FSMO五大角色轉移教程

2023-08-15 18:46:27

在域控制器的系統升級或災難恢復過程中，涉及到五種FSMO角色，即：結構主機、PDC模擬器、RID主機、域命名主機和架構主機。對這五種角色的成功操作與否，將直接影響域控制器的升級或災難恢復的成敗。

說明：本實驗中使用的2臺DC分別是AD和AD-FSMO，AD在進行遷移前做了快照。

1.一鍵奪取FSMO 5大角色

首先來看這臺即將被奪取FSMO角色的AD，IP地址為192.168.1.1/24，閘道器：192.168.1.2

域中有一臺客戶端計算機Client，用於測試在域控AD掛掉且轉移FSMO後測試Client是否仍可正常工作

可寫域控制器可以看到只有一臺AD，如下所示

本次測試用到的域使用者是Lelon

接下來再準備一臺DC，我這裡是AD-FSMO，用來將原AD上的FSMO角色遷移到該DC上，具體配置如下所示，注意DNS要指向原AD的DNS，我這裡AD和DNS位於同一臺伺服器上

安裝AD和DNS角色，下一步

提示安裝成功，點選“將此伺服器提升為域控制器”

選中“將域控制器新增到現有域”，下一步

勾選“全域性編錄（GC）”，選擇站點名稱，輸入DSRM密碼，下一步

下一步

下一步

點選“安裝”

提示此伺服器已成功配置為域控制器，點選“關閉”

可以看到域中的計算機帳戶已經順利同步到了新安裝的域控AD-FSMO上

域控制器AD-FSMO也是GC

域使用者Lelon也已經同步過來了

現在模擬域控制器AD掛掉，將其關機

此時登入到AD站點和服務，展開對應站點“陝西”下的Servers資料夾，選中並展開模擬掛掉的AD，右擊刪除掉“NTDS Settings”（說明：深圳站點對應的是RODC）

點選“是”

點選“刪除”

點選“是”

此時，會提示“選定的伺服器當前擔當一個或多個FSMO主機角色，為了繼續進行刪除操作，必須將這些角色移動到新伺服器上”，此時可以先不點選“確定”，以管理員身份開啟命令提示符，輸入命令：netdom query fsmo ，可以看到點選確定之前FSMO角色還在已經掛掉的域控AD上

當點選“確定”後，再次進行FSMO角色查詢，可以看到FSMO的五個角色已經被成功轉移到了新安裝的域控制器AD-FSMO上了

登入AD使用者和計算機，刪除掉原有域控AD

登入到Client，變更Client DNS伺服器，同時我們在進行ping原有AD，提示目標主機不可達

本實驗已經完成

2.利用圖形介面奪取FSMO 5大角色

說明：此時實驗用到2臺DC分別是AD和AD-fsmo1，AD我使用上個實驗前建立的快照。

同樣，需要新安裝一臺域控制器AD-fsmo1，並將其加入到現有域中

勾選“域名系統（DNS）伺服器和全域性編錄（GC）”，選擇站點名稱，並輸入DSRM密碼，下一步

採用預設，下一步

提示，此伺服器已成功配置為域控制器

此時可以看到域控制器只有3臺AD、AD-FSMO1和RODC，RODC本次實驗不用。查詢FSMO角色可以看到5大角色均位於AD域控制器上

以命令dsa.msc開啟AD使用者和計算機，右擊“Corp.sxleilong.com”域，選擇“操作主機”

點選“更改”，此時會報如下所示錯誤

右擊“Corp.sxleilong.com”，選擇“更改域控制器”

選中“此域控制器或AD LDS例項”，選中“AD-fsmo1”，點選“確定”

此時，再次點選“更改”，未見報錯，點選“是”，注意我們此時是在RID選項卡，故轉移的僅僅是RID角色

提示已經成功傳送了操作主機角色

同理進行PDC主機角色傳送

還有基礎結構主機角色傳送

以命令domain.msc開啟AD域和信任關係，右擊AD域和信任關係，選擇“操作主機”

傳送域命名操作主機角色

以管理員身份開啟命令提示符視窗，查詢FSMO 5大角色遷移狀況，可以看到只剩下架構主機角色未遷移。接下來進行架構主機角色遷移。

在遷移前需要首先註冊schmmgmt.dll，輸入命令：regsvr32 schmmgmt.dll，回車後提示註冊成功

執行視窗中輸入mmc並回車，開啟控制檯1，選擇“檔案”下拉選單中的“新增或刪除管理單元”，選中“Active Directory架構”點選“新增”

選中剛新增的AD架構，並右擊，選擇“操作主機”

點選“更改”，提示傳送成功

再次進行FSMO角色查詢，可以看到5大角色已經全部傳送到AD-fsmo1域控制器上了

本實驗結束

3.利用命令再奪回FSMO 5大角色

以管理員身份開啟命令提示符視窗，輸入：ntdsutil，回車，然後再輸入：？，可以檢視該工具的具體命令（此時fsmo 5大角色位於AD-fsmo1上，我們將其奪回到原有AD上）

輸入：roles，進入fsmo維護模式，再次輸入：？，可以檢視維護命令。

說明：Seize奪取，即在主AD已經掛了情況下，輔助AD強制奪取5大角色。Transfer傳送，是在原主AD未掛的情況下，傳送5大角色到輔助AD，適合AD升級。

輸入命令：connections回車後，再輸入命令：connect to server ad，當繫結到ad時，退出伺服器連線進入fsmo維護模式，再次打問號：？檢視都有哪些命令可以使用。接下來進行主機角色傳遞，Transfer infrastructure master （傳送基礎結構主機）

同種方式進行傳送餘下的幾個主機角色

接下來需要退出fsmo維護模式，進行fsmo 5種角色的查詢。可以看到5種角色主機已經成功傳送到原有域控制器AD上

實驗結束。