ntdsutil夺取FSMO五种角色

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的FSMO 角色。

这五个FSMO角色是：∙架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

∙域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

∙结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

∙相对ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的RID 池请求。

任何时刻，在域中只能有一个域控制器充当RID 主机。

∙PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行Microsoft Windows XP Professional 或MicrosoftWindows 2000 客户端软件的计算机，或者如果包含Microsoft Windows NT 备份域控制器，则PDC 模拟器主机充当Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当PDC 模拟器主机。

您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。

根据您要转移的FSMO 角色，可以使用以下三个MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

若要取回角色，请使用Ntdsutil.exe 实用工具。

回到顶端转移架构主机角色使用“Active Directory 架构主机”管理单元可以转移架构主机角色。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

在一个Windows 2000 目录林中有五个Flexible Single Master Operations (FSMO) 角色。

在Windows 2000 中转移FSMO 角色有两种方法。

本文介绍如何用Microsoft 管理控制台(MMC) 管理单元来转移所有这五个FSMO 角色。

这五个FSMO 角色是：∙架构主机- 每个目录林中有一个主机角色担任者。

架构主机FSMO 角色的担任者是负责对目录架构执行更新的域控制器(DC)。

∙域命名主机- 每个目录林中有一个主机角色担任者。

域命名主机FSMO 角色的担任者是负责对目录的目录林范围的域名空间进行更改的DC。

∙结构主机- 每个域中有一个主机角色担任者。

结构主机FSMO 角色的担任者是负责在一个跨域的对象引用中更新对象的SID 和辨别名的DC。

∙RID 主机- 每个域中有一个主机角色担任者。

RID 主机FSMO 角色的担任者是负责处理来自某一给定域中的所有DC 的“RID 池”请求的单个DC。

∙PDC 模拟器- 每个域中有一个主机角色担任者。

PDC 模拟器FSMO 角色的担任者是一个向较早版本的工作站、成员服务器和域控制器公布自己是主域控制器(PDC) 的Windows 2000 DC。

它还是域主浏览器并负责处理密码差异。

有关Windows 2000 中FSMO 角色的其他信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：CHS197132Windows 2000 Active Directory FSMO 角色用MMC 工具转移FSMO 角色在Windows 2000 中，您可以通过MMC 工具转移所有这五个FSMO 角色。

为使转移成功，双方计算机都必须能够联机访问到。

如果有一个计算机已不存在，则必须取回其角色。

要取回一个角色，必须使用一个叫做Ntdsutil 的实用工具。

有关其他信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章：255504Using Ntdsutil.exe to Seize or Transfer the FSMO Roles to a Domain（使用Ntdsutil.exe 将FSMO 角色取回或转移到一个域）转移特定于域的角色：RID、PDC 和结构主机1.单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”。

方法一使用 Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的 Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机 角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的 FSMO 角色。

这五个 FSMO 角色是：●架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

●域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

●结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

●相对 ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的 RID 池请求。

任何时刻，在域中只能有一个域控制器充当 RID 主机。

●PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器 (PDC) 向运行 Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行 Microsoft Windows XP Professional 或 Microsoft Windows 2000 客户端软件的计算机，或者如果包含 Microsoft Windows NT 备份域控制器，则 PDC 模拟器主机充当 Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当 PDC 模拟器主机。

使用 MMC 管理单元工具来转移 FSMO 角色。

根据您要转移的 FSMO 角色，可以使用以下三个 MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

在windows 2000操作系统中，为配合企业需要，并增加windows的网络管理功能，发展了一种新类型的目录服务--活动目录(active directory)，在活动目录中包含了active directory域中所有相关资源的对象及该域用户的相关信息，该域的策略和其他重要的域服务信息。

可以说，活动目录采用了与原来NT系统完全不同的方式保存数据信息。

Windows 2000 活动目录数据实际是保存在一个数据库文件中，这个文件就是%SystemRoot%\ ntds\NTDS.DIT(文件位置可以在安装时指定，不过必须是存放在NTFS格式分区上的).ntds.dit 文件可以说是整个活动目录的核心，其中包括了用户帐号信息等等的相关资料. 活动目录的数据库引擎被称为 ExtensibleStorage Engine ( ESE )，Exchange和WINS都可以利用构建在这个数据引擎上的数据库. ESE存储容量高达16 兆兆个字节，能包含一千万之多的数据对象。

只有活动目录的数据库能包含如此多的信息(微软资料宣传的).活动目录的ESE数据库*NTDS.DIT*中包含以下几个数据表:Schema表这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。

包括各种类型对象的可选及不可选的各种属性。

这个表是活动目录数据库中最小的一个表，但是也是最基础的一个表。

Link 表link表包含所有属性的关联，包括活动目录中所有对象的属性的值。

一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等信息都属于这个表。

这个表要大于Schema 表，但与Data 表相比要小。

Data table活动目录中用户，组，应用程序特殊数据和其他的数据全部保存在Data表中。

这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。

换一个角度来说明的话，可以认为活动目录中有三种不同类型的数据Schema信息能在活动目录中创建并存储在活动目录中的所有对象和属性的详细信息，例如：你能在活动目录中新创建一个用户或是联系人，这是因为活动目录已经预先设置了这种类型的对象在活动目录对象中。

主域控制损坏安装新域控制FSMO角色转移详细过程[ 来源：| 作者：| 时间：2008-9-6 10:48:35 | 浏览：13 人次]FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作)由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器.这个过程的实施给写下来:服务器操作软件资源站">下载">系统.2003Entprise Edition客户端系统.XP pro拓朴如下:现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的.购买了一台新的机器,放到这个网络来了,IP:那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来.操作过程如下新机器上操作)检查跟DC的域名解释.建立BDC输入具有权限的用户,我用的是administrator,属于enterprise admins现有DNS名称.数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统.输放还原模式密码,用于目录服务的还原.BDC建立成功.BDC重启.接下来在BDC上建立DNS服务器,同步AD信息.打开控制面版,winodws组件向导.BDC的DNS指向自己.接着在运行输入dnsmgmt.msc新建正向区域.输入域名.允许动态更新.重新加载DNS,目的是让区域生成SRV(资源指针记录).用到命令如图,,或重新启动.接下来可以指自己做为GC.在运行里输放dssite.msc用到的命令是命令符下,ntdsutil具体命令作用,在这我不详述.后接命令,请用问号,有详细的中文说明.以下图是用于建立连接.转移用的是transfer命令以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图)这也问到重点了.跟转移时用法一样,但这时DC是在线的.如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize....这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的)把如4个角色像刚才一样操作,那就5种角色转移成功.。

Server 2012 R2 部署域控、额外域控及FSMO角色转移和夺取网络环境：+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.1/24+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：IP池：192.168.100.20-192.168.100.250网关：无DNS：192.168.100.1，192.168.100.2配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

主域控器与备份域控器之间的角色转换平滑过渡：1、在活动目录用户和计算机的域控制器里已经有两台或多台域控制（PDC&BDC）2、再查看一下FSMO（五种主控角色）的owner，安装Windows Server 安装光盘中的Support目录下的support tools工具，3、然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，4、现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出。

5、输入？回车可看到以下信息：1.Connections - 连接到一个特定域控制器2.Help - 显示这个帮助信息3.Quit - 返回到上一个菜单4.Seize domain naming master - 在已连接的服务器上覆盖域角色5.Seize infrastructure master - 在已连接的服务器上覆盖结构角色6.Seize PDC - 在已连接的服务器上覆盖 PDC 角色7.Seize RID master - 在已连接的服务器上覆盖 RID 角色8.Seize schema master - 在已连接的服务器上覆盖架构角色9.Select operation target - 选择的站点，服务器，域，角色和命名上下文10.Transfer domain naming master - 将已连接的服务器定为域命名主机11.Transfer infrastructure master - 将已连接的服务器定为结构主机12.Transfer PDC - 将已连接的服务器定为 PDC13.Transfer RID master - 将已连接的服务器定为 RID 主机14.Transfer schema master - 将已连接的服务器定为架构6、然后分别输入：1.Transfer domain naming master 回车2.Transfer infrastructure master 回车3.Transfer PDC 回车4.Transfer RID master 回车5.Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上按Q退出界面，7、这五个步骤完成以后，检查一下是否全部转移到备份域控制器上了，打开在第9步时装windows support tools,开始－>程序->windows support tools->command prompt,输入netdom query fsmo,全部转移成功.现在五个角色的owner都是备份域控制器了.8、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。

在我们的工作中，难免会发生一些服务器硬件故障的一些问题。

对于此种问题，我应该如何解决呢？当然，本文只能给你一些小的简单提示。

具体环境与解决办法全是依靠实际情况而定……案例：Xxx公司拥有两台DC，分别为DC1和DC2.DC1为主域，DC2为辅助域控。

在这里我不得不说一下角色的分布：DC1：GC+重命名主机+RID+PDC （典型的角色分布）DC2：基础结构主机(辅助DNS）近期，由于DC1的硬件出现灾难性的故障（比如硬盘坏掉了），现已送供应商处送修。

此时，公司似乎面临问题：1.主域控离线，用户利用缓存登入后，无法正常工作。

2.要解决问题1，就需要夺取原主域控的角色。

3.夺取域控角色后，原主域将永久离线，无法再登入域环境。

4.为了不让下面的客户端受到影响，我们还需要清理活动目录中的相关信息。

进入系统，使用ntdsutil来进行活动目录角色的管理：小插曲：笔者前几次在都在活动目录的恢复，所以常进入活动目录的恢复模式，导致每次都会报错。

笔者从多个方面进行排错，也未能找到原因。

才想起应该在正常模式下进行使用时！现在想想，很是郁闷啊。

哈哈。

夺取主域的角色：1.进入活动目录角色管理模式：2.选择我们要进行管理与编辑的域、站点3.使用当前的用户凭证进行连接（如果你进入了域还原模式，那么这里肯定是不成功的）4.进行Fsmo maintenance,开始夺取角色：Seize domain naming master夺取域重命名角色（在夺取过程中，因为DC1已经离线，所以会有传送失败的字样，不过你不用管它，因为它在无法传送的情况下，便开始夺取了。

）Seize schema master夺取域架构主机角色Seize PDC夺取PDC角色Seize RID masterOK,角色夺取成功了。

现在我们来看看DC2的拥有哪些角色吧！呵呵，现在角色夺取成功。

并不表示完成，因为这才是工作的开始！因为原DC1的角色被夺取走了，所以原DC1将无法再登入域，即使DC 1已经完全修好。