主域控制器损坏后,额外域控制器强占 FSMO 测试过程和结果.

Windows 2003 server 域控制器坏掉后(FSMO强占)--实践文章导读：FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO（flexible Single Master Operation)操作主控，是AD的一个特殊对象。

在AD中一共有5类操作主机角色，分别担当不同的功能，任何一个操作角色的丢失或不可用，那么整个域会遇到很多问题。

FSMO只有在DC上才有，但不是每个DC都有，下面先简单解释下这5种角色存在的位置和作用：Schema master (架构主机）Domain naming master (域命名主机）PDC Emulator (PDC 仿真器）RID Master （RID主机）Infrastructure Master (基础结构主机）第1和第2个角色在林中只出现一次，也既是说在整个森林只有一台DC是具有这个角色（森林级别的角色）后面3个角色在域中只出现一次，也既是说在整在域中只有一台DC是具有这种角色（域级别的角色）这5种角色可以在一台DC上全部出现，也可以分布其他的DC上，来减轻DC的负荷，使整个域运行的更高效。

当你在建立第一个域的时候是一个全新的森林全新的域，那么这5种角色会在你的第一台DC上，当你建立域辅助主控也就是说额外控制器时，这台额外在默认情况下是不会具有任何一种角色，除非你手动把部分角色转移或强占到这台额外DC上，因为在同一个域，这些角色只能出现一次，当你转移后或强占后，那么原来的那台DC就没有了那个角色，当然就不能担当这个角色所起所有功能和作用。

所以，当某一台拥有某些角色的DC宕机之后，这个域会出现很多问题，特别是PDC主控坏掉起不来的时候，那么整个域的身份验证将变的不可用，如果Schema master不可用，那么在安装exchange服务器的时候将不能进行森林和域的拓展，等等，总之这5个角色是非常重要，除了 infrastructure master 这个角色是这5个中最无关紧要的角色，当只有一个域或森林而且所有的DC都是GC的时候，这个角色根本就没用，当然我们最好是使它为可用，来保证我们的域的完整行。

主域故障无法启动，额外域提升Active Directory灾难恢复本文讲述了在多域控制器环境下，主域控制器由于硬件故障突然损坏，而事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行.目录Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）一、环境分析公司（虚拟）有一台主域控制器，还有一台额外域控制器。

现主域控制器（）由于硬件故障突然损坏，事先又没有的系统状态备份，没办法通过备份修复主域控制器（），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行.如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC操作步骤:1. 从AD中清除主域控制器对象在额外域控制器(上通过ntdsutil.exe工具把主域控制器(从ＡＤ中删除；出现对话框以及FSMO角色转换，点确定2. 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中T1服务器对象，ADSI EDIT是Windows 2003 support tools中的工具，你需要安装Windows 2003 support tool，安装程序在windows 2003光盘中的support\tools目录下。

打开ADSI EDIT工具，展开Domain NC[]，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把T1服务器对象删除，如图：3.3 在Active Directory Sites and Service中删除T1服务器对象,打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击T1，选择Delete，单击Yes按钮，如图：3. 设置额外控制(为ＧＣ（全局编录）打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开(额外控制器，右击NTDS Settings选择Properties，然后在"Global Catalog"前面打勾，单击"确定"按钮，然后重新启动服务器。

win2003额外域控制器升级到主域控制器一．其实，对于windows 2003,并没有“传统”的主域控制器和额外域控制器的区别。

如果说有区别的话,那就是第一台域控制器上拥有FSMO.二.什么是FSMO?FSMO的英文全称为Flexible Single Master Operations.这些角色包括:★架构主机(Schema master) －架构主机角色是林范围的角色，每个林一个。

此角色用于扩展Active Directory 林的架构或运行adprep /domainprep 命令。

★域命名主机(Domain naming master) －域命名主机角色是林范围的角色，每个林一个。

此角色用于向林中添加或从林中删除域或应用程序分区。

★RID 主机(RID master) －RID 主机角色是域范围的角色，每个域一个。

此角色用于分配RID 池，以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。

★PDC 模拟器(PDC emulator) －PDC 模拟器角色是域范围的角色，每个域一个。

将数据库更新发送到Windows NT 备份域控制器的域控制器需要具备这个角色。

此外，拥有此角色的域控制器也是某些管理工具的目标，它还可以更新用户帐户密码和计算机帐户密码。

★结构主机(Infrastructure master) －结构主机角色是域范围的角色，每个域一个。

此角色供域控制器使用，用于成功运行adprep /forestprep 命令，以及更新跨域引用的对象的SID 属性和可分辨名称属性。

Active Directory 安装向导(Dcpromo.exe) 将这五种FSMO 角色全部分配给林根域中的第一台域控制器.三.现在我们要做的事情就是:将FSMO角色转移到另一台域控制器上.使用的工具是:ntdsutil.exe(在命令行直接运行).关于ntdsutil.exe的使用可以参考微软的相应文档.1.使用Ntdsutil.exe 捕获FSMO 角色或将其转移到域控制器[url]/kb/255504/zh-cn[/url]2.域控制器降级失败后如何删除Active Directory 中的数据[url]/kb/216498/[/url]3.域控制器降级失败后如何删除Active Directory 中的数据(这个文档是针对win 2K的,对于windows 2003,参考价值仍有)[url]/kb/216498/zh-cn[/url]四.基本步骤如下:1.清除AD中的数据,(命令是可以简化的,比如connect to server servername可以写作con to ser,命令提示符键入ntdsutil,metadata cleanup,connections,connect to server servername,quit,select operation target,list domains,select domain number,(比如select domain 0,下同)list sites,select site number,list servers in site,select server number,quit,remove selected server,quit.2.清理DC帐户需要运行adsiedit.msc.这个工具是要安装的.安装ADSIedit.msc工具:运行windows 2003光盘\SUPPORT\TOOLS\ suptools.msi,工具将安装在C:\Program Files\Support Tools文件夹下.3.在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＳMＯ操作,核心命令是:Seize domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize schema master[注:Seize是在原FSMO不在线时的操作,如果原FSMO在线,需要使用转移(Transfer)操作]4.可能还需要清理DNS和设置全局编录(GC),这个难度不大,不再多述.至此,FSMO开始在另一台域控制器上正常工作.exchange等服务也恢复正常.。

S e r v e r2012R2部署域控、额外域控及F S M O角色转移和夺取网络环境：2012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.1/242012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：网关：无,配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息,如下图打开服务器管理器,点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装,如下图池中仅一台主机,保持默认此图是在未更改主机名时截取的,更改后的截图找不到了,拿来顶替,如下图选择AD域服务并添加功能,如下图功能不做添加,不选择直接下一步,跳转到添加ADDS域服务向导,如下图确认安装所选内容,点击安装,如下图正在安装域服务器,如下图安装完毕,点击关闭,如下图点击服务器管理器上方的小旗子查看提示内容,选择将此服务器提示为域控制器,如下图因为这是此域中第一个域,选择添加新林并输入根域名信息,如下图选择域控制器林和域功能级别并设置DSRM密码,如下图出现DNS敬告,因为没有安装DNS,忽略,直接下一步,如下图NETBIOS设置,保持默认,直接下一步,如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置,如下图配置选项查看,可检查是否有问题,有问题点击上一步返回,否则直接下一步,如下图AD域服务器部署前先决条件检查,检查通过后,点击安装,如下图正在配置域服务,配置完成后会自动重启;如下图重启后,登录AD服务器,配置DNS反向查找区域,没有反向查找区域时,nslookup解析会出现问题,如下图DNS反向查找区域配置向导,如下图在区域类型中选择主要区域,如下图设置传送作用域,如下图设置反向查找IP类型,如下图输入反向查找区域名称,如下图指定反响查找更新类型,如下图完成DNS反向查找区域建立,如下图在DNS反向查找区域中查看记录,如下图二、上面设置已经完成主域的部署,接下来,部署额外域控;2012R2DC2网卡信息配置如下图将2012R2DC2加入ITPro域中,如下图输入有权限加入域的用户凭据,如下图成功加入域,如下图加入域后,重启;在服务器管理器中,点击添加角色和功能,如下图安装类型选择基于角色或基于功能的安装,如下图选择2012R2DC2,点击下一步,如下图在服务器角色中选择AD域服务,点击下一步,如下图功能添加保持默认,直接下一步跳转到ADDS域服务向导,如下图安装摘要,检查安装角色是否正确,没有问题点击安装;如下图安装完成后,点击右上方小旗子,显示提示内容,选择将此服务器提升为域控制器,如下图在部署配置中选择奖域控制器添加到现有域,如下图在上图中点击更改,弹出部署操作凭据,验证通过后点击一下步,如下图指定域控功能和站点信息并输入DSRM密码,如下图DNS因为没有安装,提示警告,可以忽略,点击下一步,如下图如果勾选“从媒体路径安装”,是离线部署;我们选择从域控制器在线复制ActiveDirectory数据,复制源于“任何域控制器”,这里只有一个域,多域需选择指定域;如下图指定ADDS数据库、日志文件和SYSVOL的位置,如下图检查额外域控配置,确认无误后点下一步,如下图先决条件检查,通过后点击安装,如下图额外域控配置完成后会自动重启,重启后登录额外域控,配置网卡DNS为本机IP,只有这样DNS才会和主域DNS同步,这是实现DNS和AD冗余的关键,网卡设置后,两台服务器AD和DNS才会相互复制,如下图在2012R2DC2中查看DNS,已同步2012R2DC1中记录,如下图三、DHCP配置,在2012R2DC1中,在添加角色和功能中选额添加DHCP角色,如下图添加功能保持默认,直接下一步转到DHCP向导和注意事项,点击下一步,如下图正在安装DHCP服务器,如下图DHCP服务器安装完成,如下图DHCP安装完成后在服务器管理器界面,点右上方小旗子,在显示的内容中选择配置DHCP配置DHCP授权,如下图DHCP配置完成摘要,如下图如上步骤,在2012R2DC2中安装DHCP角色并授权;授权时只需点击右上方小旗子,在显示的内容中配置DHCP 并授权,为配置DHCP故障转移做准备,不做具体配置;如果没有授权,备用DHCP不会启用在服务器管理器中,点击工具选择DHCP调出DHCP服务器,如下图在IPv4选项下配置作用域,点击下一步,如下图新建作用域的IP地址范围,点击下一步,如下图设置DHCP作用域IP排除范围,点击下一步,如下图设置DHCP租约,点击下一步,如下图配置DHCP选项,选择后点击下一步,如下图配置域名及DNS,配置后点击下一步,如下图配置WINS服务器,这里是测试,不做配置,直接下一步,如下图激活作用域配置,点击下一步,如下图完成作用域配置,点击完成,如下图在2012DC1上右键刚建立的作用域,点击,配置故障转移,如下图配置故障转移向导,直接下一步,如下图指定伙伴服务器,点击添加服务器,在弹出的添加服务器中查找服务器并添加,点击下一步,如下图配置故障转移关系-负载均衡,测试要实现的是主DHCP宕机后,客户端IP不变化,这里不做设置,如下图本次测试将DHCP配置为热备用服务器,备用服务器设置为待机,当主DHCP宕机,备用DHCP会提供服务;如下图故障转移摘要,确认无误后,点击完成,如下图故障转移关系完成,如下图登录2012R2DC2,查看故障转移关系,服务器为待机有关DHCP故障转移关系可参考：到此有关AD、DNS和DHCP冗余已经设置完成;接下来验证下主域宕机的情况下,客户端能否登陆域及DHCP故障转移是否实现下图是主域在线客户端登录的相关信息,可以看到FSMO角色在2012R2DC1上,用户登录域为2012R2DC1,主机获取的IP地址为1,DHCP服务器地址为1接下来我们禁用2012R2DC1的网卡模拟服务器宕机,重启客户端登录服务器,下图中可以看到FSMO角色没有变化,客户端IP地址也没有变化,登录域变成了2012R2DC2,DHCP服务器变成了从主域宕机前和宕机后客户端的两个截图表明,AD额外域控及DHCP已实现;在客户端中查看域中FSMO角色位置,详见四、接下来针对域服务器的FSMO五中主机角色做转移下面分别介绍使用MMC控制台、命令行和PowerShell转移FSMO角色1、使用MMC控制台转移FSMO角色首先在2012R2DC1中查询FSMO角色,打开Powershell输入netdomqueryFSMO,从图中可以看到五中角色都在2012R2DC1上在2012R2DC1上,打开AD用户和计算机,更改连接的域控制器,如下图选择要连接的域控制器,由于2012DC1不能转移到自身,所以状态为不可用,如下图在ITPro上右键选择操作主机,如下图操作主机显示可以转移三个角色,分别是RID、PDC和基础结构,切换选项卡转移各主机角色,如下图打开AD域和信任关系,连接到2012R2DC2,右键AD域和信任关系,选择操作主机,如下图更改域命名主机,操作和前面3个主机角色相同;如下图架构主机的更改需注册组件,PS中操作如下图打开MMC控制台在添加删除管理单元中添加AD架构并打开,如下图在打开的AD架构中先连接到2012R2DC2,然后更改架构主机,如下图完成后,查询FSMO角色的位置,现在已经成功将FSMO角色从2012R2DC1转移到2012R2DC2上,如下图2、命令行转移FSMO角色,转移命令如下NtdsutilRolesConnectionsConnecttoServer<DC>QuitTransferDomainnamingmasterTransferinfrastructuremasterTransferPDCTransferRIDmasterTransferSchemamaster在刚才通过MMC控制台已经将FSMO角色转移到2012R2DC2,这次通过命令行将FSMO角色转移到2012R2DC1在PS中操作如下图,命令由红线标示在PS中复制粘贴命令,在弹出的对话框中点击“是”,如下图如下图所示,五种角色均转移完成转移完成后在PS中查看到现在FSMO角色已经转移到2012R2DC1中,如图3、使用PowerShell转移FSMO角色刚才通过命令行将FSMO角色转移到了2012R2DC1中,现在通过PowerShell命令将FSMO角色转移到2012R2DC2;操作命令Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC2"-OperationMasterRole0,1,2,3,4;在Powershell中可输入OperationMasterRole的值PDCEmulatoror0,RIDMasteror1,InfrastructureMasteror2,SchemaMasteror3,DomainNamingMasteror4图中提示是否转移,这里要转移五种角色,选择A,按回车键现在在PS中查询,已经将FSMO角色转移到2012R2DC2上有关powerShell命令可参考：五、接下来针对域服务器的FSMO五中主机角色做夺取使用命令行及PowerShell命令夺取1、使用命令行夺取FSMO角色NtdsutilRolesConnectionsConnecttoServer<DC>QuitSeizeDomainnamingmasterSeizeinfrastructuremasterSeizePDCSeizeRIDmasterSeizeSchemamaster上步通过PS已经将FSMO角色转移到2012R2DC2中,现在将FSMO五种角色夺取到2012R2DC2上;先关闭2012R2DC2,ping主机已不在线,下面输入操作命令在进行强制夺取时首先会进行安装传送在PS中复制粘贴各主机角色夺取命令然后执行,夺取完成后验证FSMO各主机角色位置,如图,已经成功将FSMO角色夺取到2012R2DC1上2、使用PowerShell命令夺取FSMO角色上步通过命令行夺取了FSMO角色,夺取后2012R2DC2已不可用;在虚拟机上通过快照恢复到夺取前状态;先查询FSMO角色位置,FSMO角色在2012R2DC2上,关闭主机;如图使用Powershell命令夺取FSMO角色,操作命令：Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC1"-OperationMasterRole0,1,2,3,4–Force;在Powershell中可输入OperationMasterRole的值PDCEmulatoror0,RIDMasteror1,InfrastructureMasteror2,SchemaMasteror3,DomainNamingMasteror4转移过程有点长,转移后检查FSMO角色的位置,现在已成功将FSMO角色转移到2012R2DC1中有关夺取的PowerShell命令参考：3、在夺取后需对宕机服务器信息进行清理,DNS记录、DC元数据和站点信息清理宕机服务器命令如下信息清理涉及命令如下NtdsutilMetadatacleanupConnectionsConnecttoDomain<DC>QuitSelectoperationtargetListsitesSelectsite<ID>ListDomaininsiteSelectDomainIDListserversforDomaininsiteSelectserver<ID>QuitRemoveselectedserver在操作过程中如果出现如下信息,命令输入错误;需返回上一步或重头开始正常的信息如下命令行中操作如下,只要不出错,命令可以简写,命令用红线标示,如下图弹出删除对话框,点击是,命令用红线标示,如下图元数据清理成功,如下图清除元数据后,打开DNS服务,在正向和反向查找区域中删除有关2012R2DC2的记录;如下图最后打开AD站点和服务,删除默认站点——Servers下的2012R2DC2,如下图删除后,重启Server2012R2DC1.至此清理宕机服务器的数据已经完成;附：在客户端查询FSMO角色脚本将下面代码复制到文本中,将后缀改为vbs,然后在客户端执行即可SetobjRootDSE=GetObjectrootDSE"Dimtext'SchemaMasterSetobjSchema=GetObject&objRootDSE.Get"schemaNamingContext"strSchemaMaster=objSchema.Get"fSMORoleOwner"SetobjNtds=GetObject&strSchemaMasterSetobjComputer=GetObjectobjNtds.Parenttext="Forest-wideSchemaMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'DomainNamingMasterSetobjPartitions=GetObject&_objRootDSE.Get"configurationNamingContext"strDomainNamingMaster=objPartitions.Get"fSMORoleOwner"SetobjNtds=GetObject&strDomainNamingMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Forest-wideDomainNamingMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'PDCEmulatorSetobjDomain=GetObject&objRootDSE.Get"defaultNamingContext"strPdcEmulator=objDomain.Get"fSMORoleOwner"SetobjNtds=GetObject&strPdcEmulatorSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sPDCEmulatorFSMO:"&&vbCrLf SetobjNtds=NothingSetobjComputer=Nothing'RIDMasterSetobjRidManager=GetObjectManager$,CN=System,"&_objRootDSE.Get"defaultNamingContext"strRidMaster=objRidManager.Get"fSMORoleOwner"SetobjNtds=GetObject&strRidMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sRIDMasterFSMO:"&&vbCrLfSetobjNtds=NothingSetobjComputer=Nothing'InfrastructureMasterSetobjInfrastructure=GetObject&_objRootDSE.Get"defaultNamingContext"strInfrastructureMaster=objInfrastructure.Get"fSMORoleOwner" SetobjNtds=GetObject&strInfrastructureMasterSetobjComputer=GetObjectobjNtds.Parenttext=text&"Domain'sInfrastructureMasterFSMO:"&&vbCrLf WScript.Echotext。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果..其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）.登入Windows 2000 Server 或Windows Server 2003 成員電腦或樹系(要抓取FSMO 角色的地方) 中的網域控制站。

建議您登入要指派FSMO 角色的網域控制站。

登入的使用者必須是要傳輸架構主機，或網域命名主機角色的企業系統管理員群組成員；或正要傳輸PDC 模擬器、RID 主機和基礎結構主機等角色，其所在網域的網域系統管理員群組之成員。

.按一下[開始]，按一下[執行]，在[開啟]方塊中輸入ntdsutil，然後按一下[確定]。

.輸入roles，再按下ENTER。

.輸入connections，再按下ENTER。

.輸入connect to server servername，然後按ENTER，其中servername是您要指派FSMO 角色的網域控制站之名稱。

.在server connections提示字元中輸入q，然後按下ENTER。

.輸入seize role，其中role是您要抓取的角色。

主域控制器两种故障恢复的处理⽅式主域控制器故障的两种情况：主域控制器出现故障后仍可⽤与主域控制器出现故障后彻底不能⽤的的处理⽅式。

AD：主域控制器⼜简称为PDC，故障通常会出现两种情况，但是都需要额外域控制器的帮助，下⾯是两种故障的解决⽅案。

主域控制器故障，有两种状况：主域控制器故障仍可⽤和主域控制器故障彻底玩完，看看两种故障的处理⽅式咯1、主域控制器故障但仍可⽤主域控制器=服务器A；额外域控制器=服务器B在服务器B上安装Windows server 2003的管理⼯具，将服务器B升级为新主域控制器，A将⾃动降级成额外域控制器，然后再原主域控制器服务器A上运⾏dcpromo命令将其本⾝从AD中删除----转移操作主机⾓⾊--连接额外域控制器A、在主域控制器 [管理⼯具]--[AD⽤户和计算机]B、右键单击选中[]域，选择[连接到域控制器]C、在[连接到域控制器]属性对话框中[选择⼀个可⽤的域控制器]列表中选择当前域的额外控制器[],点击确定。

--转移RID主机⾓⾊A、⽤⿏标右键单击[]，选择[操作主机]B、在[操作主机]属性对话框，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改RID主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在AD对话框中的“你确定要传送操作主机⾓⾊？”点击是。

--转移PDC主机⾓⾊A、在[操作主机]属性对话框，单击[PDC]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改PDC主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移结构主机⾓⾊A、在[操作主机]属性对话框，单击[结构]选项卡，在“操作主机”列出的是原主域控制器的计算机名称；在要传送操作主机⾓⾊到下列计算机，请单击“更改”，单击[更改]按钮，将更改结构主机⾓⾊到下⾯列出的额外域控制器的计算机上，单击[更改]，在更改过程中弹出的对话框，单击是--转移域命名主机⾓⾊A、在[管理⼯具]中运⾏[AD域和信任关系]B、右键单击[AD域和信任关系]，从菜单中选择[连接到域控制器]，将弹出[连接到域控制器]对话框，选中[原额外域控制器的计算机名称]单击确定。

主域控崩溃，恢复活动目录当网络中的Windows Server 2003的Active Directory主域控制器完全损坏并且不能恢复时，为了保证业务的正常运转，需要将网络中的额外域控制器升级到主域控制器角色。

我们的网络拓扑如下，单域dc01为所有主机角色和GC,DC01和DC02均已安装DNS，并且互为复制。

我们将通过NTDSUTIL工具来占用dc01的操作主机角色，并且设置DC02为全局编录.这里将dc01.hisense.local离线来模拟主域控制崩溃。

1.占用操作主机角色（1）在开始-所有程序-Windows Support Tools-命令提示符（2）输入ntdsutil（3）输入roles（4）输入connections（5）输入connect to server dc02.hisense.local（6）输入quit（7）占用域命名主机角色，输入seize domain naming master ，回车，出现对话框，点是从上图可以看出先进行主机角色的传送，当传送不能成功时进行占用。

（8）占用基础架构主机角色，输入seize infrastructure master（9）占用PDC,输入seize pdc（10）占用RID角色，输入seize RID master（11)占用架构主机角色，输入seize schema master（12）输入2次quit，退出ntdsutil，输入netdom query fsmo，查看操作主机角色至此，所有操作主机角色已经到了DC02.hisense.local上了。

2.在DC02上设置全局编录（1）开始-管理工具-Active Directory 站点和服务（2）单击sites-“default-first-site-name”-servers，选择dc02，右键单击NTDS Sites，选择属性（3）在查询策略中，选择default query policy，并选中全局编录。

主域控制损坏安装新域控制FSMO角色转移详细过程[ 来源：| 作者：| 时间：2008-9-6 10:48:35 | 浏览：13 人次]FSMO角色的转移/夺取的过程(用于如硬件更新,DC损坏,让BDC工作)由于公司硬件环境的更换,那么现在把老的服务器去掉,换上了新的服务器.这个过程的实施给写下来:服务器操作软件资源站">下载">系统.2003Entprise Edition客户端系统.XP pro拓朴如下:现在是存在一台DC(域名:nwtrader.msft),DC上有用户a(用于后面验证),一台客户端,网络是连通的.购买了一台新的机器,放到这个网络来了,IP:那么第一步工作是.把新的机器,作为BDC,把活动目录信息同步过来.操作过程如下新机器上操作)检查跟DC的域名解释.建立BDC输入具有权限的用户,我用的是administrator,属于enterprise admins现有DNS名称.数据库存放路径,sysvol存放路径,(建议用默认路径)必须存放在NTFS的文件系统.输放还原模式密码,用于目录服务的还原.BDC建立成功.BDC重启.接下来在BDC上建立DNS服务器,同步AD信息.打开控制面版,winodws组件向导.BDC的DNS指向自己.接着在运行输入dnsmgmt.msc新建正向区域.输入域名.允许动态更新.重新加载DNS,目的是让区域生成SRV(资源指针记录).用到命令如图,,或重新启动.接下来可以指自己做为GC.在运行里输放dssite.msc用到的命令是命令符下,ntdsutil具体命令作用,在这我不详述.后接命令,请用问号,有详细的中文说明.以下图是用于建立连接.转移用的是transfer命令以上是DC正常情况下的转移,DC坏了,怎么办?(转移的过程,余下的步骤跟夺取一样,但夺取用的环境更特殊所以我就只把夺取写了下来,而没把转移过程贴图)这也问到重点了.跟转移时用法一样,但这时DC是在线的.如果DC真坏了,那就不以基于以上用的转移命令,这时用的是夺取...seize....这是域命名主机角色的夺取,以及成功的图(角色一旦是夺取,说明DC是坏了的,那么就是DC不在线的情况下用的)把如4个角色像刚才一样操作,那就5种角色转移成功.。

AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD 的安全保护，DNS的区域复制也更安全，并且集成DNS只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS 的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装 Active Directory 的 DNS 要求在成员服务器上安装 Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将 DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的 IP 地址。

在 Active Directory 安装期间，在 DNS 中动态注册服务 (SRV) 和地址 (A) 资源记录，这些记录是域控制器定位程序 (Locator) 机制功能成功实现所必需的。

Server 2012 R2 部署域控、额外域控及FSMO角色转移和夺取网络环境：+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.1/24+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：IP池：192.168.100.20-192.168.100.250网关：无DNS：192.168.100.1，192.168.100.2配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

AD域DNS分离+额外域控制器安装及主域控制器损坏解决方法对于域控制器的安装，我们已经知道如何同DNS集成安装，而且集成安装的方法好处有：使DNS也得到AD的安全保护，DNS的区域复制也更安全，并且集成DNS 只广播修改的部分，相信更多情况下大家选择集成安装的方式是因为更简洁方便。

当然你也许会遇到这样的情况：客户的局域网络内已经存在一个DNS服务器，并且即将安装的DC控制器负载预计会很重，如果觉得DC本身的负担太重，可把DNS 另放在一台服务器上以分担单台服务器的负载。

这里我们设计的环境是一台DNS服务器（DNS-srv）+主域控制器（AD-zhu）+额外域控制器（AD-fu点击查看额外控制器的作用），另外为了检验控制器安装成功与否，是否以担负其作用，我们再安排一台客户端（client-0）用来检测。

（其中由于服务器特性需要指定AD-zhu、AD-fu、DNS-srv为静态地址）对于DC和DNS分离安装，安装顺序没有严格要求，这里我测试的环境是先安装DNS。

先安装DC在安装DNS的话，需要注意的就是DC安装完后在安装DNS需要重启DC以使DNS得到DC向DNS注册的SRV记录，Cname记录，NS记录。

那么我们就以先安装DNS为例,对于实现这个环境需要三个大步骤：服务器的安装；主控制器的安装；额外控制器的安装。

接下来我们分步实现······为了更加了解DC和DNS的关系，安装前请先参阅：安装Active Directory 的DNS 要求在成员服务器上安装Active Directory 时，可将成员服务器升级为域控制器。

Active Directory 将DNS 作为域控制器的位置机制，使网络上的计算机可以获取域控制器的IP 地址。

在Active Directory 安装期间，在DNS 中动态注册服务(SRV) 和地址(A) 资源记录，这些记录是域控制器定位程序(Locator) 机制功能成功实现所必需的。

Server2012R2部署域控、额外域控及FSMO角色转移和夺取网络环境：2012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.1/242012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：网关：无，配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

AD中FSMO五⼤⾓⾊的介绍及操作AD中FSMO五⼤⾓⾊的介绍及操作（转移与抓取）FSMO是Flexible single master operation的缩写，意思就是灵活单主机操作。

营运主机（Operation Masters，⼜称为Flexible Single Master Operation，即FSMO）是被设置为担任提供特定⾓⾊信息的⽹域控制站，在每⼀个活动⽬录⽹域中，⾄少会存在三种营运主机的⾓⾊。

但对于⼤型的⽹络,整个域森林中,存在5种重要的FSMO⾓⾊.⽽且这些⾓⾊都是唯⼀的。

五⼤⾓⾊：1、森林级别(⼀个森林只存在⼀台DC有这个⾓⾊):(1)、Schema Master(也叫Schema Owner):架构主控(2)、Domain Naming Master:域命名主控2、域级别(⼀个域⾥⾯只存⼀台DC有这个⾓⾊):(1)、PDC Emulator :PDC仿真器(2)、RID Master :RID主控(3)、Infrastructure Master :结构主控对于查询FSMO主机的⽅式有很多,本⼈⼀般在命令⾏下,⽤netdom query fsmo命令查询.要注意的是本命令需要安装windows 的Support Tools.五种⾓⾊主控有什么作⽤？1、Schema Master（架构主控）作⽤是修改活动⽬录的源数据。

我们知道在活动⽬录⾥存在着各种各样的对像，⽐如⽤户、计算机、打印机等，这些对像有⼀系列的属性，活动⽬录本⾝就是⼀个数据库，对象和属性之间就好像表格⼀样存在着对应关系，那么这些对像和属性之间的关系是由谁来定义的，就是Schema Master，如果⼤家部署过Exchange的话，就会知道Schema是可以被扩展的，但需要⼤家注意的是，扩展Schema⼀定是在Schema Master进⾏扩展的，在其它域控制器上或成员服务器上执⾏扩展程序，实际上是通过⽹络把数据传送到Schema上然后再在Schema Master上进⾏扩展的，要扩展Schema就必须具有Schema Admins组的权限才可以。

Active Directory域控和额外域控之间的转移和抢占实验流程本文档将模拟ZESING域主控域与额外域控角色之间的和转移和主域控主机因系统或者物理损坏无法开机，额外域控紧急抢占操作主机的实验流程首先先模拟有两台域控，主域控为ZESINGAD01,额外域控为ZESINGAD02。

系统都为Windows server 2008 R2 X64。

如图：打开命令行，输入如下命令来查看：Dsquery server –hasfsmo rid 查看RID主机Dsquery server –hasfsmopdc 查看PDC仿真主机角色Dsquery server –hasfsmoinfr 查看基础结构主机Dsquery server –hasfsmoname 查看域命名主机Dsquery server –hasfsmoschema 查看构架主机通过图中可看到ZESINGAD01为主域控，所有角色都在ZESINGAD01上。

PART I现在演示把主域控ZESINGAD01转移操作主机角色到ZESINEAD02上首先转移RID主机角色打开“Active Directory 用户和计算机”，在目录树窗格中，右键点击“Active Directory 用户和计算机”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或AD LDS实例”并选择一台即将担任RID主机的域控制器，然后点击“OK”；在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“RID”选项卡中，单击“更改”按钮转移PDC仿真主机角色打开Active Directory 用户和计算机，在目录树窗格中，右键点击“Active Directory 用户和计算”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任PDC仿真主机的域控制器，然后点击“OK”；、在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“PDC”选项卡中，单击“更改”按钮转移基础结构主机角色打开Active Directory 用户和计算机，在目录树窗格中，右键点击“Active Directory 用户和计算机”，点击“更改域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任基础结构主机的域控制器，然后点击“OK”在目录树中右键单击“Active Directory 用户和计算机”，选择“所有任务”—“操作主机”；在“基础结构”选项卡中，单击“更改”按钮转移域命名主机角色打开Active Directory 域和信任关系，在目录树窗格中右键点击“Active Directory 域和信任关系”，点击“更改 Active Directory 域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任域命名主机的域控制器，然后点击“OK”；在目录树中右键单击“Active Directory 域和信任关系”，点击“操作主机”；单击“更改”按钮转移架构主机角色运行打开MMC控制台添加Active Directory构架在MMC控制台中打开Active Directory Schema，在目录树窗格中右键点击“Active Directory Schema”，点击“更改 Active Directory 域控制器”；在“更改目录服务器”对话框中，选中“此域控制器或 AD LDS 实例”并选择一台即将担任架构主机的域控制器，然后点击“OK”；在目录树窗格中右键点击“Active Directory 架构”，点击“操作主机”单击“更改”按钮经过以上步骤已经完成转移操作主机角色，来验证一下，进入命令行输入，见到所有角色都迁移到ZESINGAD02上PART II抢夺操作主机角色实验假设ZESINGAD02主机已经挂掉，我们需要提升ZESINGAD01为主域控，我们需要如下操作：1、抢夺RID主机角色A．打开命令行，输入：ntdsutilB．在ntdsutil提示符下，输入：rolesC．在fsmo maintenance命令提示符下，输入：connectionD．在server connections命令提示符下，输入：connect to server <DomainController> ，这里的<DomainController>是即将担任RID主机的域控制器名称E．在server connection命令提示符下，输入：quitF．在fsmo maintenance命令提示符下，输入：seize rid master，确认窗口中点击“Yes”；2、抢夺PDC仿真主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize pdc，如图（由于另一台域控物理故障，林根域只有一台域控制器，所以无法抢夺，下面的错误请忽略，不影响结果）3、抢夺基础结构主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize naming master，如图4、操作同抢夺RID主机角色，只是更换抢夺命令为seize infrastructure master，如图5 、抢夺架构主机角色操作同抢夺RID主机角色，只是更换抢夺命令为seize schema master，如图打开命令行输入以下命令发现ZESINGAD01已提升为主域控，抢占成功。

主域控制器损坏后，备份域控制器抢夺五种角色在多域控制器环境下，主域控制器由于硬件故障突然损坏，而又事先又没有做好备份，如何使额外域控制器接替它的工作，使Active Directory正常运行，并在硬件修理好之后，如何使损坏的主域控制器恢复。

________________________________________Active Directory操作主机角色概述环境分析从AD中清除主域控制器 对象在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作设置额外域控制器为ＧＣ（全局编录）重新安装并恢复损坏主域控制器附:用于检测AD中五种操作主机角色的脚本________________________________________一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机schema master、域命名主机domain naming master相对标识号(RID) 主机RID master主域控制器模拟器(PDCE)基础结构主机infrastructure master而每种操作主机角色负担不同的工作，具有不同的功能：架构主机具有架构主机角色的DC 是可以更新目录架构的唯一DC。

这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。

架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机具有域命名主机角色的DC 是可以执行以下任务的唯一DC：向目录林中添加新域。

从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号(RID) 主机此操作主机负责向其它DC 分配RID 池。

只有一个服务器执行此任务。

在创建安全主体（例如用户、组或计算机）时，需要将RID 与域范围内的标识符相结合，以创建唯一的安全标识符(SID)。

每一个Windows 2000 DC 都会收到用于创建对象的RID 池（默认为512）。

以下操作模拟的环境为：主域控制器（计算机名称：TEST）损坏，并从网络中断开，在额外域控制器（计算机名称：TEST-BK）上执行命令，使其获取主域控制器的全部权限，并完全接管所有服务。

现在加入我的的域控制器坏了，我在上面清除srv1的信息。

netdom query fsmo查看角色删除无用的主机metadata cleanupSelect operation targetconnectionsconnect to server ad---计算机名quitlist siteselect site 0list domainsselect domain 0list servers in siteselect server 0quitremove select server夺取角色ntdsutilrolesconnectionsconnect to server dc---备份服务器主机quitSeize naming masterTransfer infrastructure masterSeize infrastructure masterSeize PDCseize RID masterseize schema master不明白的可以打?看帮助其中：●红色字体为操作过程中需要手工输入的命令●蓝色字体为输入命令后的返回结果●“//”后面的绿色字体为该条命令、或返回结果的说明，可供参考C:\ntdsutil //输入ntdsutil，进入配置命界面ntdsutil: metadata cleanup //输入“metadata cleanup”，进入清除废弃域控制器（即TEST）信息的命令界面metadata cleanup: connections //输入“connections”，进入连接信息界面server connections: ? //输入“？”，显示出可执行的命令- 显示这个帮助信息Clear creds - 清除以前的连接凭据Connect to domain %s - 连接到 DNS 域名称Connect to server %s - 连接到服务器、DNS 名称或 IP 地址Help - 显示这个帮助信息Info - 显示连接信息Quit - 返回到上一个菜单Set creds %s %s %s - 将连接凭据设置为域、用户、密码。

主域控器与备份域控器之间的角色转换平滑过渡：1、在活动目录用户和计算机的域控制器里已经有两台或多台域控制（PDC&BDC）2、再查看一下FSMO（五种主控角色）的owner，安装Windows Server 安装光盘中的Support目录下的support tools工具，3、然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，4、现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出。

5、输入？回车可看到以下信息：1.Connections - 连接到一个特定域控制器2.Help - 显示这个帮助信息3.Quit - 返回到上一个菜单4.Seize domain naming master - 在已连接的服务器上覆盖域角色5.Seize infrastructure master - 在已连接的服务器上覆盖结构角色6.Seize PDC - 在已连接的服务器上覆盖 PDC 角色7.Seize RID master - 在已连接的服务器上覆盖 RID 角色8.Seize schema master - 在已连接的服务器上覆盖架构角色9.Select operation target - 选择的站点，服务器，域，角色和命名上下文10.Transfer domain naming master - 将已连接的服务器定为域命名主机11.Transfer infrastructure master - 将已连接的服务器定为结构主机12.Transfer PDC - 将已连接的服务器定为 PDC13.Transfer RID master - 将已连接的服务器定为 RID 主机14.Transfer schema master - 将已连接的服务器定为架构6、然后分别输入：1.Transfer domain naming master 回车2.Transfer infrastructure master 回车3.Transfer PDC 回车4.Transfer RID master 回车5.Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上按Q退出界面，7、这五个步骤完成以后，检查一下是否全部转移到备份域控制器上了，打开在第9步时装windows support tools,开始－>程序->windows support tools->command prompt,输入netdom query fsmo,全部转移成功.现在五个角色的owner都是备份域控制器了.8、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。