如何转移 FSMO 角色 - Netwrix 博客

介绍

FSMO 角色是什么？

有 5 个灵活单主操作 (FSMO) 角色：

• 2 个全林角色：域命名管理员和架构管理员
• 3 个域范围角色：PDC 仿真器、RID 主机和基础设施主机

为什么要转移 FSMO 角色？

所有 5 个角色最初都分配给在林中创建的第一个域控制器 (DC)。如果林包含多个域，则在每个新域中创建的第一个 DC 拥有该域的全部 3 个域范围 FSMO 角色。

然而，为了确保容错能力，许多组织在林的每个域中都有多个域控制器。在这种情况下，他们不需要将分配给原始 FSMO 角色持有者的所有操作主机角色保留。事实上，微软建议仔细划分 FSMO 角色，并准备好备用 DC 来接管每个角色。

此外，Microsoft 建议 2 个林范围角色（域命名主机和架构主机）应位于同一 DC 上。在给定域中，PDC 模拟器和 RID 主机角色应位于同一 DC 上。

以下是将 FSMO 角色转移到另一个 DC 的一些其他常见原因：

• DC操作系统正在升级。
• DC的IP地址正在变化。
• 域控制器正在被降级。
• 您正在停止使用 DC 以进行维护。

最佳实践是完整记录 FSMO 角色转移的时间、地点和原因。

FSMO角色如何转移？

要在 DC 之间移动 FSMO 角色，您可以使用以下任一选项：

• 微软管理控制台
• 电源外壳
• 命令行实用程序 ntdsutil.exe

下面对每个选项进行了解释。

请注意，在某些情况下，您需要获取 FSMO 角色而不是转移它们。有关详细信息，请参阅此博客。

转移 FSMO 角色所需的权限

要执行 FSMO 角色转移，用户帐户必须是相应管理员组的成员，如下表所示：

用户用户必须是该群组的成员：

企业管理员

企业管理员

域管理员

域管理员

域管理员

如何使用 Microsoft 管理控制台转移 FSMO 角色

用于查看和迁移 FSMO 角色的 Microsoft GUI 取决于所涉及的角色：

• RID Master、Infrastruction Master 或 PDC 模拟器：ADUC（Active Directory 用户和计算机）
• 域名主控：ADDT（Active Directory 域和信任）
• 架构大师：MMC（Microsoft 管理控制台）

转移 RID 主站、基础设施主站或 PDC 仿真器角色

使用 ADUC，您可以查看当前哪个域控制器拥有 RID 主机、基础结构主机或 PDC 模拟器角色，并将角色转移到不同的 DC。采取以下步骤：

1. 使用域管理员成员帐户登录到要将角色转移到的域控制器。

2. 打开 ADUC。

3. 右键单击域节点，然后单击Operations Masters，如下所示。

4. 在“操作主机”窗口的“RID”选项卡上，您可以查看当前拥有 RID 主机角色的域控制器以及您登录的 DC。如果要更改担任 PDC 仿真器或基础结构主机角色的 DC，请单击相应的选项卡。

5. 要继续角色转移，请单击更改按钮。然后单击是确认操作，如下所示。

6. 您将返回到操作大师窗口。如果您需要转移另一个域范围角色，请选择适当的选项卡并重复步骤 5。

转移域名主机角色

您可以使用 ADDT 查看哪个 DC 拥有域命名主机角色，并将该角色转移到其他 DC。请按照以下步骤操作。

1. 使用企业管理员组成员的帐户登录到要将角色转移到的 DC。

2. 打开ADDT。

3. 右键单击Active Directory 域和信任节点，然后选择操作主机。

4. 在操作主机窗口中，您可以看到当前拥有域命名主机角色的 DC 以及您登录的 DC。

5. 要将角色从当前 DC 转移到目标 DC，请单击更改按钮。当要求确认操作时，单击是。

转移架构主机角色

在转移架构主机角色之前，必须将 Active Directory (AD) 管理单元添加到 MMC 控制台并首先在操作系统中注册。

请注意，具体选项因您使用的 Windows Server 版本而异。该示例显示了 Windows Server 2016 的流程。

1. 要打开命令提示符窗口，请执行以下操作之一：

• 右键单击开始按钮，然后单击命令提示符管理。

• 单击运行，输入CMD，然后单击确定。

2. 输入regsvr32 schmmgmt.dll，然后按Enter。您将收到一条命令成功的确认消息。

3. 在“运行”对话框中键入 mmc.exe 打开 MMC。

4. 接下来，我们需要添加 Active Directory 架构管理单元。单击文件，然后选择添加/删除管理单元。

5. 单击可用管理单元中的Active Directory 架构，然后单击添加按钮。在右侧，您将看到 Active Directory 架构现已列出。单击确定关闭窗口。

6. Active Directory 架构管理单元未连接到当前拥有架构主机角色的 DC，但这不是我们想要将角色转移到的 DC。

7. 要将 AD 架构管理单元连接到您当前登录的 DC，请首先右键单击 Active Directory 架构，然后单击更改 Active Directory 域控制器 。

8. 选择此域控制器或 AD LDS 实例单选按钮，然后选择正确的 DC。单击确定关闭窗口。

9. 当出现以下警告消息时，单击确定。

10. 验证 DC 是否已更改为您要将角色转移到的 DC。

11. 右键单击Active Directory 架构，然后选择操作主机。

12. 您将看到当前拥有架构主机角色的 DC，其下方是您登录的 DC。要启动角色转移，请单击更改。

13. 在出现的确认窗口中，单击是转移角色。

如何使用 PowerShell 转移 FSMO 角色

使用 Microsoft 控制台传输 FSMO 角色的一种替代方法是使用 PowerShell cmdlet Move-ADDirectoryServerOperationMasterRole。

您可以在已加入域的服务器或安装了 Active Directory PowerShell 模块的工作站上运行此 cmdlet，也可以直接在 DC 上运行。

此命令必须提供两个必要参数：

• -Identity 指定要为其分配一个或多个角色的 DC。可接受的值为：

  • 主机名
• GUID（全球唯一标识符）
• 完全限定域名 (FQDN)

• -OperationMasterRole 指定正在转移的一个或多个角色。您可以指定适当的字符串或其相应的数值：

  • PDCEmulator 或 0
• RIDMaster 或 1
• 基础设施大师或2
• SchemaMaster 或 3
• DomainNamingMaster 或4

本文提供了使用字符串和数值的示例。

请注意，不需要指定当前角色持有者，因为系统已经拥有该信息。

转移 RID 主站、基础设施主站和 PDC 仿真器角色

检查当前角色持有者

您可以通过运行以下 cmdlet 了解三个域范围的角色持有者，包括其 FQDN：

Get-ADDomain

您可以在转移 FSMO 角色后再次使用 Get-ADDomain cmdlet 以确保操作成功。

转移角色

您可以转移特定角色或一次转移所有三个角色。系统将提示您确认转账。

PDC仿真器

要转移 PDC 模拟器角色，请使用以下命令之一：

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole PDCEmulator

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 0

摆脱大师

要转移 RID 主机角色，请使用以下命令之一：

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole RIDMaster

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole 1

基础设施大师

要转移基础架构主机角色，请使用以下命令之一：

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC4" -OperationMasterRole InfrastructureMaster

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC4" -OperationMasterRole 2

一次性完成所有域范围的 FSMO 角色

要一次转移所有 3 个域范围的 FSMO 角色，请使用下面所示的任一命令。如果要将每个角色转移到不同的 DC，请使用 -Identity 参数指定 DC 名称。

要确认角色转移，您可以输入A一次确认所有角色转移，也可以为每个转移分别输入Y。

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster

Move-ADDirectoryServerOperationMasterRole -Identity “MilkywayDC2” -OperationMasterRole 0,1,2

转移域名主机和架构主机角色

检查当前角色持有者

要查看当前担任林范围角色的 DC，请使用下面所示的 cmdlet。

Get-ADForest

转移角色

您可以只转移其中一个角色，也可以同时转移两个角色。系统将提示您确认转账。

模式大师

要转移架构主机角色，请使用以下命令之一：

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole SchemaMaster

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 3

域名命名大师

要将域名主机角色转移到另一个 DC，请使用以下命令之一：

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole DomainNamingMaster

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC3" -OperationMasterRole 4

同时发挥森林范围内的两个角色

要同时转移两个林范围角色，请使用下面所示的任一命令。如果要将每个角色转移到不同的 DC，请使用 -Identity 参数指定 DC 名称。

要确认角色转移，您可以输入A 一次确认所有角色转移，也可以为每次转移分别输入Y 。

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole SchemaMaster,DomainNamingMaster

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 3,4

使用单个 PowerShell Cmdlet 传输所有 FSMO 角色

如果您只有一个域，只有 2 或 3 个 DC，并且您想要转移所有 5 个 FSMO 角色，则可以使用下面所示的任一 cmdlet。

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster

Move-ADDirectoryServerOperationMasterRole -Identity "MilkywayDC2" -OperationMasterRole 0,1,2,3,4

如何使用 ntdsutil.exe 传输 FSMO 角色

转移 FSMO 角色的第三种方法是使用命令行程序 ntdsutil.exe。请注意，只有经验丰富的管理员才能使用这个强大的工具。

以下是要采取的步骤：

1. 登录到安装了 AD RSAT 工具的成员计算机或位于操作主机角色所在的同一林中的 DC。建议您登录到要将操作主机角色转移到的 DC。

2. 单击开始，然后键入运行。在“运行”对话框中，键入ntdsutil，然后单击确定。

3. 在 ntdsutil 提示符下，键入 roles 并按 Enter。

4. 在 fsmo Maintenance 提示符下，键入 connections 并按 Enter。

5. 键入以下命令，将 milkywayDC2.milkyway.local 替换为要将角色转移到的 DC 的名称，然后按 Enter。

connect to server milkywayDC2.milkyway.local

6. 在服务器连接提示符处，键入q，然后按Enter。

7. 这将使您返回到fsmo 维护提示符。要查看可以转移的角色列表及其命令，请键入 ? 并按 Enter。

8. 要转移角色，请从下面的列表中键入相应的命令，然后按 Enter。

Transfer domain naming master
Transfer infrastructure master
Transfer PDC
Transfer RID master
Transfer schema master

9. 当出现警告消息时，单击是确认传输。

10. 在 fsmo Maintenance 提示符下，键入 q 并按 Enter 返回到 ntdsutil 提示符。

11. 要退出 Ntdsutil 实用程序，请键入 q 并按 Enter。