2019年4月3日 星期三

如何轉移 Active Directory 五大角色(FSMO)至其他網域主控站

如何轉移 Active Directory 五大角色(FSMO)至其他網域主控站

轉載至 https://blog.miniasp.com/post/2012/07/16/How-to-transfer-Active-Directory-FSMO-to-another-Domain-Controller

今天要對公司其中一台網域主控站主機做硬體維護,但這台機器是 AD 中的 FSMO 五大角色,所以想先將 FSMO 五大角色轉移後再關機維護,我隱隱約約之中感覺這主題我之前好像有寫過 (這篇文章),但卻無法直覺的找到該文章,所以為了讓日後更容易搜索到文章,決定寫一篇專文介紹轉移的過程,也順便重新複習一遍轉移五大角色的過程。
FSMO (Flexible Single Master Operations) 五大角色分別為:
  • 架構主機 (Schema Master)
    • 負責更新目錄架構。
  • 網域命名主機 (Domain Naming Master)
    • 負責變更樹系網域目錄名稱空間。
  • 基礎結構主機 (Infrastructure Master)
    • 跨網域物件參照中,負責更新物件 SID 與辨別名稱。
  • RID 集區管理員 (RID Master)
    • 負責處理 RID (Relative ID) 集區中來自給定的網域的所有 DC 要求。
  • PDC (PDC Emulator)
    • 對舊版的工作站、成員伺服器與網域控制站宣稱自己為主要網域控制站 (PDC)。

若要查詢目前 AD 環境中 FSMO 五大角色座落於哪幾台網域控制站主機,可以使用以下指令查詢:
netdom query fsmo
  

要轉移 FSMO 五大角色,必須用到以下兩個工具(都內建於 AD CS 角色中):
  • Active Directory 使用者和電腦 (Active Directory Users and Computers)
    • 可變更 RID 集區管理員PDC 與 基礎結構 這三種角色
  • Active Directory 網域及信任 (Active Directory Domains and Trusts)
    • 可變更 網域命名操作主機 角色
  • Active Directory 架構 管理單元 ( 需透過 MMC 主控台加入 )
    • 可變更 架構主機 角色

請注意:以下轉移的標準作業流程 (SOP),請登入到要成為五大角色的網域主控站主機上操作!

開啟 Active Directory 使用者和電腦 管理工具,並對網域節點執行「操作主機」功能:
在這裡可以變更 RID 集區管理員PDC 與 基礎結構 這三種角色,切換頁籤並按下「變更」按鈕即可:

接下來開啟 Active Directory 網域及信任 管理工具,並對根節點執行「操作主機」功能:
在這裡可以變更 網域命名操作主機 角色,直接按下「變更」按鈕即可:

FSMO 五大角色只剩下 架構主機 還沒有轉移,而這個角色在第一次轉移角色時會比較麻煩,必須先利用命令提示字元先註冊 schmmgmt.dll 元件,註冊完後才能在 MMC 主控台中看見 Active Directory 架構 管理單元:

執行 mmc 開啟 MMC 主控台應用程式,並加入 Active Directory 架構 管理單元
加入 Active Directory 架構 管理單元之後,當你展開後你會發現你雖然在即將成為五大角色的網域主控站操作,但是他還是會連到目前架構主機的網域主控站,你必須先變更為目前這一台網域主控站才能變更操作主機,如下操作:
切換網域主控站的過程中會看到以下提示,但這不會影響你稍後操作主機變更的動作:

如此一來所有 AD 角色皆已轉移完成,你可以透過 netdom query fsmo 再查一次即可得知:

最後再用 DCDiag /v 執行 DC 檢查,如果都沒有錯誤的話,那就大功告成了!





沒有留言:

張貼留言