一般企业如果使用了域控管理公司电脑账户的话,域控服务器至少两台,我所在的公司整个楼层200人左右,员工入离职频繁,我自己搭建了域控管理电脑账户,方便统一管理,当然我配置了两个域控(主域控和额外域控)。
有一天早上,公司上不了网,我迅速判断,发现主域控服务器瘫痪导致dns无法解析,我马上修改了dhcp服务器的默认dns规则到额外域控制器,让公司网络先恢复。
然后,将主域控从机房搬出来,u盘pe进入系统检测硬件,发现是固态硬盘坏掉了,导致系统无法开机,然后我就想到了最笨的解决办法:
1、额外域控制器提升权限成为主域控。
2、新建额外域控制器。
(提醒:额外域控制器提升权限前,一定要将本地管理员授予很多特殊权限,具体权限如下图)
在额外域控制器提权,获取5大角色控制器权限,具体步骤如下:
1、管理员运行windows powershell,运行命令:netdom query fsmo命令查询5大角色控制器权限,让额外域控制器BDC获取这些权限。
2、输入命令:ntdsutil 查看帮助信息
3、进入管理ntds角色所有者令牌(后面不会可以敲?查询帮助)
C:\Windows\system32\ntdsutil.exe: roles
fsmo maintenance:connections
server connections:connect to server newDC(额外域控:本机)
连接后,退出回到rolesmos
server connections:quit
fsmo maintenance:
4、转移架构主机
fsmo maintenance:Transfer schema master
弹出提示确认页面,点击“是”
5、转移RID主机
fsmo maintenance:Transfer RID master
弹出提示确认页面,点击“是”
6、转移PDC主机
fsmo maintenance:Transfer PDC
弹出提示确认页面,点击“是”
7、转移域命名主机
fsmo maintenance:Transfer infrastructure master
弹出提示确认页面,点击“是”
8、转移结构主机
fsmo maintenance:Transfer domain naming master
弹出提示确认页面,点击“是”
(有两个角色无法传输,毕竟主域控坏掉了,请用seize命令强制获取,具体参考下图)
最后运行命令“netdom query fsmo”查询五大角色权限是否获取,如果部分权限无法获取,可以使用seize命令强行夺取权限,我的结构和架构权就是这么夺取的。
要点1:什么?有两个权限没有获取成功?请检查你的administrator的权限是否正确,务必要分配必要的域管理权限,否则无法强制夺取主域控权限。
要点2:如果主域控还在的话,只是要升级替换主域控,不建议使用seize命令强制覆盖,请使用Transfer命令从PDC正常传输进来。
额外域控升级为主域控之后, 建议再搭建一台额外域控制器备用,这里我就不演示怎么新建额外域控制器了。