http://blog.51cto.com/sxleilong/1382866

在域控制器的系统升级或灾难恢复过程中,涉及到五种FSMO角色,即:结构主机、PDC模拟器、RID主机、域命名主机和架构主机。对这五种角色的成功操作与否,将直接影响域控制器的升级或灾难恢复的成败。

说明:本实验中使用的2台DC分别是AD和AD-FSMO,AD在进行迁移前做了快照。

1.一键夺取FSMO 5大角色

首先来看这台即将被夺取FSMO角色的AD,IP地址为192.168.1.1/24,网关:192.168.1.2

wKioL1MwOSWihhn_AAHoBOXXg7A836.jpg

域中有一台客户端计算机Client,用于测试在域控AD挂掉且转移FSMO后测试Client是否仍可正常工作

wKioL1MwOSbyo82dAAHhAuoYbfU539.jpg

可写域控制器可以看到只有一台AD,如下所示

wKiom1MwOU7QCTL1AAH11pcBF_o158.jpg

本次测试用到的域用户是Lelon

wKiom1MwOU_Qn8n-AASgcNjXENg360.jpg

接下来再准备一台DC,我这里是AD-FSMO,用来将原AD上的FSMO角色迁移到该DC上,具体配置如下所示,注意DNS要指向原AD的DNS,我这里AD和DNS位于同一台服务器上

wKioL1MwOSijnpD9AAH6oG3yBJY533.jpg

安装AD和DNS角色,下一步

wKioL1MwOSmD7CXGAALMSjwlnyw710.jpg

提示安装成功,点击“将此服务器提升为域控制器”

wKiom1MwOVKRoJCIAAKPvmaESEU801.jpg

选中“将域控制器添加到现有域”,下一步

wKioL1MwOSujjVq6AAG8mvMmSJ8842.jpg

勾选“全局编录(GC)”,选择站点名称,输入DSRM密码,下一步

wKiom1MwOVOR-cciAAHsVklwjkE505.jpg

下一步

wKiom1MwOVTDOy8YAAFrFb7LodU982.jpg

下一步

wKioL1MwOS3ixSm_AAGmgqQ0RFo936.jpg

点击“安装”

wKioL1MwOS6DvgoDAAPYYJFOGP0951.jpg

提示此服务器已成功配置为域控制器,点击“关闭”

wKiom1MwOVfRwoFCAALcOsvuQLM041.jpg

可以看到域中的计算机帐户已经顺利同步到了新安装的域控AD-FSMO上

wKiom1MwOViQ561LAAJb348na70622.jpg

域控制器AD-FSMO也是GC

wKioL1MwOTHxhX4aAAIFVzNbYcQ843.jpg

域用户Lelon也已经同步过来了

wKioL1MwOTKQXyqSAARbEGymOvg551.jpg

现在模拟域控制器AD挂掉,将其关机

wKiom1MwOVqhxuhdAAFZlKTvH5U302.jpg

此时登录到AD站点和服务,展开对应站点“陕西”下的Servers文件夹,选中并展开模拟挂掉的AD,右击删除掉“NTDS Settings”(说明:深圳站点对应的是RODC)

wKioL1MwOTOS4lZNAAJo3HWxWRY536.jpg

点击“是”

wKiom1MwOVuRaz9SAAB2X8maN_U693.jpg

点击“删除”

wKioL1MwOTTBauCIAAFjNX6EF0A196.jpg

点击“是”

wKiom1MwOVuSK1wqAACP6yD_SP4419.jpg

此时,会提示“选定的服务器当前担当一个或多个FSMO主机角色,为了继续进行删除操作,必须将这些角色移动到新服务器上”,此时可以先不点击“确定”,以管理员身份打开命令提示符,输入命令:netdom query fsmo ,可以看到点击确定之前FSMO角色还在已经挂掉的域控AD上

wKiom1MwOVzAU9OYAANb3x8YBGw256.jpg

当点击“确定”后,再次进行FSMO角色查询,可以看到FSMO的五个角色已经被成功转移到了新安装的域控制器AD-FSMO上了

wKioL1MwOTbz0qRxAANYjJy3-Fk550.jpg

登录AD用户和计算机,删除掉原有域控AD

wKioL1MwOTaRbs1IAAHc57VqbGM733.jpg

登录到Client,变更Client DNS服务器,同时我们在进行ping原有AD,提示目标主机不可达

wKiom1MwOV_jBV1qAAUAwZH7oEU007.jpg

本实验已经完成

2.利用图形界面夺取FSMO 5大角色

说明:此时实验用到2台DC分别是AD和AD-fsmo1,AD我使用上个实验前创建的快照。

同样,需要新安装一台域控制器AD-fsmo1,并将其加入到现有域中

wKiom1MwOV-Q3LqcAAHGvCpmuC0408.jpg

勾选“域名系统(DNS)服务器和全局编录(GC)”,选择站点名称,并输入DSRM密码,下一步

wKioL1MwOTmQeLcuAAHm58Bo0d8196.jpg

采用默认,下一步

wKioL1MwOTnCvspRAAF-HKRpFnU505.jpg

提示,此服务器已成功配置为域控制器

wKiom1MwOWKyCYcdAALfNMZ50H4921.jpg

此时可以看到域控制器只有3台AD、AD-FSMO1和RODC,RODC本次实验不用。查询FSMO角色可以看到5大角色均位于AD域控制器上

wKioL1MwOTuRPEFkAALOHOUzZHI395.jpg

以命令dsa.msc打开AD用户和计算机,右击“Corp.sxleilong.com”域,选择“操作主机”

wKiom1MwOWPy9a7xAAKr2V9d-i0485.jpg

点击“更改”,此时会报如下所示错误

wKioL1MwOTygdgzzAAHWxUUVFas537.jpg

右击“Corp.sxleilong.com”,选择“更改域控制器”

wKioL1MwOZSyouc2AAKnYoQQLfE019.jpg

选中“此域控制器或AD LDS实例”,选中“AD-fsmo1”,点击“确定”

wKiom1MwObyiuEzlAAG8ZcjH20E408.jpg

此时,再次点击“更改”,未见报错,点击“是”,注意我们此时是在RID选项卡,故转移的仅仅是RID角色

wKioL1MwOZWwjs66AAK-jznt3a0995.jpg

提示已经成功传送了操作主机角色

wKiom1MwOb2CKI9AAAKlmPOy7fA475.jpg

同理进行PDC主机角色传送

wKioL1MwOZeRdTPHAALIvkVFQyo143.jpg

还有基础结构主机角色传送

wKiom1MwOb-z1pwBAALAmfpLzBk048.jpg

以命令domain.msc打开AD域和信任关系,右击AD域和信任关系,选择“操作主机”

wKioL1MwOZiyptJkAAICv1JYoyg884.jpg

传送域命名操作主机角色

wKiom1MwOcDAuN4AAALDLmyfNt0642.jpg

以管理员身份打开命令提示符窗口,查询FSMO 5大角色迁移状况,可以看到只剩下架构主机角色未迁移。接下来进行架构主机角色迁移。

在迁移前需要首先注册schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功

wKiom1MwOcCyLCxKAAGn_vIoTkU057.jpg

运行窗口中输入mmc并回车,打开控制台1,选择“文件”下拉菜单中的“添加或删除管理单元”,选中“Active Directory架构”点击“添加”

wKioL1MwOZqjEtlBAAMf7HXhd_s893.jpg

选中刚添加的AD架构,并右击,选择“操作主机”

wKiom1MwOcKQsR1BAAIaDW3KNAE944.jpg

点击“更改”,提示传送成功

wKioL1MwOZvhYLynAALkaVwAiA8484.jpg

再次进行FSMO角色查询,可以看到5大角色已经全部传送到AD-fsmo1域控制器上了

wKiom1MwOcODtbDGAAGPMW2co0I129.jpg

本实验结束

3.利用命令再夺回FSMO 5大角色

以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:?,可以查看该工具的具体命令(此时fsmo 5大角色位于AD-fsmo1上,我们将其夺回到原有AD上)

wKioL1MwOZzimwUkAANBdDPwtFs957.jpg

输入:roles,进入fsmo维护模式,再次输入:?,可以查看维护命令。

说明:Seize夺取,即在主AD已经挂了情况下,辅助AD强制夺取5大角色。Transfer传送,是在原主AD未挂的情况下,传送5大角色到辅助AD,适合AD升级。

wKiom1MwOcSwj3PVAAKMEnmRO08795.jpg

输入命令:connections回车后,再输入命令:connect to server ad,当绑定到ad时,退出服务器连接进入fsmo维护模式,再次打问号:?查看都有哪些命令可以使用。接下来进行主机角色传递,Transfer infrastructure master (传送基础结构主机)

wKioL1MwOZ3AEPfMAAOCXxqfqE4812.jpg

同种方式进行传送余下的几个主机角色

wKioL1MwOZ7zuli3AAWb7Hqatkk464.jpg

接下来需要退出fsmo维护模式,进行fsmo 5种角色的查询。可以看到5种角色主机已经成功传送到原有域控制器AD上

wKiom1MwOcbSGV5rAARaFRHjR8E019.jpg

实验结束。