fsmo角色迁移和夺取.doc

二FSMO角色的转移。须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。1Schema Maste在进行SCHEMA MASTE的图形下转移前，要先对schmmgmt注册。点击“开始-运行”，输入:“regsvr32 schmmgmt”，回车:注册成功。运行MMC，“添加/删除管理单元”，将“Active Directory架构”添加进去。在控制台上选中“Active Directory架构”点击“右键”，选择“操作主机”如下图所示，当前的架构主机是DC1。 点击“更改”出现提示“您确实要更改架构主机？”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图：2RID Master、Infrastructure Master、PDC Emulator打开“Active Directory用户和计算机”，选中“TEST.CN”域，右键选“操作主机”在这里依次更改RID Master、Infrastructure Master、PDC Emulator 3Domain Naming Master打开“Active Directory域和信任关系”管理器，在“Active Directory域和信任关系”上点右键，选操作主机在出现的新窗口上，点击更改。 三FSMO角色的夺取。当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。以下是命令行的步骤打红线的地方，是要注意的地方，“connect to server “这里是连接到域，实际中，将其改为公司的域名就可以了。在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移(transfer)。这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmo maintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。1Seize domain naming master在出现的对话框点“是” 2Seize infrastrurcture master呵呵，出错了！不过没关系，这是正常的，因为主域DC1不在线，所以在夺取时会有这个出错信息。红线部份给出了索取继续，所以结构角色会夺取到DC2上，接下来的各个角色的夺取也会有这个出错信息。 3Seize PDCSeize RID master5Seize schema masterOK，至此，FSMO的五个角色就全部夺取完成。再次运行脚本程序或在图形方式下查看，五个角色都已在DC2服务器上。四删除损坏DC的信息对于网络中DC1损坏，虽然经过以上的FSMO角色夺取到DC2上后，整个域已可以正常使用。但在日志中，还是会有AD数据库复制信息出错的提示。对于DC1由于损坏已不存在了，所以我们可以将DC1这台域控制器的一些想关信息从域中删除。1ntdsutil命令行工具。在DC2域控制器上运行ntdsutil以下是ntdsutil工具执行的步骤：C:Documents and SettingsAdministrator.TESTntdsutilntdsutil: ? - 显示这个帮助信息Authoritative restore - 授权还原 DIT 数据库Configurable Settings - 管理可配置的设置Domain management - 准备新域创建Files - 管理 NTDS 数据库文件Help - 显示这个帮助信息LDAP policies - 管理 LDAP 协议策略Metadata cleanup - 清理不使用的服务器的对象Popups %s - 用“on”或“off”启用或禁用弹出Quit - 退出实用工具Roles - 管理 NTDS 角色所有者令牌Security account management - 管理安全帐户数据库 - 复制 SID 清理Semantic database analysis - 语法检查器Set DSRM Password - 重置目录服务还原模式管理员帐户密码ntdsutil: metadata cleanupmetadata cleanup: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Remove selected domain - 删除所选域的 DS 对象Remove selected Naming Context - 为定的命名上下文删除 DS 对象Remove selected server - 从所选服务器上删除 DS 对象Remove selected server %s - 从所选服务器上删除 DS 对象Remove selected server %s on %s - 从所选服务器上删除 DS 对象Select operation target - 选择的站点，服务器，域，角色和命名上下文metadata cleanup: select operation targetselect operation target: connectserver connections: connect to domain 绑定到 DC2. .用本登录的用户的凭证连接 DC2.。server connections: qselect operation target: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息List current selections - 列出当前的站点/域/务?命名上下文List domains - 列出所有包含交叉引用的域List domains in site - 列出所选站点中的域List Naming Contexts - 列出已知命名上下文List roles for connected server - 列出已连接的服务器已知的角色List servers for domain in site - 列出所选域和站点中的服务器List servers in site - 列出所选站点中的服务器List sites - 在企业中列出站点Quit - 返回到上一个菜单Select domain %d - 将 %d 域定为所选域Select Naming Context %d - 使命名上下文 %d 为选定的命名上下文Select server %d - 将 %d 服务器定为所选服务器Select site %d - 将 %d 站点定为所选站点select operation target: list sites找到 1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnselect operation target: select site 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn没有当前域没有当前服务器当前的命名上下文select operation target: list domains in site找到 1 域0 - DC=test,DC=cnselect operation target: select domain 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn域 - DC=test,DC=cn没有当前服务器当前的命名上下文select operation target: list servers for domain in site找到 2 服务器0 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn1 - CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnselect operation target: select server 0站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cn域 - DC=test,DC=cn服务器 - CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnDSA 对象 - CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=cnDNS 主机名称 - DC1.计算机对象 - CN=DC1,OU=Domain Controllers,DC=test,DC=cn当前的命名上下文select operation target: qmetadata cleanup: ? - 显示这个帮助信息Connections - 连接到一个特定域控制器Help - 显示这个帮助信息Quit - 返回到上一个菜单Remove selected domain - 删除所选域的 DS 对象Remove selected Naming Context - 为定的命名上下文删除 DS 对象Remove selected server - 从所选服务器上删除 DS 对象Remove selected server %s - 从所选服务器上删除 DS 对象Remove selected server %s on %s - 从所选服务器上删除 DS 对象Select operation target - 选择的站点，服务器，域，角色和命名上下文metadata cleanup: remove selected server点“是”后如下图所示：Win2000到Win2003域的迁移 我院购置了相关服务器后，进行Win2000到Win2003域的迁移，该域现有500多个用户，负责医院各系统服务的认证工作。表1 原有域服务器信息服务器主域控制器额外域控制器主机名AA1IP地址1掩码网关DNS2所属角色domain naming masterPDCinfrastructure masterRID masterschema master表2 新域服务器信息服务器主域控制器额外域控制器主机名BB1 IP地址2掩码网关DNS2所属角色domain naming masterPDCinfrastructure masterRID masterschema master原有域服务器的操作系统均为Windows 2000 Server,而本次新的域服务器操作系统改用Windows 2003 Enterprise Server。要实现2000域到2003域的迁移，我们主要通过以下步骤实现：1.在拥有架构主机角色（schema master）的域控制器上更新林信息。2.在拥有结构主机角色（infrastructure master）的域控制器上更新域信息。3.将两台新服务器（Windows 2003系统）作为额外域控制器加入2000域中。4.通过ntdsutil工具将5种FSMO角色转换到新主域控制器上。5.开启新域控制器的全局编录（等待更新同步）。6.去除原有域控制器的全局编录。一、更新林信息1.到架构主机A1服务器上做更新林的操作。更新林或域的工具Adprep.exe位于Windows 2003 Enterprise Server安装光盘的I386目录下,将操作系统光盘插入光驱，并把I386目录拷贝到服务器本机D盘根目录下。运行窗口中键入cmd，进入命令行模式后点击“开始运行cmd”，将当前目录切换到Adprep.exe目录下。具体操作如下：Microsoft Windows 2000 Version 5.00.2195(C) 版权所有 1985-2000 Microsoft Corp.C:Documents and SettingsAdministratorD:D:cd win2003D:win2003cd i386D: win2003i3862.运行adprep /forestprep更新林信息，在操作之前应确保Windows 2000系统已经打上SP2以上补丁,如满足要求则依照提示输入“C”,并按回车键，其生成信息如下：adprep /forestprepADPREP 警告:运行Adprep之前，此林中的所有Windows 2000域控制器必须升级到带QFE 265089的Windows 2000 Service Pack 1（SP1），或者升级到Windows 2000 SP2（或更新）。需要QFE 265089（包括在Windows 2000 SP2和更新版本中）以防止可能的域控制器损坏。用户操作如果所有现存的 Windows 2000 域控制器满足此要求，键入C，然后按ENTER以继续。否则，键入任何其他键并按 ENTER以退出。cSSPI 连接到“A1”用 SSPI 作为当前用户登录从 D:WINNTsystem32sch14.ldf 文件输入目录加载项目. 111 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch15.ldf 文件输入目录加载项目. 68个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从 D:WINNTsystem32sch16.ldf 文件输入目录加载项目.33 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch17.ldf 文件输入目录加载项目.21 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch18.ldf文件输入目录加载项目.32个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch19.ldf文件输入目录加载项目.27 个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch20.ldf文件输入目录加载项目.19个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch21.ldf文件输入目录加载项目.13个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch22.ldf 文件输入目录加载项目.39个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch23.ldf文件输入目录加载项目.10个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch24.ldf 文件输入目录加载项目.15个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch25.ldf文件输入目录加载项目. 45个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch26.ldf文件输入目录加载项目.28个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch27.ldf文件输入目录加载项目.68个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch28.ldf文件输入目录加载项目.5个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch29.ldf文件输入目录加载项目.6个项目修改成功。指令成功完成连接到“A1”用SSPI作为当前用户登录从D:WINNTsystem32sch30.ldf文件输入目录加载项目.15个项目修改成功。指令成功完成. Adprep成功更新了全林性信息。二、更新域信息在完成林信息更新后,还需到结构主机A服务器上更新域信息,因为当结构主机（infrastructure master）和架构主机（schema master）角色位于不同主机上时,在做完林更新后需要等待一段时间(15分钟或更长),使信息得到同步,在同步尚未完成前进行域更新将有如下提示：E:I386adprep /domainprep更新全域性信息之前，必须更新全林性信息。用户操作登录到此林的架构主机 A1.，从安装媒体运行如下命令先完成林更新:adprep.exe /forestprep然后在结构主机重新运行 adprep.exe /domainprep。1.域更新和林更新方法相同,均使用安装光盘自带的Adprep.exe工具来实现，可把I386复制到服务器本机上或者直接读取光盘的方式来调用。2在I386目录下输入adprep /domainprep来更新域信息，如之前的同步已完成，在输入命令后可直接得到完成信息：E:I386adprep /domainprepAdprep 成功更新了全域性信息。三、加入Win2000域1.在完成对林信息和域信息的更新后,可将新的服务器(Windows2003系统)加入原有的2000域中。注意：如没有进行林和域信息更新,则装有Windows2003系统的服务器是无法作为额外域控制器加入2000域的。2.要作为额外域控制器加入域,可在命令提示栏输入：dcpromo,按提示选择,最后选择作为现有域的额外域控制器。3.用同样的方法将两台服务器都作为额外域控制器加入到2000域中。四、转换FSMO角色1.在Windows 2000系统之后,域环境中不再区分主域控制器和备份域控制器,改为主域控制器和额外域控制器,其地位功能都是相等的,区别在于五种FSMO角色的所属主机,当某台主机建立域时,五种角色都位于第一台域控制器上,当有多台域控制器时,为实现不同的功能主机,可用ntdsutil命令对角色进行转换。2.Netdom位于Windows2003安装光盘support目录下,可点击同一目录下的安装程序进行安装,如已经选择安装,则可在命令行下直接调用命令（用于查询角色）。3.可使用系统自带的ntdsutil命令进行角色转换,并用netdom命令进行角色查询确认。注意:角色转换需要时间进行同步,时间和网络环境的复杂程度有关,在同步完成前,无法进行角色查询,或者用“AD用户和计算机操作主机”查看时会当前操作主机显示为”错误”。4.以下为角色转换的操作过程,附带相关说明:Microsoft Windows 版本 5.2.3790(C) 版权所有 1985-2003 Microsoft Corp.C:Documents and SettingsAdministrator.QZDYYYntdsutil /使用ntdsutil工具ntdsutil: roles /进行角色操作fsmo maintenance: connections /进行连接操作server connections: connect to server B /选择连接对象为B绑定到 B .用本登录的用户的凭证连接 B。server connections: quit /退出角色操作fsmo maintenance: ? - 显示这个帮助信息 Connections - 连接到一个特定域控制器 Help - 显示这个帮助信息 Quit - 返回到上一个菜单 Seize domain naming master - 在已连接的服务器上覆盖域角色 Seize infrastructure master - 在已连接的服务器上覆盖结构角色 Seize PDC - 在已连接的服务器上覆盖 PDC 角色 Seize RID master - 在已连接的服务器上覆盖 RID 角色 Seize schema master - 在已连接的服务器上覆盖架构角色 Select operation target - 选择的站点，服务器，域，角色和命名上下文 Transfer domain naming master - 将已连接的服务器定为域命名主机 Transfer infrastructure master - 将已连接的服务器定为结构主机 Transfer PDC - 将已连接的服务器定为 PDC Transfer RID master - 将已连接的服务器定为 RID 主机 Transfer schema master - 将已连接的服务器定为架构主机fsmo maintenance: transfer domain naming master /转换域命名主机服务器 B 知道有关 5 作用架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comPDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comRID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com结构 - CN=NTDS Settings,CN=A,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comfsmo maintenance: transfer infrastructure master /转换结构主机服务器 B 知道有关 5 作用架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comPDC - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comRID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comfsmo maintenance: transfer pdc /转换PDC服务器 B 知道有关 5 作用架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comPDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comRID - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comfsmo maintenance: transfer rid master /转换RID主机服务器 B 知道有关 5 作用架构 - CN=NTDS Settings,CN=A1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com域 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comPDC - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=comRID - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=qzdyyy,DC=com结构 - CN=NTDS Settings,CN=B,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configu