域控宕机且原主控永久离线时,须强制抢占FSMO角色并清理元数据:①在备用DC执行ntdsutil依次seize五角色;②metadata cleanup清除原DC残留对象;③验证netdom查询、登录、组策略及DNS SRV记录。
域控宕机后若原主控彻底无法恢复,必须通过强制抢占fsmo角色来快速恢复域服务。这不是常规迁移,而是紧急兜底操作,核心前提是:原持有者已永久离线,绝不可再上线,否则将引发usn回滚、对象重复、组策略失效等严重故障。
确认是否必须抢占而非迁移
抢占只适用于一种情况:原FSMO持有者(如DC01)已断电、崩溃或硬件损毁,且明确不会重新加入域。只要它还有可能重启并联网,就必须走平滑迁移流程——哪怕暂时离线,也要等它恢复后再手动转移角色。强行抢占后原DC再上线,AD数据库会因序列号冲突而拒绝同步,甚至导致整个域功能紊乱。
五步完成FSMO角色抢占
在备用域控(如DC02)上以管理员身份运行命令提示符,按顺序执行:
- 输入 ntdsutil,回车
- 输入 roles,回车
- 输入 connections,回车
- 输入 connect to server DC02(填本机主机名),回车;确认连接成功后输入 quit
- 依次执行以下五条抢占命令,每条执行后按提示输入 Y 确认:
seize schema master
seize domain naming master
seize pdc
seize rid master
seize infrastructure master
抢占后必须清理元数据
角色已切换,但AD中仍残留原宕机DC的注册信息,不清理会导致复制错误、DNS解析异常、甚至新DC无法正常升主。执行元数据清理:
- 再次进入 ntdsutil → metadata cleanup
- 进入 connections,用 connect to domain <域名> 连接当前域
- 用 select operation target 逐步选择站点→域→原宕机DC(如DC01)
- 执行 remove selected server,确认清除其服务器对象、NTDS设置、站点链接等全部痕迹
验证与收尾检查
抢占和清理完成后,立刻验证关键功能是否回归:
- 运行 netdom query fsmo,确认全部五个角色均指向新主控
- 从普通客户端(如Client01)尝试登录域、访问共享、应用组策略
- 检查事件查看器中Directory Service日志,确保无1988、2042、8453等FSMO相关报错
- 确认DNS控制台中 _msdcs 区域下,所有SRV记录(如_ldap._tcp.pdc._msdcs)已更新指向新DC
