创建新域时,Active Directory 域服务安装向导会自动将所有域级灵活单主操作(FSMO)分配给在该域中创建的第一个域控制器。 创建新林时,向导还会将两个林级操作主角色分配给第一个域控制器。 创建和运行域后,可能需要将各种操作主角色传输到不同的域控制器,以优化性能并简化管理。
如果存在以下任一条件,请考虑移动操作主角色或角色:
服务性能不足
承载操作主角色的域控制器失败
解除托管操作主角色的域控制器的授权
影响操作主角色放置的管理配置更改
如果操作主角色持有者在转移角色之前失败或已解除授权,则必须抓住该角色并将其传输到正常的域控制器。 如果无法修复以前的角色持有者,或者如果抓住角色,请从域中删除以前的角色持有者并清理其元数据。 若要了解有关元数据清理的详细信息,请参阅清理Active Directory 域控制器服务器元数据。 如果计划重复使用修复的计算机作为域控件,建议格式化并重新生成计算机,而不是从备份还原域控制器。 还原的域控制器将再次充当角色持有者并导致冲突。
先决条件
在转移操作主角色之前,需要完成以下先决条件。
在转移 FSMO 角色之前,请查看“灵活单主操作”角色的文章,了解其他注意事项。
若要传输架构主机角色,帐户必须是架构管理员组的成员,并且也应该是企业管理员组的成员。
若要转移域命名主角色,帐户必须是企业管理员组的成员。
若要传输 PDC 模拟器角色,帐户必须是域管理员组的成员。
若要转移 RID 主角色,帐户必须是域管理员组的成员。
若要转移基础结构主角色,帐户必须是域管理员组的成员。
Active Directory 域可正常运行,且没有复制错误。 若要了解有关复制错误的详细信息,请参阅诊断 Active Directory 复制失败。
查找当前角色持有者
若要确定哪个域控制器具有特定的操作主角色,可以使用Active Directory 用户和计算机管理单元或 PowerShell cmdletGet-ADDomainController。 若要查找当前角色持有者,请运行以下步骤。
使用安装的 AD DS 远程服务器管理工具(RSAT)登录到计算机。
打开 PowerShell 窗口。
运行以下 PowerShell 命令,列出域控制器及其操作主角色。 该脚本列出域中的域控制器及其持有的操作主角色。
$domainControllers = Get-ADDomainController -Filter * foreach ($dc in $domainControllers) { Write-Output "Name: $($dc.Name)" Write-Output "OperationMasterRoles:" foreach ($role in $dc.OperationMasterRoles) { Write-Output "- $role" } }
传输架构主角色
若要传输架构主角色,请执行以下步骤。
运行以下 PowerShell 命令,将架构主机角色传输到另一个域控制器。 替换为
<TargetServer>要将角色传输到的域控制器的名称。Move-ADDirectoryServerOperationMasterRole -Identity <TargetServer> -OperationMasterRole SchemaMaster出现提示时,键入 “是 ”或 “Y ”以确认传输。
若要确认架构主机角色已转移,请运行以下 PowerShell 命令:
Get-ADDomainController -Identity <TargetServer> | Select-Object OperationMasterRoles
如果当前持有架构主角色的域控制器失败,则可以使用 Move-ADDirectoryServerOperationMasterRoleForce 参数来抓住该角色并将其移动到功能域控制器。
传输域命名主角色
若要传输域命名主角色,请运行以下 PowerShell 命令:
运行以下 PowerShell 命令,将域命名主角色传输到另一个域控制器。 替换为
<TargetServer>要将角色传输到的域控制器的名称。Move-ADDirectoryServerOperationMasterRole -Identity <TargetServer> -OperationMasterRole DomainNamingMaster出现提示时,键入 “是 ”或 “Y ”以确认传输。
若要确认域命名主角色已转移,请运行以下 PowerShell 命令:
Get-ADDomainController -Identity <TargetServer> | Select-Object OperationMasterRoles
如果当前持有域命名主角色的域控制器失败,则可以使用 Move-ADDirectoryServerOperationMasterRoleForce 参数来抓住该角色并将其移动到功能域控制器。
传输 PDC 模拟器角色
若要传输 PDC 模拟器角色,请运行以下 PowerShell 命令:
运行以下 PowerShell 命令,将 PDC 模拟器角色传输到另一个域控制器。 替换为
<TargetServer>要将角色传输到的域控制器的名称。Move-ADDirectoryServerOperationMasterRole -Identity <TargetServer> -OperationMasterRole PDCEmulator出现提示时,键入 “是 ”或 “Y ”以确认传输。
若要确认已传输 PDC 模拟器角色,请运行以下 PowerShell 命令:
Get-ADDomainController -Identity <TargetServer> | Select-Object OperationMasterRoles
如果当前持有 PDC 模拟器角色的域控制器已失败,则可以使用 Move-ADDirectoryServerOperationMasterRoleForce 参数来抓住该角色并将其移动到功能域控制器。
传输 RID 主角色
若要传输 RID 主角色,请执行以下步骤。
运行以下 PowerShell 命令,将 RID 主角色传输到另一个域控制器。 替换为
<TargetServer>要将角色传输到的域控制器的名称。Move-ADDirectoryServerOperationMasterRole -Identity <TargetServer> -OperationMasterRole RIDMaster出现提示时,键入 “是 ”或 “Y ”以确认传输。
若要确认 RID 主角色已转移,请运行以下 PowerShell 命令:
Get-ADDomainController -Identity <TargetServer> | Select-Object OperationMasterRoles
如果当前持有 RID 主角色的域控制器失败,则可以使用 Move-ADDirectoryServerOperationMasterRoleForce 参数来抓住该角色并将其移动到功能域控制器。
传输基础结构主角色
若要传输基础结构主角色,请执行以下步骤。
运行以下 PowerShell 命令,将基础结构主角色传输到另一个域控制器。 替换为
<TargetServer>要将角色传输到的域控制器的名称。Move-ADDirectoryServerOperationMasterRole -Identity <TargetServer> -OperationMasterRole InfrastructureMaster出现提示时,键入 “是 ”或 “Y ”以确认传输。
若要确认基础结构主角色已转移,请运行以下 PowerShell 命令:
Get-ADDomainController -Identity <TargetServer> | Select-Object OperationMasterRoles
如果当前持有基础结构主角色的域控制器失败,则可以使用 Move-ADDirectoryServerOperationMasterRoleForce 参数来抓住该角色并将其移动到功能域控制器。