使用 Ntdsutil_exe 捕获 FSMO 角色或将其转移到域控制器

AD五大角色轉移及GC移轉說明在樹系中，至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對 ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。

例如，如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為 Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種 MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

域控制器降级操作指南1. Windows Server 2003 域控制器在默认情况下支持强制降级。

单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

4. 在“强制删除Active Directory”页中，单击“下一步”。

5. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

6. 在“摘要”中，单击“下一步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。

如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。

如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表(ACL)。

如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。

有关从域控制器中删除Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章。

使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会删除被降级的计算机的元数据。

将域控制器强制降级后，您必须完成以下任务（如果适用）：1. 从域中删除计算机帐户。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

域管理(什么是ou什么是ad什么是FSMO角色)什么是ou什么是ad什么是FSMO角色2009年08月20日星期四17:13什么是ou什么是ad什么是FSMO角色什么是OU？OU(Organizational Unit，组织单位)是可以将用户、组、计算机和其它组织单位放入其中的AD容器，是可以指派组策略设置或委派管理权限的最小作用域或单元。

通俗一点说，如果把AD比作一个公司的话，那么每个OU 就是一个相对独立的部门。

创建OUOU的创建需要在DC(域控制器)中进行，创建步骤如下：第1步以Administrator(系统管理员)身份登录域控制器。

然后依次单击“开始/管理工具/Active Directory用户和计算机”菜单，打开“Active Directory用户和计算机”控制台窗口。

第2步在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中执行“新建/Organizational Unit”命令。

第3步打开“新建对象-Organizational Unit”对话框，在“名称”编辑框中键入新的OU的名称(如“广告信息部”)，并单击“确定”按钮OU的设计方式为了有效的组织活动目录对象，OU根据公司业务模式的不同来创建不同的OU层次结构。

一下是几种常见的设计方法。

1.基于部门的OU为了和公司的组织结构相同，OU可以基于公司内部的各种各样的业务功能部门创建，如行政部、人事部、工程部、财务部等。

2.基于地理位置的OU可以为每一个地理位置创建OU，如北京、上海、广州等。

3.基于对象类型的OU在活动目录中可以将各种对象分类，为每一类对象建立OU，如根据用户、计算机、打印机、共享文件夹等。

AD(Active Directory)活动目录活动目录（Active Directory）是面向Windows Standard Server、Windows Enterprise Server以及Windows Datacenter Server的目录服务。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

在windows 2000操作系统中，为配合企业需要，并增加windows的网络管理功能，发展了一种新类型的目录服务--活动目录(active directory)，在活动目录中包含了active directory域中所有相关资源的对象及该域用户的相关信息，该域的策略和其他重要的域服务信息。

可以说，活动目录采用了与原来NT系统完全不同的方式保存数据信息。

Windows 2000 活动目录数据实际是保存在一个数据库文件中，这个文件就是%SystemRoot%\ ntds\NTDS.DIT(文件位置可以在安装时指定，不过必须是存放在NTFS格式分区上的).ntds.dit 文件可以说是整个活动目录的核心，其中包括了用户帐号信息等等的相关资料. 活动目录的数据库引擎被称为 ExtensibleStorage Engine ( ESE )，Exchange和WINS都可以利用构建在这个数据引擎上的数据库. ESE存储容量高达16 兆兆个字节，能包含一千万之多的数据对象。

只有活动目录的数据库能包含如此多的信息(微软资料宣传的).活动目录的ESE数据库*NTDS.DIT*中包含以下几个数据表:Schema表这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。

包括各种类型对象的可选及不可选的各种属性。

这个表是活动目录数据库中最小的一个表，但是也是最基础的一个表。

Link 表link表包含所有属性的关联，包括活动目录中所有对象的属性的值。

一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等信息都属于这个表。

这个表要大于Schema 表，但与Data 表相比要小。

Data table活动目录中用户，组，应用程序特殊数据和其他的数据全部保存在Data表中。

这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。

换一个角度来说明的话，可以认为活动目录中有三种不同类型的数据Schema信息能在活动目录中创建并存储在活动目录中的所有对象和属性的详细信息，例如：你能在活动目录中新创建一个用户或是联系人，这是因为活动目录已经预先设置了这种类型的对象在活动目录对象中。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil 工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

本文介绍了如何通过使用Windows Server 2003 的“Microsoft 管理控制台”(MMC) 中的Active Directory 管理单元工具来转移“灵活单主机操作”(FSMO) 角色（也称作操作主机角色）。

FSMO 角色在目录林中，有至少五个分配给一个或多个域控制器的FSMO 角色。

这五个FSMO 角色是：∙架构主机：架构主机域控制器控制对架构的所有更新和修改。

若要更新目录林的架构，您必须有权访问架构主机。

在整个目录林中只能有一个架构主机。

∙域命名主机：域命名主机域控制器控制目录林中域的添加或删除。

在整个目录林中只能有一个域命名主机。

∙结构主机：结构主机负责将参考从其域中的对象更新到其他域中的对象。

任何时刻，在每一域中只能有一个域控制器充当结构主机。

∙相对ID (RID) 主机：RID 主机负责处理来自特定域中所有域控制器的RID 池请求。

任何时刻，在域中只能有一个域控制器充当RID 主机。

∙PDC 模拟器：PDC 模拟器是一种域控制器，它将自身作为主域控制器(PDC) 向运行Windows 的早期版本的工作站、成员服务器和域控制器公布。

例如，如果该域包含未运行Microsoft Windows XP Professional 或Microsoft Windows 2000 客户端软件的计算机，或者如果包含Microsoft Windows NT 备份域控制器，则PDC 模拟器主机充当Windows NT PDC。

它还是“域主浏览器”并负责处理密码差异。

任何时刻，在目录林的每个域中只能有一个域控制器充当PDC 模拟器主机。

您可以通过使用Ntdsutil.exe 命令行实用工具或使用MMC 管理单元工具来转移FSMO 角色。

根据您要转移的FSMO 角色，可以使用以下三个MMC 管理单元工具之一：“Active Directory 架构”管理单元“Active Directory 域和信任关系”管理单元“Active Directory 用户和计算机”管理单元如果某一计算机已不存在，则必须取回其角色。

急！！！主域控制器重装系统后如何恢复ad帐号AD 2010-03-03 11:20:01 阅读238 评论0 字号：大中小订阅公司主域控制器故障了，重新安装了系统，2000server,重装系统前没有做系统状态备份，但是我们有额外域控制器，主域控制器重装完系统后是不是要新建AD，如何把额外域中的账户导入到主域中来?1、先用你的额外域控夺取fsmo角色，使之成为主域控，这时候你的AD网络应该是正常的（如果没出问题的话）操作前请备份系统状态，否则出现问题你将一无所有。

2、给那台坏了的机器重装系统，并使之成为额外域控。

3、如果你想用继续使用此台机器做主域控的话，那么把fsmo角色转移到此机器即可，第一步那台就又成了额外域控了，如果没此需要的话那到第二步就结束了。

原来的额外域变成主域时设置成了GC,那我想还把原来的主域做主域是不是要把原来额外域的那个GC去掉这个不需要!GC不是唯一的,可以设置多台!角色转移是只需要步骤三呢还是一二三都需要：一从AD中清除主域控制器对象在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to domain select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comDomain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

本文介绍在域控制器降级失败后，如何删除Acti ve Directory 中的数据。

警告：如果使用“ADSI 编辑”管理单元、LDP 实用工具或任何其他LDAP 版本3 客户端，并且不恰当地修改了Active Directory 对象的属性，则可能造成严重问题。

要解决这些问题，您可能需要重新安装Microsoft Windows 2000 Server、Mi crosoft Windows Server 2003、Mi crosoft Exchange 2000 Server 或Microsoft Ex change Server 2003，或者 Windows 和Ex change 二者都需要重新安装。

Microsoft 不保证能够解决因为Acti ve Directory 对象属性修改不当而导致的问题。

修改这些属性需要您自担风险。

Active Directory 安装向导 (Dcprom o.exe) 用于将服务器提升为域控制器，以及将域控制器降级为成员服务器（或者在该域控制器是域中的最后一个域控制器时，将其降级为工作组中的独立服务器）。

作为降级过程的一部分，此向导会将该域控制器的配置数据从 Active Directory 中删除。

此数据的形式是“N TDS 设置”对象，在“Active Directory 站点和服务”中作为服务器对象的一个子对象存在。

此信息位于 Active Directory 的下列位置：CN=NTDSSettings,CN=<servernam e>,CN=Servers,CN=<sitenam e>,CN=Sites,CN=Configuratio n,DC=<dom ain>...“NTDS 设置”对象的属性包括：代表如何针对域控制器的复制伙伴标识域控制器的数据、计算机中保存的命名上下文、域控制器是否为全局编录服务器，以及默认查询策略。

AD中FSMO五⼤⾓⾊的介绍及操作AD中FSMO五⼤⾓⾊的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，⼜称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定⾓⾊信息的⽹域控制站，在每⼀个活动⽬录⽹域中，⾄少会存在三种营运主机的⾓⾊。

但对于⼤型的⽹络,整个域森林中,存在5种重要的FSMO⾓⾊.⽽且这些⾓⾊都是唯⼀的。

五⼤⾓⾊：1、森林级别(⼀个森林只存在⼀台DC有这个⾓⾊):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(⼀个域⾥⾯只存⼀台DC有这个⾓⾊):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的⽅式有很多,本⼈⼀般在命令⾏下,⽤netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种⾓⾊主控有什么作⽤？1、Schema Master（架构主控）作⽤是修改活动⽬录的源数据。

我们知道在活动⽬录⾥存在着各种各样的对像，⽐如⽤户、计算机、打印机等，这些对像有⼀系列的属性，活动⽬录本⾝就是⼀个数据库，对象和属性之间就好像表格⼀样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果⼤家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要⼤家注意的是，扩展Schema⼀定是在Schema Master进⾏扩展的，在其它域控制器上或成员服务器上执⾏扩展程序，实际上是通过⽹络把数据传送到Schema上然后再在Schema Master上进⾏扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

主域控器与备份域控器之间的角色转换平滑过渡：1、在活动目录用户和计算机的域控制器里已经有两台或多台域控制（PDC&BDC）2、再查看一下FSMO（五种主控角色）的owner，安装Windows Server 安装光盘中的Support目录下的support tools工具，3、然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，4、现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出。

5、输入？回车可看到以下信息：1.Connections - 连接到一个特定域控制器2.Help - 显示这个帮助信息3.Quit - 返回到上一个菜单4.Seize domain naming master - 在已连接的服务器上覆盖域角色5.Seize infrastructure master - 在已连接的服务器上覆盖结构角色6.Seize PDC - 在已连接的服务器上覆盖 PDC 角色7.Seize RID master - 在已连接的服务器上覆盖 RID 角色8.Seize schema master - 在已连接的服务器上覆盖架构角色9.Select operation target - 选择的站点，服务器，域，角色和命名上下文10.Transfer domain naming master - 将已连接的服务器定为域命名主机11.Transfer infrastructure master - 将已连接的服务器定为结构主机12.Transfer PDC - 将已连接的服务器定为 PDC13.Transfer RID master - 将已连接的服务器定为 RID 主机14.Transfer schema master - 将已连接的服务器定为架构6、然后分别输入：1.Transfer domain naming master 回车2.Transfer infrastructure master 回车3.Transfer PDC 回车4.Transfer RID master 回车5.Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上按Q退出界面，7、这五个步骤完成以后，检查一下是否全部转移到备份域控制器上了，打开在第9步时装windows support tools,开始－>程序->windows support tools->command prompt,输入netdom query fsmo,全部转移成功.现在五个角色的owner都是备份域控制器了.8、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。

一、确认FSMO角色1.确认当前域FSMO角色所在服务器1)运行cmd打开命令提示符2)键入：netdom query fsmo3)确认PDC、RID和Infrastructure角色不再要删除的域控制器上Schema owner Domain role owner PDC role RID pool manager Infrastructure owner 二、删除已经离线的域控制器如果承担角色的域控制器已经离线，则需要占用FSMO角色到现存域控制器请使用本方法将FSMO强制指定到目前可用的域控制器。

1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令提示符下，键入：roles4)在fsmo maintenance 命令提示符下，键入：connections5)在server connections 命令提示符下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名6)在server connections 提示符下，键入：quit7)在fsmo maintenance 命令提示符下，键入：seize PDCseize RID masterseize infrastructure masterquit2.清理AD数据库1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令下，键入：metadata cleanup4)在metadata cleanup 命令下，键入：connection5)在connection 命令下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名Server6)在connection 命令下，键入：quit7)在metadata cleanup 命令下，键入：select operation target8)在select operation target 目录下，键入：list sites9)选择服务器所在的站点编号，键入：select site SiteNumber10)在select operation target 目录下，键入：list domains in site11)选择服务器所在域的编号，键入：select domain DomainNumber12)在select operation target 目录下，键入：list servers in site13)选择要删除的服务器编号，键入：select server ServerNumber14)在select operation target 目录下，键入：quit15)在metadata cleanup 命令下，键入：remove selected server三、新建域控制器1)将新服务器加入到当前域2)单击“开始”，单击“运行”，然后键入dcpromo 以打开“Active Directory 安装向导”。

辅域控升级成主域控一.其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机 (Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展 Active Directory 林的架构或运行 adprep /domainprep 命令。

★域命名主机 (Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机 (RID master) － RID 主机角色是域范围的角色，每个域一个。

此角色用于分配 RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器 (PDC emulator) － PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到 Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机 (Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行 adprep /forestprep 命令，以及更新跨域引用的对象的 SID 属性和可分辨名称属性。

Active Directory 安装向导 (Dcpromo.exe) 将这五种 FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器/kb/255504/zh-cn2.域控制器降级失败后如何删除 Active Directory 中的数据/kb/216498/3.域控制器降级失败后如何删除 Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)/kb/216498/zh-cn四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername 可以写作con to ser,我这里写的是全名)命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.关于辅域控制器夺取主域控制器角色，接替其工作时的一些疑问及回答1 为了出于安全角度的考虑，一般在一个域环境内至少有两个域控制器，即pdc 及bdc，在windows2003中辅助域的角色定义给淡化了，取而代之的是额外域控制器。

windows server 2003 域控制器转移迁移准备工作:1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2003域的额外的域控制器。

2. 在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2003DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

3. 将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，具体方法请参考下面这篇文档：《How to promote a domain controller to a global catalog server》：</?id=296882>4. 将原来的Windows 2003域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法请参考下面这篇文档：《如何查看和转移Windows Server 2003 中的FSMO 角色》：</?id=324801>当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。

关于在Windows 2003域控制器上放置FSMO的更多信息，请参考下面这篇文档：《在Windows 2003 域控制器上放置和优化FSMO》：</?id=223346>5. 完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2003域控制器的角色，但我们需要等待一段时间使原来的Windows 2003域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到WindowsServer 2003域控制器上。

建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2003域控制器降级。

ntdsutil 参数
NTDSUtil是Windows操作系统中的一个命令行实用程序，用于
管理Active Directory数据库。

它提供了一系列的子命令和参数，
用于执行各种操作，包括数据库维护、备份和恢复、元数据清理等。

以下是一些常用的NTDSUtil参数和其功能：
1. activate instance <instanceName>，激活指定的Active Directory数据库实例。

2. files，管理数据库文件，包括移动、重命名、清理等操作。

3. ifm，创建和管理Install From Media (IFM)备份，用于快
速安装域控制器。

4. metadata cleanup，清理Active Directory中的废弃域控
制器或对象的元数据。

5. roles，管理域控制器的各种角色，如域命名主控制器（DNC）、模式主控制器（SDC）等。

6. semantic database analysis，执行语义数据库分析，用于识别和解决Active Directory数据库中的问题。

7. snapshot，创建和管理数据库快照，用于备份和恢复操作。

8. compact to <databasePath>，将数据库文件压缩到指定路径，以减小数据库文件大小。

这些参数可以帮助管理员对Active Directory数据库进行各种管理和维护操作，确保其正常运行和安全性。

当然，使用NTDSUtil 命令需要管理员权限，并且需要谨慎操作，以免造成意外损坏或数据丢失。

希望以上信息能够对你有所帮助。

如何查找FSMO 角色担任者（服务器）2007-04-10 18:32:53分类：WINDOWS查找：可以直接用以下命令(确定登录的用户是enterprise admin级别):可以运行cmd,然后再console窗口输入“netdom query fsmo”来查询fsmo服务器.本文介绍如何在目录林中查找担任 Flexible Single Master Operation (FSMO) 角色的服务器。

Active Directory 定义了 5 种 FSMO 角色：概要本文介绍如何在目录林中查找担任 Flexible Single Master Operation (FSMO) 角色的服务器。

Active Directory 定义了 5 种 FSMO 角色：架构主机域命名主机RID 主机PDC 主机结构主机架构主机和域命名主机是目录林级的角色。

因此，每个目录林都只有一个架构主机和一个域命名主机。

RID 主机、PDC 主机和结构主机是域级角色。

每个域都有其各自的 RID 主机、PDC 主机和结构主机。

因此，如果目录林中有三个域，则存在三个 RID 主机、三个 PDC 主机和三个结构主机。

返回页首如何确定选定域的 RID、PDC 和结构 FSMO 担任者单击开始，单击运行，键入 dsa.msc，然后单击确定。

在左窗格的顶部右键单击选定的域对象，然后单击操作主机。

单击 PDC 选项卡以查看担任 PDC 主机角色的服务器。

单击结构选项卡以查看担任结构主机角色的服务器。

单击 RID 池选项卡以查看担任 RID 主机角色的服务器。

返回页首如何在目录林中确定架构 FSMO 担任者单击开始，单击运行，键入 mmc，然后单击确定。

在控制台菜单上，单击“添加/删除管理单元”，单击添加，双击 Active Directory 架构，单击关闭，然后单击确定。

在左窗格的顶部右键单击 Active Directory 架构，然后单击操作主机以查看担任架构主机角色的服务器。