Server-2012-R2-部署域控、额外域控及FSMO角色转移和夺取

1、Server 2021 R2 部署域控、额外域控及FSMO角色转移和夺取网络环境：2021R2DC1.itpro +DNS+DHCP操作系统：Windows Server 2021 R2 Standard网卡信息：IP：/242021R2DC2.itpro +DNS+DHCP操作系统：Windows Server 2021 R2 Standard网卡信息：IP：/24DHCP配置如下：IP池：0-50网关：无DNS：，配置2台效劳器为DHC

2、P故障转移一、 主域的安装及配置配置网卡信息，如下列图翻开效劳器管理器，点击添加角色和功能如下列图选择安装类型：基于角色或基于功能的安装，如下列图池中仅一台主机，保持默认此图是在未更改主机名时截取的，更改后的截图找不到了，拿来顶替，如下列图选择AD域效劳并添加功能，如下列图功能不做添加，不选择直接下一步，跳转到添加ADDS域效劳向导，如下列图确认安装所选内容，点击安装，如下列图正在安装域效劳器，如下列图安装完毕，点击关闭，如下列图点击效劳器管理器上方的小旗子查看提示内容，选择将此效劳器提示为域控制器，如下列图因为这是此域中第一个域，选择添加新林并输入根域名信息，如下列图选择域控制器林和域功能级

3、别并设置DSRM密码，如下列图出现DNS敬告，因为没有安装DNS，忽略，直接下一步，如下列图NETBIOS设置，保持默认，直接下一步，如下列图17指定ADDS数据库、日志文件和SYSVOL存放的位置，如下列图配置选项查看，可检查是否有问题，有问题点击上一步返回，否那么直接下一步，如下列图AD域效劳器部署前先决条件检查，检查通过后，点击安装，如下列图正在配置域效劳，配置完成后会自动重启。如下列图重启后，登录AD效劳器，配置DNS反向查找区域，没有反向查找区域时，nslookup解析会出现问题，如下列图DNS反向查找区域配置向导，如下列图在区域类型中选择主要区域，如下列图设置传送作用域，如下列图设

4、置反向查找IP类型，如下列图输入反向查找区域名称，如下列图指定反响查找更新类型，如下列图完成DNS反向查找区域建立，如下列图在DNS反向查找区域中查看记录，如下列图二、 上面设置已经完成主域的部署，接下来，部署额外域控。2021R2DC2网卡信息配置如下列图将2021R2DC2参加ITPro域中，如下列图输入有权限参加域的用户凭据，如下列图成功参加域，如下列图参加域后，重启。在效劳器管理器中，点击添加角色和功能，如下列图安装类型选择基于角色或基于功能的安装，如下列图选择2021R2DC2，点击下一步，如下列图在效劳器角色中选择AD域效劳，点击下一步，如下列图功能添加保持默认，直接下一步跳转到A

5、DDS域效劳向导，如下列图安装摘要，检查安装角色是否正确，没有问题点击安装。如下列图安装完成后，点击右上方小旗子，显示提示内容，选择将此效劳器提升为域控制器，如下列图在部署配置中选择奖域控制器添加到现有域，如下列图在上图中点击更改，弹出部署操作凭据，验证通过后点击一下步，如下列图指定域控功能和站点信息并输入DSRM密码，如下列图DNS因为没有安装，提示警告，可以忽略，点击下一步，如下列图如果勾选“从媒体路径安装，是离线部署。我们选择从域控制器在线复制Active Directory数据，复制源于“任何域控制器，这里只有一个域，多域需选择指定域。如下列图指定ADDS数据库、日志文件和SYSVOL

6、的位置，如下列图检查额外域控配置，确认无误后点下一步，如下列图先决条件检查，通过后点击安装，如下列图额外域控配置完成后会自动重启，重启后登录额外域控，配置网卡DNS为本机IP，只有这样DNS才会和主域DNS同步，这是实现DNS和AD冗余的关键，网卡设置后，两台效劳器AD和DNS才会相互复制，如下列图在2021R2DC2中查看DNS，已同步2021R2DC1中记录，如下列图三、 DHCP配置，在2021R2DC1中，在添加角色和功能中选额添加DHCP角色，如下列图添加功能保持默认，直接下一步转到DHCP向导和考前须知，点击下一步，如下列图正在安装DHCP效劳器，如下列图DHCP效劳器安装完成，如

7、下列图DHCP安装完成后在效劳器管理器界面，点右上方小旗子，在显示的内容中选择配置DHCP配置DHCP授权，如下列图DHCP配置完成摘要，如下列图如上步骤，在2021R2DC2中安装DHCP角色并授权。授权时只需点击右上方小旗子，在显示的内容中配置DHCP并授权，为配置DHCP故障转移做准备，不做具体配置。如果没有授权，备用DHCP不会启用在效劳器管理器中，点击工具选择DHCP调出DHCP效劳器，如下列图在IPv4选项下配置作用域，点击下一步，如下列图新建作用域的IP地址范围，点击下一步，如下列图设置DHCP作用域IP排除范围，点击下一步，如下列图设置DHCP租约，点击下一步，如下列图配置DH

8、CP选项，选择后点击下一步，如下列图配置域名及DNS，配置后点击下一步，如下列图配置WINS效劳器，这里是测试，不做配置，直接下一步，如下列图激活作用域配置，点击下一步，如下列图完成作用域配置，点击完成，如下列图在2021DC1上右键刚建立的作用域，点击，配置故障转移，如下列图配置故障转移向导，直接下一步，如下列图指定伙伴效劳器，点击添加效劳器，在弹出的添加效劳器中查找效劳器并添加，点击下一步，如下列图配置故障转移关系-负载均衡，测试要实现的是主DHCP宕机后，客户端IP不变化，这里不做设置，如下列图本次测试将DHCP配置为热备用效劳器，备用效劳器设置为待机，当主DHCP宕机，备用DHCP会提

9、供效劳。如下列图故障转移摘要，确认无误后，点击完成，如下列图故障转移关系完成，如下列图登录2021R2DC2，查看故障转移关系，效劳器为待机有关DHCP故障转移关系可参考：循序渐进：针对故障转移配置 DHCP到此有关AD、DNS和DHCP冗余已经设置完成。接下来验证下主域宕机的情况下，客户端能否登陆域及DHCP故障转移是否实现下列图是主域在线客户端登录的相关信息，可以看到FSMO角色在2021R2DC1上，用户登录域为2021R2DC1，主机获取的IP地址为2，DHCP效劳器地址为接下来我们禁用2021R2DC1的网卡模拟效劳器宕机，重启客户

10、端登录效劳器，下列图中可以看到FSMO角色没有变化，客户端IP地址也没有变化，登录域变成了2021R2DC2，DHCP效劳器变成了.从主域宕机前和宕机后客户端的两个截图说明，AD额外域控及DHCP已实现。在客户端中查看域中FSMO角色位置，详见FSMO角色vbs代码四、 接下来针对域效劳器的FSMO五中主机角色做转移下面分别介绍使用MMC控制台、命令行和PowerShell转移FSMO角色1、 使用MMC控制台转移FSMO角色首先在2021R2DC1中查询FSMO角色，翻开Powershell 输入netdom query FSMO，从图中可以看到五中角色都在2021

11、R2DC1上在2021R2DC1上，翻开AD用户和计算机，更改连接的域控制器，如下列图选择要连接的域控制器，由于2021DC1不能转移到自身，所以状态为不可用，如下列图在ITPro 上右键选择操作主机，如下列图操作主机显示可以转移三个角色，分别是RID、PDC和根底结构，切换选项卡转移各主机角色，如下列图翻开AD域和信任关系，连接到2021R2DC2，右键AD域和信任关系，选择操作主机，如下列图更改域命名主机，操作和前面3个主机角色相同。如下列图架构主机的更改需注册组件，PS中操作如下列图翻开MMC控制台在添加删除管理单元中添加AD架构并翻开，如下列图在翻开的AD架构中先连接到2021R2DC

12、2，然后更改架构主机，如下列图完成后，查询FSMO角色的位置，现在已经成功将FSMO角色从2021R2DC1转移到2021R2DC2上，如下列图2、 命令行转移FSMO角色，转移命令如下NtdsutilRolesConnectionsConnect to Server <DC>QuitTransfer Domain naming masterTransfer infrastructure masterTransfer PDCTransfer RID masterTransfer Schema master在刚刚通过MMC控制台已经将FSMO角色转移到2021R2DC2，这次通过命令

13、行将FSMO角色转移到2021R2DC1在PS中操作如下列图，命令由红线标示在PS中复制粘贴命令，在弹出的对话框中点击“是，如下列图如下列图所示，五种角色均转移完成转移完成后在PS中查看到现在FSMO角色已经转移到2021R2DC1中，如图3、 使用PowerShell转移FSMO角色刚刚通过命令行将FSMO角色转移到了2021R2DC1中，现在通过PowerShell命令将FSMO角色转移到2021R2DC2。操作命令Move-ADDirectoryServerOperationMasterRole -Identity "2021R2DC2" -OperationMast

14、erRole 0,1,2,3,4。在Powershell中可输入OperationMasterRole的值 PDCEmulator or 0，RIDMaster or 1，InfrastructureMaster or 2，SchemaMaster or 3，DomainNamingMaster or 4图中提示是否转移，这里要转移五种角色，选择A，按回车键现在在PS中查询，已经将FSMO角色转移到2021R2DC2上有关powerShell命令可参考：Move-ADDirectoryServerOperationMasterRole五、 接下来针对域效劳器的FSMO五中主机角色做夺取使用命令

15、行及PowerShell命令夺取1、 使用命令行夺取FSMO角色NtdsutilRolesConnectionsConnect to Server <DC>QuitSeize Domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize Schema master上步通过PS已经将FSMO角色转移到2021R2DC2中，现在将FSMO五种角色夺取到2021R2DC2上。先关闭2021R2DC2，ping主机已不在线，下面输入操作命令在进行强制夺取时首先会进行安装传送在PS中复制粘贴各主机角

16、色夺取命令然后执行，夺取完成后验证FSMO各主机角色位置，如图，已经成功将FSMO角色夺取到2021R2DC1上2、 使用PowerShell命令夺取FSMO角色上步通过命令行夺取了FSMO角色，夺取后2021R2DC2已不可用。在虚拟机上通过快照恢复到夺取前状态。先查询FSMO角色位置，FSMO角色在2021R2DC2上，关闭主机。如图使用Powershell命令夺取FSMO角色，操作命令：Move-ADDirectoryServerOperationMasterRole -Identity "2021R2DC1" -OperationMasterRole 0,1,2,3

17、,4 Force。在Powershell中可输入OperationMasterRole的值 PDCEmulator or 0，RIDMaster or 1，InfrastructureMaster or 2，SchemaMaster or 3，DomainNamingMaster or 4转移过程有点长，转移后检查FSMO角色的位置，现在已成功将FSMO角色转移到2021R2DC1中有关夺取的PowerShell命令参考：Seizing an Operations Master RoleMove-ADDirectoryServerOperationMasterRole3、 在夺取后需对宕机效劳

18、器信息进行清理，DNS记录、DC元数据和站点信息清理宕机效劳器命令如下信息清理涉及命令如下NtdsutilMetadata cleanupConnectionsConnect to Domain <DC>QuitSelect operation targetList sitesSelect site <ID>List Domain in siteSelect Domain ID List servers for Domain in siteSelect server <ID>QuitRemove selected server在操作过程中如果出现如下信息，命

19、令输入错误。需返回上一步或重头开始正常的信息如下命令行中操作如下，只要不出错，命令可以简写，命令用红线标示，如下列图弹出删除对话框，点击是，命令用红线标示，如下列图元数据清理成功，如下列图去除元数据后，翻开DNS效劳，在正向和反向查找区域中删除有关2021R2DC2的记录。如下列图最后翻开AD站点和效劳，删除默认站点Servers下的2021R2DC2，如下列图删除后，重启Server2021R2DC1.至此清理宕机效劳器的数据已经完成。附：在客户端查询FSMO角色脚本将下面代码复制到文本中，将后缀改为vbs，然后在客户端执行即可Set objRootDSE = GetObject("

20、;LDAP:/rootDSE")Dim text' Schema MasterSet objSchema = GetObject("LDAP:/" & objRootDSE.Get("schemaNamingContext")strSchemaMaster = objSchema.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP:/" & strSchemaMaster)Set objComputer = GetObject(obj

21、Ntds.Parent)text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLfSet objNtds = NothingSet objComputer = Nothing' Domain Naming MasterSet objPartitions = GetObject("LDAP:/CN=Partitions," & _objRootDSE.Get("configurationNamingContext")strDoma

22、inNamingMaster = objPartitions.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP:/" & strDomainNamingMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLfSet objNtds = NothingSet

23、 objComputer = Nothing' PDC EmulatorSet objDomain = GetObject("LDAP:/" & objRootDSE.Get("defaultNamingContext")strPdcEmulator = objDomain.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP:/" & strPdcEmulator)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLfSet objNtds = NothingSet objComputer = Nothing' RID MasterSet objRidManager = GetObject("LDAP:/CN=RID Manager$,CN=System," & _objRootDSE.Get(&qu