主域控制损坏安装新域控制FSMO角色转移详细过程

一、主域控的搭建：1、主、辅助系统环境：Microsoft windows server 2003 enterprise edition。

主计算机名：A/辅助计算机名:B。

2、主域控制器的搭建开始→运行，输入dcpromo，按活动目录安装向导进行3、在“域控制器类型”中选择“新域的域控制器”4、在“创建一个新域”中选择“在新林中的域”5、输入新域的DNS全名“”6、输入NETBIOS名“JIAJIE”7、输入轰动目录数据库和日志文件的存储位置8、共享的系统卷的位置9、选择“DNS注册诊断”中的第二项10、权限中选择windows 2000或windows server 2003兼容11、输入活动目录的管理员密码“adchina”12、正在安装，完成后重启。

二：辅助域控的搭建：1、主域控制器已经搭建完毕，接下来搭建辅助域控制器，首先要设置辅助域控ip地址，主域控的ip地址是1.1.1.1，255.0.0.0，辅助ip地址就设置成1.1.1.2，255.0.0.0，DNS设置成主域控的ip 1.1.1.1，2、检查主辅是否相通3、开始安装“win+R”，在运行里输入“dcpromo”4、在域控制器类型处悬在“现有域的额外域控制器”5、输入够权限的用户名、密码和域6、输入额外的域控制器域名“”7、目录服务还原密码“adchina”8、安装完成后，重启。

经测试，主域控制器的数据能及时复制到辅助域控上面三、主域控制器的迁移一般步骤：1、首先有备份域控制器2、把FSMO角色强行夺取过来3、设置全局编录具体操作:1、运行→输入“ntbackup”，选中system state 进行备份。

2、RID、PDC、基础结构主机角色迁移在辅助域控制器上，打开“Active Directory用户和计算机”在域名上右击，然后点击连接到域控制器，选择辅助域控，最后确定。

在域名上右击，然后点击操作主机，点击RID选项，然后点击更改，最后确定。

主域控制器损坏后，额外域控制器强占FSMO 测试过程和结果....关于AD灾难恢复，最终测试..关于AD灾难恢复有很多非常好技术文章可以参考，在狗狗搜索NNN编，但为何还是要写这篇呢，‘听不如看，看不如做，做不如写’嘿嘿，反正写写没多难，最紧要入脑袋！！其实关于AD灾难恢复，对于（多元化发展）技术员来说，太深入了解没啥用处，最主要明白解决问题要用到那些知识就OK了～～本贴说明：....针对主域损坏，必须以最快速度解决；其它内容不是本帖考虑重点，如：Exchange、ISA、已经部署于主域上服务器软件...等！！AD、DC说明：.域名：..主域：DC-ISA-NLB-1..副域：DC-ISA-NLB-2.系统：2003企业版故障情况：（真实环境跑完全过程..）..主域崩溃，副域无法正常工作，如：....无法浏览 中 Active Directory用户和计算机，提示无法连接错误；....AD管理项目均报错，组策略.....等；....域用户无法登录；解决方法：（以上是在副域上操作）..任务要求：最快速度解决故障，令副域正常工作，使域用户可以登录；..使用命令：ntdsutil.....AD工具..过程：（大概6-8分钟）C:\Documents and Settings\Administrator.LH>ntdsutilntdsutil: metadata cleanupmetadata cleanup: connectionsserver connections: connect to server dc-isa-nlb-2绑定到 dc-isa-nlb-2 ...用本登录的用户的凭证连接 dc-isa-nlb-2。

server connections: qmetadata cleanup: qntdsutil: rolesfsmo maintenance:Seize domain naming master ‘点OK’fsmo maintenance:Seize infrastructure master ‘点OK’fsmo maintenance:Seize PDC ‘点OK’fsmo maintenance:Seize RID master ‘点O K’fsmo maintenance:Seize schema master ‘点OK’‘关闭CMD窗口’...～～以上操作，快得话（三分钟）就完成了，然后回到系统内，你会发现能打开AD相关内容了，那就进行余下结尾操作吧：..1.打开‘Active Directory用户和计算机’-‘Domain Controllers’；.....选中‘DC-ISA－NLB-1’然后按删除，对话框‘选择第三项’；..2.打开‘管理站点和服务’-‘Site’-‘Default-First-Site-Name’-‘Servers’.....1.点击‘DC-ISA－NLB-1’；...........a.选中分支‘NTDS Settings’；...........b.点击‘删除’，对话框‘选择第三项’；.....2.点击‘DC-ISA－NLB-1’然后按删除，对话框选择‘第三项’；.....3.点击‘DC-ISA－NLB-2’...........a.选中分支‘NTDS Settings’...........b.点击右键选择‘属性’，全局编录前打上勾；完工....以上搞点后，余下就可以慢慢修复你的主域了。

域控服务器迁移步骤假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20第一步：主域迁移之前的备份：1.备份主域服务器的系统状态2.备份主域服务器的系统镜像3.备份额外域服务器的系统状态4.备份额外域服务器的系统镜像第二步：主域控制迁移：1.在主域控服务器(192.168.1.10 )上查看FSMO (五种主控角色)的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入：netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。

2.将域控角色转移到备份域服务器( 192.168.1.20)在主域控服务器( 192.168.1.10)执行以下命令：2.1 进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入 :roles 回车，再输入 connections 回车，再输入conn ect to server 192.168.1.20 (连接到额外域控制器)提示绑定成功后，输入q退出。

2.2依次输入以下命令：Transfer domain naming masterTransfer infrastructure masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。

2.3五个步骤完成以后，进入 1 92 . 1 68 . 1 . 20 ，检查一下是否全部转移到备份服务器192.168.1.20 上，打开提示符输入：netdom query fsmo再次查看域控制器的 5个角色是不是都在 192.168.1.20 上面。

3.转移全局编录：3.1 打开“活动目录站点和服务”，展开 site->default-first-site-name- >servers,展开 192.168.1.20 ，右击【 NTDSSettings 】点【属性】，勾上全局编录前面的勾。

Server 2012 R2部署域控、额外域控与FSMO角色转移和夺取网络环境：2012R2DC1.itpro.+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：2012R2DC2.itpro.+DNS+DHCP操作系统：Windows Server 2012 R2 Standard网卡信息：IP：DHCP配置如下：网关：无配置2台服务器为DHCP故障转移一、主域的安装与配置配置网卡信息，如如下图打开服务器管理器，点击添加角色和功能如如下图选择安装类型：基于角色或基于功能的安装，如如下图池中仅一台主机，保持默认〔此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替〕，如如下图选择AD域服务并添加功能，如如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如如下图确认安装所选内容，点击安装，如如下图正在安装域服务器，如如下图安装完毕，点击关闭，如如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如如下图选择域控制器林和域功能级别并设置DSRM密码，如如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如如下图NETBIOS设置，保持默认，直接下一步，如如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否如此直接下一步，如如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如如下图正在配置域服务，配置完成后会自动重启。

如如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如如下图DNS反向查找区域配置向导，如如下图在区域类型中选择主要区域，如如下图设置传送作用域，如如下图设置反向查找IP类型，如如下图输入反向查找区域名称，如如下图指定反响查找更新类型，如如下图完成DNS反向查找区域建立，如如下图在DNS反向查找区域中查看记录，如如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

转移域控角色的两种方式如果删除废弃DC后，还提示AD windows 无法验证账户的唯一性的时候，按如下检查一次。

当网域崩溃后或者我们买了新服务器，需要将新机器作为主域控制器那么我们需要转移角色，在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。

在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。

下面我分别介绍两种转移 AD 中 5 大角色的方式，5 大角色相信地球人都知道，HOHO.PS:转移角色需要注意的是：额外域设置为 GC，这样才能将额外域升级为主域，设置 GC 方法如下：打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称，找到额外域服务器，双击打开服务器，下面有个 NTDS Settings 右键单击属性，在弹出的属性页面勾选“全局编录”然后确定就 OKl 了，等待 5-10 分钟整个网域复写完成刚才的动作。

PS:部分步骤来源于网络,此文为综合以及描述注意点一.使用图形化界面 MMC 来转移域控角色一.转移架构主机角色使用“Active Directory 架构主机”管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll文件，然后才能使用此管理单元。

注册 Schmmgmt.dll单击开始，然后单击运行。

在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

收到操作成功的消息时，单击确定。

1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击“添加/删除管理单元”。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

查看FSMO主机角色 (2)转移FSMO主机角色 (3)夺取FSMO主机角色 (5)查看FSMO主机角色查看结构主机、PDC模拟器、RID主机角色命令行界面：结构主机：dsquery <server> -hasfsmo infrPDC模拟器：dsquery <server> -hasfsmo pdcRID主机：dsquery <server> -hasfsmo rid图形界面：1、打开“运行”窗口，输入dsa.msc ，回车打开Active Directory 用户和计算机2、右键单击域节点，然后单击“操作主机”。

3、在“结构”选项卡的“操作主机”下，查看当前结构主机的名称同上方法，可查看PDC模拟器以及RID主机角色。

查看域命名主机角色命令行界面：域命名主机角色：dsquery <server> -hasfsmo name图形界面：1、打开“运行”窗口，输入domain.msc ，回车打开Active Directory 域和信任关系。

2、右键单击Active Directory 域和信任关系，然后单击“操作主机”。

3、在“域命名操作主机”下，查看当前的域命名操作主机。

查看架构主机角色命令行界面：架构主机角色：dsquery <server> -hasfsmo schema图形界面：1、打开“运行”窗口，输入schmmgmt.msc ，回车打开Active Directory 架构管理单元。

2、右键单击Active Directory 架构管理单元，然后单击“操作主机”。

3、在“当前架构主机”下，查看当前架构主机。

转移FSMO主机角色转移结构主机、PDC模拟器、RID主机角色命令行界面：1、打开“命令提示符”, 键入：ntdsutil2、在ntdsutil 命令提示符下，键入：roles3、在fsmo maintenance 命令提示符下，键入：connection4、在service connections 命令提示符下，键入：connect to server <DomainController>5、在service connections 命令提示符下，键入：quit6、在fsmo maintenance 命令提示符下，键入：transfer infrastructure master图形界面：1、打开Active Directory 用户和计算机。

AD域FSMO角色迁移操作主机通过执行特定任务来使目录正常运行，这些任务是其他域控制器无权执行的。

由于操作主机对于目录的长期性能至关重要，因此必须使其相对于所有需要其服务的域控制器和桌面客户端可用。

在添加更多的域和站点来生成林时，小心放置操作主机非常重要。

若要执行这些功能，必须使托管这些操作主机的域控制器始终可用，且将其放置在网络可靠性较高的区域。

角色传送是将操作主机角色从某域控制器移至另一域控制器的首选方法。

在角色传送过程中，对这两个域控制器进行复制，以确保没有丢失信息。

在传送完成后，之前的角色持有者将进行重新自我配置，以便在新域控制器承担这些职务时，此角色持有者不再尝试做为操作主机。

这样就防止了网络中同时出现两个操作主机的现象，这种现象可能导致目录损坏。

目的每个域中存在三个操作主机角色：* 主域控制器 (PDC) 仿真器。

PDC 仿真器处理所有来自 Microsoft Windows NT 4.0 备份域控制器的复制请求。

它还为客户端处理没有运行可用 Active Directory 客户端软件的所有密码更新，以及任何其他目录写入操作。

* 相对标识符 (RID) 主机。

RID 主机将 RID 池分配至所有的域控制器，以确保可使用单一标识符创建新安全主体。

* 基础结构主机。

给定域的基础结构主机维护任何链接值属性的安全主体列表。

除了这三个域级的操作主机角色外，在每个林中还存在两个操作主机角色：* 管理所有架构更改的架构主机。

* 添加和删除域和应用程序分区复制到林（和从林复制到域）的域命名主机。

指导方针有关初始操作主机角色分配的设计规则和最佳操作，请参阅 Windows Server 2003 部署工具包：计划、测试以及试验部署项目。

在指定域中创建第一个域控制器时，会自动放置操作主机角色持有者。

将这三个域级角色分配至域中创建的第一个域控制器。

将这两个林级角色分配至林中第一个创建的域控制器。

移动操作主机角色（一个或多个）的原因包括：托管操作主机角色的域控制器服务性能不充足、故障或取消，或服从由管理员进行配置更改。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

主域控器与备份域控器之间的角色转换平滑过渡：1、在活动目录用户和计算机的域控制器里已经有两台或多台域控制（PDC&BDC）2、再查看一下FSMO（五种主控角色）的owner，安装Windows Server 安装光盘中的Support目录下的support tools工具，3、然后打开提示符输入：netdom query fsmo 以输出FSMO的owner，4、现在登陆PDC（主域控制器），进入命令提示符窗口，在命令提示符下输入：ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server BDC --> （备注：这里的dc-1是指服务器名称），提示绑定成功后，输入q退出。

5、输入？回车可看到以下信息：1.Connections - 连接到一个特定域控制器2.Help - 显示这个帮助信息3.Quit - 返回到上一个菜单4.Seize domain naming master - 在已连接的服务器上覆盖域角色5.Seize infrastructure master - 在已连接的服务器上覆盖结构角色6.Seize PDC - 在已连接的服务器上覆盖 PDC 角色7.Seize RID master - 在已连接的服务器上覆盖 RID 角色8.Seize schema master - 在已连接的服务器上覆盖架构角色9.Select operation target - 选择的站点，服务器，域，角色和命名上下文10.Transfer domain naming master - 将已连接的服务器定为域命名主机11.Transfer infrastructure master - 将已连接的服务器定为结构主机12.Transfer PDC - 将已连接的服务器定为 PDC13.Transfer RID master - 将已连接的服务器定为 RID 主机14.Transfer schema master - 将已连接的服务器定为架构6、然后分别输入：1.Transfer domain naming master 回车2.Transfer infrastructure master 回车3.Transfer PDC 回车4.Transfer RID master 回车5.Transfer schema master 回车以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，然后接着一条一条完成既可，完成以上按Q退出界面，7、这五个步骤完成以后，检查一下是否全部转移到备份域控制器上了，打开在第9步时装windows support tools,开始－>程序->windows support tools->command prompt,输入netdom query fsmo,全部转移成功.现在五个角色的owner都是备份域控制器了.8、角色转移成功以后，还要把GC也转移过去，打开活动目录站点和服务，展开site->default-first-site-name->servers,你会看到两台域控制器都在下面。

Server2012R2部署域控、额外域控及FSMO角色转移和夺取网络环境：2012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.1/242012R2+DHCP操作系统：WindowsServer2012R2Standard网卡信息：IP：192.168.100.2/24DHCP配置如下：网关：无，配置2台服务器为DHCP故障转移一、主域的安装及配置配置网卡信息，如下图打开服务器管理器，点击添加角色和功能如下图选择安装类型：基于角色或基于功能的安装，如下图池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图确认安装所选内容，点击安装，如下图正在安装域服务器，如下图安装完毕，点击关闭，如下图点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图选择域控制器林和域功能级别并设置DSRM密码，如下图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图NETBIOS设置，保持默认，直接下一步，如下图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图正在配置域服务，配置完成后会自动重启。

如下图重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图在区域类型中选择主要区域，如下图设置传送作用域，如下图设置反向查找IP类型，如下图输入反向查找区域名称，如下图指定反响查找更新类型，如下图完成DNS反向查找区域建立，如下图在DNS反向查找区域中查看记录，如下图二、上面设置已经完成主域的部署，接下来，部署额外域控。

FSMO角色介绍、迁移、查看1.活动目录中域控制器的五种操作主机角色。

Winserver Active Directory和NT域的区别在于不再有主域控制器和辅助域控制器每个林中有五种操作主机角色，一台域控制器可以承担一种或者多种角色，或者不承担任何角色。

比如一个域中有两台域控制器，一台可以是架构主机，域命名主机，主域控制器仿真主机（PDC），相对ID主机（RID），基础结构主机，五种角色，另一台域控制器什么角色也不是，只是一台额外域控制器。

在林范围内有两种角色：架构主机和域命名主机，域范围内有主域控制器仿真主机（PDC)，相对ID主机（RID）和基础结构主机。

这五种角色在林中和域中都是唯一的。

五种角色的作用：架构主机：一个林中只有一台架构主机，控制对林架构的全部更新。

域命名主机：一个林中只有一台域命名主机，控制林中域的新增和删除，防止域名重复。

主域控制器仿真主机（PDC）：一个域只有一台PDC，管理来自客户端的密码更改，最小化密码复制等待时间，同步整个域中所有域控制器的时间。

相对ID（RID)：一个域中只有一台RID，把RID分给域中各个域控制器，每次当DC创建用户、组或计算机对象时，它就给该对象指派一个唯一的安全ID（SID）。

SID包含一个域SID（它与域中创建的所有SID相同）和一个RID（它对域中创建的每个SID是唯一的）。

对象的SID=域SID+RID。

基础结构主机：一个域只有一台基础结构主机，负责更新从它所在的域中的对象到其他域中对象的引用，基础结构主机将其数据与全局编录的数据进行比较,全局编录通过复制操作接受所有域中对象的定期更新,从而使全局编录的数据始终保持更新.如果基础结构主机发现数据已过时时,则它会从全局编录请求更新的数据,然后,基础结构主机再将这些更新的数据复制到域中的其他DC!2.主域控制器FSMO角色的迁移角色迁移目的：若当前主域控制器在线，且因性能不佳或需更换硬件，为了不影响域用户对与服务器及Exchange Server正常使用，需要将主域控制器FSMO迁移至额外域控制器.1、Active Directory 定义了 5 种FSMO 角色：架构主机、域主机、RID 主机、PDC 模拟器、结构主机。

Server2003主域控制器损坏后，备份域控制器抢夺五种角色一、Active Directory操作主机角色概述Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：架构主机 schema master、域命名主机 domain naming master相对标识号 (RID) 主机 RID master主域控制器模拟器 (PDCE)基础结构主机 infrastructure master二、环境分析有一台主域控制器，还有一台额外域控制器。

(操作系统都是server 2003)现主域控制器（DC- ）由于硬件故障突然损坏，事先又没有 的系统状态备份，没办法通过备份修复主域控制器（DC- ），我们怎么让额外域控制器（）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

三、从AD中清除主域控制器对象3.1在额外域控制器()上通过ntdsutil.exe工具把主域控制器()从ＡＤ中删除；c:>ntdsutilntdsutil: metadata cleanupmetadata cleanup: select operation targetselect operation target: connectionsserver connections: connect to server DC-02select operation target: list sitesFound 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domainNo current serverNo current Naming Contextselect operation target: List domains in siteFound 1 domain(s)0 - DC=test,DC=comFound 1 domain(s)0 - DC=test,DC=comselect operation target: select domain 0Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in siteFound 2 server(s)0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=comselect operation target: select server ０select operation target: quitmetadata cleanup:Remove selected server出现对话框，按“确定“删除DC-01主控服务器。

域控主机迁移[总结]本文目录经历过一次域控主迁移，悲剧的域控主机down掉。

今天写一写，以后备用。

前提条件：一台域控主机A，一台备份域控主机B。

目的：将域控主机A迁移到域控主机B步骤：1、将B作为备份域控主机2、将A的所有信息从活动目录删除3、把FSMO角色强行夺取过来4、设置全局编录具体步骤：1、运行dcpromo命令2、弹出Active Directory安装向导，点“下一步”3、默认，“下一步”4、选“现有域的额外域控制器”，点“下一步”5、输入管理员及密码--还原模式密码--最后一步配置。

6、在域控主机A上运行ntdsutil∙Metadata cleanup ----清理不使用的服务器的对象∙Select operation target∙Connet to domain ∙Quit∙List sites∙List domains in site--显示一下Site中的域∙Select domain 0∙List servers for domain in site—找到2台服务器∙Select server 0--删除0号已经坏掉的服务器∙Quit—退到上一层菜单∙Remove selected server—删除服务器对象∙使用ADSI EDIT工具删除Active Directory users and computers中的Do main controllers中欲删除的服务器对象∙在AD站点和服务中删除没用的服务器对象∙把复制连接也删除把FSMO角色强行夺取过来用到“Ntdsutil”这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。

在这里由于SERVER已经离线了，所以要用“Seize”在站点和服务中设置全局编录最后到客户端去修改一下DNS服务器的位置，就可以发现客户端又可以正常登陆了。

一、确认FSMO角色1.确认当前域FSMO角色所在服务器1)运行cmd打开命令提示符2)键入：netdom query fsmo3)确认PDC、RID和Infrastructure角色不再要删除的域控制器上Schema owner Domain role owner PDC role RID pool manager Infrastructure owner 二、删除已经离线的域控制器如果承担角色的域控制器已经离线，则需要占用FSMO角色到现存域控制器请使用本方法将FSMO强制指定到目前可用的域控制器。

1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令提示符下，键入：roles4)在fsmo maintenance 命令提示符下，键入：connections5)在server connections 命令提示符下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名6)在server connections 提示符下，键入：quit7)在fsmo maintenance 命令提示符下，键入：seize PDCseize RID masterseize infrastructure masterquit2.清理AD数据库1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令下，键入：metadata cleanup4)在metadata cleanup 命令下，键入：connection5)在connection 命令下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名Server6)在connection 命令下，键入：quit7)在metadata cleanup 命令下，键入：select operation target8)在select operation target 目录下，键入：list sites9)选择服务器所在的站点编号，键入：select site SiteNumber10)在select operation target 目录下，键入：list domains in site11)选择服务器所在域的编号，键入：select domain DomainNumber12)在select operation target 目录下，键入：list servers in site13)选择要删除的服务器编号，键入：select server ServerNumber14)在select operation target 目录下，键入：quit15)在metadata cleanup 命令下，键入：remove selected server三、新建域控制器1)将新服务器加入到当前域2)单击“开始”，单击“运行”，然后键入dcpromo 以打开“Active Directory 安装向导”。

二．FSMO角色的转移。

须要在主域控制器DC1正常工作和在线的情况下才能执行转移在此我给出在图形方式下的转移方法，以下操作都是在额外域控制器DC2上进行。

1．Schema Maste在进行SCHEMA MASTE的图形下转移前，要先对schmmgmt注册。

点击“开始-运行”，输入:“regsvr32 schmmgmt”，回车:注册成功。

运行MMC，“添加/删除管理单元”，将“Active Directory架构”添加进去。

在控制台上选中“Active Directory架构”点击“右键”，选择“操作主机”如下图所示，当前的架构主机是DC1。

点击“更改”出现提示“您确实要更改架构主机？”，点确定，出面成功传送了操作主机，且当前架构主机已经变为DC2了，如下图：2．RID Master、Infrastructure Master、PDC Emulator打开“Active Directory用户和计算机”，选中“”域，右键选“操作主机”在这里依次更改RID Master、Infrastructure Master、PDC Emulator3．Domain Naming Master打开“Active Directory域和信任关系”管理器，在“Active Directory域和信任关系”上点右键，选操作主机在出现的新窗口上，点击更改。

三．FSMO角色的夺取。

当在主域控制器DC1出现故障损坏的情况下，对于FSMO的角色就不能进行转移了，这时就只能强行夺取了，需要用到ntdsutil命令行工具。

以下是命令行的步骤打红线的地方，是要注意的地方，“connect to server “这里是连接到域，实际中，将其改为公司的域名就可以了。

在此由于DC1主域损坏不在线，所以只能用夺取（seize）而不能转移(transfer)。

这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmo maintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。