轉移Active Directory五大角色

因為遇到客戶有Active Directory(AD)從windows 2008 R2升級到windows 2012 R2的需求，於是就架了LAB來測試看看。LAB建置的流程如下：

STEP 1：安裝一台windows 2008 R2的網域控制站(Domain Controller,DC)
STEP 2：接著安裝一台windows 2012 R2的DC，並加入現有網域
STEP 3：將五大角色轉移

 安裝一台windows 2012 DC並加入現有網域

如何安裝第一台網域控制站，本文就不特別說明了 (windows 2008 R2可以用指令 dcpromo來安裝)。因為windows 2012 R2沒有dcpromo的指令，所以必須先新增Active Directory Domain Service (AD DS)角色，然後再升級(promote)為網域控制站(domain controller) 

Note： 確定操作此動作的身分為網域管理員

轉移五大角色

五大角色(Flexible Single Master Operations，FSMO)分別為：

- 架構主機 (Schema master)

- 網域命名主機 (Domain naming master)

- PDC

- RID集區管理員 (RID pool manager)

- 基礎架構主機 (Infrastructure master)

其中「RID集區管理員」、「PDC」和「基礎結構主機」可以從Active Directory 使用者和電腦 變更；「網域命名主機」可以從Active Directory 網域及信任 變更；「架構主機」可以從MMC主控台 變更。

NOTE：執行以下操作時請登入要接手五大角色的網域控制站

• 確認目前五大角色在哪一台DC

在命令提示字元輸入 netdom query fsmo 指令，以此例來說目前五大角色都還在第一台DC上

• 變更RID集區管理員、PDC和基礎結構主機

開啟Active Directory使用者和電腦

在「網域節點(nbd.lab)」點選右鍵→選擇Operations Masters

分別切換至不同的頁籤(RID、PDC和Infrastructure)並點選變更

• 變更網域命名主機

開啟AD網域及信任

在「根結點」點選右鍵→選擇Operations Master

點選變更

• 變更架構主機

首先需要先註冊schmmgmt.dll元件，在執行的地方輸入 regsvr32 schmmgmt.dll 指令

接著執行MMC開啟主控台，點選「新增/移除嵌入式管理單元」

新增Active Directory schema

 這時候你看到目前連到的Active Directory schema還是連到DC01

在Active Directory schema點選右鍵→選擇變更Active Directory 網域控制站

選擇欲變更的網域控制站

切換網域控制站過程會看到以下訊息，但不影響變更的動作。點選確定繼續

切換後，接著執行Operations master

點選變更

• 最後檢查是否五大角色都已經轉移到DC02

在命令提示字元輸入 netdom query fsmo 指令

參考連結

如何轉移 Active Directory 五大角色(FSMO)至其他網域主控站

STEP-BY-STEP GUIDE TO MIGRATE FSMO ROLES FROM WINDOWS 2003 SERVER TO WINDOWS 2012 R2 SERVER