Windows server 2012 利用ntdsutil工具实现AD角色转移及删除域控方法

123sw

本章博文讲述Windows server 2012 域控制器之间角色转移及删除域控方法 。针对不同的应用场景，对操作方法进行了归纳与总结 。
    场景1：主域控制器与辅助域控制器运行正常，相互间可以实现AD复制功能。需要把辅助域控制器提升为主域控制器 ，把主域控制器降级为普通成员服务器；这种场景一般应用到原主域控制器进行系统升级（先转移域角色，再降级，再安装或升级高版本系统，再次转移角色恢复到主域控制器角色）或使用配置更高的服务器替代原主域控制器起到主域控制的作用（使用高配置的服务器配置成辅助域控制器，然后把原主域控制器角色转移到该主机，原主机成为辅助域控制器，高配置主机成为主域控制器）

    场景2：辅助域控服务器运行正常，主域控服务器因突发性紧急故障造成Down机且主域无法正常运行。需要辅助域控服务器强制夺取RID、PDC、Domain、Schema、Naming角色及GC功能成为新主域控，并强制删除域中残留原有主域控信息 ；这种场景一般应用到主域系统或数据损坏无法正常工作，由辅助域控强制争夺5种角色提升为主域控制器，同时删除残留原主域控制器信息。原有主域控主机在重新加入域环境时（重新安装系统后），建议使用不同的主机名及ip地址。

场景一：
环境：主域控制器ds01.bicionline.org ，辅域控制器pdc01.bicionline.org  ， 两台域控服务器运行正常，相互间可以实现AD复制。
目的：主域控服务器把RID、PDC、Domain、Schema、Naming角色及GC功能转移到辅助域控制器，并降级成普通服务器。
解决思路：通过图形界面或命令行界面进行角色转移， 通过服务管理器进行域降级 ，删除DNS服务器中所有区域内的原有主域控DNS 记录 ，删除‘站点与服务’里原主域控server 。

图形界面操作：

• 　　传递PDC、RID 、基础结构角色 ：
  　　登录pdc01.bicionline.org 辅助域服务器 ，进入“Active Directory 用户和计算机 pdc01.bicionline.org”，右击“bicionline.org”选择操作主机 ，对3个主机角色进行更改：如下图
  
  
  
  　　
  
  
  
  
• 　　传递架构主机角色：
  　　Windwos  server 2012  注册 regsvr32 schmmgmt  命令，通过mmc查看域架构 。如下图
  　　a、注册域架构
  
  
  
  　　b、打开mmc控制台，添加单元“Active Directory 架构”。
  
  
  
  　　c、右击“Active Directory 架构 pdc01.bicionline.org”选择“操作主机” 选项。
  
  
  
  
• 　　传递域命名操作主机：
  　　进入“Active Directory 域和信任关系 pdc01.bicionline.org”，右击选择操作主机 ，对Naming角色进行更改：如下图
  
  
  
  
  
  
  

　　
　　命令行操作：

• 　　前面步骤是通过图形界面进行的操作，另通过ntdsutil 工具方式亦可实现角色转移 ：步骤如下
  　　运行-cmd -ntdsutil 回车  #
  　　技巧： 输入 ？  ，可以查看该模式下可输入的命令行及命令功能注释 。
  　　roles 回车             //角色功能选项
  　　connections 回车    //进入连接模式
  　　connect to server pdc01.bicionline.org  回车   //连接pdc01 服务器
  　　quit  回车                                         //退出
  　　transfer  naming master  回车   //将已连接服务器定为命名主机
  　　transfer infrastructure master 回车
  　　transfer PDC 回车
  　　transfer RID master  回车
  　　transfer schema master 回车
  
  
  
  

　　场景二：
环境 ：主域控制器ds01.bicionline.org ，辅域控制器pdc01.bicionline.org  ，辅助域控服务器运行正常，主域控服务器Down机且无法恢复。
目的：辅助域控服务器强制夺取RID、PDC、Domain、Schema、Naming角色及GC功能成为新主域控，并强制删除域中残留原有主域控信息 。
解决思路：通过Ntdsutil工具强制夺取5种角色， 并删除原主域控server ，另删除DNS服务器中所有区域内的原有主域控DNS 记录 ，删除‘站点与服务’里原主域控server 。

解决步骤：

• 　　另通过ntdsutil 工具方式亦可实现角色转移 ：步骤如下
  　　运行-cmd -ntdsutil 回车  #
  　　技巧： 输入 ？  ，可以查看该模式下可输入的命令行及命令功能注释 。
  　　roles 回车             //角色功能选项
  　　connections 回车    //进入连接模式
  　　connect to server pdc01.bicionline.org  回车   //连接pdc01 服务器
  　　quit  回车                                         //退出
  　　seize  naming master  回车   //在已连接的服务器上覆盖命名主机角色
  　　seize infrastructure master 回车
  　　seize PDC 回车
  　　seize RID master  回车
  　　seize schema master 回车
  
  
  
  
• 　　清理ds01 server的残留信息（元数据）
  　　运行--cmd---ntdsutil
  　　metadata cleanup 回车     //进入服务器对象清理模式
  　　select operation target   回车     //进入操作对象选择模式
  　　connections  回车      //进入连接模式
  　　connect to server pdc01  回车  //连接到pdc01服务器端
  　　quit  回车
  　　list sites   回车 //列出当前连接的域中的站点
  　　select site 0  //选择站点0
  　　list domains in site  /列出站点中的域
  　　select domain 0   //选择域0
  　　list servers for domain in site //列出0站点0域内所有服务器
  　　select server ０  //选择域中的将要删掉服务器(域控)
  　　remove selected server     //删除选择的服务器(域控)
  
  
  
  
• 删除DNS服务器中每一个区域中关于ds01的 DNS 记录 ，删除‘站点与服务’里DS01 server ，并配置pdc01 为GC （全局编录） ，这些点容易被忽略，请谨记 。
  

综上所述，针对不同的场景实现主域控制器与辅助域控制器之间的角色转移 ，建议在做操作前务必做好数据备份工作 ，且在清理主域残留信息时慎重操作。