如何获取和转移 FSMO 角色（GUI 和 PowerShell）

在任何 Active Directory (AD) 管理员的职业生涯中，有时他或她必须转移 FSMO 角色（或夺取这些角色）。域控制器 (DC) 来来去去，这些 DC 上托管的 FSMO 角色必须四处移动。

在本教程中，您将逐步学习如何转移和获取所有 AD FSMO 角色。您将了解如何通过各种 GUI 工具和 PowerShell 移动 FSMO 角色。

让我们开始吧！

先决条件

如果您想跟随，请确保您具备以下条件：

• 至少两个 DC - 本教程将使用 Windows Server 2019 和 Windows Server 2016 的林功能级别，但变化不大。
• 安装了 RBAC 的加入域的计算机或者您直接位于 DC 的桌面上

相关：如何安装和导入 Active Directory PowerShell 模块

• Windows PowerShell v5.1
• 使用 AD 帐户登录到连接到域的计算机。要查询角色，不需要特殊权限。不过，转移或夺取角色需要更多特权。

使用 GUI 转移 FSMO 角色

有两种方法可以转移 FSMO 角色； GUI 和 PowerShell。让我们首先了解如何通过几个不同的 MMC 管理单元传输 FSMO 角色。

RID 主站、PDCe 和基础设施主站

让我们首先剔除特定于域的 FSMO 角色。

1. 打开 ADUC (dsa.msc)，右键单击域并选择Operations Masters。在这里，您将找到该域特有的所有 FSMO 角色（RID 主机、PDCe 和基础设施主机），通过 RID、PDC 和 基础设施 表示强> 选项卡。

2. 单击每个选项卡。您会注意到当前的 FSMO 角色持有者（操作主机）和一个更改按钮。

3. 单击每个选项卡下的更改按钮，然后选择新的 DC 来执行 RID Master、PDCe 和基础设施主机 FSMO 角色的传输。

域名命名大师

接下来，让我们转向域名命名大师角色。您可以在 Active Directory 域和信任控制台中查看和更改此 FSMO 角色。

1. 打开 Active Directory 域和信任控制台 (domain.msc)。

2. 右键单击Active Directory 域和信任父节点，然后单击操作主机。在这里，您将看到担任此角色的当前 DC，描述为域命名操作主机。

3. 单击更改按钮并选择您想要转移到的 DC。

模式大师

接下来，最后是架构大师角色。要更改此角色，您需要 Active Directory 架构 MMC 管理单元。

开始之前，首先确保您使用 Schema Administrators AD 组中的帐户登录。

1. 打开提升的命令提示符或 PowerShell 控制台并运行 regsvr32.exe "schmmgmt.dll"。默认情况下，Active Directory 架构管理单元不可用。此命令注册架构管理所需的 DLL。

2. 打开mmc.exe实用程序。

3. 单击文件 —> 添加/删除管理单元。

4. 从可用管理单元中选择Active Directory 架构，然后单击添加>和确定。

5. 进入管理单元后，右键单击 Active Directory 架构 [] 并选择操作主机，在弹出窗口中查看当前的架构主机。上窗。

6. 单击更改并选择新的 DC 以转移架构主机角色。

使用 PowerShell 转移 FSMO 角色

如果您更喜欢命令行，PowerShell 可以为您提供支持。

查看当前 FSMO 角色持有者

我们首先学习如何在使用 PowerShell 进行转移之前查看当前的 FSMO 角色持有者。为此，请打开提升的 Windows PowerShell 控制台并运行 Get-ADDomain 和 Get-ADForest 以查找每个当前 FSMO 角色持有者，如下所示。

Get-ADDomain
Get-ADForest

转移 FSMO 角色

一旦您知道哪些 DC 拥有当前 FSMO 角色，您也可以转移它们。要在 Windows PowerShell 中执行此操作，请使用 DC 的 Identity 参数运行 Move-ADDirectoryServerOperationMasterRole 命令，将 FSMO 角色传输到（中的 ChildDC1）在本例中）后跟 FSMO 角色的名称。以下示例正在转移 RID Master 角色。

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

对于 FSMO 角色名称，您可以使用 PDCEmulator、RIDMaster、InfrastructionMaster、SchemaMaster 和 DomainNamingMaster.

您还可以通过定义用逗号分隔的每个角色名称来一次转移多个角色，例如Move-ADDirectoryServerOperationMasterRole -Identity“ChildDC1”PDCEmulator，InfrastructionMaster。

也许你真的很懒，不想打出那些长名字。在这种情况下，您也可以仅使用每个 FSMO 角色对应于特定号码的号码。

数字

0

1

2

3

4

使用标识符而不是角色名称，传输 PDCE 角色的命令短至 Move-ADDirectoryServerOperationMasterRole ChildDc2 0

系统会提示您转移 FSMO 角色名称，只是为了确保您知道自己在做什么。由于这不是一项常见任务，因此您可能需要考虑使用要转移的角色的全名。特别是当您在脚本中使用该命令时，其他人也会使用该命令；更容易理解。

使用 GUI 获取 FSMO 角色

如果您需要将 FSMO 角色从一个 DC 移动到另一个 DC，转移角色始终是最佳选择。转移可确保 FSMO 角色完全从旧 DC 中删除并转移到新 DC。但事情并不总是按计划进行。

如果 DC 不再在线或以某种方式出现故障，您可以获取 FSMO 角色，这实际上是在新 DC 上构建新的 FSMO 角色，而无需删除旧的 DC。

仅当您确定无法使当前角色持有者重新上线时，才获取 FSMO 角色。一旦角色被夺取，请确保旧的 FSMO 角色持有者永远不会被带回来。

通过在 Active Directory 用户和计算机 (ADUC) 控制台中删除 DC 计算机帐户，可以使用 GUI 夺取角色。为此：

1. 首先，将 ADUC 连接到您想要将 FSMO 角色转移到的 DC。为此，在 ADUC 中，右键单击根 Active Directory 用户和计算机 节点，然后单击更改域控制器。

2. 搜索您要连接的 DC 并连接。

3. 单击域控制器 OU。

4. 右键单击您想要从中获取 FSMO 角色的 DC，然后单击删除。

5. 接下来，在前两个提示中单击是。

6. 最后，您将收到一条提示，通知您该 DC 是 FSMO 角色持有者，并且角色将被转移到另一个 DC。这将是您的 ADUC 控制台连接到的 DC。单击确定，离线 DC 的计算机帐户将被删除，角色将被夺取并移动到新 DC。

使用 PowerShell 夺取 FSMO 角色

要使用 PowerShell 获取 FSMO 角色，请确保打开 Windows PowerShell 并运行 Move-ADDirectoryServerOperationMasterRole，提供新 DC 的名称作为 Identity 参数值以及 强制参数。

下面的示例获取 RID Master 角色并将其分配给 NewDC3 DC。

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

用于传输的相同 FSMO 角色名称也适用于 Move-ADDirectoryServerOperationMasterRole cmdlet。

结论

移动 FSMO 角色不是日常任务，但当您升级新 DC、降级旧 DC 和退役服务器时，您需要了解 FSMO 角色。

按照本教程中的步骤操作可以帮助您了解您列表中的这项任务！