使用 Ntdsutil.exe 捕获 FSMO 角色或将其转移到域控制器

AD五大角色轉移及GC移轉說明在樹系中，至少會有五個 FSMO 角色被指派到一個或一個以上的網域控制站。

這五種 FSMO 角色如下：* 架構主機：架構主機網域控制站會控制對架構所做的所有更新及修改。

如果要更新樹系的架構，必須具有架構主機的存取權限。

整個樹系中只能有一個架構主機。

* 網域命名主機：網域命名主機網域控制站會控制在樹系中新增或移除網域。

整個樹系中只能有一個網域命名主機。

* 基礎結構主機：基礎結構負責更新自己網域中物件對其他網域中物件的參考。

在任何時候，每個網域中只能有一個網域控制站做為基礎結構主機。

* 相對 ID (RID) 主機：RID 主機負責處理來自特定網域中所有網域控制站的RID 集區要求。

在任何時候，每個網域中只能有一個網域控制站做為 RID 主機。

* PDC 模擬器：PDC模擬器是一個網域控制站，它會對執行舊版 Windows 的工作站、成員伺服器和網域控制站通告自己是主要網域控制站 (PDC)。

例如，如果網域中包含不是執行 Microsoft Windows XP Professional (商用版) 或Microsoft Windows 2000 用戶端軟體的電腦，或者如果其中包含 Microsoft Windows NT 備份網域控制站，PDC 模擬器主機就會成為 Windows NT PDC。

它也是網域主機瀏覽器 (Domain Master Browser)，而且會處理密碼不符的問題。

在任何時候，樹系的每個網域中只能有一個網域控制站做為 PDC 模擬器主機。

可以使用 Ntdsutil.exe 命令列公用程式或 MMC 嵌入式工具來轉移 FSMO 角色。

根據您要轉移的 FSMO 角色而定，可以使用下列三種 MMC 嵌入式工具之一：Active Directory 架構嵌入式管理單元Active Directory 網域及信任嵌入式管理單元Active Directory 使用者和電腦嵌入式管理單元如果電腦不再存在，就必須取回角色。

域控制器降级操作指南1. Windows Server 2003 域控制器在默认情况下支持强制降级。

单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval2. 单击“确定”。

3. 在“欢迎使用Active Directory 安装向导”页中，单击“下一步”。

4. 在“强制删除Active Directory”页中，单击“下一步”。

5. 在“管理员密码”中，键入您要为本地SAM 数据库的管理员帐户分配的密码和确认密码，然后单击“下一步”。

6. 在“摘要”中，单击“下一步”。

7. 在林中继续存在的域控制器上，对已降级的域控制器执行元数据清除。

如果您通过使用Ntdsutil中的删除选定域命令从林中删除了某个域，请验证林中的所有域控制器和全局编录服务器都已彻底删除了所有指向您刚删除的域的对象和引用，然后再使用相同的域名将一个新域提升到同一林中。

Windows 2000 Service Pack 3 (SP3) 及更早的全局编录服务器删除对象和命名上下文的速度要明显比Windows Server 2003 慢。

如果在删除了Active Directory 的计算机上的资源访问控制项(ACE) 是基于域本地组的，则可能必须重新配置这些权限，因为这些组对成员服务器或独立服务器来说是不可用的。

如果您计划在该计算机上安装Active Directory 以使其成为原来的域中的域控制器，则您不必再配置访问控制列表(ACL)。

如果您希望将该计算机保留为成员服务器或独立服务器，则必须转换或替换基于域本地组的任何权限。

有关从域控制器中删除Active Directory 后对权限有何影响的更多信息，请单击下面的文章编号，以查看Microsoft 知识库中相应的文章。

使用 dcpromo /forceremoval 命令后，在继续存在的域控制器上不会删除被降级的计算机的元数据。

将域控制器强制降级后，您必须完成以下任务（如果适用）：1. 从域中删除计算机帐户。

强制删除多余的域控制器很多企业都碰到过这样的问题：AD域中的某台域控制器由于软件或硬件问题而瘫痪，无法启动。

这时，如果想重新安装这台服务器，就需要先将它从域中删除。

但是，由于该服务器已经不能启动，所以无法使用Dcromo进行删除。

如果简单地从“AD用户和计算机”中删除该域控制器的话，它的信息依然会保留在AD数据库中，客户机和其他域控制器仍然会频繁访问这台已不存在的域控制器，这会给AD的功能和性能带来很大影响。

本文针对这种问题提出了一套完整的解决方案，在利用Ntdsutil工具强制删除或控制器的同时，保证了整个AD域的功能不受到任何影响。

例如，企业AD中的一台Windows Server2003域控制器（DC1），由于硬件问题而瘫痪，无法启动。

企业希望将DC1从域中删除。

在强制删除DC1前，我们需要提前考虑以下问题：1．如果删除的DC是企业当前的一台和AD集成的DNS服务器，要考虑是否需要将DNS服务器，要考虑是否需要将DNS记录迁移到其他DNS 服务器上。

如果进行了迁移，则需要更新所有成员工作站、成员服务器以及其他可能使用过这台DNS服务器进行名称解析的DC上的DNS客户端配置。

2．如果删除的域控制器是一台全局编录服务器，要考虑是否全局编录迁移到其他DC上。

3．如果删除的DC曾经担任Flexible Single Master Operation (FSMO)角色，要将这些角色重新分配给一台活动的DC。

经过系统分析，发现系统当前状况如下：1．除当前瘫痪的域控制器DC1以外，域中还存在另一台域控制器BAKSRV。

2．DC1担任着域中的所有五个FSMO角色。

3．DC1是域中的惟一的一台全局编录服务器。

4．DC1是域中的惟一的一台DNS服务器，拥有“和AD集成的DNS 区域”.5.BAKSRV充当着企业的DHCP服务器，客户端的IP地址、网关、DNS 服务器设置均由BAKSRV分发。

对系统进行分析评估之后，在删除DC1之前，必须使BAKSRV担负起DC1以前所担负的所有角色，否则将会造成用户无法登录域，网络资源不可访问等多个严重问题。

如何清除域中无效的DC信息1．用ntdsutil来清除无效的DC信息！假如你的备份域为 主域为,现在备份域坏了。

那么你在装有super tools的主控域上执行如下命令：C:\>ntdsutilntdsutil: metadata cleanup - 清理不使用的服务器的对象metadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文select operation target: connections - 连接到一个特定域控制器server connections: connect to server --绑定到ctu.用本登录的用户的凭证连接ctu。

server connections: quit - 返回上一层目录select operation target: list site - 在企业中列出站点(找到1个站点，标识为0)找到1 站点0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=comselect operation target: select site 0 - 将标识为0 的站点定为所选站点站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com没有当前域没有当前服务器当前的命名上下文select operation target: list domains - 列出所有包含交叉引用的域找到1 域0 - DC= mstc,DC=comselect operation target: select domain 0 - 将标识为0 的域定为所选域站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com域- DC= mstc,DC=com没有当前服务器当前的命名上下文select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个：；1-ctu. )找到2 服务器0-CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com1-CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=comselect operation target: select server 0 - 将标识为0 的服务器（abc）定为所选服务器——也就是要删除的DC站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com域- DC= mstc,DC=com服务器- CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=comDSA 对象- CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=ConfigurDNS 主机名称- 计算机对象- CN=ABC,OU=Domain Controllers,DC=mstc,DC=com当前的命名上下文select operation target: quit - 返回上一层目录metadata cleanup: remove select server - 从所选服务器上删除DS 对象在弹出的对话提示框上选择“是”，“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com”删除了，从服务器“ctu”现在，这个Dc对象就在你的AD里消失了.用ntdsutil来清除无效的DC信息主dc瘫痪的话,用转移角色应该是不行的,应该要要使用Ntdsutil 实用工具捕获FSMO 角色,具体步骤参考:/kb/255504/zh-cn现在加入我的的域控制器坏了，我在上面清除srv1的信息。

一、先查看目前的角色在那台域控上：netdom query fsmo二、使用管理员身份打开powershell控制台，输入：ntdsutil.exe三、输入roles四、输入Connections 连接到一个特定AD DC/LDS 实例四、输入Connect to server域名六、这样就进入了正式夺取FSMO角色的关键步骤了，打入“？”号，查看帮助，以Seize 开头的FSMO五个角色命令都显示出来了，接下来我们只须在“fsmo maintenance：”依次输入这五个命令就可以完成FSMO的五个角色的夺取。

在出现的对话框点“是”出错了！不过没关系，这是正常的，因为主域DC2不在线，所以在夺取时会有这个出错信息。

给出了索取继续，所以结构角色会夺取到DC3上，接下来的各个角色的夺取也会有这个出错信息。

至此，FSMO的五个角色就全部夺取完成七、删除损坏DC的信息对于网络中DC2损坏，虽然经过以上的FSMO角色夺取到DC3上后，整个域已可以正常使用。

但在日志中，还是会有AD数据库复制信息出错的提示。

对于DC2由于损坏已不存在了，所以我们可以将DC2这台域控制器的一些想关信息从域中删除。

1．ntdsutil命令行工具。

在DC3域控制器上运行ntdsutil以下是ntdsutil工具执行的步骤：2、输入metadata cleanup3、输入问号：？4、输入：select operation target5、输入：connect6、输入connect to domain 域名，本次测试域名为：7、输入q8、输入问号看下：？9、输入：list sites10、输入select site 0此处0代表上面的站点11、输入：list domains in site12、select domain 013、输入：list servers for domain in site14、输入：select server 0 0代表DC2站点15、输入q 输入问号看下：？16、输入remove selected server17、打开ADSI编辑器，找到这个位置看看有没有DC2，有就删掉18、打开站点和服务，找到下面的位置，删除DC2至此，角色夺取完成。

如何迁移域控制器FSMO 5个角色和GC要使用 Ntdsutil 实用工具转移 FSMO 角色，请按照下列步骤操作：1. 登录到基于 Windows 2000 Server 或基于 Windows Server 2003 的成员服务器，或登录到转移 FSMO 角色时所在林中的域控制器。

我们建议您登录到要为其分配 FSMO 角色的域控制器。

登录用户应该是企业管理员组的成员，才能转移架构主机角色或域命名主机角色，或者是转移 PDC 模拟器、RID 主机和结构主机角色时所在域中的域管理员组的成员。

2. 单击“开始”，单击“运行”，在“打开”框中键入 ntdsutil，然后单击“确定”。

3. 键入 roles，然后按 Enter。

注意：要在 Ntdsutil 实用工具中的任一提示符处查看可用命令的列表，请键入 ?，然后按Enter。

4. 键入 connections，然后按 Enter。

5. 键入 connect to server servername，然后按 Enter，其中 servername 是要赋予其FSMO 角色的域控制器的名称。

6. 在“server connections”提示符处，键入 q，然后按 Enter。

7. 键入 transfer role，其中 role 是要转移的角色。

要查看可转移角色的列表，请在“fsmo maintenance”提示符处键入 ?，然后按 Enter，或者查看本文开头的角色列表。

例如，要转移 RID 主机角色，键入 transfer rid master。

PDC 模拟器角色的转移是一个例外，其语法是 transfer pdc 而非 transfer pdc emulator。

8. 在“fsmo maintenance”提示符处，键入 q，然后按 Enter，以进入“ntdsutil”提示符。

键入 q，然后按 Enter，退出 Ntdsutil 实用工具。

将额外域控制器提升为主域控制器由于社会的快速发展，企业的发展空间越来越大，人员越来越多，为了对公司员工的机器更好的控制采用域（AD）来管理。

一般公司部署两台AD server来维持正常运行，一台为主域控制器，另外一台为额外域控制器，如果主ADserver损坏可通过额外的域控制器来维持环境正常运行，这个时候就需要将主AD进行维修，如果之前没有通过备份，同时AD由于硬件设备而导致不能正常工作，这个时候我们就需要将额外的域控制器提升为主AD，具体步骤见以下：当然大企业都通过部署DPM来备份重要server的数据，但是DPM有很大的成本，一般不采用，如果AD由于故障直接影响与AD继承的一些有依赖性的服务器，目前的我的环境有两台机器，具体信息如下：两台机器均运行在windows2008R2环境下Computer name:test-dcaIP Adress:192.168.100.1Dns:192.168.100.1Domain name:该server 为主域控制器DCBComputer name: test-dcbIp address :192.168.100.2Dns ：192.168.100.1Domain name：该server为额外域控制器以下我介绍两种容易及日常的故障《一》、1.当两台DC能正常通信，如何将额外的域控制器提升为主域控制器2.当其中一台主域控制器永久down机，如何将额外的域控制器提升为主域控制器那咱们先说说第一种吧，有人问到，有两台DC都能正常通信为什么要将额外的域控制器提升为主域控制器呢，这不是没事找事吧！哈哈….还真不是，如果主域控制服务器性能不是很好，现在又有一台性能很好的机器，我们可以通过提升来解决这个问题，当然还有其他方法了……遇到这样的问题我们通过更改fsmo角色来进行操作即可；操作分两种，一种图形界面，一种命令行；也许会有人问，有两种有什么区别么，以个人的经验，用图形界面能操作的命令行都能操作，当用命令行能操作的图形不一定能操作，所以呢，命令稍带优势；再说了，之前我升级AD遇到一个问题，在讲fsmo角色传递的时候图形界面就报错了，而通过命令操作一下就过了，所以呢，让大家把两个方式务必记住。

在windows 2000操作系统中，为配合企业需要，并增加windows的网络管理功能，发展了一种新类型的目录服务--活动目录(active directory)，在活动目录中包含了active directory域中所有相关资源的对象及该域用户的相关信息，该域的策略和其他重要的域服务信息。

可以说，活动目录采用了与原来NT系统完全不同的方式保存数据信息。

Windows 2000 活动目录数据实际是保存在一个数据库文件中，这个文件就是%SystemRoot%\ ntds\NTDS.DIT(文件位置可以在安装时指定，不过必须是存放在NTFS格式分区上的).ntds.dit 文件可以说是整个活动目录的核心，其中包括了用户帐号信息等等的相关资料. 活动目录的数据库引擎被称为 ExtensibleStorage Engine ( ESE )，Exchange和WINS都可以利用构建在这个数据引擎上的数据库. ESE存储容量高达16 兆兆个字节，能包含一千万之多的数据对象。

只有活动目录的数据库能包含如此多的信息(微软资料宣传的).活动目录的ESE数据库*NTDS.DIT*中包含以下几个数据表:Schema表这个表中包含了所有可在活动目录创建的对象信息以及他们之间的相互关系。

包括各种类型对象的可选及不可选的各种属性。

这个表是活动目录数据库中最小的一个表，但是也是最基础的一个表。

Link 表link表包含所有属性的关联，包括活动目录中所有对象的属性的值。

一个用户对象的所有属性的类型，包括每个属性的值及用户所属于的组等信息都属于这个表。

这个表要大于Schema 表，但与Data 表相比要小。

Data table活动目录中用户，组，应用程序特殊数据和其他的数据全部保存在Data表中。

这是活动目录中存储信息最多的一个表，大量的活动目录的资料实际上还是存储在这个表中。

换一个角度来说明的话，可以认为活动目录中有三种不同类型的数据Schema信息能在活动目录中创建并存储在活动目录中的所有对象和属性的详细信息，例如：你能在活动目录中新创建一个用户或是联系人，这是因为活动目录已经预先设置了这种类型的对象在活动目录对象中。