fsmo角色迁移与夺取.docVIP

二．FSMO角色的转移。 须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。 1．Schema Maste 在进行SCHEMA MASTE的图形下转移前，要先对schmmgmt注册。点击“开始-运行”，输入:“regsvr32 schmmgmt”，回车: 注册成功。 运行MMC，“添加/删除管理单元”，将“Active Directory架构”添加进去。 在控制台上选中“Active Directory架构”点击“右键”，选择“操作主机” 如下图所示，当前的架构主机是DC1。 点击“更改”出现提示“您确实要更改架构主机？”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图： 2．RID Master、Infrastructure Master、PDC Emulator 打开“Active Directory用户和计算机”，选中“TEST.CN”域，右键选“操作主机” 在这里依次更改RID Master、Infrastructure Master、PDC Emulator 3．Domain Naming Master 打开“Active Directory域和信任关系”管理器，在“Active Directory域和信任关系”上点右键，选操作主机 在出现的新窗口上，点击更改。 三．FSMO角色的夺取。 当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。以下是命令行的步骤 打红线的地方，是要注意的地方，“connect to server “这里是连接到域，实际中，将其改为公司的域名就可以了。 在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移(transfer)。 这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmo maintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。 1．Seize domain naming master 在出现的对话框点“是” 2．Seize infrastrurcture master 呵呵，出错了！不过没关系，这是正常的，因为主域DC1不在线，所以在夺取时会有这个出错信息。红线部份给出了索取继续，所以结构角色会夺取到DC2上，接下来的各个角色的夺取也会有这个出错信息。 3．Seize PDC ．Seize RID master 5．Seize schema master OK，至此，FSMO的五个角色就全部夺取完成。 再次运行脚本程序或在图形方式下查看，五个角色都已在DC2服务器上。 四．删除损坏DC的信息 对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示。 对于DC1由于损坏已不存在了，所以我们可以将DC1这台域控制器的一些想关信息从域中删除。 1．ntdsutil命令行工具。 在DC2域控制器上运行ntdsutil 以下是ntdsutil工具执行的步骤： C:\Documents and Settings\Administrator.TESTntdsutil ntdsutil: ? ? - 显示这个帮助信息 Authoritative restore - 授权还原 DIT 数据库 Configurable Settings - 管理可配置的设置 Domain management - 准备新域创建 Files - 管理 NTDS 数据库文件 Help - 显示这个帮助信息 LDAP policies - 管理 LDAP 协议策略 Metadata cleanup - 清理不使用的服务器的对象 Popups %s - 用“on”或“off”启用或禁用弹出 Quit - 退出实用工具 Roles - 管理 NTDS 角色所有者令牌 Security account management - 管理安全帐户数据库 - 复制 SID 清理 Semantic database analysis - 语法检查器 Set DSRM Password - 重置目录服务还原模式管理员帐户密码 ntdsutil: metadata cleanup metadata cleanup: ? ? - 显示这个帮助信息 Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息 Quit - 返回到上一个菜单 Remove selected domain - 删除所选域的