2003域控下fsmo角色转移_命令行方式+删除无用DC信息.docxVIP

本例中准备测试的项目有，主备域控互换， FSMO 角色转移，批量添加域用户 转移中的FSMO角色有：PDC Emulatior，RID master，域命名主机，架构主机，基础结构主机 还有个很重要的 全局编录（GC） 准备工作：2台03做主备DC+dns，一台03 客户端测试，一台08 域名： 主域控： 主DNS指向自己，备用DNS指向另外一台DC 备域控： 主DNS指向自己，备用DNS指向另外一台DC 流程大概为： 。首先 将S1电脑升级为域内第一台域控和默认DNS， 。然后在里面批量添加域用户，这个我以前写过一个文档，这里不多说， 。客户机登录测试， 。然后安装备域控S2，同步数据。 。客户机登录测试 。关闭S1登录测试 。转移S1的FSMO角色到S2，S1降级， 。查看角色，客户机登录测试 。S1升级为备用域控，S2断网，强夺S2角色 。查看角色，客户机登录测试 。删除S2的信息 。S2彻底消失 --------------------------------------------------------- S1安装域控和DNS ，过程 图略 查看FSMO角色，恩。都在S1上 批量加域用户，有点无脑，略 S2加入域，登录测试 S2运行DCPROMO,选择现有额外的域控制器 输入有域架构权限的帐号， 选择域名，这里只有这个可以用 选择安装路径，和设置目录还原模式密码 图略 开始同步 完成，这次比较快，毕竟新安装的。 点完成后提示重启。 过会发现OU下的用户同步了 发现没有安装DNS... 安装DNS组件，过程略。 安装完成后发现S2的辅助域控DNS里面啥子都没有，别急，等一回，DNS会自动同步数据。 现在加入一台客户机到域里面，登录后 在CMD下输入 set 注意 下图中的 logonserver=\\S1 这行表示现在登录到的DC是S1. 现在将S1断线，就当是掉线或挂掉了，客户机重新登录，这次登录花了点时间， 现在来看 loginserver变量值为S2了。 下面开始将向S2转移角色（命令界面），先将S1的网线接回来。 在S2 上 打开Active Directory 站点和服务，将S2设置为全局编录(GC)服务器 在CMD下输入ntdsutil 回车， roles 回车 可以看到命令的语法，有Seize 和Transfer 其中 如果主DC在线的话，那好说,用Transfer,主DC不在线的话，那就强夺角色 就要用Seize。 继续，我们输入connections 然后回车 connect to server 这里要输入额外DC的全域名 很抱歉这里犯了个错误，连接到服务器后，要输入quit 退出 server connections,然后开始转移角色。 输入 ？ 可以显示命令帮助 我们先转移域命名角色 Transfer domain naming master,出现确认窗口，是 显示结果，应该是成功了。 **转移其他角色命令同样的操作，唯一的不同是，PDC 模拟器角色的捕获是一个例外，它的语法是 transfer pdc 而非 transfer pdc emulator 以上是装载的其他前辈的文章， 可是这里显示的命令就是 transfer pdc 而非 transfer pdc emulator 我估计是后续的补丁中更改了命令的显示。 其他角色的转移就不留图了，转移完，quit 退出，显示角色 都在上了。 操作转回S1主机 然后将 主DC S1的全局编录勾勾去掉，确保相同位置上S2的勾存在，运行dcpromo 降级为成员服务器。图略， 然后升级为额外域控... 图略，DNS 不需要变动。 可以用dcdiag 和netdiag2个命令检测下DC之间的连通性。 将S1提升为全局编录服务器，等待同步，至于时间，不确定 我等了10分钟。 然后用VM的快照功能将S2这台电脑返回到刚装系统的时候，用来模拟S2 主机故障。 开始抢夺角色，同样的流程，只是这次用seize 在seize 之前，命令会先用transfer尝试， 别看上面有错误提示，那是transfer失败，seize成功了，再开个CMD查询下角色 接下来seize其他角色，图略。 等角色全部seize完毕， 还有一步要记得删除域内的S2信息，因为S2是直接消失的，还没有降级操作。 参考文档/kb/216498/zh-cn 步骤比较多。 同样在S1上运行 ntdsutil 输入 ？ 可以得到命令帮助 ×××××红色为输入命令 绿色为说明 ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: c