使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器

AD五大角色轉移及GC移轉說明在樹系中，至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對 ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。

例如，如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為 Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種 MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

域控制器降级操作指南1. Windows Server 2003 域控制器在默认情况下支持强制降级。

单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

4. 在“强制删除Active Directory”页中，单击“下一步”。

5. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

6. 在“摘要”中，单击“下一步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。

如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。

如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表(ACL)。

如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。

有关从域控制器中删除Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章。

使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会删除被降级的计算机的元数据。

将域控制器强制降级后，您必须完成以下任务（如果适用）：1. 从域中删除计算机帐户。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

如何清除域中无效的DC信息1．用ntdsutil来清除无效的DC信息！假如你的备份域为 主域为,现在备份域坏了。

那么你在装有super tools的主控域上执行如下命令：C:\>ntdsutilntdsutil: metadata cleanup - 清理不使用的服务器的对象metadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文select operation target: connections - 连接到一个特定域控制器server connections: connect to server --绑定到ctu.用本登录的用户的凭证连接ctu。

server connections: quit - 返回上一层目录select operation target: list site - 在企业中列出站点(找到1个站点，标识为0)找到1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=comselect operation target: select site 0 - 将标识为0 的站点定为所选站点站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com没有当前域没有当前服务器当前的命名上下文select operation target: list domains - 列出所有包含交叉引用的域找到1 域0 - DC= mstc,DC=comselect operation target: select domain 0 - 将标识为0 的域定为所选域站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com域- DC= mstc,DC=com没有当前服务器当前的命名上下文select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个：；1-ctu. )找到2 服务器0-CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com1-CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=comselect operation target: select server 0 - 将标识为0 的服务器（abc）定为所选服务器——也就是要删除的DC站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com域- DC= mstc,DC=com服务器- CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=comDSA 对象- CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=ConfigurDNS 主机名称- 计算机对象- CN=ABC,OU=Domain Controllers,DC=mstc,DC=com当前的命名上下文select operation target: quit - 返回上一层目录metadata cleanup: remove select server - 从所选服务器上删除DS 对象在弹出的对话提示框上选择“是”，“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了，从服务器“ctu”现在，这个Dc对象就在你的AD里消失了.用ntdsutil来清除无效的DC信息主dc瘫痪的话,用转移角色应该是不行的,应该要要使用Ntdsutil 实用工具捕获FSMO 角色,具体步骤参考:/kb/255504/zh-cn现在加入我的的域控制器坏了，我在上面清除srv1的信息。

一、先查看目前的角色在那台域控上：netdom query fsmo二、使用管理员身份打开powershell控制台，输入：ntdsutil.exe三、输入roles四、输入Connections 连接到一个特定AD DC/LDS 实例四、输入Connect to server域名六、这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize 开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmo maintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。

在出现的对话框点“是”出错了！不过没关系，这是正常的，因为主域DC2不在线，所以在夺取时会有这个出错信息。

给出了索取继续，所以结构角色会夺取到DC3上，接下来的各个角色的夺取也会有这个出错信息。

至此，FSMO的五个角色就全部夺取完成七、删除损坏DC的信息对于网络中DC2损坏，虽然经过以上的FSMO角色夺取到DC3上后，整个域已可以正常使用。

但在日志中，还是会有AD数据库复制信息出错的提示。

对于DC2由于损坏已不存在了，所以我们可以将DC2这台域控制器的一些想关信息从域中删除。

1．ntdsutil命令行工具。

在DC3域控制器上运行ntdsutil以下是ntdsutil工具执行的步骤：2、输入metadata cleanup3、输入问号：？4、输入：select operation target5、输入：connect6、输入connect to domain 域名，本次测试域名为：7、输入q8、输入问号看下：？9、输入：list sites10、输入select site 0此处0代表上面的站点11、输入：list domains in site12、select domain 013、输入：list servers for domain in site14、输入：select server 0 0代表DC2站点15、输入q 输入问号看下：？16、输入remove selected server17、打开ADSI编辑器，找到这个位置看看有没有DC2，有就删掉18、打开站点和服务，找到下面的位置，删除DC2至此，角色夺取完成。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

在windows 2000操作系统中，为配合企业需要，并增加windows的网络管理功能，发展了一种新类型的目录服务--活动目录(active directory)，在活动目录中包含了active directory域中所有相关资源的对象及该域用户的相关信息，该域的策略和其他重要的域服务信息。

可以说，活动目录采用了与原来NT系统完全不同的方式保存数据信息。

Windows 2000 活动目录数据实际是保存在一个数据库文件中，这个文件就是%SystemRoot%\ ntds\NTDS.DIT(文件位置可以在安装时指定，不过必须是存放在NTFS格式分区上的).ntds.dit 文件可以说是整个活动目录的核心，其中包括了用户帐号信息等等的相关资料. 活动目录的数据库引擎被称为 ExtensibleStorage Engine ( ESE )，Exchange和WINS都可以利用构建在这个数据引擎上的数据库. ESE存储容量高达16 兆兆个字节，能包含一千万之多的数据对象。

只有活动目录的数据库能包含如此多的信息(微软资料宣传的).活动目录的ESE数据库*NTDS.DIT*中包含以下几个数据表:Schema表这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。

包括各种类型对象的可选及不可选的各种属性。

这个表是活动目录数据库中最小的一个表，但是也是最基础的一个表。

Link 表link表包含所有属性的关联，包括活动目录中所有对象的属性的值。

一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等信息都属于这个表。

这个表要大于Schema 表，但与Data 表相比要小。

Data table活动目录中用户，组，应用程序特殊数据和其他的数据全部保存在Data表中。

这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。

换一个角度来说明的话，可以认为活动目录中有三种不同类型的数据Schema信息能在活动目录中创建并存储在活动目录中的所有对象和属性的详细信息，例如：你能在活动目录中新创建一个用户或是联系人，这是因为活动目录已经预先设置了这种类型的对象在活动目录对象中。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil 工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

Server 2012 R2 部署域控、额外域控及FSMO角色转移和夺取网络环境：+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.1/24+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：IP池：192.168.100.20-192.168.100.250网关：无DNS：192.168.100.1，192.168.100.2配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

本文介绍了如何通过使用Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的FSMO 角色。

这五个FSMO 角色是：∙架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

∙域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

∙结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

∙相对ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的RID 池请求。

任何时刻，在域中只能有一个域控制器充当RID 主机。

∙PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行Microsoft Windows XP Professional 或Microsoft Windows 2000 客户端软件的计算机，或者如果包含Microsoft Windows NT 备份域控制器，则PDC 模拟器主机充当Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当PDC 模拟器主机。

您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。

根据您要转移的FSMO 角色，可以使用以下三个MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

急！！！主域控制器重装系统后如何恢复ad帐号AD 2010-03-03 11:20:01 阅读238 评论0 字号：大中小订阅公司主域控制器故障了，重新安装了系统，2000server,重装系统前没有做系统状态备份，但是我们有额外域控制器，主域控制器重装完系统后是不是要新建AD，如何把额外域中的账户导入到主域中来?1、先用你的额外域控夺取fsmo角色，使之成为主域控，这时候你的AD网络应该是正常的（如果没出问题的话）操作前请备份系统状态，否则出现问题你将一无所有。

2、给那台坏了的机器重装系统，并使之成为额外域控。

3、如果你想用继续使用此台机器做主域控的话，那么把fsmo角色转移到此机器即可，第一步那台就又成了额外域控了，如果没此需要的话那到第二步就结束了。

原来的额外域变成主域时设置成了GC,那我想还把原来的主域做主域是不是要把原来额外域的那个GC去掉这个不需要!GC不是唯一的,可以设置多台!角色转移是只需要步骤三呢还是一二三都需要：一从AD中清除主域控制器对象在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

如何查找FSMO 角色担任者（服务器）2007-04-10 18:32:53分类：WINDOWS查找：可以直接用以下命令(确定登录的用户是enterprise admin级别):可以运行cmd,然后再console窗口输入“netdom query fsmo”来查询fsmo服务器.本文介绍如何在目录林中查找担任 Flexible Single Master Operation (FSMO) 角色的服务器。

Active Directory 定义了 5 种 FSMO 角色：概要本文介绍如何在目录林中查找担任 Flexible Single Master Operation (FSMO) 角色的服务器。

Active Directory 定义了 5 种 FSMO 角色：架构主机域命名主机RID 主机PDC 主机结构主机架构主机和域命名主机是目录林级的角色。

因此，每个目录林都只有一个架构主机和一个域命名主机。

RID 主机、PDC 主机和结构主机是域级角色。

每个域都有其各自的 RID 主机、PDC 主机和结构主机。

因此，如果目录林中有三个域，则存在三个 RID 主机、三个 PDC 主机和三个结构主机。

返回页首如何确定选定域的 RID、PDC 和结构 FSMO 担任者单击开始，单击运行，键入 dsa.msc，然后单击确定。

在左窗格的顶部右键单击选定的域对象，然后单击操作主机。

单击 PDC 选项卡以查看担任 PDC 主机角色的服务器。

单击结构选项卡以查看担任结构主机角色的服务器。

单击 RID 池选项卡以查看担任 RID 主机角色的服务器。

返回页首如何在目录林中确定架构 FSMO 担任者单击开始，单击运行，键入 mmc，然后单击确定。

在控制台菜单上，单击“添加/删除管理单元”，单击添加，双击 Active Directory 架构，单击关闭，然后单击确定。

在左窗格的顶部右键单击 Active Directory 架构，然后单击操作主机以查看担任架构主机角色的服务器。

本文介绍在域控制器降级失败后，如何删除Acti ve Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本3 客户端，并且不恰当地修改了Active Directory 对象的属性，则可能造成严重问题。

要解决这些问题，您可能需要重新安装Microsoft Windows 2000 Server、Mi crosoft Windows Server 2003、Mi crosoft Exchange 2000 Server 或Microsoft Ex change Server 2003，或者 Windows 和Ex change 二者都需要重新安装。

Microsoft 不保证能够解决因为Acti ve Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导 (Dcprom o.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。

作为降级过程的一部分，此向导会将该域控制器的配置数据从 Active Directory 中删除。

此数据的形式是“N TDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于 Active Directory 的下列位置：CN=NTDSSettings,CN=<servernam e>,CN=Servers,CN=<sitenam e>,CN=Sites,CN=Configuratio n,DC=<dom ain>...“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。

AD中FSMO五⼤⾓⾊的介绍及操作AD中FSMO五⼤⾓⾊的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，⼜称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定⾓⾊信息的⽹域控制站，在每⼀个活动⽬录⽹域中，⾄少会存在三种营运主机的⾓⾊。

但对于⼤型的⽹络,整个域森林中,存在5种重要的FSMO⾓⾊.⽽且这些⾓⾊都是唯⼀的。

五⼤⾓⾊：1、森林级别(⼀个森林只存在⼀台DC有这个⾓⾊):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(⼀个域⾥⾯只存⼀台DC有这个⾓⾊):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的⽅式有很多,本⼈⼀般在命令⾏下,⽤netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种⾓⾊主控有什么作⽤？1、Schema Master（架构主控）作⽤是修改活动⽬录的源数据。

我们知道在活动⽬录⾥存在着各种各样的对像，⽐如⽤户、计算机、打印机等，这些对像有⼀系列的属性，活动⽬录本⾝就是⼀个数据库，对象和属性之间就好像表格⼀样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果⼤家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要⼤家注意的是，扩展Schema⼀定是在Schema Master进⾏扩展的，在其它域控制器上或成员服务器上执⾏扩展程序，实际上是通过⽹络把数据传送到Schema上然后再在Schema Master上进⾏扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

一、确认FSMO角色1.确认当前域FSMO角色所在服务器1)运行cmd打开命令提示符2)键入：netdom query fsmo3)确认PDC、RID和Infrastructure角色不再要删除的域控制器上Schema owner Domain role owner PDC role RID pool manager Infrastructure owner 二、删除已经离线的域控制器如果承担角色的域控制器已经离线，则需要占用FSMO角色到现存域控制器请使用本方法将FSMO强制指定到目前可用的域控制器。

1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令提示符下，键入：roles4)在fsmo maintenance 命令提示符下，键入：connections5)在server connections 命令提示符下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名6)在server connections 提示符下，键入：quit7)在fsmo maintenance 命令提示符下，键入：seize PDCseize RID masterseize infrastructure masterquit2.清理AD数据库1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令下，键入：metadata cleanup4)在metadata cleanup 命令下，键入：connection5)在connection 命令下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名Server6)在connection 命令下，键入：quit7)在metadata cleanup 命令下，键入：select operation target8)在select operation target 目录下，键入：list sites9)选择服务器所在的站点编号，键入：select site SiteNumber10)在select operation target 目录下，键入：list domains in site11)选择服务器所在域的编号，键入：select domain DomainNumber12)在select operation target 目录下，键入：list servers in site13)选择要删除的服务器编号，键入：select server ServerNumber14)在select operation target 目录下，键入：quit15)在metadata cleanup 命令下，键入：remove selected server三、新建域控制器1)将新服务器加入到当前域2)单击“开始”，单击“运行”，然后键入dcpromo 以打开“Active Directory 安装向导”。

辅域控升级成主域控一.其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

★域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。

此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机 (Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器/kb/255504/zh-cn2.域控制器降级失败后如何删除 Active Directory 中的数据/kb/216498/3.域控制器降级失败后如何删除 Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)/kb/216498/zh-cn四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername 可以写作con to ser,我这里写的是全名)命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.关于辅域控制器夺取主域控制器角色，接替其工作时的一些疑问及回答1 为了出于安全角度的考虑，一般在一个域环境内至少有两个域控制器，即pdc 及bdc，在windows2003中辅助域的角色定义给淡化了，取而代之的是额外域控制器。

windows server 2003 域控制器转移迁移准备工作:1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2003域的额外的域控制器。

2. 在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2003DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

3. 将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，具体方法请参考下面这篇文档：《How to promote a domain controller to a global catalog server》：</?id=296882>4. 将原来的Windows 2003域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法请参考下面这篇文档：《如何查看和转移Windows Server 2003 中的FSMO 角色》：</?id=324801>当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。

关于在Windows 2003域控制器上放置FSMO的更多信息，请参考下面这篇文档：《在Windows 2003 域控制器上放置和优化FSMO》：</?id=223346>5. 完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2003域控制器的角色，但我们需要等待一段时间使原来的Windows 2003域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到WindowsServer 2003域控制器上。

建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2003域控制器降级。