域控ntdsutil修改架构、域命名、PDC、RID、结构主机

#笔记记录#

FSMO盒修改

1、提示访问特权不够，不能执行该操作，0x2098

        清除缓存账号密码并修改新架构管理员账号密码即可。

背景：更替架构主机、域命名主机

C:\Windows\system32>ntdsutil
ntdsutil: roles
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: transfer schema master
没有连接到一台服务器 - 使用 "Connections"
fsmo maintenance: connections cnbjhqnewdc01.xxxx.com
分析输入时出现错误 - 无效语法。
fsmo maintenance: connections cnbjhqnewdc01
分析输入时出现错误 - 无效语法。
fsmo maintenance: connections
server connections: connect to server cnbjhqnewdc01
绑定到 cnbjhqnewdc01 ...
用本登录的用户的凭证连接 cnbjhqnewdc01。
server connections: quit
fsmo maintenance: transfer schema master
ldap_modify_sW 错误 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00002098: SecErr: DSID-03152D73, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x2098(访问特权不够，不能执行该操作。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
服务器 "cnbjhqnewdc01" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=CNBJHQDC01,
命名主机 - CN=NTDS Settings,CN=CNBJHQNEWDC01,
PDC - CN=NTDS Settings,CN=CNBJHQNEWDC01,
RID - CN=NTDS Settings,CN=CNBJHQNEWDC01,
结构 - CN=NTDS Settings,CN=CNBJHQNEWDC01,
fsmo maintenance: quit
ntdsutil: ??                             - 显示这个帮助信息Activate Instance %s          - 设置“NTDS”或特定的 AD LDS 实例作为活动实例。Authoritative restore         - 授权还原 DIT 数据库Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户更改为用户名为 %s1，密码为 %s2。使用“NULL”表示空密码，* 表示从控制台输入密码。Configurable Settings         - 管理可配置的设置DS Behavior                   - 查看和修改 AD DS/LDS 行为Files                         - 管理 AD DS/LDS 数据库文件Group Membership Evaluation   - 评估给定用户或组的令牌中的 SID。Help                          - 显示这个帮助信息IFM                           - IFM 媒体创建LDAP policies                 - 管理 LDAP 协议策略LDAP Port %d                  - 为 AD LDS 实例配置 LDAP 端口。List Instances                - 列出该计算机上安装的所有 AD LDS 实例。Local Roles                   - 本地 RODC 角色管理Metadata cleanup              - 清理不使用的服务器的对象Partition management          - 管理目录分区Popups off                    - 禁用弹出Popups on                     - 启用弹出Quit                          - 退出实用工具Roles                         - 管理 NTDS 角色所有者令牌Security account management   - 管理安全帐户数据库 - 复制SID 清理Semantic database analysis    - 语法检查器Set DSRM Password             - 重置目录服务还原模式Administrator
帐户密码Snapshot                      - 快照管理SSL Port %d                   - 为 AD LDS 实例配置 SSL 端口。ntdsutil: roles
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: connections
用本登录的用户的凭证连接 cnbjhqnewdc01。
server connections: connect to xxx
分析输入时出现错误 - 无效语法。
server connections: connect to cnbjhqnewdc01.xxx.com
分析输入时出现错误 - 无效语法。
server connections: connect to cnbjhqnewdc01
分析输入时出现错误 - 无效语法。
server connections: quit
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: size schema master
分析输入时出现错误 - 无效语法。
fsmo maintenance: seize schema master
在索取之前尝试安全传送 schema FSMO。
ldap_modify_sW 错误 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00002098: SecErr: DSID-03152D73, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x2098(访问特权不够，不能执行该操作。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
schema FSMO 的传送失败，用索取继续 ...
ldap_modify 的 SD 失败，错误为 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00000005: SecErr: DSID-03152E13, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x5(拒绝访问。)
)
fsmo maintenance: quit
ntdsutil: ??                             - 显示这个帮助信息Activate Instance %s          - 设置“NTDS”或特定的 AD LDS 实例作为活动实例。Authoritative restore         - 授权还原 DIT 数据库Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户更改为用户名为 %s1，密码为 %s2。使用“NULL”表示空密码，* 表示从控制台输入密码。Configurable Settings         - 管理可配置的设置DS Behavior                   - 查看和修改 AD DS/LDS 行为Files                         - 管理 AD DS/LDS 数据库文件Group Membership Evaluation   - 评估给定用户或组的令牌中的 SID。Help                          - 显示这个帮助信息IFM                           - IFM 媒体创建LDAP policies                 - 管理 LDAP 协议策略LDAP Port %d                  - 为 AD LDS 实例配置 LDAP 端口。List Instances                - 列出该计算机上安装的所有 AD LDS 实例。Local Roles                   - 本地 RODC 角色管理Metadata cleanup              - 清理不使用的服务器的对象Partition management          - 管理目录分区Popups off                    - 禁用弹出Popups on                     - 启用弹出Quit                          - 退出实用工具Roles                         - 管理 NTDS 角色所有者令牌Security account management   - 管理安全帐户数据库 - 复制SID 清理Semantic database analysis    - 语法检查器Set DSRM Password             - 重置目录服务还原模式Administrator
帐户密码Snapshot                      - 快照管理SSL Port %d                   - 为 AD LDS 实例配置 SSL 端口。ntdsutil: connections
分析输入时出现错误 - 无效语法。
ntdsutil: roles
fsmo maintenance: connections
用本登录的用户的凭证连接 cnbjhqnewdc01。
server connections: ??                             - 显示这个帮助信息Clear creds                   - 清除以前的连接凭据Connect to domain %s          - 连接到 DNS 域名称Connect to server %s          - 连接到服务器、DNS 名称[:端口号]Help                          - 显示这个帮助信息Info                          - 显示连接信息Quit                          - 返回到上一个菜单Set creds %s1 %s2 %s3         - 将连接凭据设置为域 %s1、用户 %s2、密码 %s3。空密码使用"NULL",从控制台输入密码使用 *。server connections: quit
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: seize schema master
在索取之前尝试安全传送 schema FSMO。
ldap_modify_sW 错误 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00002098: SecErr: DSID-03152D73, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x2098(访问特权不够，不能执行该操作。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
schema FSMO 的传送失败，用索取继续 ...
ldap_modify 的 SD 失败，错误为 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00000005: SecErr: DSID-03152E13, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x5(拒绝访问。)
)
fsmo maintenance: quit
ntdsutil: ??                             - 显示这个帮助信息Activate Instance %s          - 设置“NTDS”或特定的 AD LDS 实例作为活动实例。Authoritative restore         - 授权还原 DIT 数据库Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户更改为用户名为 %s1，密码为 %s2。使用“NULL”表示空密码，* 表示从控制台输入密码。Configurable Settings         - 管理可配置的设置DS Behavior                   - 查看和修改 AD DS/LDS 行为Files                         - 管理 AD DS/LDS 数据库文件Group Membership Evaluation   - 评估给定用户或组的令牌中的 SID。Help                          - 显示这个帮助信息IFM                           - IFM 媒体创建LDAP policies                 - 管理 LDAP 协议策略LDAP Port %d                  - 为 AD LDS 实例配置 LDAP 端口。List Instances                - 列出该计算机上安装的所有 AD LDS 实例。Local Roles                   - 本地 RODC 角色管理Metadata cleanup              - 清理不使用的服务器的对象Partition management          - 管理目录分区Popups off                    - 禁用弹出Popups on                     - 启用弹出Quit                          - 退出实用工具Roles                         - 管理 NTDS 角色所有者令牌Security account management   - 管理安全帐户数据库 - 复制SID 清理Semantic database analysis    - 语法检查器Set DSRM Password             - 重置目录服务还原模式Administrator
帐户密码Snapshot                      - 快照管理SSL Port %d                   - 为 AD LDS 实例配置 SSL 端口。ntdsutil: 账户密码
分析输入时出现错误 - 无效语法。
ntdsutil: ldap policies
ldap policy: quit
ntdsutil: ??                             - 显示这个帮助信息Activate Instance %s          - 设置“NTDS”或特定的 AD LDS 实例作为活动实例。Authoritative restore         - 授权还原 DIT 数据库Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户更改为用户名为 %s1，密码为 %s2。使用“NULL”表示空密码，* 表示从控制台输入密码。Configurable Settings         - 管理可配置的设置DS Behavior                   - 查看和修改 AD DS/LDS 行为Files                         - 管理 AD DS/LDS 数据库文件Group Membership Evaluation   - 评估给定用户或组的令牌中的 SID。Help                          - 显示这个帮助信息IFM                           - IFM 媒体创建LDAP policies                 - 管理 LDAP 协议策略LDAP Port %d                  - 为 AD LDS 实例配置 LDAP 端口。List Instances                - 列出该计算机上安装的所有 AD LDS 实例。Local Roles                   - 本地 RODC 角色管理Metadata cleanup              - 清理不使用的服务器的对象Partition management          - 管理目录分区Popups off                    - 禁用弹出Popups on                     - 启用弹出Quit                          - 退出实用工具Roles                         - 管理 NTDS 角色所有者令牌Security account management   - 管理安全帐户数据库 - 复制SID 清理Semantic database analysis    - 语法检查器Set DSRM Password             - 重置目录服务还原模式Administrator
帐户密码Snapshot                      - 快照管理SSL Port %d                   - 为 AD LDS 实例配置 SSL 端口。ntdsutil: configurable settings
configurable setting: ??                             - 显示这个帮助信息Cancel Changes                - 取消进行了但还没有确认的更改Commit Changes                - 确认对服务器的更改Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息List                          - 列出支持的可配置的设置名称Quit                          - 返回到上一个菜单Set %s1 to %s2                - 设置可配置的设置 %s1 为值 %s2Show Values                   - 显示可配置的设置的值configurable setting: quit
ntdsutil: quitC:\Windows\system32>netdo query fsmo
'netdo' 不是内部或外部命令，也不是可运行的程序
或批处理文件。C:\Windows\system32>netdom query fsmo
架构主机               CNBJHQDC01.xxx.com
域命名主机        CNBJHQNEWDC01.xxx.com
PDC                         CNBJHQNEWDC01.xxx.com
RID 池管理器            CNBJHQNEWDC01.xxx.com
结构主机       CNBJHQNEWDC01.xxx.com
命令成功完成。C:\Windows\system32>ntdsutil
ntdsutil: ??                             - 显示这个帮助信息Activate Instance %s          - 设置“NTDS”或特定的 AD LDS 实例作为活动实例。Authoritative restore         - 授权还原 DIT 数据库Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户更改为用户名为 %s1，密码为 %s2。使用“NULL”表示空密码，* 表示从控制台输入密码。Configurable Settings         - 管理可配置的设置DS Behavior                   - 查看和修改 AD DS/LDS 行为Files                         - 管理 AD DS/LDS 数据库文件Group Membership Evaluation   - 评估给定用户或组的令牌中的 SID。Help                          - 显示这个帮助信息IFM                           - IFM 媒体创建LDAP policies                 - 管理 LDAP 协议策略LDAP Port %d                  - 为 AD LDS 实例配置 LDAP 端口。List Instances                - 列出该计算机上安装的所有 AD LDS 实例。Local Roles                   - 本地 RODC 角色管理Metadata cleanup              - 清理不使用的服务器的对象Partition management          - 管理目录分区Popups off                    - 禁用弹出Popups on                     - 启用弹出Quit                          - 退出实用工具Roles                         - 管理 NTDS 角色所有者令牌Security account management   - 管理安全帐户数据库 - 复制SID 清理Semantic database analysis    - 语法检查器Set DSRM Password             - 重置目录服务还原模式Administrator
帐户密码Snapshot                      - 快照管理SSL Port %d                   - 为 AD LDS 实例配置 SSL 端口。ntdsutil: connections
分析输入时出现错误 - 无效语法。
ntdsutil: connections
分析输入时出现错误 - 无效语法。
ntdsutil: connections cnbjhqnewdc01
分析输入时出现错误 - 无效语法。
ntdsutil: server connections
分析输入时出现错误 - 无效语法。
ntdsutil: server connections
分析输入时出现错误 - 无效语法。
ntdsutil: roles
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: seize schema master
没有连接到一台服务器 - 使用 "Connections"
fsmo maintenance: connections cnbjhqnewdc01
分析输入时出现错误 - 无效语法。
fsmo maintenance: connections
server connections: ??                             - 显示这个帮助信息Clear creds                   - 清除以前的连接凭据Connect to domain %s          - 连接到 DNS 域名称Connect to server %s          - 连接到服务器、DNS 名称[:端口号]Help                          - 显示这个帮助信息Info                          - 显示连接信息Quit                          - 返回到上一个菜单Set creds %s1 %s2 %s3         - 将连接凭据设置为域 %s1、用户 %s2、密码 %s3。空密码使用"NULL",从控制台输入密码使用 *。server connections: connect to cnbjhqnewdc01
分析输入时出现错误 - 无效语法。
server connections: connect to cnbjhqnewdc01
分析输入时出现错误 - 无效语法。
server connections: connect to server cnbjhqnewdc01
绑定到 cnbjhqnewdc01 ...
用本登录的用户的凭证连接 cnbjhqnewdc01。
server connections: quit
fsmo maintenance: ？
分析输入时出现错误 - 无效语法。
fsmo maintenance: ？
分析输入时出现错误 - 无效语法。
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: seize schema master
在索取之前尝试安全传送 schema FSMO。
ldap_modify_sW 错误 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00002098: SecErr: DSID-03152D73, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x2098(访问特权不够，不能执行该操作。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
schema FSMO 的传送失败，用索取继续 ...
ldap_modify 的 SD 失败，错误为 0x32(50 (权限不够).
Ldap 扩展的错误消息为 00000005: SecErr: DSID-03152E13, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0返回的 Win32 错误为 0x5(拒绝访问。)
)
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: connections
用本登录的用户的凭证连接 cnbjhqnewdc01。
server connections: ??                             - 显示这个帮助信息Clear creds                   - 清除以前的连接凭据Connect to domain %s          - 连接到 DNS 域名称Connect to server %s          - 连接到服务器、DNS 名称[:端口号]Help                          - 显示这个帮助信息Info                          - 显示连接信息Quit                          - 返回到上一个菜单Set creds %s1 %s2 %s3         - 将连接凭据设置为域 %s1、用户 %s2、密码 %s3。空密码使用"NULL",从控制台输入密码使用 *。server connections: clear creds
server connections: ??                             - 显示这个帮助信息Clear creds                   - 清除以前的连接凭据Connect to domain %s          - 连接到 DNS 域名称Connect to server %s          - 连接到服务器、DNS 名称[:端口号]Help                          - 显示这个帮助信息Info                          - 显示连接信息Quit                          - 返回到上一个菜单Set creds %s1 %s2 %s3         - 将连接凭据设置为域 %s1、用户 %s2、密码 %s3。空密码使用"NULL",从控制台输入密码使用 *。s
server connections: Set creds 域控 账号 密码
server connections: ??                             - 显示这个帮助信息Clear creds                   - 清除以前的连接凭据Connect to domain %s          - 连接到 DNS 域名称Connect to server %s          - 连接到服务器、DNS 名称[:端口号]Help                          - 显示这个帮助信息Info                          - 显示连接信息Quit                          - 返回到上一个菜单Set creds %s1 %s2 %s3         - 将连接凭据设置为域 %s1、用户 %s2、密码 %s3。空密码使用"NULL",从控制台输入密码使用 *。server connections: connect to server cnbjhqnewdc01
正在断开 xxx\xxx，来自 cnbjhqnewdc01...
正在绑定 cnbjhqnewdc01，作为用户 xxx\xxx...
连接到 cnbjhqnewdc01，作为用户 xxx\xxx。
server connections: quit
fsmo maintenance: ??                             - 显示这个帮助信息Connections                   - 连接到一个特定 AD DC/LDS 实例Help                          - 显示这个帮助信息Quit                          - 返回到上一个菜单Seize infrastructure master   - 在已连接的服务器上覆盖结构角色Seize naming master           - 覆盖已连接的服务器上的命名主机角色Seize PDC                     - 在已连接的服务器上覆盖 PDC 角色Seize RID master              - 在已连接的服务器上覆盖 RID 角色Seize schema master           - 在已连接的服务器上覆盖架构角色Select operation target       - 选择的站点，服务器，域，角色和命名上下文Transfer infrastructure master - 将已连接的服务器定为结构主机Transfer naming master        - 使已连接的服务器成为命名主机Transfer PDC                  - 将已连接的服务器定为 PDCTransfer RID master           - 将已连接的服务器定为 RID 主机Transfer schema master        - 将已连接的服务器定为架构主机fsmo maintenance: seize schema master
在索取之前尝试安全传送 schema FSMO。
FSMO 传送成功 - 不需要索取。
服务器 "cnbjhqnewdc01" 知道有关 5 作用
架构 - CN=NTDS Settings,CN=CNBJHQNEWDC01,
命名主机 - CN=NTDS Settings,CN=CNBJHQNEWDC01,
PDC - CN=NTDS Settings,CN=CNBJHQNEWDC01,
RID - CN=NTDS Settings,CN=CNBJHQNEWDC01,
结构 - CN=NTDS Settings,CN=CNBJHQNEWDC01,

GUI界面修改时遇到的问题

默认mmc没有active directory 架构，导致没有办法修改主机

1、管理员执行 regesvr32 schmmgmt.dll 进行注册

2、提示active directory架构管理单元未链接到架构操作主机，您将不能执行任何更改，只能再架构FSMO盒上及逆行架构修改

使用最上面FSMO维护模式进行修改。