如何占据 FSMO 角色

介绍

将灵活单主操作 (FSMO) 角色从一个域控制器 (DC) 转移到另一个域控制器通常是通过角色转移操作来完成的。但是，如果持有 FSMO 角色的 DC 遇到严重故障，导致其停止服务，则您必须夺取其 FSMO 角色并将其重新分配给正常运行的 DC。

例如，如果当前角色持有者满足以下条件，您需要获取 FSMO 角色：

• 遇到操作问题，导致 FSMO 相关操作无法成功
• 由于硬件问题根本不可用
• 存在阻止角色转移的复制问题

重要：从 DC 获取 FSMO 角色后，请确保它永远不会重新连接到网络。否则，该 DC 和新角色持有者都将负责与该角色相关的职责，这可能会导致 Active Directory 中出现严重问题。

确定是否占用特定 FSMO 角色

每当您需要执行需要该角色但当前角色持有者不可用的操作时，您就需要获取特定的 FSMO 角色。以下是 5 个 FSMO 角色及其职责：

• 架构主机角色 - 需要扩展 AD 架构或对 AD 架构进行其他更改
• 域命名主机角色 - 添加新域或 DC 时需要
• RID 主机角色 - 创建 Active Directory 对象时需要，因为它将必要的相对标识符 (RID) 池分配给其他域控制器
• PDC 模拟器角色 - 需要进行各种操作，包括时间同步、密码更改和组策略更新
• 基础设施主机角色 - 需要解析多域林中的跨域对象引用，除非所有 DC 都是全局目录主机

获取 FSMO 角色所需的权限

要获取任一林范围角色（架构主机或域命名主机），用户必须是企业管理员组的成员。

要从 DC 获取域范围角色（PDC 仿真器、RID 主机或基础结构主机），用户必须是 DC 域的域管理员组的成员。

如何抢占 FSMO 角色

要获取 FSMO 角色，您可以使用以下任一方法：

• Active Directory 用户和计算机 (ADUC)
• 电源外壳
• ntdsutil.exe

如何使用 ADUC 夺取 FSMO 角色

要使用 ADUC 控制台获取 FSMO 角色，请执行以下步骤：

1. 首先，登录到要分配 FSMO 角色的域控制器。
2. 单击开始按钮，然后单击服务器管理器。

• 在服务器管理器中，单击工具菜单，选择Active Directory 用户和计算机。

• 在左侧列表中，单击域控制器。在右侧的结果列表中，找到出现故障的域控制器（在本例中为 MILKYWAYDC2）。右键单击它并选择删除。

• 当提示您确认删除时，单击是。

• 将出现另一个警告。选中“无论如何删除此域控制器...”框，然后单击删除。

• 将出现第三个警告。单击是。

• 最后警告将详细说明哪些 FMSO 角色将移至您登录的 DC。单击确定重新分配这些 FSMO 角色。

要确认角色已从非运行 DC 重新分配到所需角色，请打开 PowerShell 并输入以下命令：

NetDom 查询 FSMO

如何使用 PowerShell 获取 FSMO 角色

或者，您可以通过登录到要将角色重新分配到的 DC 并运行以下 PowerShell cmdlet，从当前角色持有者处获取 FSMO 角色：

Move-ADDirectoryServerOperationMasterRole -Identity <ADDirectoryServer> -OperationMasterRole <Role> -Server <ADDS or ADLDS instance>-Force

• -Identity 指定要向其分配一个或多个角色的 DC
• -OperationMasterRole 指定您要抢占的一个或多个角色（通过角色名称或角色编号指定，如下所示）
• -Force表示角色将被夺取而不是转移

抓住 PDC 仿真器的角色

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole PDCEmulator -Force

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 0 -Force

抢占 RID Master 角色

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole RIDMaster - Force

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole 1 -Force

抢占基础设施大师角色

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC4" -OperationMasterRole InfrastructureMaster -Force

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC4" -OperationMasterRole 2 -Force

抓住架构大师的角色

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole SchemaMaster -Force

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 3 -Force

抢占域名大师角色

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole DomainNamingMaster -Force

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole 4 -Force

同时扮演多个角色

您可以同时担任两个或多个角色。例如，在小型环境中，所有 5 个 FSMO 角色可能会分配给同一个 DC。如果它变得无法恢复，您可以使用以下任一 cmdlet 夺取所有五个角色：

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster -Force

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 0,1,2,3,4 -Force

系统会提示您确认操作，如下所示。如果您按A，所有角色将被占领。如果您按Y，系统会要求您单独确认每个后续角色的占用。

如何使用 ntdsutil.exe 获取 FSMO 角色

要通过命令行程序 ntdsutil.exe 获取一个或多个 FSMO 角色，请执行以下步骤：

1. 登录到安装了 AD RSAT 工具的成员计算机。
2. 要启动 ntdsutil，请点击开始，输入运行，键入ntdsutil，然后点击确定。

3. 在 ntdsutil 提示符下，键入 roles 并按 Enter。

4. 在 fsmo Maintenance 提示符下，键入 connections 并按 Enter

5. 使用以下命令连接到要将角色转移到的域控制器：

connect to server <servername>

6. 在服务器连接提示符下，键入 q，然后按 Enter。这将使您返回到fsmo 维护提示符。

7. 要获取角色，请运行以下列表中的相应命令：

• 抓住命名大师
• 抢占基础设施主宰
• 抓住PDC
• 抢占RID主控
• 抓住架构大师

8. 要返回到 ntdsutil 提示符，请键入 q，然后按 Enter。

9.要退出Ntdsutil实用程序，请键入q，然后按Enter。