概述
本文用于记录分享关于域控服务器的新建、FSMO五大角色转移、夺取的实例。
环境介绍
| 角色 | 计算机名称 | IP地址 |
|---|---|---|
| DC主 | DC01 | 10.1.1.252 |
| DC副 | DC02 | 10.1.1.251 |
新建主域控
将服务器设置静态IP地址
安装好域控角色后将此服务器提升为域控制器
添加新林,命名根域名
服务目录还原模式密码
与DNS安装在一起
命名 NetBIOS域名
配置路径,保持默认
确认配置
检查条件,开始安装
配置完成,重启操作系统
重启完成,登录
至此主域控服务器就安装完成了
新建副域控
同样,也需要配置静态IP地址
加入主域控服务器
加入成功,并重启系统
使用域管理员登录系统
同样,安装好域控角色后将此服务器提升为域控制器
将域控制器添加到现有域
同样,设置服务目录还原模式密码
与DNS安装在一起
指定复制源
安装路径,同样保持默认
核对安装
检查条件,开始安装
配置完成,重启操作系统
至此,副域控也新建完成。
五大角色转移
此时可以看到域控制器有2台,分别是DC01、DC02;同时询FSMO角色可以看到5大角色均位于DC01域控制器上。
右键"nnkin.local"域,选择 “操作主机”
点击“更改”,此时会报如下所示错误
右键"nnkin.local" 域,选择 “更改域控制器”
选中“此域控制器或AD LDS实例”,选中“DC02”,点击“确定”
右键"nnkin.local" 域,选择 “更改域控制器”,此时,再次点击“更改”,未见报错,点击“是”,注意此时是在RID选项卡,故转移的仅仅是RID角色
提示已经成功传送了操作主机角色
同理进行PDC和基础结构主机角色传送
打开AD域和信任关系,右击AD域和信任关系,选择“操作主机”
传送域命名操作主机角色
传输成功
查询FSMO 5大角色迁移状况,可以看到只剩下架构主机角色未迁移。接下来进行架构主机角色迁移。
在迁移前需要首先注册 schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功
运行窗口中输入mmc并回车,打开控制台1,选择“文件”下拉菜单中的“添加或删除管理单元”,选中“Active Directory架构”点击“添加”
选中刚添加的AD架构,并右击,选择“更改Active Directory域控制器”,并选择DC02。
选中刚添加的AD架构,并右击,选择“操作主机” 点击“更改”。
提示传送成功
再次进行FSMO角色查询,可以看到5大角色已经全部传送到DC02域控制器上了
夺回五大角色
有些特殊情况下,如DC01的操作系统挂了,无法开机了,这个时候就可以使用辅助AD强制夺取5大角色。
可以看到当前的五大角色在DC01上面,现将其关机,模拟操作系统故障。
在副本域控操作系统中以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:”?“,可以查看该工具的具体命令
输入:"roles",进入fsmo维护模式,再次输入:"?",可以查看维护命令。
说明:Seize夺取,即在主域控已经挂了情况下,辅助域控强制夺取五大角色。Transfer传送,是在原主域未挂的情况下,传送五大角色到辅助域,适合域升级。
输入命令:connections 回车后,再输入命令:connect to server dc02,当绑定到dc02时,使用 quit 退出服务器连接进入fsmo维护模式,接下来进行主机角色占用,Seize infrastructure master (传送基础结构主机)
同种方式进行传送余下的四个主机角色
- Seize naming master
- Seize PDC
- Seize RID master
- Seize schema master
接下来需要退出fsmo维护模式,进行fsmo 五大角色的查询。可以看到五大角色主机已经成功传送到DC02域控制器上来了。
