本文最后更新于 187 天前,其中的信息可能已经有所发展或是发生改变。
在迁移 Windows Active Directory FSMO(Flexible Single Master Operation)五大角色时,通常有两种情况:一种是域控制器正常迁移并下线(transfer),另一种是强制夺取这些角色(seize)。接下来,木子将基于 PowerShell 和 CMD 两种命令行方式详细说明如何进行迁移。
五大角色
当您准备将主域控制器(简称主域控,PDC)退域时,需要先确保域内的 FSMO(Flexible Single Master Operations)五大角色已经转移到其他域控制器。这五个角色是:
- Schema Master(架构主控):负责域架构的更新和修改。
- Domain Naming Master(域命名主控):管理域的添加和删除。
- RID Master(相对标识符主控):负责为域内的所有域控制器分配唯一的安全标识符(SID)。
- PDC Emulator(主域控仿真器):处理旧版客户端的认证请求和一些密码相关任务。
- Infrastructure Master(基础结构主控):负责跨域对象引用的更新。
迁移步骤
- 全局编录(GC):
- 确保辅助域控具有全局编录(GC)。
- 转移 FSMO 角色:
- 使用 Active Directory 用户和计算机、Active Directory 架构管理、Active Directory 域和信任关系等界面工具,或者通过 PowerShell 等将五大角色转移到另外一个或者多个域控。
- 验证角色转移成功:
- 确认五大 FSMO 角色已经转移并在新的域控制器上工作。可以通过命令
netdom query fsmo或者相应的管理工具进行确认。
- 确认五大 FSMO 角色已经转移并在新的域控制器上工作。可以通过命令
- 降级并退域:
- 使用
dcpromo命令或者服务器管理器中的降级 AD 角色向导将 PDC 降级,这将使得它退出 Active Directory 服务角色。 - 最终,确认它已经成功从域中移除。
- 使用
注意事项
- 数据备份:在执行上述操作之前,强烈建议备份关键数据和系统状态,以防任何意外情况。
- 服务稳定性:确保域内其他域控制器都正常运行,且能顺利接替 PDC 的角色和任务。
- 适当通知:提前通知所有相关人员或部门,以便在操作过程中得到必要的配合,避免对业务造成影响。
开始迁移
环境说明:Windows Server 2012 R2
为了快速操作,这里使用命令行执行迁移,相关图形界面操作参考官方文档链接。
启用全局编录(GC): 打开 AD 站点和服务管理器 — Sites — Default-First-Site-Name — Servers — 指定域控 — NTDS Settings 右键单击【属性】,在弹出的属性页面勾选“全局编录”,然后点击【确定】,等待 5-10 分钟确保整个域同步完成。
使用 PowerShell 命令行迁移:
# 确保已经安装 Active Directory 模块 PS C:\Users\administrator.RL> Import-Module ActiveDirectory # 获取指定域控制器的对象 PS C:\Users\administrator.RL> $dc = Get-ADDomainController -Identity "ad-002" # 启用全局编录 PS C:\Users\administrator.RL> Set-ADObject -Identity $dc -Replace @{options=$($dc.options -bor 1)} # 禁用全局编录 # Set-ADObject -Identity $dc -Replace @{options=$($dc.options -band -2)} # 确保启用全局编录成功 PS C:\Users\administrator.RL> Get-ADDomainController -Filter {IsGlobalCatalog -eq $true} | Select-Object -Property HostName, IsGlobalCatalog HostName IsGlobalCatalog -------- --------------- ad-001.RL.com True ad-002.RL.com True ad-003.RL.com True # 获取域范围内的 FSMO 角色持有者 PS C:\Users\administrator.RL> $domain = Get-ADDomain PS C:\Users\administrator.RL> $forest = Get-ADForest # 输出 FSMO 角色持有者信息 PS C:\Users\administrator.RL> $fsmoRoles = @{ "RID Master" = $domain.RIDMaster; "PDC Emulator" = $domain.PDCEmulator; "Infrastructure Master" = $domain.InfrastructureMaster; "Schema Master" = $forest.SchemaMaster; "Domain Naming Master" = $forest.DomainNamingMaster } PS C:\Users\administrator.RL> $fsmoRoles Name Value ---- ----- RID Master ad-001.RL.com PDC Emulator ad-001.RL.com Infrastructure Master ad-001.RL.com Schema Master ad-001.RL.com Domain Naming Master ad-001.RL.com # 转移 Schema Master PS C:\Users\administrator.RL> Move-ADDirectoryServerOperationMasterRole -Identity ad-002 -OperationMasterRole SchemaMaster # 转移 Domain Naming Master PS C:\Users\administrator.RL> Move-ADDirectoryServerOperationMasterRole -Identity ad-002 -OperationMasterRole DomainNamingMaster # 转移 RID Master PS C:\Users\administrator.RL> Move-ADDirectoryServerOperationMasterRole -Identity ad-002 -OperationMasterRole RIDMaster # 转移 PDC Emulator PS C:\Users\administrator.RL> Move-ADDirectoryServerOperationMasterRole -Identity ad-002 -OperationMasterRole PDCEmulator # 转移 Infrastructure Master PS C:\Users\administrator.RL> Move-ADDirectoryServerOperationMasterRole -Identity ad-002 -OperationMasterRole InfrastructureMaster # 确保迁移成功 PS C:\Users\administrator.RL> $fsmoRoles = @{ "RID Master" = $domain.RIDMaster; "PDC Emulator" = $domain.PDCEmulator; "Infrastructure Master" = $domain.InfrastructureMaster; "Schema Master" = $forest.SchemaMaster; "Domain Naming Master" = $forest.DomainNamingMaster } PS C:\Users\administrator.RL> $fsmoRoles Name Value ---- ----- RID Master ad-002.RL.com PDC Emulator ad-002.RL.com Infrastructure Master ad-002.RL.com Schema Master ad-002.RL.com Domain Naming Master ad-002.RL.com
温馨提醒
在 PowerShell 命令行,如果需要强制进行角色夺取,可以添加参数
-Force。使用 CMD 命令行迁移:
# 查看当前五大角色所有域控 PS C:\Users\administrator.RL> netdom query fsmo 架构主机 ad-001.RL.com 域命名主机 ad-001.RL.com PDC ad-001.RL.com RID 池管理器 ad-001.RL.com 结构主机 ad-001.RL.com 命令成功完成。 # 开始迁移 PS C:\Users\administrator.RL> ntdsutil C:\Windows\system32\ntdsutil.exe: roles fsmo maintenance: connections server connections: connect to server ad-002 绑定到 ad-002 ... 用本登录的用户的凭证连接 ad-002。 server connections: q fsmo maintenance: transfer infrastructure master 服务器 "ad-002" 知道有关 5 作用 架构 - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 命名主机 - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com PDC - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com RID - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 结构 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com fsmo maintenance: transfer naming master 服务器 "ad-002" 知道有关 5 作用 架构 - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 命名主机 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com PDC - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com RID - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 结构 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com fsmo maintenance: transfer PDC 服务器 "ad-002" 知道有关 5 作用 架构 - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 命名主机 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com PDC - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com RID - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 结构 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com fsmo maintenance: transfer RID master 服务器 "ad-002" 知道有关 5 作用 架构 - CN=NTDS Settings,CN=ad-001,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 命名主机 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com PDC - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com RID - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 结构 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com fsmo maintenance: transfer schema master 服务器 "ad-002" 知道有关 5 作用 架构 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 命名主机 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com PDC - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com RID - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com 结构 - CN=NTDS Settings,CN=ad-002,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=RL,DC=com fsmo maintenance: q C:\Windows\system32\ntdsutil.exe: q # 验证切换是否成功 PS C:\Users\administrator.RL> netdom query fsmo 架构主机 ad-002.RL.com 域命名主机 ad-002.RL.com PDC ad-002.RL.com RID 池管理器 ad-002.RL.com 结构主机 ad-002.RL.com 命令成功完成。
温馨提醒
在 CMD 命令行,如果需要强制进行角色夺取,只需要将命令行中的
transfer 替换成 seize 即可,比如:seize schema master。参考文献
[1] View and transfer FSMO roles – Windows Server | Microsoft Learn
[2] AD Forest Recovery – Seizing an Operations Master Role | Microsoft Learn
[3] Move-ADDirectoryServerOperationMasterRole (ActiveDirectory) | Microsoft Learn
版权声明:「自由转载-保持署名-非商业性使用-禁止演绎 3.0 国际」(CC BY-NC-ND 3.0)
用一杯咖啡支持我们,我们的每一篇[文档]都经过实际操作和精心打磨,而不是简单地从网上复制粘贴。期间投入了大量心血,只为能够真正帮助到您。
