Tag Archives: fsmo

Update Domain Controller to Windows Server 2016/2019 and move FSMO roles to new domain controller

I’m still using Windows 2012R2 as my home lab’s domain controller. Since MS released Windows Server 2019, so I think it’s the time to upgrade my test lab to Windows Server 2019.
The first server I want to upgrade is my domain controller.

Even though you can mount the ISO and click setup.exe to upgrade Domain Controller to Windows 2016/2019, but after a test, I found that this kind of “upgrade” is a fresh installation…If you upgrade your DC in this way, you will find after reboot, your DC is gone…You will only have a standalone server running windows 2016/2019 which is in a workgroup… I don’t know why MS permit people doing “upgrade” in this way and don’t show any warning message at all…

So how to upgrade DC to Windows 2016/2019 in the right way?

The right way is to build a new server, and prompt it to domain controller, and then move all FSMO roles to it.

1. Install a new Windows 2016/2019 Server.
2. Install “Active Directory Domain Services” on the server
3. Promote the server to a domain controller. Make sure you also installed DNS services on it.
4. Reboot the server.
5. Once the serer is up and running. Open Server Manager, then open “Active Directory Module for Windows PowerShell”
6. Run below command:

Move-ADDirectoryServerOperationMasterRole -Identity "DC2019" -OperationMasterRole 0,1,2,3,4

Press Y to move all FSMO roles to this server.
7. Run below command to make sure all FSMO roles are migrated to the new domain controller

Get-ADDomain
Get-ADForest

8. demote the old domain controller and then remove the old DC from domain. And then shut down the old DC
9. Change the new DC IP address to the Old one. Then run below command to make sure all DNS records are updated and also no error.

ipconfig/registerdns
dcdiag /fix

无法将 Windows Server 2003 域控制器提升至 Windows 2000 目录林

http://support.microsoft.com/kb/278875/zh-cn

症状
在通过运行 Active Directory 安装向导 (Dcpromo.exe) 将 Windows Server 2003 域控制器安装到现有 Windows 2000 目录林时,您可能会看到以下错误信息:
The operation failed because:

A Schema validation check failed.

The Active Directory Installation Wizard cannot continue because the forest is not prepared for installing Windows Server 2003. Use the Adprep command-line tool to prepare both the forest and the domain.Fore more information about using Adprep see Active Directory Help.

"The version of the Active Directory Schema of the source forest is not compatible with the version of the Active Directory on this computer."
如果您尝试将 Windows Server 2003 域控制器添加到现有 Windows 2000 域(其中林根域中所有域控制器都是基于 Windows 2000 的域控制器)时,可能出现该问题。如果您尝试将 Windows Server 2003 域添加到现有 Windows 2000 目录林,其中林根域中所有域控制器都是基于 Windows 2000 的域控制器时,也可能出现该问题。

原因
出现上述问题的原因是 Windows Server 2003 包含更新的架构版本。您必须更新现有目录林中的架构,Active Directory 安装向导才能成功运行。

解决方案
要解决此问题,请执行下列步骤: 1.    如果您正在运行 Exchange 2000,继续之前,请参见“其他信息”部分。
2.    所有基于 Windows 2000 的域控制器上都一定要安装 Windows 2000 Service Pack 2 或更高版本。
3.    找到作为架构主机的服务器和作为结构主机的服务器。

注意:一台服务器可能同时具有这两项功能。
4.    备份架构主机。

注意:作为升级准备的一部分,您还可以对其他服务器进行备份。但是,一定要确保继续执行下一步前立即备份架构主机。
5.    断开架构主机与网络的连接。在此过程的第 9 步之前,不要重新建立连接。
6.    在架构主机上,将 Windows Server 2003 安装光盘插入 CD-ROM 驱动器。
7.    在架构主机上打开命令提示符,然后键入以下命令行,键入每一行后按 Enter 键。
cd-rom:
cd i386
adprep /forestprep
其中 cd-rom 是 CD-ROM 驱动器的驱动器号。
8.    在架构主机上完成该命令后,请使用以下方法验证目录林的准备是否成功。     •    确认没有出现任何错误信息。
•    运行任何可用的域控制器诊断工具(例如 Dcdiag)。请注意,域控制器从网络断开时,可能出现复制错误。
•    使用“事件查看器”查看系统日志中是否有错误或意外事件。

9.    评估在第 8 步中搜集的信息:     •    如果运行 adprep /forestprep 命令时,没有收到错误信息,请重新将架构主机域控制器连接到网络,然后继续执行第 10 步。
•    如果运行 adprep /forestprep 命令时,收到一个或多个错误信息,并提供了其他步骤说明,请按错误信息的说明操作,然后重新执行第 8 步。
•    如果 adprep /forestprep 命令没有成功运行,或诊断工具(例如 Dcdiag)显示了一个重大问题,请从备份中恢复该架构主机,然后使用第 8 步中搜集的信息解决该问题。

10.    如果架构主机与结构主机不是同一台计算机,请等候 adprep /forestprep 命令将所做的更改从架构主机复制到结构主机。等候至少 15 分钟,但如果架构主机与结构主机不在同一个地方,要允许等候更长时间(半天到一天)。如果复制更改之前,就尝试在结构主机上执行域准备,您会收到错误信息,指出需要更多时间。
11.    在结构主机上,将 Windows Server 2003 Enterprise Edition 安装光盘插入 CD-ROM 驱动器。
12.    在结构主机上打开命令提示符,然后键入以下命令行,键入每一行后按 Enter。
cd-rom:
cd i386
adprep /domainprep
其中 cd-rom 是 CD-ROM 驱动器的驱动器号。
13.    在结构主机上完成该命令后,请使用以下方法验证目录林的准备是否成功。     •    确认没有出现任何错误信息。
•    运行任何可用的域控制器诊断工具。
•    使用“事件查看器”查看系统日志中是否有错误或意外事件。

14.    评估在第 13 步中搜集的信息:如果运行 adprep /domainprep 时没有出现错误,请继续执行此过程的下一步。     •    如果运行 adprep /domainprep 命令时,没有收到错误信息,请重新将架构主机域控制器连接到网络,然后继续执行第 15 步。
•    如果运行 adprep /domainprep 命令时,收到一个或多个错误信息,并提供了其他步骤说明,请按错误信息的说明操作,然后重新执行第 13 步。

15.    等候 adprep /domainprep 命令将所做的更改从结构主机复制到其他域控制器。等候至少 15 分钟,但如果网络中包含位于远程站点的域控制器,要允许等候更长时间(半天到一天)。如果您尝试在更改被复制之前升级某个其他域控制器,就会出现错误信息,指出需要更多时间。

回到顶端
更多信息
注意:如果您正在运行 Exchange 2000,在执行本文列出的步骤之前,请查看下面的文章以获得进一步信息:
314649 Windows Server 2003 adprep /forestprep 命令导致包含 Exchange 2000 服务器的 Windows 2000 林中的属性被破坏

有关如何将 Windows 2000 域升级到 Windows Server 2003 的详细信息,请访问下面的 Microsoft Web 站点:http://www.microsoft.com/china/windowsserver2003/evaluation/whyupgrade/win2k/w2ktows03-2.mspx

成功获取FSMO角色中的架构主机(schema master)角色

由于DC发生灾难性故障,主域崩溃,只有将FSMO角色全部获取方能使域正常工作及管理。经过一番努力,已成功获取结构主机(infrastructure master)、RID主机(RID master)、PDC模拟器(PDC)、域命名主机(domain naming master)的角色,唯有架构主机(schema master)角色难于获取。

1、 GUI介面:
GUI介面下不能一次性获得五种角色的分布,
⑴、Schema Maste
点击“开始-运行”,输入:“regsvr32 schmmgmt”,回车:

然后点击“确定”。
再点击“开始-运行”,输入:“MMC”,回车,进入控制台,.

点击“文件-添加删除管理单元”

出来下面的介面:

再点击“添加”:

选中上图所示中有“Active Directory架构”,点击“添加”,然后点“关闭”:

然后点击“确定”,在控制台上选中“Active Directory架构”击“右键”,选择“操作主机”

出现下图:

就可以看到当前的架构主控了。
⑵、RID Master、Infrastructure Master、PDC Emulator
点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”

在域名上单击右键:

在出来的菜单中选择“操作主机”:

在出来的画面中可以看到RID Master、PDC Emulator、Infrastructure Master的分布情况。

⑶、Domain Naming Master
点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

在“Active Directory域和信任关系”上击右键:

选择“操作主机”:

这就是“Domain Naming Master”所在的域控制器。

以上就是用GUI来查看FSMO五种角色的分布情况,用GUI介面不但可以查看,还可以随意的改变这五种角色的分布情况,但缺点是比较麻烦,需要较多的操作项目,如果仅仅是查看就比较的浪费时间。

2、 命令行工具:
首先你要安装Support Tools,在安装光盘中的Support文件夹下的Tools子文件下。默认安装在系统盘的Program Files文件下。安装成功后,点击“开始-程序-Windows Support Tools-Command Prompt”:

然后运行“netdom”命令,在这里,运行的是:“netdom query fsmo”:

看到了吧,马上把当前域里的FSMO五种角色所在的域控制器罗列了出来。