Прехвърляне / заснемане на роли FSMO в друг контролер на домейни на Active Directory

В тази статия ще разгледаме как да дефинираме контролери на домейни с FSMO роли в Active Directory, как да прехвърлим една или повече роли FSMO към друг контролер на домейн (незадължително) и как насила да улавяме FSMO роли в случай на отказ на контролера на домейна, който притежава ролята.

Съдържание:

• За какво представляват ролите на FSMO в домейна на Active Directory??
• Преглед на собствениците на роли на FSMO в домейн
• Прехвърляне на FSMO роли с помощта на PowerShell
• Прехвърляне на роли FSMO от графични модули Active Directory Graphics
• Прехвърляне на FSMO роли от командния ред с помощта на ntdsutil Utility
• Принудително заснемане на ролята на FSMO Active Directory

За какво представляват ролите на FSMO в домейна на Active Directory??

Накратко се опитайте да си припомните защо желаната роля FSMO (Гъвкава единична главна работа, операции с един агент) в домейн на Active Directory.

Не е тайна, че в Active Directory повечето стандартни операции (като създаване на нови потребителски акаунти, групи за сигурност, добавяне на компютър към домейн) могат да се извършват на всеки контролер на домейн. Службата за репликация на AD е отговорна за разпространението на тези промени в AD директорията. Различни конфликти (например едновременното преименуване на потребител на няколко контролери на домейни) се решават по прост принцип - кой е последният е прав. Съществуват обаче редица операции, по време на които конфликтът е неприемлив (например при създаване на нов детски домейн / гора, промяна на схемата на AD и т.н.). За извършване на операции, които изискват задължителна уникалност, са нужни контролери на домейни с FSMO роли. Основната цел на ролите на FSMO е да предотвратят този вид конфликти.

Общият домейн на Active Directory може да бъде пет роли FSMO.

две уникални роли за гората АД:

1. Майстор на схемата - отговорен за извършването на промени в схемата на Active Directory, например, при разширяване с помощта на командата adprep / forestprep (за управление на ролята са необходими права на „Администратори на схемата“);
2. Магистър за именуване на домейни - осигурява уникалност на имената за всички създадени домейни и раздели за приложения в AD гората (за управление се нуждаете от правата „Enterprise администратори“);

и три роли за всички домейн (за да управлявате тези роли, акаунтът ви трябва да е в групата „Администриране на домейни“):

1. PDC емулатор - Това е основният браузър в мрежата на Windows (домейн главен браузър - необходим за нормалното показване на компютрите в мрежова среда); следи заключването на потребители с неправилна парола, е основният NTP сървър в домейна, използва се за съвместимост с Windows 2000 / NT клиенти и се използва от коренни сървъри DFS за актуализиране на информация за пространството на имената;
2. Капитан на инфраструктурата - отговаря за актуализирането на препратки към кръстосани домейни; командата се изпълнява и върху него adprep / domainprep.
3. RID магистър (RID магистър) -сървърът разпространява RID на други контролери на домейни (на партиди от 500 броя), за да създаде уникални идентификатори на обекти - SID.

Преглед на собствениците на роли на FSMO в домейн

Как да определите кой контролер на домейн е собственик / собственик на определена роля на FSMO?

За да намерите всички собственици на FSMO роли в AD домейна, изпълнете командата:

netdom заявка fsmo

Схемата master dc01.domain.loc Мастер на именуване на домейни dc01.domain.loc PDC dc01.domain.loc Мениджър на RID пулове dc01.domain.loc Магистър на инфраструктурата dc01.domain.loc

Можете да видите ролите на FSMO за друг домейн:

заявка за netdom fsmo /domain:contoso.com

Този пример показва, че всички FSMO роли са разположени на контролера на домейн DC01. Когато разполагате с нова AD гора (домейн), всички роли на FSMO се поставят на първия DC. Всеки контролер на домейни с изключение на RODC може да бъде господар на всяка роля на FSMO. Съответно администраторът на домейн може да прехвърли всяка FSMO роля на всеки друг контролер на домейн.

Можете да получите информация за ролите на FSMO в домейн чрез PowerShell, използвайки Get-ADDomainController (модулът Active Directory за PowerShell от RSAT трябва да бъде инсталиран):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object $ _. OperationMasterRoles

Или можете да получите FSMO на ролевите нива и роли на ниво домейн като този:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Общи препоръки на Microsoft за поставяне на FSMO роли на контролери на домейни:

1. Ролевите нива на горите (главен схеми и магистър на именуване на домейни) трябва да бъдат разположени на главния контролер на домейн, който е и сървърът на глобалния каталог;
2. Всички 3 роли FSMO на домейна трябва да бъдат поставени на един DC с достатъчна производителност;
3. Всички DC в гората трябва да бъдат глобални сървъри на каталога, както това подобрява надеждността и ефективността на AD, докато ролята на Infrastructure Master е почти ненужна. Ако имате DC във вашия домейн без ролята на Global Catalogue, трябва да поставите ролята на FSMO Infrastructure Master на него;
4. Не бъркайте други задачи на DC, собственици на роли на FSMO.

В Active Directory можете да прехвърляте роли на FSMO по няколко начина: с помощта на графични ADC модули mmc, с помощта на помощната програма ntdsutil.exe или чрез PowerShell. Прехвърлянето на ролите на FSMO обикновено се мисли при оптимизиране на AD инфраструктурата, при извеждане от експлоатация или разрушаване на домейн контролер с ролята на FSMO. Има два начина за прехвърляне на FSMO роли: доброволен (когато са налични и двата DC) или задължителен (когато DC с ролята на FSMO не е на разположение / не е в ред)

Прехвърляне на FSMO роли с помощта на PowerShell

Най-лесният и бърз начин за прехвърляне на FSMO роли в даден домейн е командлетът PowerShell Move-ADDirectoryServerOperationMasterRole.

Можете да прехвърляте една или повече FSMO роли в посочения DC едновременно. Следващата команда ще прехвърли двете роли в DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEмулатор, RIDMaster

В спора OperationMasterRole Можете да посочите както името на ролята на FSMO, така и неговия индекс в съответствие с таблицата:

Предишната команда в по-кратка форма изглежда така:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0.1

И за да прехвърлите всички роли на FSMO към допълнителен контролер на домейн наведнъж, направете:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Прехвърляне на роли FSMO от графични модули Active Directory Graphics

Можете да използвате стандартни графични приставки за Active Directory, за да мигрирате FSMO роли. За предпочитане операцията по прехвърляне се извършва на DC с ролята на FSMO. Ако конзолата на сървъра не е налична, трябва да стартирате командата Промяна на контролера на домейна и изберете контролер на домейн в mmc-snap.

Прехвърляне на RID Master, PDC емулатор и главни роли на инфраструктурата

За прехвърляне на роли на ниво домейн (RID, PDC, магистър на инфраструктурата) се използва стандартната конзола за потребители и компютри на Active Directory (DSA.msc)

1. Отворете конзолата за потребители и компютри на Active Directory;
2. Щракнете с десния бутон върху името на вашия домейн и изберете Оператор майстор;
3. Ще видите прозорец с три раздела (RID, PDC, инфраструктура), на всеки от които можете да прехвърлите съответната роля, като посочите новия собственик на FSMO ролята и щракнете върху бутона промяна.

Схема на трансфер на главни роли

Използвайте приставката на схемата на Active Directory, за да прехвърлите нивото на FSMO на гората на схемата.

1. Преди да стартирате модула, трябва да регистрирате библиотеката schmmgmt.dll, като изпълните командата в командния ред: regsvr32 schmmgmt.dll 2. Отворете MMC, като напишете MMC в командния ред;
   3. В менюто изберете досие -> Добавяне / премахване на щракване и добавете конзолата Схема за активна директория;
   4. Щракнете с десния бутон върху корена на конзолата (схема на Active Directory) и изберете Оператор майстор;
   5. Въведете името на контролера, на който се прехвърля ролята на капитана на схемата, щракнете промяна и ОК. Ако бутонът не е налице, проверете дали акаунтът ви е член на групата администратори на схемата.

FSMO прехвърляне на главната роля за именуване на домейна

1. За да прехвърлите главната роля за именуване на домейна FSMO, отворете конзолата за управление на домейна и доверието Домейни и тръстове на Active Directory;
2. Щракнете с десния бутон върху името на вашия домейн и изберете опция Оператор майстор;
3. Натиснете бутона промяна, посочете името на контролера на домейна и щракнете върху OK.

Прехвърляне на FSMO роли от командния ред с помощта на ntdsutil Utility

Предупреждение: Необходимо е да използвате полезната програма ntdsutil с повишено внимание, ясно разбирайки какво правите, в противен случай можете просто да разбиете вашия домейн Active Directory!

1. В контролера на домейн отворете командния ред и въведете командата: Ntdsutil
2. Въведете командата: роли
3. след това: връзки
4. След това трябва да се свържете с DC, към който искате да прехвърлите ролята. За да направите това, напишете: свържете се със сървъра
5. въведете р и натиснете Enter.
6. За да прехвърлите ролята на FSMO, използвайте командата: трансферна роля , къде е ролята, която искате да прехвърлите. Например: магистър схема на трансфер, прехвърляне на RID и т.н..
7. Потвърдете прехвърлянето на ролята на FSMO;
8. След прехвърляне на роли щракнете р и Enter, за да излезете от ntdsutil.exe;
9. Рестартирайте контролера на домейна.

Принудително заснемане на ролята на FSMO Active Directory

Ако DC с една от ролите на FSMO не успее (и не е възможно да го възстановите) или не е наличен за дълго време, можете насилствено да прихванете някоя от ролите на FSMO от него. Но в същото време е изключително важно да се уверите, че сървърът, от който е поета ролята на FSMO никога не трябва да се показва в мрежата, ако не искате нови проблеми с AD (дори ако по-късно възстановите DC от архивиране). Ако искате да върнете изгубения сървър в домейна, единственият правилен начин е да го премахнете от AD, да почистите преинсталирането на Windows под ново име, да инсталирате ролята на ADDS и да надстроите сървъра до контролер на домейн

Можете да принудите да улавяте FSMO роли с помощта на PowerShell или NTDSUtil.

Най-лесният начин за улавяне на ролята на FSMO е чрез PowerShell. За това се използва същият командлет Move-ADDirectoryServerOperationMasterRole като за прехвърляне на ролята, но параметърът е добавен -сила.

Например, за да вземете ролята на PDCEmulator и да го принудите да бъде прехвърлен в DC02, направете:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Можете също да прехвърлите ролите FSMO на сървъра DC02 с помощта на полезността ntdsutil. Процесът на заснемане на роля чрез ntdsutil е подобен на редовен трансфер. Използвайте следните команди:

Ntdsutil
роли
връзки
свържете се със сървъра DC02 (ще прехвърлите ролята на този сървър)
напускам

За да заснемете различни FSMO роли, използвайте командите:
изземете майстора на схемата
изземете майстор на именуване
изземете отървете се майстор
изземете pdc
изземете капитана на инфраструктурата
напускам