控制器添加到现有域”,下一步

FSMO五大角色转移的3种方法_第8张图片


勾选“全局编录(GC)”,选择站点名称,输入DSRM密码,下一步

FSMO五大角色转移的3种方法_第9张图片


下一步

FSMO五大角色转移的3种方法_第10张图片


下一步

FSMO五大角色转移的3种方法_第11张图片


点击“安装”

FSMO五大角色转移的3种方法_第12张图片


提示此服务器已成功配置为域控制器,点击“关闭”

FSMO五大角色转移的3种方法_第13张图片


可以看到域中的计算机帐户已经顺利同步到了新安装的域控AD-FSMO

FSMO五大角色转移的3种方法_第14张图片


域控制器AD-FSMO也是GC

FSMO五大角色转移的3种方法_第15张图片


域用户Lelon也已经同步过来了

FSMO五大角色转移的3种方法_第16张图片


现在模拟域控制器AD挂掉,将其关机

FSMO五大角色转移的3种方法_第17张图片


此时登录到AD站点和服务,展开对应站点“陕西”下的Servers文件夹,选中并展开模拟挂掉的AD,右击删除掉“NTDS Settings(说明:深圳站点对应的是RODC

FSMO五大角色转移的3种方法_第18张图片


点击“是”

FSMO五大角色转移的3种方法_第19张图片


点击“删除”

FSMO五大角色转移的3种方法_第20张图片


点击“是”

FSMO五大角色转移的3种方法_第21张图片


此时,会提示“选定的服务器当前担当一个或多个FSMO主机角色,为了继续进行删除操作,必须将这些角色移动到新服务器上”,此时可以先不点击“确定”,以管理员身份打开命令提示符,输入命令:netdom query fsmo ,可以看到点击确定之前FSMO角色还在已经挂掉的域控AD

FSMO五大角色转移的3种方法_第22张图片


当点击“确定”后,再次进行FSMO角色查询,可以看到FSMO的五个角色已经被成功转移到了新安装的域控制器AD-FSMO上了

FSMO五大角色转移的3种方法_第23张图片


登录AD用户和计算机,删除掉原有域控AD

FSMO五大角色转移的3种方法_第24张图片


登录到Client,变更Client DNS服务器,同时我们在进行ping原有AD,提示目标主机不可达

FSMO五大角色转移的3种方法_第25张图片

本实验已经完成


2.利用图形界面夺取FSMO 5大角色

说明:此时实验用到2DC分别是ADAD-fsmo1AD我使用上个实验前创建的快照。

同样,需要新安装一台域控制器AD-fsmo1,并将其加入到现有域中

FSMO五大角色转移的3种方法_第26张图片


勾选“域名系统(DNS)服务器和全局编录(GC)”,选择站点名称,并输入DSRM密码,下一步

FSMO五大角色转移的3种方法_第27张图片


采用默认,下一步

FSMO五大角色转移的3种方法_第28张图片


提示,此服务器已成功配置为域控制器

FSMO五大角色转移的3种方法_第29张图片


此时可以看到域控制器只有3ADAD-FSMO1RODCRODC本次实验不用。查询FSMO角色可以看到5大角色均位于AD域控制器上

FSMO五大角色转移的3种方法_第30张图片


以命令dsa.msc打开AD用户和计算机,右击“Corp.sxleilong.com”域,选择“操作主机”

FSMO五大角色转移的3种方法_第31张图片


点击“更改”,此时会报如下所示错误

FSMO五大角色转移的3种方法_第32张图片


右击“Corp.sxleilong.com”,选择“更改域控制器”

FSMO五大角色转移的3种方法_第33张图片


选中“此域控制器或AD LDS实例”,选中“AD-fsmo1”,点击“确定”

FSMO五大角色转移的3种方法_第34张图片


此时,再次点击“更改”,未见报错,点击“是”,注意我们此时是在RID选项卡,故转移的仅仅是RID角色

FSMO五大角色转移的3种方法_第35张图片


提示已经成功传送了操作主机角色

FSMO五大角色转移的3种方法_第36张图片


同理进行PDC主机角色传送

FSMO五大角色转移的3种方法_第37张图片


还有基础结构主机角色传送

FSMO五大角色转移的3种方法_第38张图片


以命令domain.msc打开AD域和信任关系,右击AD域和信任关系,选择“操作主机”

FSMO五大角色转移的3种方法_第39张图片


传送域命名操作主机角色

FSMO五大角色转移的3种方法_第40张图片


以管理员身份打开命令提示符窗口,查询FSMO 5大角色迁移状况,可以看到只剩下架构主机角色未迁移。接下来进行架构主机角色迁移。

在迁移前需要首先注册schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功

FSMO五大角色转移的3种方法_第41张图片


运行窗口中输入mmc并回车,打开控制台1,选择“文件”下拉菜单中的“添加或删除管理单元”,选中“Active Directory架构”点击“添加”

FSMO五大角色转移的3种方法_第42张图片


选中刚添加的AD架构,并右击,选择“操作主机”

FSMO五大角色转移的3种方法_第43张图片


点击“更改”,提示传送成功

FSMO五大角色转移的3种方法_第44张图片


再次进行FSMO角色查询,可以看到5大角色已经全部传送到AD-fsmo1域控制器上了

FSMO五大角色转移的3种方法_第45张图片

本实验结束


3.利用命令再夺回FSMO 5大角色

以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:?,可以查看该工具的具体命令(此时fsmo 5大角色位于AD-fsmo1上,我们将其夺回到原有AD上)

FSMO五大角色转移的3种方法_第46张图片


输入:roles,进入fsmo维护模式,再次输入:?,可以查看维护命令。

说明:Seize夺取,即在主AD已经挂了情况下,辅助AD强制夺取5大角色。Transfer传送,是在原主AD未挂的情况下,传送5大角色到辅助AD,适合AD升级。

FSMO五大角色转移的3种方法_第47张图片


输入命令:connections回车后,再输入命令:connect to server ad,当绑定到ad时,退出服务器连接进入fsmo维护模式,再次打问号:?查看都有哪些命令可以使用。接下来进行主机角色传递,Transfer infrastructure master (传送基础结构主机)

FSMO五大角色转移的3种方法_第48张图片


同种方式进行传送余下的几个主机角色

FSMO五大角色转移的3种方法_第49张图片


接下来需要退出fsmo维护模式,进行fsmo 5种角色的查询。可以看到5种角色主机已经成功传送到原有域控制器AD

FSMO五大角色转移的3种方法_第50张图片

实验结束。