ServerR部署域控、额外域控及FSMO角色转移和夺取

Server2012R2部署域控、额外域控及FSMO角色转移和夺取
网络环境：
2012R2+DHCP
操作系统：WindowsServer2012R2Standard
网卡信息：IP：192.168.100.1/24
2012R2+DHCP
操作系统：WindowsServer2012R2Standard
网卡信息：IP：192.168.100.2/24
DHCP配置如下：
网关：无
，
配置2台服务器为DHCP故障转移
一、主域的安装及配置
配置网卡信息，如下图
打开服务器管理器，点击添加角色和功能如下图
选择安装类型：基于角色或基于功能的安装，如下图
池中仅一台主机，保持默认（此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替），如下图选择AD域服务并添加功能，如下图
功能不做添加，不选择直接下一步，跳转到添加ADDS域服务向导，如下图
确认安装所选内容，点击安装，如下图
正在安装域服务器，如下图
安装完毕，点击关闭，如下图
点击服务器管理器上方的小旗子查看提示内容，选择将此服务器提示为域控制器，如下图
因为这是此域中第一个域，选择添加新林并输入根域名信息，如下图
选择域控制器林和域功能级别并设置DSRM密码，如下图
出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下图
NETBIOS设置，保持默认，直接下一步，如下图
17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下图
配置选项查看，可检查是否有问题，有问题点击上一步返回，否则直接下一步，如下图
AD域服务器部署前先决条件检查，检查通过后，点击安装，如下图
正在配置域服务，配置完成后会自动重启。

如下图
重启后，登录AD服务器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下图DNS反向查找区域配置向导，如下图
在区域类型中选择主要区域，如下图
设置传送作用域，如下图
设置反向查找IP类型，如下图
输入反向查找区域名称，如下图
指定反响查找更新类型，如下图
完成DNS反向查找区域建立，如下图
在DNS反向查找区域中查看记录，如下图
二、上面设置已经完成主域的部署，接下来，部署额外域控。

2012R2DC2网卡信息配置如下图
将2012R2DC2加入ITPro域中，如下图
输入有权限加入域的用户凭据，如下图
成功加入域，如下图
加入域后，重启。

在服务器管理器中，点击添加角色和功能，如下图
安装类型选择基于角色或基于功能的安装，如下图
选择2012R2DC2，点击下一步，如下图
在服务器角色中选择AD域服务，点击下一步，如下图
功能添加保持默认，直接下一步跳转到ADDS域服务向导，如下图
安装摘要，检查安装角色是否正确，没有问题点击安装。

如下图
安装完成后，点击右上方小旗子，显示提示内容，选择将此服务器提升为域控制器，如下图
在部署配置中选择奖域控制器添加到现有域，如下图
在上图中点击更改，弹出部署操作凭据，验证通过后点击一下步，如下图
指定域控功能和站点信息并输入DSRM密码，如下图
DNS因为没有安装，提示警告，可以忽略，点击下一步，如下图
如果勾选“从媒体路径安装”，是离线部署。

我们选择从域控制器在线复制ActiveDirectory数据，复制源于“任何域控制器”，这里只有一个域，多域需选择指定域。

如下图
指定ADDS数据库、日志文件和SYSVOL的位置，如下图
检查额外域控配置，确认无误后点下一步，如下图
先决条件检查，通过后点击安装，如下图
额外域控配置完成后会自动重启，重启后登录额外域控，配置网卡DNS为本机IP，只有这样DNS才会和主域DNS同步，这是实现DNS和AD冗余的关键，网卡设置后，两台服务器AD和DNS才会相互复制，如下图
在2012R2DC2中查看DNS，已同步2012R2DC1中记录，如下图
三、DHCP配置，在2012R2DC1中，在添加角色和功能中选额添加DHCP角色，如下图
添加功能保持默认，直接下一步转到DHCP向导和注意事项，点击下一步，如下图
正在安装DHCP服务器，如下图
DHCP服务器安装完成，如下图
DHCP安装完成后在服务器管理器界面，点右上方小旗子，在显示的内容中选择配置DHCP
配置DHCP授权，如下图
DHCP配置完成摘要，如下图
如上步骤，在2012R2DC2中安装DHCP角色并授权。

授权时只需点击右上方小旗子，在显示的内容中配置DHCP并授权，为配置DHCP故障转移做准备，不做具体配置。

如果没有授权，备用DHCP不会启用
在服务器管理器中，点击工具选择DHCP调出DHCP服务器，如下图
在IPv4选项下配置作用域，点击下一步，如下图
新建作用域的IP地址范围，点击下一步，如下图
设置DHCP作用域IP排除范围，点击下一步，如下图
设置DHCP租约，点击下一步，如下图
配置DHCP选项，选择后点击下一步，如下图
配置域名及DNS，配置后点击下一步，如下图
配置WINS服务器，这里是测试，不做配置，直接下一步，如下图
激活作用域配置，点击下一步，如下图
完成作用域配置，点击完成，如下图
在2012DC1上右键刚建立的作用域，点击，配置故障转移，如下图
配置故障转移向导，直接下一步，如下图
指定伙伴服务器，点击添加服务器，在弹出的添加服务器中查找服务器并添加，点击下一步，如下图
配置故障转移关系-负载均衡，测试要实现的是主DHCP宕机后，客户端IP不变化，这里不做设置，如下图
本次测试将DHCP配置为热备用服务器，备用服务器设置为待机，当主DHCP宕机，备用DHCP会提供服务。

如下图
故障转移摘要，确认无误后，点击完成，如下图
故障转移关系完成，如下图
登录2012R2DC2，查看故障转移关系，服务器为待机
有关DHCP故障转移关系可参考：
循序渐进：针对故障转移配置DHCP
到此有关AD、DNS和DHCP冗余已经设置完成。

接下来验证下主域宕机的情况下，客户端能否登陆域及DHCP故障转移是否实现
下图是主域在线客户端登录的相关信息，可以看到FSMO角色在2012R2DC1上，用户登录域为2012R2DC1，主机获取的IP 地址为1，DHCP服务器地址为1
接下来我们禁用2012R2DC1的网卡模拟服务器宕机，重启客户端登录服务器，下图中可以看到FSMO角色没有变化，客户端IP地址也没有变化，登录域变成了2012R2DC2，DHCP服务器变成了
从主域宕机前和宕机后客户端的两个截图表明，AD额外域控及DHCP已实现。

在客户端中查看域中FSMO角色位置，详见FSMO角色vbs代码
四、接下来针对域服务器的FSMO五中主机角色做转移
下面分别介绍使用MMC控制台、命令行和PowerShell转移FSMO角色
1、使用MMC控制台转移FSMO角色
首先在2012R2DC1中查询FSMO角色，打开Powershell输入netdomqueryFSMO，从图中可以看到五中角色都在2012R2DC1上
在2012R2DC1上，打开AD用户和计算机，更改连接的域控制器，如下图
选择要连接的域控制器，由于2012DC1不能转移到自身，所以状态为不可用，如下图
在上右键选择操作主机，如下图
操作主机显示可以转移三个角色，分别是RID、PDC和基础结构，切换选项卡转移各主机角色，如下图
打开AD域和信任关系，连接到2012R2DC2，右键AD域和信任关系，选择操作主机，如下图
更改域命名主机，操作和前面3个主机角色相同。

如下图
架构主机的更改需注册组件，PS中操作如下图
打开MMC控制台在添加删除管理单元中添加AD架构并打开，如下图
在打开的AD架构中先连接到2012R2DC2，然后更改架构主机，如下图
完成后，查询FSMO角色的位置，现在已经成功将FSMO角色从2012R2DC1转移到2012R2DC2上，如下图
2、命令行转移FSMO角色，转移命令如下
Ntdsutil
Roles
Connections
ConnecttoServer<DC>
Quit
TransferDomainnamingmaster
Transferinfrastructuremaster
TransferPDC
TransferRIDmaster
TransferSchemamaster
在刚才通过MMC控制台已经将FSMO角色转移到2012R2DC2，这次通过命令行将FSMO角色转移到2012R2DC1
在PS中操作如下图，命令由红线标示
在PS中复制粘贴命令，在弹出的对话框中点击“是”，如下图
如下图所示，五种角色均转移完成
转移完成后在PS中查看到现在FSMO角色已经转移到2012R2DC1中，如图
3、使用PowerShell转移FSMO角色
刚才通过命令行将FSMO角色转移到了2012R2DC1中，现在通过PowerShell命令将FSMO角色转移到2012R2DC2。

操作命令Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC2"-OperationMasterRole0,1,2,3,4。

在Powershell中可输入OperationMasterRole的值PDCEmulatoror0，RIDMasteror1，InfrastructureMasteror2，SchemaMasteror3，DomainNamingMasteror4
图中提示是否转移，这里要转移五种角色，选择A，按回车键
现在在PS中查询，已经将FSMO角色转移到2012R2DC2上
有关powerShell命令可参考：Move-ADDirectoryServerOperationMasterRole
五、接下来针对域服务器的FSMO五中主机角色做夺取
使用命令行及PowerShell命令夺取
1、使用命令行夺取FSMO角色
Ntdsutil
Roles
Connections
ConnecttoServer<DC>
Quit
SeizeDomainnamingmaster
Seizeinfrastructuremaster
SeizePDC
SeizeRIDmaster
SeizeSchemamaster
上步通过PS已经将FSMO角色转移到2012R2DC2中，现在将FSMO五种角色夺取到2012R2DC2上。

先关闭2012R2DC2，ping主机已不在线，下面输入操作命令
在进行强制夺取时首先会进行安装传送
在PS中复制粘贴各主机角色夺取命令然后执行，夺取完成后验证FSMO各主机角色位置，如图，已经成功将FSMO角色夺取到2012R2DC1上
2、使用PowerShell命令夺取FSMO角色
上步通过命令行夺取了FSMO角色，夺取后2012R2DC2已不可用。

在虚拟机上通过快照恢复到夺取前状态。

先查询FSMO 角色位置，FSMO角色在2012R2DC2上，关闭主机。

如图
使用Powershell命令夺取FSMO角色，操作命令：Move-ADDirectoryServerOperationMasterRole-Identity"2012R2DC1"-OperationMasterRole0,1,2,3,4–Force。

在Powershell中可输入OperationMasterRole的值PDCEmulatoror0，RIDMasteror1，InfrastructureMasteror2，SchemaMasteror3，DomainNamingMasteror4
转移过程有点长，转移后检查FSMO角色的位置，现在已成功将FSMO角色转移到2012R2DC1中
有关夺取的PowerShell命令参考：
SeizinganOperationsMasterRole
Move-ADDirectoryServerOperationMasterRole
3、在夺取后需对宕机服务器信息进行清理，DNS记录、DC元数据和站点信息
清理宕机服务器命令如下
信息清理涉及命令如下
Ntdsutil
Metadatacleanup
Connections
ConnecttoDomain<DC>
Quit
Selectoperationtarget
Listsites
Selectsite<ID>
ListDomaininsite
SelectDomainID
ListserversforDomaininsite
Selectserver<ID>
Quit
Removeselectedserver
在操作过程中如果出现如下信息，命令输入错误。

需返回上一步或重头开始
正常的信息如下
命令行中操作如下，只要不出错，命令可以简写，命令用红线标示，如下图
弹出删除对话框，点击是，命令用红线标示，如下图
元数据清理成功，如下图
清除元数据后，打开DNS服务，在正向和反向查找区域中删除有关2012R2DC2的记录。

如下图
最后打开AD站点和服务，删除默认站点——Servers下的2012R2DC2，如下图
删除后，重启Server2012R2DC1.至此清理宕机服务器的数据已经完成。

附：在客户端查询FSMO角色脚本（将下面代码复制到文本中，将后缀改为vbs，然后在客户端执行即可）SetobjRootDSE=GetObject(rootDSE")
Dimtext
'SchemaMaster
SetobjSchema=GetObject(&objRootDSE.Get("schemaNamingContext"))
strSchemaMaster=objSchema.Get("fSMORoleOwner")
SetobjNtds=GetObject(&strSchemaMaster)
SetobjComputer=GetObject(objNtds.Parent)
text="Forest-wideSchemaMasterFSMO:"&&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'DomainNamingMaster
SetobjPartitions=GetObject(&_
objRootDSE.Get("configurationNamingContext"))
strDomainNamingMaster=objPartitions.Get("fSMORoleOwner")
SetobjNtds=GetObject(&strDomainNamingMaster)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Forest-wideDomainNamingMasterFSMO:"&&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'PDCEmulator
SetobjDomain=GetObject(&objRootDSE.Get("defaultNamingContext"))
strPdcEmulator=objDomain.Get("fSMORoleOwner")
SetobjNtds=GetObject(&strPdcEmulator)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Domain'sPDCEmulatorFSMO:"&&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'RIDMaster
SetobjRidManager=GetObject(Manager$,CN=System,"&_
objRootDSE.Get("defaultNamingContext"))
strRidMaster=objRidManager.Get("fSMORoleOwner")
SetobjNtds=GetObject(&strRidMaster)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Domain'sRIDMasterFSMO:"&&vbCrLf
SetobjNtds=Nothing
SetobjComputer=Nothing
'InfrastructureMaster
SetobjInfrastructure=GetObject(&_
objRootDSE.Get("defaultNamingContext"))
strInfrastructureMaster=objInfrastructure.Get("fSMORoleOwner") SetobjNtds=GetObject(&strInfrastructureMaster)
SetobjComputer=GetObject(objNtds.Parent)
text=text&"Domain'sInfrastructureMasterFSMO:"&&vbCrLf WScript.Echotext。