将 FSMO 角色转移/夺取到另一个域控制器

在本文中，我们将考虑如何在 Active Directory 中查找具有 FSMO 角色的域控制器、如何将一个或多个 FSMO 角色转移到另一台（附加/辅助）域控制器以及如何在域控制器 FSMO 角色所有者出现故障时夺取 FSMO 角色。

了解 Active Directory 域中的 FSMO 角色

Active Directory 域中的 FSMO（灵活单主操作）角色是什么？您可以在任何域控制器上执行 Active Directory 中的大多数标准操作（例如创建新用户帐户和安全组或将计算机加入域）。 AD 复制服务负责在整个 AD 目录中分发这些更改。不同的冲突（例如，在多个域控制器上同时重命名用户帐户）可以使用一个简单的原则来解决 - 最后一个是正确的。但是，有许多操作期间发生冲突是不可接受的（例如，创建新的子域/林、更改 AD 架构等时）。要执行需要唯一性的操作，您需要具有 FSMO 角色的域控制器。 FSMO 角色的主要任务是防止此类冲突。

Active Directory 域中可能有五个 FSMO 角色。

对于 AD 林来说，两个角色是独一无二的：

1. 架构主机负责对 Active Directory 架构进行更改（例如，使用

   adprep /forestprep

   命令;

2. 域命名主机为您在 AD 林中创建的所有域和应用程序部分提供唯一的名称（要管理它，您需要“企业管理员”权限）。

每个域有三个角色（要管理它们，您的帐户必须是“域管理员”组的成员）：

1. PDC 模拟器是 Windows 网络中的主浏览器（域主浏览器用于显示网络环境中的计算机），它在输入错误密码时跟踪用户锁定，它是域中的主 NTP 服务器，用于提供与运行 Windows 2000/NT 的客户端的兼容性，DFS 根服务器使用它来更新命名空间信息；

2. 基础设施大师负责更新跨域对象链接；和

   adprep /domainprep

   命令在其上运行；

3. RID Maste — 服务器将 RID（500 个包）分发到其他域控制器以创建唯一的对象标识符 (SID)。

如何列出域中的 FSMO 角色所有者？

如何找出 Active Directory 域中哪些域控制器是 FSMO 角色持有者？

要查找域中的所有 FSMO 角色所有者，请运行以下命令：

netdom query fsmo

Schema master dc01.test.com
Domain naming master dc01.test.com
PDC dc01.test.com
RID pool manager dc01.test.com
Infrastructure master dc01.test.com

您可以查看另一个域的 FSMO 角色：

netdom query fsmo /domain:a-d.site

在此示例中，您可以看到所有 FSMO 角色都位于 DC01 上。部署新的 AD 林（域）时，所有 FSMO 角色都会放置到第一个 DC。除 RODC 之外的任何域控制器都可以是任何 FSMO 角色的持有者。因此，域管理员可以将任何 FSMO 角色转移到任何其他域控制器。

您可以使用 Get-ADDomainController cmdlet 通过 PowerShell 获取有关域中 FSMO 角色的信息（必须安装适用于 PowerShell 的 RSAT Active Directory 模块）：

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles |Where-Object {$_.OperationMasterRoles}

或者您可以查看林或域级别 FSMO 角色，如下所示：

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

以下是 Microsoft 对域中 FSMO 角色放置的一般建议：

• 同时将林级角色（架构主机和域命名主机）放置在作为全局编录服务器的根域上；

• 将所有三个域 FSMO 角色放置在一台性能合适的域控制器上；

• 所有林 DC 都必须是全局编录服务器，因为它可以提高 AD 的可靠性和性能。那么Infrastructure Master这个角色其实就没有必要了。如果您的 DC 没有全局编录角色，请在其上放置基础结构主机角色。

• 不要将任何其他任务放在 FSMO 角色所有者 DC 上。

您可以使用多种方法在 Active Directory 中转移 FSMO 角色：使用 AD MMC 图形管理单元、

ntdsutil.exe

或者

PowerShell

。在优化 AD 基础设施时，转移 FSMO 角色是相关的，或者持有 FSMO 角色的 DC 遭受了灾难性的硬件/软件故障。移动 FSMO 角色有两种方法：转移（当两个 DC 都可用时）或占用（当具有 FSMO 角色的 DC 不可用或已损坏时）。

如何使用 PowerShell 转移 FSMO 角色？

在域中转移 FSMO 角色的最简单、最快的方法是使用 Move-ADDirectoryServerOperationMasterRole PowerShell cmdlet。

您可以一次将一个或多个 FSMO 角色转移到指定的 DC。以下命令会将两个角色移动到 DC02：

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole PDCEmulator, RIDMaster

在 OperationMasterRole 参数中，您可以根据下表指定 FSMO 角色的名称或其索引：

前面的命令的简短形式如下所示：

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

要将所有 FSMO 角色一次性转移到其他域控制器，请运行以下命令：

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

使用 Active Directory 图形管理单元传输 FSMO 角色

要移动 FSMO 角色，您可以使用标准 Active Directory 图形管理单元。传输操作优选地在具有FSMO角色的DC上执行。如果服务器本地控制台不可用，请使用更改域控制器选项并在 MMC 管理单元中选择域控制器。

如何转移 RID 主站、PDC 仿真器和基础设施主站角色？

要转移域级角色（RID、PDC、基础结构主机），需要使用 Active Directory 用户和计算机 (DSA.msc) 控制台。

1. 打开 Active Directory 用户和计算机 (ADUC) 管理单元；

2. 右键单击您的域名并选择操作大师；
   

   

3. 将出现一个包含三个选项卡（RID、PDC、基础设施）的窗口。使用这些选项卡可以通过指定新的 FSMO 所有者并单击更改按钮来转移相应的角色。
   

   

如何转移Schema Master角色？

要传输林级架构主 FSMO，请使用 Active Directory 架构管理单元。

1. 在启动管理单元之前，您必须通过运行以下命令来注册 schmmgmt.dll 库

   regsvr32 schmmgmt.dll

   在命令提示符下；
   

   

2. 通过在命令提示符中键入 MMC 打开 MMC 控制台；

3. 从菜单中选择文件->添加/删除管理单元并添加Active Directory架构控制台；
   

   

4. 右键单击控制台根目录（Active Directory Schema）并选择Operations Master；

5. 输入要将架构主机角色转移到的域控制器名称，然后单击更改和确定。如果该按钮不可用，请确保您的帐户是架构管理员组的成员。
   

   

如何转移域名大师FSMO？

1. 要转移域名主机 FSMO 角色，请打开 Active Directory 域和信任 控制台；

2. 右键单击您的域名并选择操作大师；

3. 单击更改，输入域控制器的名称，然后单击“确定”。
   

   

使用 Ntdsutil.exe 从命令提示符传输 FSMO 角色

重要。请小心使用 ntdsutil.exe 工具，并确保您知道自己在做什么，否则可能会破坏您的 Active Directory 域！

1. 在域控制器上运行命令提示符并运行：

   ntdsutil

2. 输入这个命令：

   roles

3. 然后：

   connections

4. 然后，您必须连接到要将 FSMO 角色转移到的 DC。为此，请输入：

   connect to server <servername>

5. 类型

   q

   然后按回车键；

6. 要转移 FSMO 角色，请使用以下命令：

   transfer <role>

   ，其中 是您要转移的角色。例如：

   transfer schema master

   ,

   transfer RID

   等；
   

   

7. 确认FSMO角色转移；
   

   

8. 完成后，按

   q

   然后回车退出ntdsutil.exe；

9. 重新启动域控制器。

夺取 AD FSMO 角色

如果具有 FSMO 角色之一的 DC 已损坏（且无法恢复）或长时间不可用，您可以强制夺取其任何角色。但是，如果您不希望 AD 出现任何新问题（即使您稍后从备份中恢复 DC），请确保您从中获取角色的服务器永远不会出现在网络中，这一点非常重要。如果要将损坏的 DC 返回到域，唯一正确的方法是从 AD 中删除其计算机帐户，使用新主机名执行全新 Windows 安装，安装 ADDS 角色并将服务器提升为域控制器。

您可以使用 PowerShell 或 NTDSUtil 获取 FSMO 角色。

获取 FSMO 角色的最简单方法是通过 PowerShell。为此，使用相同的 Move-ADDirectoryServerOperationMasterRole cmdlet，但添加了 -Force 参数。

例如，要抢占 PDCEmulator 角色并将其强制转移到 DC02，请运行以下命令：

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

您还可以使用 ntdsutil.exe 将 FSMO 角色夺取到 DC02 服务器。抢占的作用与普通转移类似。使用以下命令：

ntdsutil
roles
connections

connect to server DC02 (the server you transfer a role to)
quit

要获取不同的 FSMO 角色，请使用以下命令：

seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit