Перенос/Захват ролей FSMO в домене Active Directory

В некоторых ситуациях необходимо передать роли FSMO от одного контроллера домена к другому. Крайне желательно выполнять именно передачу роли, но для этого контроллер-хозяин должен быть жив. Если же хозяин мертв, то выполняем захват. Расскажу об этом далее…

Добровольная передача ролей fsmo при помощи Ntdsutil

ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active Directory. Она представляет из себя мощный инструмент управления. В число ее возможностей входит передача и захват ролей FSMO.

Для передачи ролей заходим на любой контролер домена, расположенный в том лесу, в котором следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Запускаем командную строку и вводим команды в такой последовательности:

  • ntdsutil
  • roles
  • connections
  • connect to server <имя целевого сервера>
  • q

После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance). Далее можем начать передавать роли :

  • transfer naming master — передача роли хозяина доменных имен.
  • transfer infrastructure master — передача роли хозяина инфраструктуры;
  • transfer rid master — передача роли хозяина RID;
  • transfer schema master — передача роли хозяина схемы;
  • transfer pdc — передача роли эмулятора PDC.

Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.

Примечание. До Windows Server 2008 включительно, команда для передачи роли хозяина доменных имен transfer domain naming master.

передача роли FSMO с помощью ntdsutil.exe

Принудительное назначение ролей fsmo при помощи Ntdsutil

Принудительное назначение, или захват ролей производятся только в случае полного выхода из строя сервера и невозможностью его восстановления. Если возможно, лучше восстановить работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO. Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена, которому хотим передать роли и последовательно вводим в командной строке:

  • ntdsutil
  • roles
  • connections
  • connect to server <имя сервера>
  • q

Для захвата ролей FSMO используется команда seize

  • seize naming master — захват роли хозяина доменных имен;
  • seize infrastructure master — захват роли хозяина инфраструктуры;
  • seize rid master — захват роли хозяина RID;
  • seize schema master — захват роли хозяина схемы;
  • seize pdc — захват роли эмулятора PDC.

Примечание. До Windows Server 2008 включительно, команда для захвата роли хозяина доменных имен seize domain naming master.

В качестве примера отберем у сервера SRV2 переданную ему роль Infrastructure Master и передадим ее серверу DC1. Как видно из примера, сначала предпринимается попытка передачи роли, и только в случае невозможности этого действия осуществляется захват.

захват роли FSMO с помощью ntdsutil.exe

Примечания

И еще несколько важных моментов, которые нужно учесть при передаче\захвате ролей FSMO:

  • Для передачи ролей уровня домена (RID MasterPDC Emulator и Infrastructure Master) ваша учетная запись должна быть членом группы Администраторы домена (Domain admins), а для передачи ролей уровня леса (Domain Naming Master и Schema Master) — Администраторы предприятия (Enterprise Admins).
  • По возможности, не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
  • В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем случае нельзя возвращать обратно, т.к.  при его появлении в сети возникнет конфликт, что может вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active Directory. В Windows Server 2008 и 2008 R2 это можно сделать, просто удалив объект сервера в оснастке  Active Directory Пользователи и компьютеры, а в Windows Server 2003 с помощью программы Ntdsutil , используя команду ntdsutil — metadata cleanup. Подробнее об этом можно почитать в техподдержке Microsoft http://support.microsoft.com/kb/216498.

Источник: https://windowsnotes.ru/activedirectory/peredacha-i-zaxvat-rolej-fsmo/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.