В данной статье предлагаю поговорить о методиках передачи ролей FSMO между доменными контроллерами в среде Active Directory. Кратко попытаюсь напомнить что же такое роли FSMO (Flexible Single Master Operation, дословный перевод операции с одним исполнителем) в домене Active Directory. Не секрет, что в Active Directory большинство типовых операций (таких как заведение учеток, групп) можно выполнять на любом контроллере домена. За распространение данных изменений по всему каталогу отвечает служба репликации AD, а всевозможные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу – кто последний тот и прав. Однако существует ряд операций, при выполнении которых недопустимо наличие конфликта (например, создание нового дочернего домена/леса и т.д). Именно поэтому и существуют контроллеры домена с ролями FSMO, основная задача которых – недопустить конфликты такого рода. Роли FSMO можно в любой момент передать другому контроллеру домена.

В Windows Server 2008 существует пять ролей FSMO:

Хозяин схемы (Schema master) – один сервер с этой ролью на весь лес. Роль нужна для расширения схемы леса Active Directory, обычно эта операция выполняется командой adprep /forestprep
Хозяин именования домена (Domain naming master) – один на весь лес. Сервер с данной ролью должен обеспечить уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD.
Эмулятор PDC (PDC emulator) – один сервер на каждый домен. Выполняет несколько функций: является основным обозревателем в сети Windows, отслеживает блокировки пользователей при неправильно введенном пароле, является главным NTP сервером в домене, предназначен для поддержки клиентов с ОС предшествующим Windows 2000.
Хозяин инфраструктуры (Infrastructure Master) – один сервер на каждый домен. Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Отвечает за обновление идентификаторов защиты (GUID, SID)и различающихся имен объектов в междоменных объектных ссылках.
Хозяин RID (RID Master) - один сервер на каждый домен. Сервер раздает другим контроллерам домена идентификаторы RID (по 500 штук) для создания уникальных SID.

Для управления ролью Schema master необходимо быть в группе «Schema admins».
Для управления ролью Domain naming master необходимо состоять в группе «Enterprise admins».
Для управления ролями PDC emulator, Infrastructure Master и RID Master необходимо иметь права администратора домена «Domain Admins»

Необходимость переноса FSMO ролей между контроллерами домена обычно возникает при вывода из эксплуатации сервера, на котором установлен контроллера домена с ролью FSMO, или по неким другим причинам. Процесс переноса роли выполняется вручную.

Передать FSMO роль можно из командной строки с помощью утилиты ntdsutil.exe или же из графического интерфейса MMC оснасток. Нас интересуют следующие оснасти Active Directory (как установить оснастки Active Directory в Windows 7)

Active Directory Schema (для переноса роли Schema master)
Active Directory Domains and Trusts (для переноса роли Domain Naming)
Active Directory Users and Computers (для переноса роли RID, PDC, Infrastructure)

Примечание: Все работы необходимо выполнять на контроллере с ролью, которую планируется перенести. Если же консоль сервера не доступна, то необходимо выполнить команду Connect to Domain Controller и выбрать контроллер домена в оснастке mmc.

clip_image001
Передача роли Schema Master

1. Зарегистрируйте библиотеку schmmgmt.dll , выполнив в командной строке команду:

regsvr32 schmmgmt.dll.

clip_image002

2. Откройте консоль MMC, набрав MMC в командной строке.
3. В меню выберите пункт Add/Remove snap-in и добавьте консоль Active Directory Schema.
4. Правой кнопкой щелкните по корню консоли (Active Directory Schema) и выберите пункт Operations Master.
5. Нажмите кнопку Change, введите имя контроллера, которому передается роль хозяина схемы и нажмите OK.

clip_image003
Передача роли Domain naming master

1. Откройте консоль управления доменами и доверием Active Directory Domains and Trusts.
2. Правой кнопкой щелкните по имени вашего домена и выберите опцию Operations Master.
3. Нажмите кнопку Change, укажите имяконтроллера и OK.

clip_image004

clip_image005
Передача ролей RID Master, PDC Emulator и Infrastructure Master

1. Откройте консоль the Active Directory Users and Computers.
2. Правой кнопкой мыши щелкните по имени вашего домена и выберите пункт Operations Master.
3. Перед вами появится окно с тремя вкладками (RID, PDC, Infrastructure), на каждой из которых можно передать соответствующую роль, нажав кнопку Change.

clip_image006

clip_image007
Передача ролей FSMO из командной строки с помощью утилиты ntdsutil

Внимание: Использовать утилиту ntdsutil необходимо с осторожностью, четко понимая что вы делаете, иначе можно просто уложить ваш домен Active Directory!

1. На контроллере домена откройте командную строку и введите команду

ntdsutil

clip_image008

2. Наберите команду

roles

clip_image009

3. Затем

connections

clip_image010

4. Затем нужно подключиться к серверу, на который вы хотите передать роль, для этого наберите:

connect to

, где имя контроллера домена, на который вы хотите перенести роль FSMO.

clip_image011

5. Введите q и нажмите Enter.

clip_image012

6. Команда:

transfer role

, где это роль которую вы хотите передать. Например: transfer schema master, transfer RID и т.д.

clip_image013

7. После переноса ролей нажмите q и Enter, чтобы завершить работу с ntdsutil.exe.

8. Перезагрузите сервер.

 

http://winitpro.ru/index.php/2012/03/06/peredacha-rolej-fsmo/ 

Добавить комментарий

Защитный код
Обновить