Przenoszenie / przechwytywanie ról FSMO na inny kontroler domeny Active Directory

W tym artykule przyjrzymy się, jak zdefiniować kontrolery domeny z rolami FSMO w Active Directory, jak przenieść jedną lub więcej ról FSMO na inny kontroler domeny (opcjonalnie) oraz jak skutecznie przechwytywać role FSMO w przypadku awarii kontrolera domeny, który jest właścicielem roli.

Treść

• Do czego służą role FSMO w domenie Active Directory??
• Zobacz właścicieli ról FSMO w domenie
• Przenoszenie ról FSMO za pomocą PowerShell
• Przenoszenie ról FSMO z przystawek graficznych Active Directory
• Przenoszenie ról FSMO z wiersza poleceń za pomocą narzędzia ntdsutil
• Wymuś przechwytywanie ról w usłudze Active Directory FSMO

Do czego służą role FSMO w domenie Active Directory??

Krótko spróbuj przypomnieć sobie, dlaczego pożądana rola FSMO (Elastyczna obsługa pojedynczego urządzenia nadrzędnego, operacje jednego agenta) w domenie Active Directory.

Nie jest tajemnicą, że w usłudze Active Directory większość standardowych operacji (takich jak tworzenie nowych kont użytkowników, grup zabezpieczeń, dodawanie komputera do domeny) można wykonywać na dowolnym kontrolerze domeny. Usługa replikacji AD jest odpowiedzialna za propagowanie tych zmian w katalogu AD. Różne konflikty (na przykład jednoczesna zmiana nazwy użytkownika na kilku kontrolerach domeny) są rozwiązywane według prostej zasady - kto ostatni ma rację. Istnieje jednak szereg operacji, w których konflikt jest niedopuszczalny (na przykład podczas tworzenia nowej domeny / lasu podrzędnego, zmiany schematu AD itp.). Do wykonywania operacji wymagających obowiązkowej unikalności potrzebne są kontrolery domeny z rolami FSMO. Podstawowym celem ról FSMO jest zapobieganie tego rodzaju konfliktom.

Całkowita domena Active Directory może być pięć role FSMO.

Dwa unikalne role dla lasu AD:

1. Mistrz schematu - odpowiedzialny za wprowadzanie zmian w schemacie usługi Active Directory, na przykład podczas rozwijania za pomocą polecenia adprep / forestprep (do zarządzania rolą wymagane są uprawnienia „administratorów schematu”);
2. Mistrz nazewnictwa domen - zapewnia unikalność nazw dla wszystkich utworzonych domen i sekcji aplikacji w lesie AD (do zarządzania potrzebne są uprawnienia „Administratorzy przedsiębiorstwa”);

I… trzy role dla wszystkich domena (aby zarządzać tymi rolami, twoje konto musi należeć do grupy „Administratorzy domeny”):

1. Emulator PDC - Jest to główna przeglądarka w sieci Windows (Domain Master Browser - potrzebna do normalnego wyświetlania komputerów w środowisku sieciowym); monitoruje blokady użytkownika za pomocą niepoprawnego hasła, jest głównym serwerem NTP w domenie, służy do kompatybilności z klientami Windows 2000 / NT, jest używany przez serwery główne DFS do aktualizacji informacji o przestrzeni nazw;
2. Mistrz infrastruktury - odpowiada za aktualizację odwołań do obiektów między domenami; na nim również wykonuje się polecenie adprep / domainprep.
3. RID Master (RID Master) -serwer dystrybuuje identyfikatory RID do innych kontrolerów domeny (w partiach po 500 sztuk), aby tworzyć unikalne identyfikatory obiektów - SID.

Zobacz właścicieli ról FSMO w domenie

Jak ustalić, który kontroler domeny jest właścicielem / właścicielem określonej roli FSMO?

Aby znaleźć wszystkich właścicieli ról FSMO w domenie AD, uruchom polecenie:

zapytanie netdom fsmo

Wzorzec schematu dc01.domain.loc Wzorzec nazw domen dc01.domain.loc PDC dc01.domain.loc Menedżer puli RID dc01.domain.loc Wzorzec infrastruktury dc01.domain.loc

Możesz wyświetlić role FSMO dla innej domeny:

zapytanie netdom fsmo /domain:contoso.com

Ten przykład pokazuje, że wszystkie role FSMO znajdują się na kontrolerze domeny DC01. Podczas wdrażania nowego lasu AD (domeny) wszystkie role FSMO są umieszczane na pierwszym kontrolerze domeny. Dowolny kontroler domeny z wyjątkiem kontrolera RODC może być mistrzem dowolnej roli FSMO. W związku z tym administrator domeny może przenieść dowolną rolę FSMO na dowolny inny kontroler domeny.

Informacje o rolach FSMO w domenie można uzyskać za pomocą PowerShell za pomocą Get-ADDomainController (moduł Active Directory dla PowerShell z RSAT musi być zainstalowany):

Get-ADDomainController -Filter * | Wybierz nazwę obiektu, domenę, las, OperationMasterRoles | Where-Object $ _. OperationMasterRoles

Możesz też uzyskać FSMO ról na poziomie lasu i na poziomie domeny w następujący sposób:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Wybierz obiekt DomainNamingMaster, SchemaMaster

Ogólne zalecenia Microsoft dotyczące umieszczania ról FSMO na kontrolerach domeny:

1. Role na poziomie lasu (wzorzec schematu i wzorzec nazw domen) muszą znajdować się na głównym kontrolerze domeny, który jest także serwerem wykazu globalnego;
2. Wszystkie 3 role FSMO domeny muszą być umieszczone na jednym kontrolerze domeny z wystarczającą wydajnością;
3. Wszystkie kontrolery domeny w lesie muszą być serwerami wykazu globalnego, as poprawia to niezawodność i wydajność AD, podczas gdy rola wzorca infrastruktury jest praktycznie niepotrzebna. Jeśli masz kontroler domeny w swojej domenie bez roli Globalnego katalogu, musisz umieścić na nim rolę FSMO Infrastructure Master;
4. Nie mieszaj innych zadań w DC, właścicielach ról FSMO.

W usłudze Active Directory można przenosić role FSMO na kilka sposobów: za pomocą graficznych przystawek AD mmc, za pomocą narzędzia ntdsutil.exe lub za pomocą programu PowerShell. Przeniesienie ról FSMO jest zwykle brane pod uwagę przy optymalizacji infrastruktury AD, podczas wycofywania z eksploatacji lub awarii kontrolera domeny z rolą FSMO. Istnieją dwa sposoby przenoszenia ról FSMO: dobrowolne (gdy oba DC są dostępne) lub wymuszony (gdy kontroler domeny z rolą FSMO jest niedostępny / nie działa)

Przenoszenie ról FSMO za pomocą PowerShell

Najłatwiejszym i najszybszym sposobem przenoszenia ról FSMO w domenie jest polecenie cmdlet programu PowerShell Move-ADDirectoryServerOperationMasterRole.

Możesz przenieść jedną lub więcej ról FSMO do określonego kontrolera domeny naraz. Następujące polecenie przeniesie dwie role do DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

W argumencie OperationMasterRole Możesz podać zarówno nazwę roli FSMO, jak i jej indeks zgodnie z tabelą:

Poprzednie polecenie w krótszej formie wygląda następująco:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0.1

Aby przenieść wszystkie role FSMO na dodatkowy kontroler domeny jednocześnie:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Przenoszenie ról FSMO z przystawek graficznych Active Directory

Do migrowania ról FSMO można użyć standardowych przystawek graficznych Active Directory. Operacja przesyłania jest korzystnie przeprowadzana na DC z rolą FSMO. Jeśli konsola serwera nie jest dostępna, musisz uruchomić polecenie Zmień kontroler domeny i wybierz kontroler domeny w mmc-snap.

Transfer RID Master, emulator PDC i role główne infrastruktury

Aby przenieść role na poziomie domeny (RID, PDC, Infrastructure Master), używana jest standardowa konsola Użytkownicy i komputery usługi Active Directory (DSA.msc)

1. Otwórz konsolę Użytkownicy i komputery usługi Active Directory;
2. Kliknij nazwę domeny prawym przyciskiem myszy i wybierz Mistrz operacji;
3. Zobaczysz okno z trzema zakładkami (RID, PDC, infrastruktura), na każdej z nich możesz przenieść odpowiednią rolę, określając nowego właściciela roli FSMO i klikając przycisk Zmień.

Schemat Master Role Transfer

Użyj przystawki Schemat usługi Active Directory, aby przenieść poziom FSMO lasu Schema Master.

1. Przed uruchomieniem przystawki należy zarejestrować bibliotekę schmmgmt.dll, uruchamiając polecenie w wierszu polecenia: regsvr32 schmmgmt.dll 2. Otwórz MMC, pisząc MMC w wierszu poleceń;
   3. W menu wybierz Plik -> Dodaj / Usuń przystawkę i dodaj konsolę Schemat usługi Active Directory;
   4. Kliknij prawym przyciskiem myszy katalog główny konsoli (schemat usługi Active Directory) i wybierz Mistrz operacji;
   5. Wprowadź nazwę kontrolera, na który przenoszona jest rola urządzenia nadrzędnego obwodu, kliknij Zmień i OK. Jeśli przycisk jest niedostępny, sprawdź, czy twoje konto należy do grupy administratorów schematu.

Transfer FSMO roli wzorca nazw domen

1. Aby przenieść rolę wzorca nazw domen FSMO, otwórz konsolę zarządzania domeną i zaufaniem Domeny i relacje zaufania usługi Active Directory;
2. Kliknij prawym przyciskiem myszy nazwę swojej domeny i wybierz opcję Mistrz operacji;
3. Naciśnij przycisk Zmień, podaj nazwę kontrolera domeny i kliknij OK.

Przenoszenie ról FSMO z wiersza poleceń za pomocą narzędzia ntdsutil

Uwaga: Konieczne jest ostrożne używanie narzędzia ntdsutil, jasne zrozumienie tego, co robisz, w przeciwnym razie możesz po prostu złamać domenę Active Directory!

1. Na kontrolerze domeny otwórz wiersz polecenia i wprowadź polecenie: ntdsutil
2. Wpisz polecenie: role
3. Następnie: połączenia
4. Następnie musisz połączyć się z kontrolerem domeny, do którego chcesz przenieść rolę. Aby to zrobić, wpisz: połączyć się z serwerem
5. Enter q i naciśnij Enter.
6. Aby przenieść rolę FSMO, użyj polecenia: przenieść rolę , gdzie jest rola, którą chcesz przenieść. Na przykład: przenieś wzorzec schematu, przenieść RID itp.
7. Potwierdź przeniesienie roli FSMO;
8. Po przeniesieniu ról kliknij q i Enter, aby wyjść z ntdsutil.exe;
9. Uruchom ponownie kontroler domeny.

Wymuś przechwytywanie ról w usłudze Active Directory FSMO

Jeśli kontroler domeny z jedną z ról FSMO ulegnie awarii (i nie można go przywrócić) lub jest niedostępny przez długi czas, można siłą przechwycić z niego dowolną rolę FSMO. Ale jednocześnie niezwykle ważne jest, aby upewnić się, że serwer, z którego wzięto rolę FSMO nigdy nie powinien pojawiać się w sieci, jeśli nie chcesz nowych problemów z AD (nawet jeśli później przywrócisz DC z kopii zapasowej). Jeśli chcesz zwrócić utracony serwer do domeny, jedynym właściwym sposobem jest usunięcie go z usługi AD, wyczyszczenie, ponowne zainstalowanie systemu Windows pod nową nazwą, zainstalowanie roli ADDS i uaktualnienie serwera do kontrolera domeny

Można wymusić przechwytywanie ról FSMO za pomocą programu PowerShell lub NTDSUtil.

Najprostszym sposobem na uchwycenie roli FSMO jest użycie PowerShell. W tym celu używane jest to samo polecenie cmdlet Move-ADDirectoryServerOperationMasterRole jak w przypadku przenoszenia roli, ale parametr jest dodawany -Siła.

Na przykład, aby przejąć rolę PDCEmulatora i zmusić go do przeniesienia do DC02, wykonaj:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Możesz również przenieść role FSMO na serwer DC02 za pomocą narzędzia ntdsutil. Proces przechwytywania roli przez ntdsutil jest podobny do zwykłego transferu. Użyj następujących poleceń:

ntdsutil
role
połączenia
połącz się z serwerem DC02 (przeniesiesz rolę na ten serwer)
rzuć

Aby przechwycić różne role FSMO, użyj poleceń:
przejmij wzorzec schematu
przejmij mistrz nazewnictwa
przejmij mistrza
Chwytaj PCC
przejąć wzorzec infrastruktury
rzuć