轉移域控角色的兩種方式.txt 每個女孩都曾是無淚的天使，當遇到自己喜歡的男孩時，便會流淚一一，于是墜落凡間變?yōu)榕?，所以，男孩一定不要辜負女孩，因為女孩為你放棄整個天堂。朋友, 別哭, 今夜我如曇花

轉移域控角色的兩種方式.txt 每個女孩都曾是無淚的天使，當遇到自己喜歡的男孩時，便會流淚一一，于是墜落凡間變?yōu)榕ⅲ裕泻⒁欢ú灰钾撆?，因為女孩為你放棄整個天堂。朋友, 別哭, 今夜我如曇花綻放在最美的瞬間凋謝, 你的淚水也無法挽回我的枯萎~~~轉移域控角色的兩種方式

當網(wǎng)域崩潰后或者我們買了新服務器，需要將新機器作為主域控制器那么我們需要轉移角色，在原主域在線的情況下我們可以使用圖形化界面 MMC 控制臺來轉移角色。在主域崩潰后我們用副域 控制器奪權就需要使用到 ntdsutil 工具來轉移角色。下面我分別介紹兩種轉移 AD 中 5 大角色的方 式，5 大角色相信地球人都知道，HOHO.

PS:轉移角色需要注意的是：額外域設置為 GC，這樣才能將額外域升級為主域，設置 GC 方法如下： 打開 AD 站點和服務管理器-sites-Default-First-Site-Name-servers 下面有服務器名稱，找到額外域服務器，雙擊打開服務器，下面有個 NTDS Settings 右鍵單擊屬性，在彈出的屬性頁面勾選“全

局編錄”然后確定就 OKl 了，等待 5-10 分鐘整個網(wǎng)域復寫完成剛才的動作。

PS:部分步驟來源于網(wǎng)絡, 此文為綜合以及描述注意點

一. 使用圖形化界面 MMC 來轉移域控角色

一. 轉移架構主機角色

使用“Active Directory 架構主機”管理單元可以轉移架構主機角色。您必須首先注冊 Schmmgmt.dll

文件，然后才能使用此管理單元。 注冊 Schmmgmt.dll

單擊開始，然后單擊運行。在打開框中，鍵入 regsvr32 schmmgmt.dll，然后單擊確定。

收到操作成功的消息時，單擊確定。

1. 依次單擊開始和運行，在打開框中鍵入 mmc，然后單擊確定。

2. 在文件菜單上，單擊“添加/刪除管理單元”。

3. 單擊添加。

4. 依次單擊 Active Directory 架構、添加、關閉和確定。

5. 在控制臺樹中，右鍵單擊 Active Directory 架構，然后單擊更改域控制器。

6. 單擊指定名稱，鍵入將成為新角色持有者的域控制器名稱，然后單擊確定。

7. 在控制臺樹中，右鍵單擊 Active Directory 架構，然后單擊操作主機。

8. 單擊更改。

9. 單擊確定以確認您要轉移該角色，然后單擊關閉。

二. 轉移域命名主機角色

1. 單擊開始，指向管理工具，然后單擊“Active Directory 域和信任關系”。

2. 右鍵單擊“Active Directory 域和信任關系”，然后單擊“連接到域控制器”。

注意：如果您不在要將角色轉移到其上的域控制器上，則必須執(zhí)行此步驟。如果您已經(jīng)連接到要轉移其角色的域控制器，則不必執(zhí)行此步驟。

3. 執(zhí)行下列操作之一： ? 在“輸入其他域控制器名稱”框中，鍵入將成為新的角色持有者的域控制器的名稱，然后單擊確定。

- “或者，選擇一個可用的域控制器”列表中，單擊將成為新角色持有者的域控制器，然后單擊確定。

4. 在控制臺樹中，右鍵單擊“Active Directory 域和信任關系”，然后單擊操作主機。

5. 單擊更改。

6. 單擊確定以確認您要轉移該角色，然后單擊關閉。

三. 轉移 RID 主機角色、PDC 模擬器角色和結構主機角色

1. 單擊開始，指向管理工具，然后單擊“Active Directory 用戶和計算機”。

2. 右鍵單擊“Active Directory 用戶和計算機”，然后單擊“連接到域控制器”。

注意：如果您不在要將角色轉移到其上的域控制器上，則必須執(zhí)行此步驟。如果您已經(jīng)連接到要轉移其角色的域控制器，則不必執(zhí)行此步驟。

3. 執(zhí)行下列操作之一： ? 在“輸入其他域控制器名稱”框中，鍵入將成為新的角色持有者的域控制器的名稱，然后單擊確定。

“或者，選擇一個可用的域控制器”列表中，單擊將成為新角色持有者的域控制器，然后單擊確定。

4. 在控制臺樹中，右鍵單擊“Active Directory 用戶和計算機”，指向所有任務，然后單

擊操作主機。

5. 單擊要轉移角色（RID 、PDC 或 結構）的相應選項卡，然后單擊更改。

6. 單擊確定以確認您要轉移該角色，然后單擊關閉

二. 使用 ntdsutil 工具轉移域控角色和清除不存在的域控制器

1． 用 ntdsutil 來清除無效的 DC 信息

假如你的備份域為 abc.mstc.com 主域為 ctu.mstc.com,現(xiàn)在備份域壞了。那么你在裝有 super tools 的主控域上執(zhí)行如下命令：

C:>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服務器的對象

metadata cleanup: select operation target - 選擇的站點，服務器，域，角色和命名上下文

select operation target: connections - 連接到一個特定域控制器

server connections: connect to server ctu.mstc.com --綁定到 ctu.

用本登錄的用戶的憑證連接 ctu。

server connections: quit - 返回上一層目錄

select operation target: list site - 在企業(yè)中列出站點(找到 1 個站點，標識為 0)

找到 1 站點

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com select operation target: select site 0 - 將標識為 0 的站點定為所選站點

站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com

沒有當前域 沒有當前服務器 當前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域 找到 1 域

0 - DC= mstc,DC=com

select operation target: select domain 0 - 將標識為 0 的域定為所選域

站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com

域 - DC= mstc,DC=com 沒有當前服務器 當前的命名上下文

select operation target: list servers for domain in site - 列出所選域和站點中的服務 器(找到兩個：0-abc.mstc.com ；1-ctu. mstc.com)

找到 2 服務器

0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

select operation target: select server 0 - 將標識為 0 的服務器（abc ）定為所選服務器

——也就是要刪除的 DC

站點 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

域 - DC= mstc,DC=com

服務器 -

CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com

DSA 對象 - CN=NTDS

Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主機名稱 - abc.mstc.com

計算機對象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com

當前的命名上下文

select operation target: quit - 返回上一層目錄

metadata cleanup: remove select server - 從所選服務器上刪除 DS 對象在彈出的對話提示框上選擇“是”，

“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=

mstc,DC=com”刪除了，從服務器“ctu”

現(xiàn)在，abc.mstc.com 這個 Dc 對象就在你的 AD 里消失了.

2．用 ntdsutil 來轉移 fsmo 五種角色。

當您運行 Dcpromo.exe 程序并安裝 AD 時，將向目錄林中的第一個域控制器授予五個 FSMO 角 色。其中有兩個 FSMO 角色是目錄林范圍的，另外三個是域范圍的。如果創(chuàng)建了子域，兩個目錄林范

圍的角色將不會更改。一個具有兩個域的目錄林將有八個 FSMO；其中兩個是目錄林范圍的角色，每 個域各有三個特定于域的 FSMO 角色。這五個角色是 schema master-架構主機，Domain naming

master-域命名主機，Rid master-rid 主機，pdc master-pdc 防真器，Infrastructure Master-結構 主機。想要把這幾種角色移動到另一臺計算機上有 2 種方法，一種是轉移，但必須 2 臺計算機處于正 常運行狀態(tài)。如果有其中某臺處于離線狀態(tài)只能用第二種方法，使用 ntdsutil 工具來強制獲取這些角色。現(xiàn)在如果你的主控壞了這些角色也都在主控上，請在裝有 support tools 工具新的域控或備份 域控上執(zhí)行如下命令：首先在 CMD 下運行

netdom query /d:域名 fsmo

查看一下當前哪些角色在哪臺服務器上， 然后在 CMD 下運行

"ntdsutil" 如果不知道命令怎么寫，可以輸入？得到幫助提示，

"roles"

"connections"

"connect to server 服務器名" 綁定一臺當前在線的 DC 當連接成功后輸入 q 退出回到上一層（roles ）準備做角色遷移

"Seize schema master"

"Seize domain naming master"

"Seize RID master"

"Seize PDC"

"Seize infrastructure master"

以上五個命令，分別用作遷移上面所提到的 5 個角色到我們之前綁定的服務器上。 完成后再次回到 CMD 下執(zhí)行"netdom query /d:域名 fsmo"，檢查角色是否已被遷移

在“常規(guī)”選項卡上，找到全局編錄復選框以查看其是否選中。如果正常就說明角色轉換已成功。

3．對 AD 數(shù)據(jù)文件進行下線碎片整理操作. 由于微軟已經(jīng)提供了這整個操作過程的說明, 所以在這里我只稍微重復一下, 再加上一些額外的說明以避免大家犯一些不必要的災難性錯誤, 因為這是一個很關鍵的操作, 一旦出錯將是災難性的.