操作背景：

在Master和slave節(jié)點(diǎn)都存活的狀態(tài)下，將Master的五個(gè)角色轉(zhuǎn)移給slave服務(wù)

環(huán)境：

主域控：?? ??? ??? ??? ?名稱
192.168.1.64 ? ??? ? ? test-zhuad.zhanghao.com
192.168.1.65?? ??? ? ? WIN-ceshibei.zhanghao.com

林級(jí)別

1、架構(gòu)主機(jī)（Schema Master）
? ? \- 負(fù)責(zé)更新和修改林中所有域中對(duì)象的種類和屬性，類似數(shù)據(jù)庫字段

2、域命名主機(jī)（Domain Naming Master）
? ? \- 負(fù)責(zé)控制林中域/子域的添加和刪除

域級(jí)別

3、PDC模擬主機(jī)（PDC Emulator Master）
? ? ? ? - 關(guān)鍵AD數(shù)據(jù)庫信息的優(yōu)先級(jí)復(fù)制權(quán)（如組策略更新、密碼更新）
? ? ? ? - 整個(gè)域的時(shí)間同步
? ? ? ? - 更重要的FSMO角色，可以理解為主域控制器
4、RID主機(jī)（RID Master）
? ? ? ? - 向其他域控制器分配SID中的RID，一次500個(gè)（對(duì)象SID=域ID+RID）
5、基礎(chǔ)結(jié)構(gòu)主機(jī)（Infrastructure Master）
? ? ? ? - 負(fù)責(zé)跨域?qū)ο蟮囊茫ㄈ缬脩艚M包含其他域中的用戶），通過GC傳遞并同步外域更新

我們可以通過netdom query fsmo 命令來確認(rèn)Master節(jié)點(diǎn)

C:\Users\Administrator>netdom query fsmo
架構(gòu)主機(jī) ? ? ? ? ? ? ? ?test-zhuAD.zhanghao.com
域命名主機(jī) ? ? ? ? ? ? ?test-zhuAD.zhanghao.com
PDC ? ? ? ? ? ? ? ? ? ?test-zhuAD.zhanghao.com
RID 池管理器 ? ? ? ? ? ?test-zhuAD.zhanghao.com
結(jié)構(gòu)主機(jī) ? ? ??? ??? ? ? ?test-zhuAD.zhanghao.com

轉(zhuǎn)移操作主機(jī)角色：

?承擔(dān)著操作主機(jī)角色的DC需要降級(jí)

?承擔(dān)著操作主機(jī)角色的DC和目標(biāo)DC都在線

?轉(zhuǎn)移操作主機(jī)角色的過程可逆

C:\Users\Administrator>ntdsutil
ntdsutil: roles     
fsmo maintenance: connections
server connections: connect to server WIN-ceshibei.zhanghao.com
從 WIN-ceshibei.zhanghao.com 斷開...
綁定到 WIN-ceshibei.zhanghao.com ...
用本登錄的用戶的憑證連接 WIN-ceshibei.zhanghao.com。
server connections: quit
fsmo maintenance: transfer naming master
fsmo maintenance: transfer PDC
fsmo maintenance: transfer RID master
fsmo maintenance: transfer schema master
fsmo maintenance: transfer infrastructure master

在使用之前的命令查看是否已經(jīng)更改

C:\Users\Administrator>netdom query fsmo
架構(gòu)主機(jī)                WIN-ceshibei.zhanghao.com
域命名主機(jī)               WIN-ceshibei.zhanghao.com
PDC                    WIN-ceshibei.zhanghao.com
RID 池管理器            WIN-ceshibei.zhanghao.com
結(jié)構(gòu)主機(jī)                WIN-ceshibei.zhanghao.com

占用操作主機(jī)角色：

?承擔(dān)著操作主機(jī)角色的DC不可再用，無法恢復(fù)

C:\Users\Administrator>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server test-zhuAD.zhanghao.com
綁定到 test-zhuAD.zhanghao.com ...
用本登錄的用戶的憑證連接 test-zhuAD.zhanghao.com。
server connections: quit
fsmo maintenance: seize  naming master
fsmo maintenance: seize  PDC
fsmo maintenance: seize  RID master
fsmo maintenance: seize  schema master
fsmo maintenance: seize  infrastructure master

占用操作主機(jī)權(quán)限成功

?一旦占用成功原有的AD域環(huán)境不在可用、需要重新創(chuàng)建AD域環(huán)境添加額外域控，進(jìn)行同步數(shù)據(jù)將現(xiàn)在Master節(jié)點(diǎn)數(shù)據(jù)同步至新的服務(wù)器中，如果想將原來的“服務(wù)器”重新設(shè)置為Master可以使用上面的角色轉(zhuǎn)移功能將權(quán)限移交。這里需要注意的是將“之前不可再用的域控信息清除”，查看DNS解析和“站點(diǎn)和服務(wù)”中不用的主機(jī)信息刪除。

C:\Users\Administrator>netdom query fsmo
架構(gòu)主機(jī)           test-zhuAD.zhanghao.com
域命名主機(jī)         test-zhuAD.zhanghao.com
PDC              test-zhuAD.zhanghao.com
RID 池管理器       test-zhuAD.zhanghao.com
結(jié)構(gòu)主機(jī)           test-zhuAD.zhanghao.com

注意:

?因?yàn)檗D(zhuǎn)移操作要比占用更安全、架構(gòu)主機(jī)、域命名主機(jī)、RID主機(jī)角色被占用以后，永遠(yuǎn)不要將原來扮演該種角色的域控制器再連接到網(wǎng)絡(luò)上、建議將它的硬盤格式化。至于另外兩種角色，如果原來扮演該兩種角色的域控制器恢復(fù)正常后，還是可以連接到網(wǎng)絡(luò)上的，在與新的操作主機(jī)復(fù)制AD時(shí)，若覺察到角色已經(jīng)被占用，會(huì)自動(dòng)放棄它原來擁有的角色，不過還是可以將角色再傳送回原來的域控中。