Prijenos / hvatanje FSMO uloga u drugi kontroler domena Active Directory

U ovom ćemo članku pogledati kako definirati kontrolere domena s FSMO ulogama u Active Directoryu, kako prenijeti jednu ili više uloga FSMO na drugi kontroler domene (izborno) i kako prisilno uhvatiti FSMO uloge u slučaju neuspjeha kontrolera domene koji posjeduje ulogu.

sadržaj:

  • Koje su uloge FSMO-a u domeni Active Directory??
  • Pogledajte vlasnike uloga FSMO-a u domeni
  • Prijenos FSMO uloga pomoću PowerShell-a
  • Prijenos FSMO uloga s aktivnih dodataka Graphics Active Directory Graphics
  • Prijenos FSMO uloga iz naredbenog retka pomoću ntdsutil Utility
  • Prisilite hvatanje uloge aktivnog direktorija FSMO

Koje su uloge FSMO-a u domeni Active Directory??

Ukratko se pokušajte prisjetiti zašto je željena uloga FSMO (Fleksibilan pojedinačni rad, operacije s jednim agentom) u domeni Active Directory.

Nije tajna da se u Active Directoryu većinu standardnih operacija (poput stvaranja novih korisničkih računa, sigurnosnih grupa, dodavanja računala u domenu) može izvoditi na bilo kojem regulatoru domene. Služba za replikaciju AD odgovorna je za širenje tih promjena u AD katalogu. Različiti sukobi (na primjer, istovremeno preimenovanje korisnika na nekoliko kontrolera domena) rješavaju se jednostavnim principom - tko je zadnji u pravu. Međutim, postoji niz operacija tijekom kojih je sukob neprihvatljiv (na primjer, kod stvaranja nove podređene domene / šume, promjene AD sheme itd.). Za obavljanje operacija koje zahtijevaju obveznu jedinstvenost potrebni su kontroleri domena s FSMO ulogama. Primarni je cilj uloga FSMO-a spriječiti ovakav sukob.

Ukupna domena aktivnog imenika može biti pet uloge FSMO.

dva jedinstvene uloge za šumu AD:

  1. Master sheme - odgovoran je za promjene u shemi Active Directory, na primjer, kada se proširuje pomoću naredbe adprep / forestprep (za upravljanje ulogom potrebna su prava „Administratori šeme“);
  2. Master imenovanja domena - pruža jedinstvenost imena za sve stvorene domene i odjeljke aplikacija u AD šumi (za upravljanje su vam potrebna prava „Enterprise admins“);

i tri uloge za sve domena (za upravljanje ovim ulogama vaš račun mora biti u grupi "Administratori domene"):

  1. PDC emulator - Glavni je preglednik u Windows mreži (Domain Master Browser - potreban za normalan prikaz računala u mrežnom okruženju); nadgleda zaključavanje korisnika s netočnom lozinkom, glavni je NTP poslužitelj u domeni, koristi se za kompatibilnost s Windows 2000 / NT klijentima, a poslužitelji korporacije DFS koriste se za ažuriranje podataka o prostoru imena;
  2. Majstor infrastrukture - odgovoran je za ažuriranje referenci za više domene; naredba se također izvršava na njemu adprep / domainprep.
  3. Glavni RID (glavni RID) -poslužitelj distribuira RID-ove ostalim kontrolerima domena (u serijama od 500 komada) radi stvaranja jedinstvenih identifikatora objekta - SID.

Pogledajte vlasnike uloga FSMO-a u domeni

Kako odrediti koji je kontroler domene vlasnik / vlasnik određene FSMO uloge?

Da biste pronašli sve vlasnike FSMO uloga u AD domeni, pokrenite naredbu:

netdom upit fsmo

Glavni plan sheme dc01.domain.loc Nadimak domena dc01.domain.loc PDC dc01.domain.loc Upravitelj RID bazena dc01.domain.loc Voditelj infrastrukture dc01.domain.loc

Možete vidjeti FSMO uloge za drugu domenu:

upit za netdom fsmo /domain:contoso.com

Ovaj primjer pokazuje da su sve uloge FSMO smještene na kontroler domene DC01. Kada implementirate novu AD šumu (domenu), sve FSMO uloge se postavljaju na prvi DC. Bilo koji kontroler domene osim RODC može biti gospodar bilo koje FSMO uloge. Prema tome, administrator domene može prenijeti bilo koju ulogu FSMO na bilo koji drugi kontroler domene.

Informacije o FSMO ulogama u domeni možete dobiti putem PowerShell-a pomoću Get-ADDomainController (modul Active Directory za PowerShell iz RSAT-a mora biti instaliran):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object $ _. OperationMasterRoles

Ili možete dobiti FSMO na razini šuma i razine domene kao što je ovaj:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Opće Microsoftove preporuke za postavljanje FSMO uloga na kontrolere domena:

  1. Uloge na razini šume (master sheme i master imenovanja domena) moraju se nalaziti na korijenskom regulatoru domene, koji je ujedno i globalni poslužitelj kataloga;
  2. Sve 3 domene FSMO uloge moraju biti postavljene na jedan DC s dovoljnim performansama;
  3. Svi DC-ovi u šumi moraju biti globalni poslužitelji kataloga, kao ovo poboljšava pouzdanost i performanse AD-a, dok je uloga upravitelja infrastrukture praktički nepotrebna. Ako imate DC u svojoj domeni bez uloge Globalnog kataloga, na to morate staviti glavnu ulogu FSMO Infrastructure Master;
  4. Ne miješajte druge zadatke na DC-u, vlasnicima FSMO uloga.

U Active Directoryu možete prenijeti FSMO uloge na nekoliko načina: upotrebom mmc grafičkih AD dodataka, pomoću uslužnog programa ntdsutil.exe ili PowerShell. Prijenos uloga FSMO obično se razmišlja pri optimizaciji AD infrastrukture, prilikom razgradnje ili rušenja kontrolera domene s FSMO ulogom. Postoje dva načina za prijenos FSMO uloga: dobrovoljan (kada su oba DC-a dostupna) ili obavezan (kada DC s ulogom FSMO nije dostupan / nestaje)

Prijenos FSMO uloga pomoću PowerShell-a

Najlakši i najbrži način prijenosa FSMO uloga u domeni je PowerShell cmdlet Premjestiti-ADDirectoryServerOperationMasterRole.

Možete prenijeti jednu ili više FSMO uloga na navedeni DC istodobno. Sljedeća naredba prenijet će dvije uloge u DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

U argumentu OperationMasterRole Možete odrediti i ime uloge FSMO-a i njegov indeks u skladu s tablicom:

PDCEmulator0
RIDMaster1
InfrastructureMaster2
SchemaMaster3
DomainNamingMaster4

Prethodna naredba u kraćem obliku izgleda ovako:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0.1

A za prijenos svih FSMO uloga na dodatni kontroler domene odjednom:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Prijenos FSMO uloga s aktivnih dodataka Graphics Active Directory Graphics

Za migriranje FSMO uloga možete koristiti standardne grafičke dodatke Active Directory. Operacija prijenosa se ponajprije izvodi na istosmjerniku s ulogom FSMO. Ako konzola poslužitelja nije dostupna, morate pokrenuti naredbu Promijenite regulator domene i odaberite kontroler domene u mmc-snap.

Transfer RID Master, PDC emulator i glavna uloga infrastrukture

Za prijenos uloga na razini domene (RID, PDC, Master infrastrukture) koristi se standardna konzola za korisnike i računala Active Directory (DSA.msc).

  1. Otvorite konzole za korisnike i računala Active Directory;
  2. Desnom tipkom miša kliknite vaše ime domene i odaberite Voditelj operacija;
  3. Vidjet ćete prozor s tri kartice (RID, PDC, infrastruktura), na svaku od njih možete prenijeti odgovarajuću ulogu unošenjem novog vlasnika uloge FSMO i klikom na gumb promjena.

Prijenos glavnog uloga sheme

Upotrijebite snažni dodatak Sheme aktivnog direktorija za prijenos FSMO razine šume Master šeme.

  1. Prije pokretanja snap-a, morate registrirati knjižnicu schmmgmt.dll pokretanjem naredbe u naredbenom retku: regsvr32 schmmgmt.dll 2. Otvorite MMC upisivanjem MMC u naredbenoj liniji;
     3. U izborniku odaberite file -> Dodavanje / uklanjanje dodatka i dodajte konzolu Shema aktivnog imenika;
    4. Desnom tipkom miša kliknite korijen konzole (shema aktivnog imenika) i odaberite Voditelj operacija;
    5. Unesite ime regulatora na koji je prenesena uloga glavnog kruga i kliknite promjena i OK. Ako gumb nije dostupan, provjerite je li vaš račun član administratorske grupe programa Schema.

FSMO prijenos glavnog uloga imenovanja domene

  1. Za prijenos glavnog uloga za imenovanje FSMO domene otvorite konzolu za upravljanje domenom i povjerenjem Domene i povjerenja aktivnog imenika;
  2. Desnim klikom na naziv vaše domene odaberite opciju Voditelj operacija;
  3. Pritisnite gumb promjena, odredite ime kontrolera domene i kliknite U redu.

Prijenos FSMO uloga iz naredbenog retka pomoću ntdsutil Utility

Upozorenje: Treba koristiti opremu ntdsutil s oprezom, jasno shvaćajući što radite, jer u suprotnom možete jednostavno slomiti domenu Active Directory!

  1. Na kontroleru domene otvorite naredbeni redak i unesite naredbu: ntdsutil
  2. Upišite naredbu: uloge
  3. tada je: veze
  4. Zatim se trebate spojiti na DC na koji želite prenijeti ulogu. Da biste to učinili, upišite: spojite se na poslužitelj
  5. ući q i pritisnite Enter.
  6. Za prijenos uloge FSMO koristite naredbu: uloga prijenosa , gdje je uloga koju želite prenijeti. Na primjer: master sheme prijenosa, prijenos RID itd.
  7. Potvrdite prijenos FSMO uloge;
  8. Nakon prijenosa uloga kliknite q i Enter za izlaz ntdsutil.exe;
  9. Ponovno pokrenite regulator domene.

Prisilite hvatanje uloge aktivnog direktorija FSMO

Ako DC s jednom od FSMO uloga ne uspije (i nije je moguće vratiti) ili je nedostupan duže vrijeme, možete prisilno presresti bilo koju od FSMO uloga iz nje. Ali istodobno je izuzetno važno osigurati da je poslužitelj s kojeg je preuzeta uloga FSMO-a nikada ne bi se trebali pojavljivati ​​na mreži ako ne želite nove probleme s AD-om (čak i ako kasnije obnovite DC iz sigurnosne kopije). Ako želite vratiti izgubljeni poslužitelj na domenu, jedini pravi način je uklanjanje iz AD-a, čišćenje ponovne instalacije Windowsa pod novim imenom, instaliranje ADDS uloge i nadograditi poslužitelj na kontroler domene

Možete prisiliti uhvatiti FSMO uloge pomoću PowerShell-a ili NTDSUtil.

Najlakši način za snimanje uloge FSMO-a je putem PowerShell-a. Za to se koristi isti cmdlet Move-ADDirectoryServerOperationMasterRole kao za prijenos uloga, ali parametar je dodan -sila.

Na primjer, da biste uhvatili ulogu PDCE-a i prisilili ga da se prenese na DC02, učinite:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Možete prenijeti i FSMO uloge na poslužitelj DC02 pomoću uslužnog programa ntdsutil. Postupak hvatanja uloge putem ntdsutil sličan je redovnom prijenosu. Upotrijebite sljedeće naredbe:

ntdsutil
uloge
veze
povežite se s serverom DC02 (ulogu ćete prenijeti na ovaj poslužitelj)
prestati

Za snimanje različitih FSMO uloga koristite naredbe:
zaplijeni majstor sheme
oduzeti ime nadimac
oduzeti se gospodara
zaplijeni pdc
zaplijeni majstora infrastrukture
prestati

Kategorija