場景介紹
現有DC-1、DC-2,2臺域控,要加入第三臺域控DC-3並把第二臺域控DC-2的退出域,但是現在FSMO角色全部在DC-2上,因爲DC-2目前正常運行,我們直接把權限轉移給DC-1之後把DC-3做成域控,在之前登陸DC-2的服務器進行操作。
0x0 打開Active Directory 用戶和主機
登陸DC-2,右擊域名,選擇更改Active Directoy域控制器,選擇你要把權限轉移的目標主機也就是DC-1
① 傳送RID、PDC、基礎結構主機角色
更改域控制器後,右擊域名選擇操作主機,挨個把RID、PDC、基礎結構選擇更改,他會提示**“你確定要傳送操作主機角色”**,選擇確定。
② 傳送域命名操作主機角色
打開AD域和信任關係,右擊AD域和信任關係,選擇操作主機,選擇更改。
0x1 查詢FSMO 5大角色遷移情況
#列出FSMO 5大角色屬於者
netdom query fsmo
0x2 遷移架構主機角色
以上的操作會出現缺失架構主機角色未遷移,使用schmmgmt.dll遷移架構主機角色。
① cmd 中註冊schmmgmt.dll
regsvr32 schmmgmt.dll
回車後提示 DllregisterServer 在schmmgmt.dll已成功。
② cmd 中打開mmc
打開控制檯1,選擇“文件”下拉菜單中的“添加或刪除管理單元”,選中“Active Directory架構" 點擊”添加“
③ 遷移架構主機角色
選中剛添加的AD架構,右擊選擇更改Active Directoy域控制器,選中你要轉移到的域控DC-2,繼續右擊AD架構,選擇操作主機,點擊更改,提示傳送成功
④ 查看遷移情況
netdom query fsmo
0x3 退出域控
運行中輸入 dcpromo,出現AD安裝頁面,下一步繼續,彈出確認刪除AD活動目錄,刪除AD活動目錄時,不要****勾選"這個服務器是域控中的最後一個域控制器",點下一步,先輸入管理員密碼",注意這裏不是域控密碼,設置密碼之後,會提示要求刪除的界面,點下一步繼續,會陸續刪除AD活動目錄,刪除DC,降級域控,點擊完成之後重啓系統生效。