fsmo角色迁移和夺取

二．FSMO角色的转移。须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。1．SchemaMaste在进行SCHEMAMASTE的图形下转移前，要先对schmmgmt注册。点击“开始-运行”，输入:“regsvr32schmmgmt”，回车:注册成功。运行MMC，“添加/删除管理单元”，将“ActiveDirectory架构”添加进去。在控制台上选中“ActiveDirectory架构”点击“右键”，选择“操作主机”如下图所示，当前的架构主机是DC1。点击“更改”出现提示“您确实要更改架构主机？”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图：2．RIDMaster、InfrastructureMaster、PDCEmulator打开“ActiveDirectory用户和计算机”，选中“TEST.CN”域，右键选“操作主机”在这里依次更改RIDMaster、InfrastructureMaster、PDCEmulator3．DomainNamingMaster打开“ActiveDirectory域和信任关系”管理器，在“ActiveDirectory域和信任关系”上点右键，选操作主机在出现的新窗口上，点击更改。三．FSMO角色的夺取。当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。以下是命令行的步骤打红线的地方，是要注意的地方，“connecttoservertest.cn“这里是连接到test.cn域，实际中，将其改为公司的域名就可以了。在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移(transfer)。这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmomaintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。1．Seizedomainnamingmaster在出现的对话框点“是”2．Seizeinfrastrurcturemaster呵呵，出错了！不过没关系，这是正常的，因为主域DC1不在线，所以在夺取时会有这个出错信息。红线部份给出了索取继续，所以结构角色会夺取到DC2上，接下来的各个角色的夺取也会有这个出错信息。3．SeizePDC．SeizeRIDmaster5．SeizeschemamasterOK，至此，FSMO的五个角色就全部夺取完成。再次运行脚本程序或在图形方式下查看，五个角色都已在DC2服务器上。四．删除损坏DC的信息对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示。对于DC1由于损坏已不存在了，所以我们可以将DC1这台域控制器的一些想关信息从域中删除。1．ntdsutil命令行工具。在DC2域控制器上运行ntdsutil以下是ntdsutil工具执行的步骤：C:\DocumentsandSettings\Administrator.TESTntdsutilntdsutil:??-显示这个帮助信息Authoritativerestore-授权还原DIT数据库ConfigurableSettings-管理可配置的设置Domainmanagement-准备新域创建Files-管理NTDS数据库文件Help-显示这个帮助信息LDAPpolicies-管理LDAP协议策略Metadatacleanup-清理不使用的服务器的对象Popups%s-用“on”或“off”启用或禁用弹出Quit-退出实用工具Roles-管理NTDS角色所有者令牌Securityaccountmanagement-管理安全帐户数据库-复制SID清理Semanticdatabaseanalysis-语法检查器SetDSRMPassword-重置目录服务还原模式管理员帐户密码ntdsutil:metadatacleanupmetadatacleanup:??-显示这个帮助信息Connections-连接到一个特定域控制器Help-显示这个帮助信息Quit-返回到上一个菜单Removeselecteddomain-删除所选域的DS对象RemoveselectedNamingContext-为定的命名上下文删除DS对象Removeselectedserver-从所选服务器上删除DS对象Removeselectedserver%s-从所选服务器上删除DS对象Removeselectedserver%son%s-从所选服务器上删除DS对象Selectoperationtarget-选择的站点，服务器，域，角色和命名上下文metadatacleanup:selectoperationtargetselectoperationtarget:connectserverconnections:connecttodomaintest.cn绑定到\\DC2.test.cn...用本登录的用户的凭证连接\\DC2.test.cn。serverconnections:qselectoperationtarget:??-显示这个帮助信息Connections-连接到一个特定域控制器Help-显示这个帮助信息Listcurrentselections-列出当前的站点/域/务?命名上下文Listdomains-列出所有包含交叉引用的域Listdomainsinsite-列出所选站点中的域ListNamingContexts-列出已知命名上下文Listrolesforconnectedserver-列出已连接的服务器已知的角色Listserversfordomaininsite-列出所选域和站点中的服务器Listserversinsite-列出所选站点中的服务器Listsites-在企业中列出站点Quit-返回到上一个菜单Selectdomain%d-将%d域定为所选域SelectNamingContext%d-使命名上下文%d为选定的命名上下文Selectserver%d-将%d服务器定为所选服务器Selectsite%d-将%d站点定为所选站点selectoperationtarget:listsites找到1站点0-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnselectoperationtarget:selectsite0站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn没有当前域没有当前服务器当前的命名上下文selectoperationtarget:listdomainsinsite找到1域0-DC=test,DC=cnselectoperationtarget:selectdomain0站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn域-DC=test,DC=cn没有当前服务器当前的命名上下文selectoperationtarget:listserversfordomaininsite找到2服务器0-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn1-CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnselectoperationtarget:selectserver0站点-CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn域-DC=test,DC=cn服务器-CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnDSA对象-CN=NTDSSettings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnDNS主机名称-DC1.test.cn计算机对象-CN=DC1,OU=DomainControllers,DC=test,DC=cn当前的命名上下文selectoperationtarget:qmetadatacleanup:??-显示这个帮助信息Connections-连接到一个特定域控制器Help-显示这个帮助信息Quit-返回到上一个菜单Removeselecteddomain-删除所选域的DS对象RemoveselectedNamingContext-为定的命名上下文删除DS对象Removeselectedserver-从所选服务器上删除DS对象Removeselectedserver%s-从所选服务器上删除DS对象Removeselectedserver%son%s-从所选服务器上删除DS对象Selectoperationtarget-选择的站点，服务器，域，角色和命名上下文metadatacleanup:removeselectedserver点“是”后如下图所示：Win2000到Win2003域的迁移我院购置了相关服务器后，进行Win2000到Win2003域的迁移，该域现有500多个用户，负责医院各系统服务的认证工作。表1原有域服务器信息服务器主域控制器额外域控制器主机名AA1IP地址10.0.0.1110.0.0.11掩码255.255.0.0255.255.0.0网关10.0.0.110.0.0.1DNS10.0.0.1110.0.0.1210.0.0.1110.0.0.12所属角色domainnamingmasterPDCinfrastructuremasterRIDmasterschemamaster表2新域服务器信息服务器主域控制器额外域控制器主机名BB1IP地址10.0.0.5110.0.0.52掩码255.255.0.0255.255.0.0网关10.0.0.110.0.0.1DNS10.0.0.5110.0.0.5210.0.0.5110.0.0.52所属角色domainnamingmasterPDCinfrastructuremasterRIDmasterschemamaster原有域服务器的操作系统均为Windows2000Server,而本次新的域服务器操作系统改用Windows2003EnterpriseServer。要实现2000域到2003域的迁移，我们主要通过以下步骤实现：1.在拥有架构主机角色（schemamaster）的域控制器上更新林信息。2.在拥有结构主机角色（infrastructuremaster）的域控制器上更新域信息。3.将两台新服务器（Windows2003系统）作为额外域控制器加入2000域中。4.通过ntdsutil工具将5种FSMO角色转换到新主域控制器上。5.开启新域控制器的全局编录（等待更新同步）。6.去除原有域控制器的全局编录。一、更新林信息1.到架构主机A1服务器上做更新林的操作。更新林或域的工具Adprep.exe位于Windows2003EnterpriseServer安装光盘的I386目录下,将操作系统光盘插入光驱，并把I386目录拷贝到服务器本机D盘根目录下。运行窗口中键入cmd，进入命令行模式后点击“开始→运行→cmd”，将当前目录切