Prenos / zachytávanie rolí FSMO do iného radiča domény Active Directory

V tomto článku sa zameriame na to, ako definovať radiče domény s úlohami FSMO v službe Active Directory, ako preniesť jednu alebo viac rolí FSMO do iného radiča domény (voliteľné) a ako si môžete dôkladne zachytiť úlohy FSMO v prípade zlyhania radiča domény, ktorý je vlastníkom tejto role..

obsah:

• Aké sú role FSMO v doméne služby Active Directory??
• Zobraziť vlastníkov rolí FSMO v doméne
• Prenos rolí FSMO pomocou PowerShell
• Prenos rolí FSMO z modulu snap-in Grafika služby Active Directory
• Prenos rolí FSMO z príkazového riadku pomocou nástroja ntdsutil Utility
• Vynútiť zachytenie rolí FSMO Active Directory

Aké sú role FSMO v doméne služby Active Directory??

Stručne skúste pripomenúť, prečo požadovaná úloha FSMO (Flexibilná jednoduchá hlavná prevádzka, operácie jedného agenta) v doméne služby Active Directory.

Nie je žiadnym tajomstvom, že v službe Active Directory možno najbežnejšie operácie (napríklad vytváranie nových používateľských účtov, skupiny zabezpečenia, pridávanie počítača do domény) vykonávať na ľubovoľnom radiči domény. Služba AD Replication Service je zodpovedná za šírenie týchto zmien v adresári AD. Rôzne konflikty (napríklad súčasné premenovanie používateľa na viacerých radičoch domén) sa riešia jednoduchým princípom - kto je posledný, má pravdu. Existuje však niekoľko operácií, počas ktorých je konflikt neprijateľný (napríklad pri vytváraní novej podradenej domény / doménovej štruktúry, zmene schémy AD atď.). Na vykonávanie operácií, ktoré vyžadujú povinnú jedinečnosť, sú potrebné radiče domény s úlohami FSMO. Hlavným cieľom úloh FSMO je zabrániť tomuto druhu konfliktov.

Celková doména služby Active Directory môže byť päť úlohy FSMO.

dva jedinečné úlohy pre les AD:

1. Master schémy - zodpovedný za vykonanie zmien v schéme služby Active Directory, napríklad pri rozširovaní pomocou príkazu adprep / forestprep (na riadenie roly sú potrebné práva správcov schém);
2. Hlavný názov domény - poskytuje jedinečnosť mien pre všetky vytvorené domény a oddiely aplikácií v AD doménovej štruktúre (pre správu potrebujete práva „Enterprise admins“);

a tri úlohy pre každého doména (ak chcete spravovať tieto role, váš účet musí byť v skupine „Správcovia domén“):

1. Emulátor PDC - Je to hlavný prehľadávač v sieti Windows (Domain Master Browser - potrebný na normálne zobrazenie počítačov v sieťovom prostredí); monitoruje zámky používateľov s nesprávnym heslom, je hlavným serverom NTP v doméne, používa sa na kompatibilitu s klientmi Windows 2000 / NT, používa koreňové servery DFS na aktualizáciu informácií o mennom priestore;
2. Kapitán infraštruktúry - je zodpovedný za aktualizáciu odkazov na objekty medzi doménami, príkaz sa na ňom tiež vykoná adprep / domainprep.
3. RID Master (RID Master) -server distribuuje identifikátory RID do iných radičov domény (v dávkach po 500 kusoch), aby sa vytvorili jedinečné identifikátory objektu - SID.

Zobraziť vlastníkov rolí FSMO v doméne

Ako určiť, ktorý radič domény je vlastníkom / vlastníkom konkrétnej role FSMO?

Ak chcete nájsť všetkých vlastníkov rolí FSMO v doméne AD, spustite príkaz:

netdom dotaz fsmo

Master schémy dc01.domain.loc Master názvov domén dc01.domain.loc PDC dc01.domain.loc RID pool manager dc01.domain.loc Master infraštruktúry dc01.domain.loc

Môžete si pozrieť role FSMO pre inú doménu:

netdom dotaz fsmo /domain:contoso.com

Tento príklad ukazuje, že všetky role FSMO sú umiestnené v radiči domény DC01. Keď nasadíte novú doménovú štruktúru AD (doména), všetky role FSMO sa umiestnia na prvý DC. Ktorýkoľvek radič domény okrem domény RODC môže byť hlavným manažérom akejkoľvek úlohy FSMO. Správca domény môže preto preniesť akúkoľvek rolu FSMO na akýkoľvek iný radič domény.

Informácie o rolách FSMO v doméne môžete získať cez PowerShell pomocou Get-ADDomainController (musí byť nainštalovaný modul Active Directory pre PowerShell od RSAT):

Get-ADDomainController -Filter * | Názov Select-Object, Domain, Forest, OperationMasterRoles | Where-Object $ _. OperationMasterRoles

Alebo môžete získať FSMO úloh na úrovni domén a domén:

Get-ADDomain | Infraštruktúra Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Vyberte-Object DomainNamingMaster, SchemaMaster

Všeobecné odporúčania spoločnosti Microsoft na umiestňovanie rolí FSMO do radičov domén:

1. Role na úrovni domén (hlavný server schémy a hlavný názov domény) sa musia nachádzať na koreňovom radiči domény, ktorý je zároveň serverom globálneho katalógu;
2. Všetky 3 role FSMO 3 domén musia byť umiestnené na jednom DC s dostatočným výkonom;
3. Všetky DC v lese musia byť servermi globálneho katalógu, napríklad to zvyšuje spoľahlivosť a výkonnosť služby AD, zatiaľ čo úloha servera Infraštruktúra je takmer zbytočná. Ak máte vo svojej doméne DC bez úlohy globálneho katalógu, musíte naň umiestniť rolu FSMO Infrastructure Master;
4. Na DC, majiteľov rolí FSMO, nemiešajte ďalšie úlohy.

V službe Active Directory môžete úlohy FSMO prenášať niekoľkými spôsobmi: pomocou grafických modulov ADC mmc, pomocou nástroja ntdsutil.exe alebo pomocou programu PowerShell. O prevode rolí FSMO sa zvyčajne uvažuje pri optimalizácii infraštruktúry AD, pri vyraďovaní alebo poruche radiča domény s úlohou FSMO. Existujú dva spôsoby prenosu úloh FSMO: dobrovoľný (ak sú k dispozícii obidve DC) alebo povinný (ak je DC s úlohou FSMO nedostupný / mimo prevádzky)

Prenos rolí FSMO pomocou PowerShell

Najjednoduchším a najrýchlejším spôsobom prenosu rolí FSMO v doméne je cmdlet PowerShell Move-ADDirectoryServerOperationMasterRole.

Môžete naraz preniesť jednu alebo viac rolí FSMO na zadaný DC. Nasledujúci príkaz prevedie tieto dve role na DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

V argumente OperationMasterRole Názov roly FSMO a jej index môžete zadať v súlade s tabuľkou:

Predchádzajúci príkaz v kratšej podobe vyzerá takto:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0.1

Ak chcete preniesť všetky role FSMO na ďalší radič domény naraz, postupujte takto:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Prenos rolí FSMO z modulu snap-in Grafika služby Active Directory

Na migráciu rolí FSMO môžete použiť štandardné grafické moduly služby Active Directory. Prenosová operácia sa výhodne uskutočňuje na DC s úlohou FSMO. Ak konzola servera nie je k dispozícii, musíte spustiť príkaz Zmeniť radič domény a vyberte radič domény v mmc-snap.

Prenos hlavných úloh RID, emulátora PDC a hlavných infraštruktúr

Na prenos rolí na úrovni domény (RID, PDC, Infrastructure Master) sa používa štandardná konzola Users and Computers (Active Directory Users and Computers) (DSA.msc).

1. Otvorte konzolu Používatelia a počítače služby Active Directory;
2. Pravým tlačidlom myši kliknite na názov vašej domény a vyberte možnosť Operačný kapitán;
3. Uvidíte okno s tromi kartami (RID, PDC, Infraštruktúra), z ktorých na každú z nich môžete preniesť príslušnú rolu zadaním nového vlastníka roly FSMO a kliknutím na tlačidlo zmena.

Prenos rolí schémy

Pomocou modulu snap-in Schéma služby Active Directory môžete preniesť úroveň FSMO doménovej štruktúry Schema Master.

1. Pred spustením modulu snap-in musíte zaregistrovať knižnicu schmmgmt.dll spustením príkazu na príkazovom riadku: regsvr32 schmmgmt.dll 2. Zadajte MMC zadaním MMC na príkazovom riadku;
   3. V ponuke vyberte položku súbor -> Pridať alebo odstrániť modul snap-in a pridajte konzolu Schéma služby Active Directory;
   4. Pravým tlačidlom myši kliknite na koreň konzoly (schéma služby Active Directory) a vyberte položku Operačný kapitán;
   5. Zadajte názov radiča, do ktorého sa prenesie rola hlavného účastníka obvodu, kliknite na zmena a OK. Ak tlačidlo nie je k dispozícii, overte, či je váš účet členom skupiny Schema admins.

Prenos FSMO hlavnej úlohy pomenovania domény

1. Ak chcete preniesť hlavnú rolu pomenovávania domén FSMO, otvorte konzolu správy domény a dôveryhodnosti Domény a dôveryhodnosti služby Active Directory;
2. Kliknite pravým tlačidlom myši na názov vašej domény a vyberte požadovanú možnosť Operačný kapitán;
3. Stlačte tlačidlo zmena, zadajte názov radiča domény a kliknite na tlačidlo OK.

Prenos rolí FSMO z príkazového riadku pomocou programu ntdsutil

varovanie: Pomôcku ntdsutil je potrebné používať opatrne a jasne pochopiť, čo robíte, inak môžete jednoducho zlomiť svoju doménu služby Active Directory!

1. Na radiči domény otvorte príkazový riadok a zadajte príkaz: Ntdsutil
2. Zadajte príkaz: role
3. potom: pripojenie
4. Potom sa musíte pripojiť k DC, do ktorého chcete úlohu preniesť. Ak to chcete urobiť, napíšte: pripojiť sa k serveru
5. vstúpiť q a stlačte kláves Enter.
6. Na prenos role FSMO použite príkaz: prenosová rola , kde je rola, ktorú chcete preniesť. Napríklad: prenos hlavnej schémy, prevod RID etc.
7. Potvrdenie prenosu role FSMO;
8. Po prenose rolí kliknite na q a Enter pre ukončenie ntdsutil.exe;
9. Reštartujte radič domény.

Vynútiť zachytenie rolí FSMO Active Directory

Ak zlyhá DC s jednou z rolí FSMO (a nie je možné ho obnoviť) alebo nie je k dispozícii na dlhú dobu, môžete z nej násilne zachytiť ktorúkoľvek z rolí FSMO. Zároveň je však mimoriadne dôležité uistiť sa, že server, z ktorého bola prevzatá rola FSMO nikdy by sa nemal objaviť v sieti, ak nechcete mať nové problémy s AD (aj keď neskôr obnovíte DC zo zálohy). Ak chcete vrátiť stratený server do domény, jediný správny spôsob je odstrániť ho z AD, vyčistiť preinštalovanie systému Windows pod novým menom, nainštalovať rolu ADDS a upgradovať server na radič domény.

Úlohy FSMO môžete vynútiť pomocou PowerShell alebo NTDSUtil.

Najjednoduchší spôsob, ako zachytiť rolu FSMO, je cez PowerShell. Na tento účel sa používa ten istý cmdlet Move-ADDirectoryServerOperationMasterRole ako na prenos rolí, ale parameter sa pridá -sila.

Ak chcete napríklad uchopiť úlohu PDCEmulator a prinútiť ju, aby sa preniesla do DC02, postupujte takto:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Roly FSMO môžete tiež preniesť na server DC02 pomocou obslužného programu ntdsutil. Postup pre zachytenie roly prostredníctvom ntdsutilu je podobný ako pri bežnom prevode. Použite nasledujúce príkazy:

Ntdsutil
role
pripojenie
pripojiť sa k serveru DC02 (úlohu prenesiete na tento server)
prestať

Na zachytenie rôznych rolí FSMO použite príkazy:
obsadiť master schémy
zmocniť sa pána menovania
chytiť zbaveného pána
chytiť PDC
využiť kapitána infraštruktúry
prestať