Server-2012-R2-部署域控、額外域控及FSMO角色轉(zhuǎn)移和奪取

1、Server 2021 R2 部署域控、額外域控及FSMO角色轉(zhuǎn)移和奪取網(wǎng)絡(luò)環(huán)境：2021R2DC1.itpro +DNS+DHCP操作系統(tǒng)：Windows Server 2021 R2 Standard網(wǎng)卡信息：IP：/242021R2DC2.itpro +DNS+DHCP操作系統(tǒng)：Windows Server 2021 R2 Standard網(wǎng)卡信息：IP：/24DHCP配置如下：IP池：0-50網(wǎng)關(guān)：無(wú)DNS：，配置2臺(tái)效勞器為DHC

2、P故障轉(zhuǎn)移一、 主域的安裝及配置配置網(wǎng)卡信息，如下列圖翻開(kāi)效勞器管理器，點(diǎn)擊添加角色和功能如下列圖選擇安裝類型：基于角色或基于功能的安裝，如下列圖池中僅一臺(tái)主機(jī)，保持默認(rèn)此圖是在未更改主機(jī)名時(shí)截取的，更改后的截圖找不到了，拿來(lái)頂替，如下列圖選擇AD域效勞并添加功能，如下列圖功能不做添加，不選擇直接下一步，跳轉(zhuǎn)到添加ADDS域效勞向?qū)В缦铝袌D確認(rèn)安裝所選內(nèi)容，點(diǎn)擊安裝，如下列圖正在安裝域效勞器，如下列圖安裝完畢，點(diǎn)擊關(guān)閉，如下列圖點(diǎn)擊效勞器管理器上方的小旗子查看提示內(nèi)容，選擇將此效勞器提示為域控制器，如下列圖因?yàn)檫@是此域中第一個(gè)域，選擇添加新林并輸入根域名信息，如下列圖選擇域控制器林和域功能級(jí)

3、別并設(shè)置DSRM密碼，如下列圖出現(xiàn)DNS敬告，因?yàn)闆](méi)有安裝DNS，忽略，直接下一步，如下列圖NETBIOS設(shè)置，保持默認(rèn)，直接下一步，如下列圖17指定ADDS數(shù)據(jù)庫(kù)、日志文件和SYSVOL存放的位置，如下列圖配置選項(xiàng)查看，可檢查是否有問(wèn)題，有問(wèn)題點(diǎn)擊上一步返回，否那么直接下一步，如下列圖AD域效勞器部署前先決條件檢查，檢查通過(guò)后，點(diǎn)擊安裝，如下列圖正在配置域效勞，配置完成后會(huì)自動(dòng)重啟。如下列圖重啟后，登錄AD效勞器，配置DNS反向查找區(qū)域，沒(méi)有反向查找區(qū)域時(shí)，nslookup解析會(huì)出現(xiàn)問(wèn)題，如下列圖DNS反向查找區(qū)域配置向?qū)?，如下列圖在區(qū)域類型中選擇主要區(qū)域，如下列圖設(shè)置傳送作用域，如下列圖設(shè)

4、置反向查找IP類型，如下列圖輸入反向查找區(qū)域名稱，如下列圖指定反響查找更新類型，如下列圖完成DNS反向查找區(qū)域建立，如下列圖在DNS反向查找區(qū)域中查看記錄，如下列圖二、 上面設(shè)置已經(jīng)完成主域的部署，接下來(lái)，部署額外域控。2021R2DC2網(wǎng)卡信息配置如下列圖將2021R2DC2參加ITPro域中，如下列圖輸入有權(quán)限參加域的用戶憑據(jù)，如下列圖成功參加域，如下列圖參加域后，重啟。在效勞器管理器中，點(diǎn)擊添加角色和功能，如下列圖安裝類型選擇基于角色或基于功能的安裝，如下列圖選擇2021R2DC2，點(diǎn)擊下一步，如下列圖在效勞器角色中選擇AD域效勞，點(diǎn)擊下一步，如下列圖功能添加保持默認(rèn)，直接下一步跳轉(zhuǎn)到A

5、DDS域效勞向?qū)?，如下列圖安裝摘要，檢查安裝角色是否正確，沒(méi)有問(wèn)題點(diǎn)擊安裝。如下列圖安裝完成后，點(diǎn)擊右上方小旗子，顯示提示內(nèi)容，選擇將此效勞器提升為域控制器，如下列圖在部署配置中選擇獎(jiǎng)域控制器添加到現(xiàn)有域，如下列圖在上圖中點(diǎn)擊更改，彈出部署操作憑據(jù)，驗(yàn)證通過(guò)后點(diǎn)擊一下步，如下列圖指定域控功能和站點(diǎn)信息并輸入DSRM密碼，如下列圖DNS因?yàn)闆](méi)有安裝，提示警告，可以忽略，點(diǎn)擊下一步，如下列圖如果勾選“從媒體路徑安裝，是離線部署。我們選擇從域控制器在線復(fù)制Active Directory數(shù)據(jù)，復(fù)制源于“任何域控制器，這里只有一個(gè)域，多域需選擇指定域。如下列圖指定ADDS數(shù)據(jù)庫(kù)、日志文件和SYSVOL

6、的位置，如下列圖檢查額外域控配置，確認(rèn)無(wú)誤后點(diǎn)下一步，如下列圖先決條件檢查，通過(guò)后點(diǎn)擊安裝，如下列圖額外域控配置完成后會(huì)自動(dòng)重啟，重啟后登錄額外域控，配置網(wǎng)卡DNS為本機(jī)IP，只有這樣DNS才會(huì)和主域DNS同步，這是實(shí)現(xiàn)DNS和AD冗余的關(guān)鍵，網(wǎng)卡設(shè)置后，兩臺(tái)效勞器AD和DNS才會(huì)相互復(fù)制，如下列圖在2021R2DC2中查看DNS，已同步2021R2DC1中記錄，如下列圖三、 DHCP配置，在2021R2DC1中，在添加角色和功能中選額添加DHCP角色，如下列圖添加功能保持默認(rèn)，直接下一步轉(zhuǎn)到DHCP向?qū)Ш涂记绊氈?，點(diǎn)擊下一步，如下列圖正在安裝DHCP效勞器，如下列圖DHCP效勞器安裝完成，如

7、下列圖DHCP安裝完成后在效勞器管理器界面，點(diǎn)右上方小旗子，在顯示的內(nèi)容中選擇配置DHCP配置DHCP授權(quán)，如下列圖DHCP配置完成摘要，如下列圖如上步驟，在2021R2DC2中安裝DHCP角色并授權(quán)。授權(quán)時(shí)只需點(diǎn)擊右上方小旗子，在顯示的內(nèi)容中配置DHCP并授權(quán)，為配置DHCP故障轉(zhuǎn)移做準(zhǔn)備，不做具體配置。如果沒(méi)有授權(quán)，備用DHCP不會(huì)啟用在效勞器管理器中，點(diǎn)擊工具選擇DHCP調(diào)出DHCP效勞器，如下列圖在IPv4選項(xiàng)下配置作用域，點(diǎn)擊下一步，如下列圖新建作用域的IP地址范圍，點(diǎn)擊下一步，如下列圖設(shè)置DHCP作用域IP排除范圍，點(diǎn)擊下一步，如下列圖設(shè)置DHCP租約，點(diǎn)擊下一步，如下列圖配置DH

8、CP選項(xiàng)，選擇后點(diǎn)擊下一步，如下列圖配置域名及DNS，配置后點(diǎn)擊下一步，如下列圖配置WINS效勞器，這里是測(cè)試，不做配置，直接下一步，如下列圖激活作用域配置，點(diǎn)擊下一步，如下列圖完成作用域配置，點(diǎn)擊完成，如下列圖在2021DC1上右鍵剛建立的作用域，點(diǎn)擊，配置故障轉(zhuǎn)移，如下列圖配置故障轉(zhuǎn)移向?qū)?，直接下一步，如下列圖指定伙伴效勞器，點(diǎn)擊添加效勞器，在彈出的添加效勞器中查找效勞器并添加，點(diǎn)擊下一步，如下列圖配置故障轉(zhuǎn)移關(guān)系-負(fù)載均衡，測(cè)試要實(shí)現(xiàn)的是主DHCP宕機(jī)后，客戶端IP不變化，這里不做設(shè)置，如下列圖本次測(cè)試將DHCP配置為熱備用效勞器，備用效勞器設(shè)置為待機(jī)，當(dāng)主DHCP宕機(jī)，備用DHCP會(huì)提

9、供效勞。如下列圖故障轉(zhuǎn)移摘要，確認(rèn)無(wú)誤后，點(diǎn)擊完成，如下列圖故障轉(zhuǎn)移關(guān)系完成，如下列圖登錄2021R2DC2，查看故障轉(zhuǎn)移關(guān)系，效勞器為待機(jī)有關(guān)DHCP故障轉(zhuǎn)移關(guān)系可參考：循序漸進(jìn)：針對(duì)故障轉(zhuǎn)移配置 DHCP到此有關(guān)AD、DNS和DHCP冗余已經(jīng)設(shè)置完成。接下來(lái)驗(yàn)證下主域宕機(jī)的情況下，客戶端能否登陸域及DHCP故障轉(zhuǎn)移是否實(shí)現(xiàn)下列圖是主域在線客戶端登錄的相關(guān)信息，可以看到FSMO角色在2021R2DC1上，用戶登錄域?yàn)?021R2DC1，主機(jī)獲取的IP地址為2，DHCP效勞器地址為接下來(lái)我們禁用2021R2DC1的網(wǎng)卡模擬效勞器宕機(jī)，重啟客戶

10、端登錄效勞器，下列圖中可以看到FSMO角色沒(méi)有變化，客戶端IP地址也沒(méi)有變化，登錄域變成了2021R2DC2，DHCP效勞器變成了.從主域宕機(jī)前和宕機(jī)后客戶端的兩個(gè)截圖說(shuō)明，AD額外域控及DHCP已實(shí)現(xiàn)。在客戶端中查看域中FSMO角色位置，詳見(jiàn)FSMO角色vbs代碼四、 接下來(lái)針對(duì)域效勞器的FSMO五中主機(jī)角色做轉(zhuǎn)移下面分別介紹使用MMC控制臺(tái)、命令行和PowerShell轉(zhuǎn)移FSMO角色1、 使用MMC控制臺(tái)轉(zhuǎn)移FSMO角色首先在2021R2DC1中查詢FSMO角色，翻開(kāi)Powershell 輸入netdom query FSMO，從圖中可以看到五中角色都在2021

11、R2DC1上在2021R2DC1上，翻開(kāi)AD用戶和計(jì)算機(jī)，更改連接的域控制器，如下列圖選擇要連接的域控制器，由于2021DC1不能轉(zhuǎn)移到自身，所以狀態(tài)為不可用，如下列圖在ITPro 上右鍵選擇操作主機(jī)，如下列圖操作主機(jī)顯示可以轉(zhuǎn)移三個(gè)角色，分別是RID、PDC和根底結(jié)構(gòu)，切換選項(xiàng)卡轉(zhuǎn)移各主機(jī)角色，如下列圖翻開(kāi)AD域和信任關(guān)系，連接到2021R2DC2，右鍵AD域和信任關(guān)系，選擇操作主機(jī)，如下列圖更改域命名主機(jī)，操作和前面3個(gè)主機(jī)角色相同。如下列圖架構(gòu)主機(jī)的更改需注冊(cè)組件，PS中操作如下列圖翻開(kāi)MMC控制臺(tái)在添加刪除管理單元中添加AD架構(gòu)并翻開(kāi)，如下列圖在翻開(kāi)的AD架構(gòu)中先連接到2021R2DC

12、2，然后更改架構(gòu)主機(jī)，如下列圖完成后，查詢FSMO角色的位置，現(xiàn)在已經(jīng)成功將FSMO角色從2021R2DC1轉(zhuǎn)移到2021R2DC2上，如下列圖2、 命令行轉(zhuǎn)移FSMO角色，轉(zhuǎn)移命令如下NtdsutilRolesConnectionsConnect to Server <DC>QuitTransfer Domain naming masterTransfer infrastructure masterTransfer PDCTransfer RID masterTransfer Schema master在剛剛通過(guò)MMC控制臺(tái)已經(jīng)將FSMO角色轉(zhuǎn)移到2021R2DC2，這次通過(guò)命令

13、行將FSMO角色轉(zhuǎn)移到2021R2DC1在PS中操作如下列圖，命令由紅線標(biāo)示在PS中復(fù)制粘貼命令，在彈出的對(duì)話框中點(diǎn)擊“是，如下列圖如下列圖所示，五種角色均轉(zhuǎn)移完成轉(zhuǎn)移完成后在PS中查看到現(xiàn)在FSMO角色已經(jīng)轉(zhuǎn)移到2021R2DC1中，如圖3、 使用PowerShell轉(zhuǎn)移FSMO角色剛剛通過(guò)命令行將FSMO角色轉(zhuǎn)移到了2021R2DC1中，現(xiàn)在通過(guò)PowerShell命令將FSMO角色轉(zhuǎn)移到2021R2DC2。操作命令Move-ADDirectoryServerOperationMasterRole -Identity "2021R2DC2" -OperationMast

14、erRole 0,1,2,3,4。在Powershell中可輸入OperationMasterRole的值 PDCEmulator or 0，RIDMaster or 1，InfrastructureMaster or 2，SchemaMaster or 3，DomainNamingMaster or 4圖中提示是否轉(zhuǎn)移，這里要轉(zhuǎn)移五種角色，選擇A，按回車鍵現(xiàn)在在PS中查詢，已經(jīng)將FSMO角色轉(zhuǎn)移到2021R2DC2上有關(guān)powerShell命令可參考：Move-ADDirectoryServerOperationMasterRole五、 接下來(lái)針對(duì)域效勞器的FSMO五中主機(jī)角色做奪取使用命令

15、行及PowerShell命令?yuàn)Z取1、 使用命令行奪取FSMO角色NtdsutilRolesConnectionsConnect to Server <DC>QuitSeize Domain naming masterSeize infrastructure masterSeize PDCSeize RID masterSeize Schema master上步通過(guò)PS已經(jīng)將FSMO角色轉(zhuǎn)移到2021R2DC2中，現(xiàn)在將FSMO五種角色奪取到2021R2DC2上。先關(guān)閉2021R2DC2，ping主機(jī)已不在線，下面輸入操作命令在進(jìn)行強(qiáng)制奪取時(shí)首先會(huì)進(jìn)行安裝傳送在PS中復(fù)制粘貼各主機(jī)角

16、色奪取命令然后執(zhí)行，奪取完成后驗(yàn)證FSMO各主機(jī)角色位置，如圖，已經(jīng)成功將FSMO角色奪取到2021R2DC1上2、 使用PowerShell命令?yuàn)Z取FSMO角色上步通過(guò)命令行奪取了FSMO角色，奪取后2021R2DC2已不可用。在虛擬機(jī)上通過(guò)快照恢復(fù)到奪取前狀態(tài)。先查詢FSMO角色位置，F(xiàn)SMO角色在2021R2DC2上，關(guān)閉主機(jī)。如圖使用Powershell命令?yuàn)Z取FSMO角色，操作命令：Move-ADDirectoryServerOperationMasterRole -Identity "2021R2DC1" -OperationMasterRole 0,1,2,3

17、,4 Force。在Powershell中可輸入OperationMasterRole的值 PDCEmulator or 0，RIDMaster or 1，InfrastructureMaster or 2，SchemaMaster or 3，DomainNamingMaster or 4轉(zhuǎn)移過(guò)程有點(diǎn)長(zhǎng)，轉(zhuǎn)移后檢查FSMO角色的位置，現(xiàn)在已成功將FSMO角色轉(zhuǎn)移到2021R2DC1中有關(guān)奪取的PowerShell命令參考：Seizing an Operations Master RoleMove-ADDirectoryServerOperationMasterRole3、 在奪取后需對(duì)宕機(jī)效勞

18、器信息進(jìn)行清理，DNS記錄、DC元數(shù)據(jù)和站點(diǎn)信息清理宕機(jī)效勞器命令如下信息清理涉及命令如下NtdsutilMetadata cleanupConnectionsConnect to Domain <DC>QuitSelect operation targetList sitesSelect site <ID>List Domain in siteSelect Domain ID List servers for Domain in siteSelect server <ID>QuitRemove selected server在操作過(guò)程中如果出現(xiàn)如下信息，命

19、令輸入錯(cuò)誤。需返回上一步或重頭開(kāi)始正常的信息如下命令行中操作如下，只要不出錯(cuò)，命令可以簡(jiǎn)寫(xiě)，命令用紅線標(biāo)示，如下列圖彈出刪除對(duì)話框，點(diǎn)擊是，命令用紅線標(biāo)示，如下列圖元數(shù)據(jù)清理成功，如下列圖去除元數(shù)據(jù)后，翻開(kāi)DNS效勞，在正向和反向查找區(qū)域中刪除有關(guān)2021R2DC2的記錄。如下列圖最后翻開(kāi)AD站點(diǎn)和效勞，刪除默認(rèn)站點(diǎn)Servers下的2021R2DC2，如下列圖刪除后，重啟Server2021R2DC1.至此清理宕機(jī)效勞器的數(shù)據(jù)已經(jīng)完成。附：在客戶端查詢FSMO角色腳本將下面代碼復(fù)制到文本中，將后綴改為vbs，然后在客戶端執(zhí)行即可Set objRootDSE = GetObject("

20、;LDAP:/rootDSE")Dim text' Schema MasterSet objSchema = GetObject("LDAP:/" & objRootDSE.Get("schemaNamingContext")strSchemaMaster = objSchema.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP:/" & strSchemaMaster)Set objComputer = GetObject(obj

21、Ntds.Parent)text="Forest-wide Schema Master FSMO: " & objComputer.Name & vbCrLfSet objNtds = NothingSet objComputer = Nothing' Domain Naming MasterSet objPartitions = GetObject("LDAP:/CN=Partitions," & _objRootDSE.Get("configurationNamingContext")strDoma

22、inNamingMaster = objPartitions.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP:/" & strDomainNamingMaster)Set objComputer = GetObject(objNtds.Parent)text=text&"Forest-wide Domain Naming Master FSMO: " & objComputer.Name & vbCrLfSet objNtds = NothingSet

23、 objComputer = Nothing' PDC EmulatorSet objDomain = GetObject("LDAP:/" & objRootDSE.Get("defaultNamingContext")strPdcEmulator = objDomain.Get("fSMORoleOwner")Set objNtds = GetObject("LDAP:/" & strPdcEmulator)Set objComputer = GetObject(objNtds.Parent)text=text&"Domain's PDC Emulator FSMO: " & objComputer.Name & vbCrLfSet objNtds = NothingSet objComputer = Nothing' RID MasterSet objRidManager = GetObject("LDAP:/CN=RID Manager$,CN=System," & _objRootDSE.Get(&qu