如何检查和转移 FSMO 角色

当域中有多个域控制器时，5 个 FSMO 角色中的每一个角色都有一个主控制器，可以在 Active Directory 中执行更新。这通常是您在网络中安装的第一个域控制器，但我们可以将 FSMO 角色转移到其他域控制器。

需要手动转移 FSMO 角色的用例并不多。当您降级域控制器时，角色会自动转移。只有全球多域林环境才需要拆分角色。

在本文中，我将解释如何通过 GUI 和 PowerShell 快速转移所有 FSMO 角色。我们还将研究如何在域控制器之间划分角色。

为什么要转移 FSMO 角色？

那么什么时候需要转移 FSMO 角色呢？人们通常认为需要在降级域控制器之前转移它们。但这并不完全正确。以下是可能需要转移 FSMO 角色的一些原因：

1. 降级域控制器：降级域控制器时，FMSO 角色会自动转移。但是，在此过程中您无法选择哪个域控制器。因此在某些情况下，您可能需要手动转移 FSMO 角色。

2. 负载平衡：可能需要转移角色才能在域控制器之间均匀分配 FSMO 角色职责。

3. 灾难恢复：在域控制器发生故障时，将 FSMO 角色转移到另一个域控制器有助于保持 Active Directory 操作的连续性。

4. 升级硬件或软件：在硬件升级或操作系统迁移期间，转移 FSMO 角色可确保其在新基础架构上的可用性。

当您选择转移 FSMO 角色时，请尝试选择最具弹性的域控制器。例如，数据中心的 DC 通常比本地的 DC 能更好地防止停机。

了解 FSMO 角色转移

在我们开始转移 FSMO 角色之前，了解 Active Directory 中的五个角色及其功能非常重要：

• 架构主控：管理对 AD 架构的修改和添加。

• Domain Naming Master：控制林中域的添加或删除。

• RID Master：为域内的对象分配唯一的安全标识符 (SID)。

• PDC 模拟器：模拟主域控制器的行为以实现向后兼容性。

• 基础设施主控：确保域之间对象引用的一致性。

如果您需要拆分 FSMO 角色（在 99% 的情况下不需要），那么将架构主机和域命名主机角色以及 RID 主机和 PDC 仿真器角色保留在一起非常重要。基础设施主机角色不再真正使用，但仍将其分配给 dc。

检查 FSMO 角色

在转移 FSMO 角色之前，最好检查一下 FSMO 角色现在是如何分配的。查看当前角色有两种方法，我们可以使用netdom查询工具和PowerShell。第一个只需要一个命令，对于后者，我们需要分别获取森林和域角色。

Netdom 查询工具

在域控制器上打开命令提示符或 PowerShell 窗口，然后键入以下命令：

netdom query fsmo

使用 PowerShell

如前所述，对于 PowerShell，我们需要运行两个命令来获取所有角色。第一个命令将获取域的角色，第二个命令检查林的角色：

# Get Domain roles
Get-ADDomain a-d.site | Select PDCEmulator, RIDMaster,InfrastructureMaster

# Result
pdcemulator              ridmaster                infrastructuremaster
-----------              ---------                --------------------
LA-SRV-DC01.a-d.site LA-SRV-DC01.a-d.site LA-SRV-DC01.a-d.site

# Get Forest roles
Get-ADForest a-d.site | Select SchemaMaster,DomainNamingMaster

# Result
SchemaMaster             DomainNamingMaster
------------             ------------------
LA-SRV-DC01.a-d.site LA-SRV-DC01.a-d.site

方法 1 - 使用 PowerShell 传输 FSMO角色

转移 FSMO 角色的最简单方法是借助 PowerShell。我们可以用一个命令转移所有角色，或者将每个角色单独转移到另一台服务器。

在转移角色之前，您需要确保您是 Active Directory 中架构管理员组的成员。默认情况下，管理员帐户不是该组的成员。您可以在 Active Directory 的用户下找到架构管理员组。

我们将使用 Move-ADDirectoryServerOperationMasterRole cmdlet 来转移角色。您可以指定要移动的角色，或在单个命令中指定所有角色：

Move-ADDirectoryServerOperationMasterRole "LA-SRV-DC02" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster

如果要在多个域控制器之间拆分角色，则只需指定要移动的角色：

# Transfer the roles PDCEmulator,RIDMaster,InfrastructureMaster to DC02
Move-ADDirectoryServerOperationMasterRole "LA-SRV-DC02" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster

# Transfer the roles PSchemaMaster,DomainNamingMaster to DC03
Move-ADDirectoryServerOperationMasterRole "LA-SRV-DC03" -OperationMasterRole SchemaMaster,DomainNamingMaster

方法 2 - 使用 GUI转移 FSMO 角色

如果您不喜欢或不想使用 PowerShell，那么也可以使用 GUI 转移 FSMO 角色。我们需要三个不同的控制台来转移所有角色：

• RID 主机、PDC 仿真器 和基础结构 主机角色在 Active Directory 用户和计算机控制台中完成。

• 域名角色可以在 Active Directory 域和信任中转移。

• 架构管理员角色需要加载 Active Directory 架构 MMC 管理单元。

建议

RID 主机、PDC 仿真器和基础设施主机角色

1. 打开Active Directory 用户和计算机控制台

2. 右键单击您的域并选择操作大师

3. 将每个角色转移到新的域控制器（检查每个选项卡）。

架构管理角色

我们需要在 MMC 控制台中手动加载 Active Directory Schema 加载项以转移Schema Master 角色。但在此之前，我们需要在域控制器上注册一个 DLL 文件。

1. 以管理员身份打开终端（命令提示符或 PowerShell）

2. 输入 regsvr32 schmmgmt.dll 并按 Enter 键

3. 等待成功消息并单击“确定”。

1. 在控制台中键入MMC（或打开运行对话框（Windows 键 + R）并键入 MMC）

2. 单击文件并选择添加或删除管理单元

3. 选择Active Directory架构

4. 单击添加，然后单击确定

1. 右键单击Active Directory 架构

2. 选择操作大师

3. 单击更改以转移角色

操作主角色

我们需要转移的最后一个角色是操作主机角色。我们可以在 Active Directory 域和信任控制台中执行此操作。再次，在您也想要转移角色的域控制器上执行以下步骤。

1. 打开Active Directory 域和信任

2. 右键单击Active Directory 域和信任

3. 选择操作大师

4. 单击更改以转移角色

总结

很少需要转移 FSMO 角色。当您降级域控制器时，角色会自动转移。并且只有在非常大的环境中才需要在多个域控制器之间划分角色。

转移 FSMO 角色的最简单方法是使用 PowerShell。使用 GUI 也是可以的，但需要做更多的工作。

我希望您觉得这篇文章有用。如果您有任何疑问，请在下面发表评论。