场景介绍
现有DC-1、DC-2,2台域控,要加入第三台域控DC-3并把第二台域控DC-2的退出域,但是现在FSMO角色全部在DC-2上,因为DC-2目前正常运行,我们直接把权限转移给DC-1之后把DC-3做成域控,在之前登陆DC-2的服务器进行操作。
0x0 打开Active Directory 用户和主机
登陆DC-2,右击域名,选择更改Active Directoy域控制器,选择你要把权限转移的目标主机也就是DC-1
① 传送RID、PDC、基础结构主机角色
更改域控制器后,右击域名选择操作主机,挨个把RID、PDC、基础结构选择更改,他会提示**“你确定要传送操作主机角色”**,选择确定。
② 传送域命名操作主机角色
打开AD域和信任关系,右击AD域和信任关系,选择操作主机,选择更改。
0x1 查询FSMO 5大角色迁移情况
#列出FSMO 5大角色属于者
netdom query fsmo
0x2 迁移架构主机角色
以上的操作会出现缺失架构主机角色未迁移,使用schmmgmt.dll迁移架构主机角色。
① cmd 中注册schmmgmt.dll
regsvr32 schmmgmt.dll
回车后提示 DllregisterServer 在schmmgmt.dll已成功。
② cmd 中打开mmc
打开控制台1,选择“文件”下拉菜单中的“添加或删除管理单元”,选中“Active Directory架构" 点击”添加“
③ 迁移架构主机角色
选中刚添加的AD架构,右击选择更改Active Directoy域控制器,选中你要转移到的域控DC-2,继续右击AD架构,选择操作主机,点击更改,提示传送成功
④ 查看迁移情况
netdom query fsmo
0x3 退出域控
运行中输入 dcpromo,出现AD安装页面,下一步继续,弹出确认删除AD活动目录,删除AD活动目录时,不要****勾选"这个服务器是域控中的最后一个域控制器",点下一步,先输入管理员密码",注意这里不是域控密码,设置密码之后,会提示要求删除的界面,点下一步继续,会陆续删除AD活动目录,删除DC,降级域控,点击完成之后重启系统生效。
