Управление ролями FSMO при помощи стандартных оснасток MMC не совсем удобный процесс, так как для доступа к разным ролям приходится использовать различные оснастки, а к некоторым из них еще и не так просто добраться. Кроме того оснастки MMC не позволяют производить операции захвата ролей в случае выхода из строя контроллера домена на котором они были расположены. Гораздо удобнее для этих целей использовать утилиту ntdsutil , о чем и пойдет речь в данной статье.
Прежде чем приступать к практической части, вспомним что такое и рассмотрим что именно произойдет с ActiveDirectory при их отказе. Всего ролей FSMO пять, две для леса и три для домена.
Роли уровня леса существуют в единственном экземпляре и, несмотря на свою важность, наименее критичны для функционирования AD. Что произойдет при недоступности каждой из них:
- Хозяин схемы - невозможно изменить схему. Однако данная процедура проводится раз в несколько лет при введении в сеть контроллеров на более новой ОС или установке некоторых иных серверных продуктов, таких как Exchange. На практике отсутсвие хозяина схемы можно не замечать годами.
- Хозяин именования домена - невозможно добавить или удалить домен. Аналогично с хозяином схемы его отсутвие может быть незамеченным довольно длительное время.
Роли уровня домена существуют по одной в каждом домене и являются более критичными для функционирования AD.
- Хозяин инфраструктуры - при наличии нескольких доменов на контроллерах которые не являются глобальными каталогами может быть нарушено членство в локальных группах домена. Если все контроллеры домена - глобальные каталоги (сегодня именно такая конфигурация является рекомендуемой Microsoft), то про существование хозяина инфраструктуры можно смело забыть, точно также как и при единственном домене в лесу.
- Хозяин RID - через некоторое время будет невозможно создать новый объект в AD, время зависит от оставшегося количества свободных SID, которые выдаются пачками по 500 заготовок. Если в вашей AD небольшое количество объектов и вы не каждый день заводите новые, то отсутствие хозяина RID останется незамеченным на протяжении длительного времени.
- Эмулятор PDC - самая критичная роль. При его недоступности сразу станет невозможным вход в домен клиентов до Windows 2000 (если они где-то еще остались), прекратится синхронизация времени и не будут действовать некоторые политики при вводе неправильного пароля. На практике отсутствие эмулятора PDC будет замечено при первой рассинхронизации времени более чем на 5 минут, а это может произойти раньше, чем вы можете предполагать.
Вместе с тем, как можно увидеть, нет ни одной роли FSMO отказ которой приводил бы к существенной потере функциональности AD, даже при отказе всех ролей FSMO инфраструктура может нормально работать в течении нескольких дней, недель или даже месяцев.
Поэтому, если вы собираетесь на некоторое время вывести контроллер, содержащий некоторые или все роли, из эксплуатации (например на профилактику), то нет необходимости их передавать, ваша AD нормально проживет и без них.
Передача ролей уместна в том случае, если вы планируете вывести данный сервер из эксплуатации на длительное время или передать его в другое подразделение (например в другой сайт), либо планируемые операции могут привести к его выходу из строя (например апгрейд железа).
В случае отказа контроллера не спешите захватывать роли, вы всегда успеете это сделать, в противном случае при восстановлении и подключении в сеть сервера, ранее содержавшего роли FSMO, вы получите много неприятных моментов связанных с USN Rollback и восстановлением нормального функционирования домена. Если все таки роли были захвачены, а затем вы восстановили старый контроллер, то наилучшим решением будет переустановить на нем систему и ввести в домен заново.
Также еще один неочевидный момент, если у вас несколько доменов и не все контроллеры являются глобальными каталогами не размещайте хозяина инфрастурктуры на контроллере с глобальным каталогом . Это равносильно его отсутствию.
Узнать какие именно контроллеры обладают ролями FSMO можно командой:
Netdom query fsmo
Для управления ролями FSMO запустите утилиту ntdsutil на любом контроллере домена:
Ntdsutil
Затем перейдем к управлению ролями:
Следующим шагом следует соединиться с контроллером домена, которому мы собираемся передать роли, для этого перейдем в подменю соединения с серверами:
Connections
и соединимся с нужным сервером:
Connect to server SERVERNAME
где SERVERNAME - имя необходимого нам контроллера домена. Затем выйдем из подменю:
При этом следует помнить, что мы можем запустить утилиту на любом из контроллеров домена и присоединиться к любому другому КД для передачи или захвата ролей. В нашем примере мы физически находясь на сервере SRV-DC01 соединились с сервером WIN2K8R2-SP1 и попробуем передать ему какую нибудь роль.
Для передачи ролей служит команда transfer в качестве агрумента которой выступает имя передаваемой роли, для каждой из ролей используются следующие имена:
- naming master - хозяин именования домена
- infrastructure master - хозяин инфраструктуры
- PDC - эмулятор PDC
- RID master - хозяин RID
- schema master - хозяин схемы
Внимание! В системах до Windows Server 2008 R2 для хозяина именования домена использовалось имя domain naming master .
Например для передачи роли хозяина именования домена выполним команду:
Transfer naming master
Появится диалоговое окно, которое попросит нас подтвердить действие, советуем всегда внимательно изучать его содержимое.
Получив утвердительный ответ утилита передаст выбранную роль другому серверу.
Теперь представим, что сервер WIN2K8R2-SP1 безвозвратно выбыл из строя и нам требуется захватить роль хозяина именования назад. Для захвата ролей служит команда seize , которая имеет аналогичный синтаксис.
Для захвата роли снова запустим ntdsutil и, подключившись к контроллеру для которого будем производить захват, выполним команду:
Seize naming master
После того как мы подтвердим захват ntdsutil попытается осуществить операцию передачи роли и только в случае ее невозможности произведет захват.
Это сделано для того, чтобы избежать ситуации, когда роль будет захвачена у исправного контроллера и в сети возникнет два обладателя одной и той же роли.
Помните , что после захвата включать в сеть контроллер с которого была захвачена роль нельзя!
Как видим, использование утилиты ntdsutil нисколько не сложно и даже более удобно, чем управление ролями при помощи оснасток MMC. Кроме того возможности ntdsutil не исчерпываются управлением ролями, но об этом мы расскажем в следующих материалах.
Не секрет, что в AD есть операции которые возлагаются лишь на один домен-контроллер в лесу, именуемый мастером операции. Например в AD только один контроллер назначается первичным хранителем схемы каталога.
В случае умирания такого сервера по любой из технических или нетехнических причин, возникает ситуация, когда второй DC в связке не позволяет вам полноценно управлять доменом. В таких случаях поможет следующий рецепт, который позволит перенести существующие роли мастера операций на уцелевший контроллер. Рецепт довольно известный, тем не менее, я посчитал полезным выложить подробную инструкцию на хабр, так как у меня первой реакцией была паника.
Рассматривается конфигурация домена с двумя контроллерами. Одному из них назначены роли мастера операций и глобального каталога и в нашем сценарии он умирает. Для переназначения всех ролей, администратор должен быть членом группы Enterprise Admins. Процедура состоит из двух этапов: захват ролей и назначение глобального каталога.
Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост , ну а мы приступаем.
Захват ролей
Нажмите кнопку Start , выберите пункт Run , введите ntdsutil , и нажмите ENTER.1. Подключение
1.1. В приглашении ntdsutil: введите roles и нажмите ENTER.
1.2. В приглашении fsmo maintenance: введите connections и нажмите ENTER.
1.3. В приглашении server connections: введите connect to server имя_сервера (где имя_сервера является именем контроллера домена, который возьмет на себя роль хозяина операций), и нажмите ENTER.
1.4. После того как вы получите подтверждение соединения, введите quit и нажмите ENTER.
2. В зависимости от роли, которую вы хотите взять в приглашении fsmo maintenance: введите соответствующую команду из таблицы ниже и нажмите ENTER.
3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.
Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию.
Команды для захвата
Назначение глобального каталога
1. Открытие оснастку Active Directory Sites and Services.2. В дереве консоли выберите контроллер домена, где вы хотите включить или отключить глобальный каталог. Искать здесь Active Directory Sites and Services/Sites/имя_сайта/Servers/имя_контроллера
3. Щелкните правой кнопкой на NTDS Settings, выберите Properties. Выставьте флажок Global Catalog, чтобы включить глобальный каталог, или снимите флажок, чтобы отключить глобальный каталог.
Надеюсь, статья спасет кому нибуть добрую тонну нервов.
В Win2k8R2 команды немного другие:
Fsmo maintenance:?
Вывод этой справочной информации
Connections - Подключение к определенному DC/LDS-экземпляру AD
Help - Вывод этой справочной информации
Quit - Возврат к предыдущему меню
Seize infrastructure master - Перезаписать роль инфраструктуры на подключенном сервере
Seize naming master - Перезаписать роль хозяина именования на подключенном сервере
Seize PDC - Перезаписать роль PDC на подключенном сервере
Seize RID master - Перезаписать роль RID на подключенном сервере
Seize schema master - Перезаписать роль схемы на подключенном сервере
Select operation target - Выбор сайтов, серверов, доменов, ролей, контекстов именования
Transfer infrastructure master - Сделать подключенный сервер хозяином инфраструктуры
Transfer naming master - Сделать подключенный сервер хозяином именования
Transfer PDC - Сделать подключенный сервер PDC
Transfer RID master - Сделать подключенный сервер хозяином RID
Transfer schema master - Сделать подключенный сервер хозяином схемы
В данной статье предлагаю поговорить о методиках передачи ролей FSMO между доменными контроллерами в среде Active Directory. Кратко попытаюсь напомнить что же такое роли FSMO (Flexible Single Master Operation, дословный перевод операции с одним исполнителем ) в домене Active Directory. Не секрет, что в Active Directory большинство типовых операций (таких как заведение учеток, групп) можно выполнять на любом контроллере домена. За распространение данных изменений по всему каталогу отвечает служба репликации AD, а всевозможные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу — кто последний тот и прав. Однако существует ряд операций, при выполнении которых недопустимо наличие конфликта (например, создание нового дочернего домена/леса и т.д). Именно поэтому и существуют контроллеры домена с ролями FSMO, основная задача которых – недопустить конфликты такого рода. Роли FSMO можно в любой момент передать другому контроллеру домена.
В Windows Server 2008 существует пять ролей FSMO:
- Хозяин схемы (Schema master) – один сервер с этой ролью на весь лес. Роль нужна для расширения схемы леса Active Directory, обычно эта операция выполняется командой adprep /forestprep
- Хозяин именования домена (Domain naming master) – один на весь лес. Сервер с данной ролью должен обеспечить уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD.
- Эмулятор PDC (PDC emulator) – один сервер на каждый домен. Выполняет несколько функций: является основным обозревателем в сети Windows, отслеживает блокировки пользователей при неправильно введенном пароле, является , предназначен для поддержки клиентов с ОС предшествующим Windows 2000.
- Хозяин инфраструктуры (Infrastructure Master) — один сервер на каждый домен. Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Отвечает за обновление идентификаторов защиты (GUID, SID)и различающихся имен объектов в междоменных объектных ссылках.
- Хозяин RID (RID Master) — один сервер на каждый домен. Сервер раздает другим контроллерам домена идентификаторы RID (по 500 штук) для создания уникальных SID.
- Для управления ролью Schema master необходимо быть в группе «Schema admins».
- Для управления ролью Domain naming master необходимо состоять в группе «Enterprise admins».
- Для управления ролями PDC emulator, Infrastructure Master иRID Master необходимо иметь права администратора домена «Domain Admins»
Необходимость переноса FSMO ролей между контроллерами домена обычно возникает при вывода из эксплуатации сервера, на котором установлен контроллера домена с ролью FSMO, или по неким другим причинам. Процесс переноса роли выполняется вручную.
Передать FSMO роль можно из командной строки с помощью утилиты ntdsutil. exe или же из графического интерфейса MMC оснасток. Нас интересуют следующие оснасти Active Directory ()
- Active Directory Schema (для переноса роли Schema master)
- Active Directory Domains and Trusts (для переноса роли Domain Naming)
- (для переноса роли RID, PDC, Infrastructure)
Примечание: Все работы необходимо выполнять на контроллере с ролью, которую планируется перенести. Если же консоль сервера не доступна, то необходимо выполнить команду Connect to Domain Controller и выбрать контроллер домена в оснастке mmc.
Передача роли Schema Master
1. Зарегистрируйте библиотеку schmmgmt.dll , выполнив в командной строке команду:
Regsvr32 schmmgmt.dll.
2. Откройте консоль MMC, набрав MMC
в командной строке.
3. В меню выберите пункт Add/Remove
snap-in и добавьте консоль Active Directory Schema
.
4. Правой кнопкой щелкните по корню консоли (Active Directory Schema
) и выберите пункт Operations Master.
5. Нажмите кнопку Change
, введите имя контроллера, которому передается роль хозяина схемы и нажмите OK.
Передача роли Domain naming master
1. Откройте консоль управления доменами и доверием Active
Directory
Domains
and
Trusts
.
2. Правой кнопкой щелкните по имени вашего домена и выберите опцию Operations
Master.
3. Нажмите кнопку Change
, укажите имяконтроллера и OK.
Передача ролей RID Master, PDC Emulator и Infrastructure Master
1. Откройте консоль the Active Directory Users and Computers
.
2. Правой кнопкой мыши щелкните по имени вашего домена и выберите пункт Operations Master.
3. Перед вами появится окно с тремя вкладками (RID, PDC, Infrastructure
), на каждой из которых можно передать соответствующую роль, нажав кнопку Change.
Передача ролей FSMO из командной строки с помощью утилиты ntdsutil
Внимание: Использовать утилиту ntdsutil необходимо с осторожностью, четко понимая что вы делаете, иначе можно просто уложить ваш домен Active Directory!
1. На контроллере домена откройте командную строку и введите команду
Ntdsutil
2. Наберите команду
4. Затем нужно подключиться к серверу, на который вы хотите передать роль, для этого наберите:
Connect to server
, где < servername> имя контроллера домена, на который вы хотите перенести роль FSMO.
5. Введите q и нажмите Enter.
6. Команда:
Transfer role
Где < role> это роль которую вы хотите передать. Например: transfer schema master, transfer RID и т . д .
7. После переноса ролей нажмите q и Enter, чтобы завершить работу с ntdsutil. exe.
8. Перезагрузите сервер.
Доменные службы AD поддерживают пять ролей мастеров операций:
1 Владелец доменных имён (Domain Naming Master);
2 Владелец схемы (Schema Master);
3 Владелец относительных идентификаторов (Relative ID Master);
4 Владелец инфраструктуры домена (Infrastructure Master);
5 Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Владелец доменных имён (Domain Naming Master).
Роль предназначена для добавления и удаления доменов в лесу. Если контроллер с этой ролью недоступен во время добавления или удаления доменов в лесу возникнет ошибка операции.
В лесу используется только один контроллер домена с ролью - владелец доменных имён (Domain Naming Master).
Для того, что бы посмотреть какой из контроллеров домена у вас выполняет роль Владельца доменных имен, необходимо запустить оснастку Active Directory - Домены и доверие щелкнуть правой кнопкой на корневой узел и выбрать "Хозяин операции "
В строке Хозяин именования доменов вы увидите какой контроллер домена выполняет эту роль.
Владелец схемы (Schema Master).
Контроллер с ролью владелец схемы отвечает за внесение всех изменений в схему леса. Все остальные домены содержат реплики схемы только для чтения.
Роль Владелец схемы уникальна во всем лесу и может быть определена только на одном контроллере домена.
Для того, что бы посмотреть контроллер домена выполняющий роль владельца схемы необходимо запустить оснастку Схема Active Directory , но для того что бы это сделать необходимо зарегистрировать эту оснастку. Для этого запускаем командную строку и вводим команду
regsvr32 schmmgmt.dll
После этого нажимаем "Пуск " выбераем команду "Выполнить " и вводим "mmc " и нажмите кнопку "ОК ". Далее в меню нажимаем "Файл " выбаем команду "Добавить или удалить оснастку ". В группе Доступные оснастки выбираем "Схема Active Directory ", нажимаем кнопку "Добавить ", а затем кнопку "ОК ".
Щелкните правой кнопкой мыши корневой узел оснастки и выберите "Хозяин операции ".
В строке Текущий хозяин схемы (в сети) увидите имя контроллера домена выполняющую эту роль.
Владелец относительных идентификаторов (Relative ID Master).
Эта роль обеспечивает всех пользователей, компьютеров и групп уникальными SID (Security Identifier- структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера)
Роль мастера RID уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца идентификатора, необходимо запустить оснастку "Хозяин операции ".
Во вкладке RID увидите имя сервера выполняющую роль RID
Владелец инфраструктуры домена (Infrastructure Master).
Эта роль актуальна при использовании нескольких доменов в лесу. Основная ее задача заключается в управлении фантомными объектами. Фантомный объект - объект который создается в другом домене для предоставления каких либо ресурсов.
Роль инфраструктуры домена уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца инфраструктуры домена, необходимо запустить оснастку "Active Directory- пользователи и компьютеры ", кликнуть на домене правой кнопкой мыши и выберать "Хозяин операции ".
Во вкладке "Инфраструктура " увидите контроллер выполняющий эту роль в домене.
Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Роль PDC- эмулятора несколько важных функций (здесь указаны не все- только основные):
Участвует в репликации обновления паролей. Каждый раз когда пользователь меняет пароль эта информация сохраняется на контроллере домена с ролью PDC. При вводе пользователя неправильного пароля проверка подлинности направляется на PDC- эмулятор для получения возможно изменившегося пароля учетной записи (поэтому при вводе не правильного пароля вход проверка пароля происходит дольше в сравнении с вводом правильного пароля).
Участвует в обновлении групповой политики в домене. В частности когда изменяется групповая политика на разных контроллерах домена в одно время PDC- эмулятор действует как точка фокуса всех изменений групповой политики. При открытии редактора управлениями групповыми политиками она привязывается к контроллеру домена, выполняющую роль PDC- эмулятора. Поэтому все изменения групповых политик по умолчанию вносятся в PDC- эмулятор.
PDC- эмулятор является главным источником времени для домена. PDC- эмуляторы в каждом домене синхронизирует свое время с PDC эмулятором корневого домена леса. Другие контролеры синхронизируют свое время с PDC- эмулятором домена, компьютеры и сервера синхронизируют время с контролера домена.
Что бы увидеть какой контролер в домене выполняет роль PDC- эмулятора, необходимо запустить оснастку "Active Directory- пользователи и компьютеры ", кликните на домене правой кнопкой мыши и выберите "Хозяин операции ".
Во вкладке PDC увидите контроллер выполняющий эту роль.
Всем привет, сегодня расскажу как передать fsmo роли другому контроллеру домена Active Directory. Что такое fsmo роли читайте тут. Так же мы уже рассматривали как определить FSMO хозяева операций . Задача следующая у нас есть домен Active Directory с контроллерами домена Windows Server 2008R2, мы с вами установили контроллер под управлением Windows Server 2012 R2 . Нам нужно передать ему роли fsmo и в будущем заменить все W2008R2 на W2012R2.
Есть 3 домена dc01 и dc02 это контроллер домена windows 2008 r2 и dc3 это новый с Windows Server 2012 R2.
netdom query fsmo
Видим, что все 5 ролей (Хозяин схемы, Хозяин именования доменов, PDC, Диспетчер пула RID, Хозяин инфраструктуры) находятся на dc01.msk.сайт.
Первый способ который будет рассмотрен в первой части это через оснастки.
Как передать fsmo роли другому контроллеру домена Active Directory через оснастки
Передача ролей fsmo через оснастки самый быстрый и наглядный метод.
Передача PDC, Диспетчер пула RID, Хозяин инфраструктуры.
Открываем оснастку Active Directory Пользователи и компьютеры, это можно сделать через пуск набрав dsa.msc.
Видим 3 DC контроллера, у dc3 стоит windows Server 2012 R2
Щелкаем правым кликом на уровне домена и выбираем Хозяева операций
Видим, что реально PDC, Диспетчер пула RID, Хозяин инфраструктуры держит DC01
Если вы нажмете кнопку изменить, то выскочит ошибка:
Данный контроллер домена является хозяином операций. Чтобы передать роль хозяина операций другому компьютеру, необходимо сначала подключиться к нему.
Из этого следует что для захвата нужно выбрать контроллер куда мы будем передавать роли, у меня это dc3.
Переходим на dc3 и открываем тоже ADUC
Выбираем хозяева операций
Видим текущий хозяин RID это dco1 и кому передаем это dc3, жмем изменить.
Подтверждаем
Роль успешна передана
Видим, что теперь хозяин RID dc3.msk.сайт
Тоже самое проделаем с PDC мастером
и с Инфраструктурой
Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:
netdom query fsmo
и видим три роли fsmo принадлежат dc3
Передача Schema master (мастера схемы)
Открываем оснастку Active Directory Схема, как ее добавить Active Directory Схема читаем тут.
правым кликом по корню и выбираем Хозяин операций
Мы подключимся к dc01. Нажимаем сменить
и получаем предупреждение: Текущий контроллер домена Active Directory является хозяином операций. Чтобы передать роль хозяина операций другому DC, нужно нацелить на этот DC схему AD,
Закрываем его. Щелкаем правым кликом опять по корню и выбираем Сменить контроллер домена Active Directory.
Вылезет окно с сообщением Оснастка схемы AD не подключена к хозяину операций схемы. Выполнение изменений невозможно. Изменения схемы могут быть сделаны только в схеме владельца FSMO.
Снова выбираем хозяина схемы и видим, что теперь сменить дает.
передана успешно.
Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:
netdom query fsmo
и видим уже 4 роли у dc3
Передача Хозяина именования доменов
Открываем оснастку Active Directory домены и доверие
Выбираем хозяин операций
Изменить
Роль успешно передана
Проверяем
netdom query fsmo
Теперь все роли FSMO у контроллер домена windows 2012 r2.
Вот так вот просто передать fsmo роли другому контроллеру домена Active Directory. Советую почитать Как передать fsmo роли другому контроллеру домена Active Directory - 2 часть через командную строку.
