FSMO五大角色转移的3种方法
在域控制器的系统升级或灾难恢复过程中,涉及到五种FSMO角色,即:结构主机、PDC模拟器、RID主机、域命名主机和架构主机。对这五种角色的成功操作与否,将直接影响域控制器的升级或灾难恢复的成败。
说明:本实验中使用的2台DC分别是AD和AD-FSMO,AD在进行迁移前做了快照。
1.一键夺取FSMO 5大角色
首先来看这台即将被夺取FSMO角色的AD,IP地址为192.168.1.1/24,网关:192.168.1.2
域中有一台客户端计算机Client,用于测试在域控AD挂掉且转移FSMO后测试Client是否仍可正常工作
可写域控制器可以看到只有一台AD,如下所示
本次测试用到的域用户是Lelon
接下来再准备一台DC,我这里是AD-FSMO,用来将原AD上的FSMO角色迁移到该DC上,具体配置如下所示,注意DNS要指向原AD的DNS,我这里AD和DNS位于同一台服务器上
安装AD和DNS角色,下一步
提示安装成功,点击“将此服务器提升为域控制器”
选中“将域控制器添加到现有域”,下一步
勾选“全局编录(GC)”,选择站点名称,输入DSRM密码,下一步
下一步
下一步
点击“安装”
提示此服务器已成功配置为域控制器,点击“关闭”
可以看到域中的计算机帐户已经顺利同步到了新安装的域控AD-FSMO上
域控制器AD-FSMO也是GC
域用户Lelon也已经同步过来了
现在模拟域控制器AD挂掉,将其关机
此时登录到AD站点和服务,展开对应站点“陕西”下的Servers文件夹,选中并展开模拟挂掉的AD,右击删除掉“NTDS Settings”(说明:深圳站点对应的是RODC)
点击“是”
点击“删除”
点击“是”
此时,会提示“选定的服务器当前担当一个或多个FSMO主机角色,为了继续进行删除操作,必须将这些角色移动到新服务器上”,此时可以先不点击“确定”,以管理员身份打开命令提示符,输入命令:netdom query fsmo ,可以看到点击确定之前FSMO角色还在已经挂掉的域控AD上
当点击“确定”后,再次进行FSMO角色查询,可以看到FSMO的五个角色已经被成功转移到了新安装的域控制器AD-FSMO上了
登录AD用户和计算机,删除掉原有域控AD
登录到Client,变更Client DNS服务器,同时我们在进行ping原有AD,提示目标主机不可达
本实验已经完成
2.利用图形界面夺取FSMO 5大角色
说明:此时实验用到2台DC分别是AD和AD-fsmo1,AD我使用上个实验前创建的快照。
同样,需要新安装一台域控制器AD-fsmo1,并将其加入到现有域中
勾选“域名系统(DNS)服务器和全局编录(GC)”,选择站点名称,并输入DSRM密码,下一步
采用默认,下一步
提示,此服务器已成功配置为域控制器
此时可以看到域控制器只有3台AD、AD-FSMO1和RODC,RODC本次实验不用。查询FSMO角色可以看到5大角色均位于AD域控制器上
以命令dsa.msc打开AD用户和计算机,右击“Corp.sxleilong.com”域,选择“操作主机”
点击“更改”,此时会报如下所示错误
右击“Corp.sxleilong.com”,选择“更改域控制器”
选中“此域控制器或AD LDS实例”,选中“AD-fsmo1”,点击“确定”
此时,再次点击“更改”,未见报错,点击“是”,注意我们此时是在RID选项卡,故转移的仅仅是RID角色
提示已经成功传送了操作主机角色
同理进行PDC主机角色传送
还有基础结构主机角色传送
以命令domain.msc打开AD域和信任关系,右击AD域和信任关系,选择“操作主机”
传送域命名操作主机角色
以管理员身份打开命令提示符窗口,查询FSMO 5大角色迁移状况,可以看到只剩下架构主机角色未迁移。接下来进行架构主机角色迁移。
在迁移前需要首先注册schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功
运行窗口中输入mmc并回车,打开控制台1,选择“文件”下拉菜单中的“添加或删除管理单元”,选中“Active Directory架构”点击“添加”
选中刚添加的AD架构,并右击,选择“操作主机”
点击“更改”,提示传送成功
再次进行FSMO角色查询,可以看到5大角色已经全部传送到AD-fsmo1域控制器上了
本实验结束
3.利用命令再夺回FSMO 5大角色
以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:?,可以查看该工具的具体命令(此时fsmo 5大角色位于AD-fsmo1上,我们将其夺回到原有AD上)
输入:roles,进入fsmo维护模式,再次输入:?,可以查看维护命令。
说明:Seize夺取,即在主AD已经挂了情况下,辅助AD强制夺取5大角色。Transfer传送,是在原主AD未挂的情况下,传送5大角色到辅助AD,适合AD升级。
输入命令:connections回车后,再输入命令:connect to server ad,当绑定到ad时,退出服务器连接进入fsmo维护模式,再次打问号:?查看都有哪些命令可以使用。接下来进行主机角色传递,Transfer infrastructure master (传送基础结构主机)
同种方式进行传送余下的几个主机角色
接下来需要退出fsmo维护模式,进行fsmo 5种角色的查询。可以看到5种角色主机已经成功传送到原有域控制器AD上
实验结束。