«

Перенос FSMO в AD.

Перенос ролей FSMO на другой сервер Active Directory.
1. Перенос ролей FSMO на сервере AD стандартным способом (под учёткой админа групп «Администраторы домена», «Администраторы схемы» и «Администраторы предприятия»).
1) на новом сервере вводим команду mmc и добавляем оснастку в корень консоли:
«Active Directory Домены и Доверие», «Пользователи и компьютеры Active Directory», «Active Directory сайты и службы».
2) на заголовке «Active Directory Домены и Доверие» щёлкаем правой кнопкой мыши по «Сменить контроллер домена Active Directory» и указываем старый сервер, с которого будем убирать роль. Потом опять правой кнопкой выбираем «хозяин операций» и убеждаемся, что будет происходить перенос со старого на новый сервер (просто проверяем имена).
3) то же самое делаем на «Пользователи и компьютеры Active Directory», но хозяина меняем не в заголовке ветки, а для каждой ветки доменов которые там видим. Здесь меняем сразу три роли FSMO на вкладках «RID», «PDC» и «Инфраструктура».
4) теперь пятая роль. вводим в командной строке
regsvr32 schmmgmt.dll
и добавляем в оснастку Консоли «Схема Active Directory».
Меняем хозяина точно также, как и в первом пункте.

По ходу изменений хозяина, в заголовках соответствующих веток в консоли меняются названия контроллера — там должно остаться только имя нового сервера-хозяина ролей (если он один). Можно дополнительно убедиться кто теперь хозяин каждой роли:

netdom query fsmo

Проверяем что вообще творится командами:
dcdiag
net share
repadmin /showrepl

Смотрим вывод на предмет ошибок и соответствий и соображаем.
Должно быть всё чисто, но у меня в этих диагностиках вылезла ругань на давно отключённый резервный контроллер домена (2003-й морально устарел).
Попробовал включить его обратно и отобрать у него роли через графический интерфейс (можно просто вызвать это командой DCPROMO). Но, 2003-й сервер не смог договориться с более новым 2012 R2, сказав что не может ему что-то передать — он просто хотел остаться в строю…
Тогда я удалил его учётку в 2012-ом через «Пользователи и компьютеры Active Directory» -> «Domain Controllers». После этого старый сервер исчез из AD, осталось подчистить DNS от записей о нём.
А вот при старом 2003-ем домене такой номер скорее всего не прошёл бы — пришлось бы руками удалять контроллер в командной строке…

2. Если передача стандартным способом сбоит, то роли FSMO можно передать вручную:
ntdsutil.exe
roles
connections
connect to server имя_нового_сервера (кому хотим передать роль)
q
Ошибок быть не должно.
Если да, то далее передаём роли командами именно в таком порядке:
— transfer domain naming master
— transfer infrastructure master
— transfer rid master
— transfer schema master
— transfer pdc master

3. В случае поломки старого хозяина FSMO, возможен захват ролей из командной строки командой ntdsutil.exe. Как это делается писать лень — проще посмотреть в ютубе, мужик очень хорошо расписал: здесь
Но, если после этого шаманства, старый сервак очнётся и заработает по-неосторожности, то глюки в сети гарантированны. Так что, отключаем сбойный сервер от сети сразу.