Windows server 2012 利用ntdsutil工具實(shí)現(xiàn)AD角色轉(zhuǎn)移及刪除域控方法

本章博文講述Windows server 2012 域控制器之間角色轉(zhuǎn)移及刪除域控方法 。針對不同的應(yīng)用場景，對操作方法進(jìn)行了歸納與總結(jié) 。

    場景1：主域控制器與輔助域控制器運(yùn)行正常，相互間可以實(shí)現(xiàn)AD復(fù)制功能。需要把輔助域控制器提升為主域控制器 ，把主域控制器降級為普通成員服務(wù)器；這種場景一般應(yīng)用到原主域控制器進(jìn)行系統(tǒng)升級（先轉(zhuǎn)移域角色，再降級，再安裝或升級高版本系統(tǒng)，再次轉(zhuǎn)移角色恢復(fù)到主域控制器角色）或使用配置更高的服務(wù)器替代原主域控制器起到主域控制的作用（使用高配置的服務(wù)器配置成輔助域控制器，然后把原主域控制器角色轉(zhuǎn)移到該主機(jī)，原主機(jī)成為輔助域控制器，高配置主機(jī)成為主域控制器）

    場景2：輔助域控服務(wù)器運(yùn)行正常，主域控服務(wù)器因突發(fā)性緊急故障造成Down機(jī)且主域無法正常運(yùn)行。需要輔助域控服務(wù)器強(qiáng)制奪取RID、PDC、Domain、Schema、Naming角色及GC功能成為新主域控，并強(qiáng)制刪除域中殘留原有主域控信息 ；這種場景一般應(yīng)用到主域系統(tǒng)或數(shù)據(jù)損壞無法正常工作，由輔助域控強(qiáng)制爭奪5種角色提升為主域控制器，同時刪除殘留原主域控制器信息。原有主域控主機(jī)在重新加入域環(huán)境時（重新安裝系統(tǒng)后），建議使用不同的主機(jī)名及ip地址。

場景一：

環(huán)境：主域控制器ds01.bicionline.org ，輔域控制器pdc01.bicionline.org  ， 兩臺域控服務(wù)器運(yùn)行正常，相互間可以實(shí)現(xiàn)AD復(fù)制。

目的：主域控服務(wù)器把RID、PDC、Domain、Schema、Naming角色及GC功能轉(zhuǎn)移到輔助域控制器，并降級成普通服務(wù)器。

解決思路：通過圖形界面或命令行界面進(jìn)行角色轉(zhuǎn)移， 通過服務(wù)管理器進(jìn)行域降級 ，刪除DNS服務(wù)器中所有區(qū)域內(nèi)的原有主域控DNS 記錄 ，刪除‘站點(diǎn)與服務(wù)’里原主域控server 。

圖形界面操作：

1. 傳遞PDC、RID 、基礎(chǔ)結(jié)構(gòu)角色 ：

   登錄pdc01.bicionline.org 輔助域服務(wù)器 ，進(jìn)入“Active Directory 用戶和計算機(jī) pdc01.bicionline.org”，右擊“bicionline.org”選擇操作主機(jī) ，對3個主機(jī)角色進(jìn)行更改：如下圖 

   

    

   

   
   

2. 傳遞架構(gòu)主機(jī)角色：

   Windwos  server 2012  注冊 regsvr32 schmmgmt  命令，通過mmc查看域架構(gòu) 。如下圖 

   a、注冊域架構(gòu) 

   

   
   

   b、打開mmc控制臺，添加單元“Active Directory 架構(gòu)”。

   

   
   

   c、右擊“Active Directory 架構(gòu) pdc01.bicionline.org”選擇“操作主機(jī)” 選項。

   

   
   

3. 傳遞域命名操作主機(jī)：

   進(jìn)入“Active Directory 域和信任關(guān)系 pdc01.bicionline.org”，右擊選擇操作主機(jī) ，對Naming角色進(jìn)行更改：如下圖 

   

   
   

   

命令行操作：

1. 前面步驟是通過圖形界面進(jìn)行的操作，另通過ntdsutil 工具方式亦可實(shí)現(xiàn)角色轉(zhuǎn)移 ：步驟如下

   運(yùn)行-cmd -ntdsutil 回車  #

   技巧： 輸入 ？  ，可以查看該模式下可輸入的命令行及命令功能注釋 。

   roles 回車             //角色功能選項

   connections 回車    //進(jìn)入連接模式

   connect to server pdc01.bicionline.org  回車   //連接pdc01 服務(wù)器

   quit  回車                                         //退出 

   transfer  naming master  回車   //將已連接服務(wù)器定為命名主機(jī) 

   transfer infrastructure master 回車

   transfer PDC 回車

   transfer RID master  回車

   transfer schema master 回車

   

場景二：

環(huán)境 ：主域控制器ds01.bicionline.org ，輔域控制器pdc01.bicionline.org  ，輔助域控服務(wù)器運(yùn)行正常，主域控服務(wù)器Down機(jī)且無法恢復(fù)。

目的：輔助域控服務(wù)器強(qiáng)制奪取RID、PDC、Domain、Schema、Naming角色及GC功能成為新主域控，并強(qiáng)制刪除域中殘留原有主域控信息 。

解決思路：通過Ntdsutil工具強(qiáng)制奪取5種角色， 并刪除原主域控server ，另刪除DNS服務(wù)器中所有區(qū)域內(nèi)的原有主域控DNS 記錄 ，刪除‘站點(diǎn)與服務(wù)’里原主域控server 。

解決步驟：

1. 另通過ntdsutil 工具方式亦可實(shí)現(xiàn)角色轉(zhuǎn)移 ：步驟如下

   運(yùn)行-cmd -ntdsutil 回車  #

   技巧： 輸入 ？  ，可以查看該模式下可輸入的命令行及命令功能注釋 。

   roles 回車             //角色功能選項

   connections 回車    //進(jìn)入連接模式

   connect to server pdc01.bicionline.org  回車   //連接pdc01 服務(wù)器

   quit  回車                                         //退出 

   seize  naming master  回車   //在已連接的服務(wù)器上覆蓋命名主機(jī)角色 

   seize infrastructure master 回車

   seize PDC 回車

   seize RID master  回車

   seize schema master 回車

   

   
   

2. 清理ds01 server的殘留信息（元數(shù)據(jù)）

   運(yùn)行--cmd---ntdsutil 

   metadata cleanup 回車     //進(jìn)入服務(wù)器對象清理模式

   select operation target   回車     //進(jìn)入操作對象選擇模式

   connections  回車      //進(jìn)入連接模式

   connect to server pdc01  回車  //連接到pdc01服務(wù)器端

   quit  回車

   list sites   回車 //列出當(dāng)前連接的域中的站點(diǎn)

   select site 0  //選擇站點(diǎn)0

   list domains in site  /列出站點(diǎn)中的域

   select domain 0   //選擇域0

   list servers for domain in site //列出0站點(diǎn)0域內(nèi)所有服務(wù)器

   select server ０  //選擇域中的將要刪掉服務(wù)器(域控)

   remove selected server     //刪除選擇的服務(wù)器(域控)

   

   
   

3. 刪除DNS服務(wù)器中每一個區(qū)域中關(guān)于ds01的 DNS 記錄 ，刪除‘站點(diǎn)與服務(wù)’里DS01 server ，并配置pdc01 為GC （全局編錄） ，這些點(diǎn)容易被忽略，請謹(jǐn)記 。

綜上所述，針對不同的場景實(shí)現(xiàn)主域控制器與輔助域控制器之間的角色轉(zhuǎn)移 ，建議在做操作前務(wù)必做好數(shù)據(jù)備份工作 ，且在清理主域殘留信息時慎重操作。