การกำหนดเซิร์ฟเวอร์ที่มีบทบาท fsmo การกำหนดผู้ถือบทบาทของหัวหน้าฝ่ายปฏิบัติการโดยใช้ GUI บทบาทหลักปฏิบัติการระดับป่าไม้

การจัดการบทบาท FSMO โดยใช้สแน็ปอิน MMC มาตรฐานไม่ใช่กระบวนการที่สะดวกนัก เนื่องจากคุณต้องใช้สแน็ปอินที่แตกต่างกันเพื่อเข้าถึงบทบาทที่แตกต่างกัน และบางส่วนก็ไม่ใช่เรื่องง่ายที่จะเข้าถึง นอกจากนี้ สแน็ปอิน MMC ไม่อนุญาตให้ยึดบทบาทหากตัวควบคุมโดเมนที่พวกเขาอยู่ล้มเหลว การใช้ยูทิลิตี้เพื่อวัตถุประสงค์เหล่านี้สะดวกกว่ามาก ntdsutilซึ่งจะกล่าวถึงในบทความนี้

ก่อนที่จะไปยังส่วนที่ใช้งานได้จริง เรามาจำไว้ว่ามันคืออะไร และพิจารณาว่าจะเกิดอะไรขึ้นกับ ActiveDirectory หากล้มเหลว มีบทบาท FSMO ทั้งหมดห้าบทบาท สองบทบาทสำหรับฟอเรสต์และสามบทบาทสำหรับโดเมน

บทบาทระดับฟอเรสต์มีอยู่ในอินสแตนซ์เดียว และถึงแม้จะมีความสำคัญ แต่ก็มีความสำคัญน้อยที่สุดต่อการทำงานของ AD จะเกิดอะไรขึ้นหากแต่ละรายการไม่พร้อมใช้งาน:

  • ต้นแบบของโครงการ- ไม่สามารถเปลี่ยนรูปแบบได้ อย่างไรก็ตาม ขั้นตอนนี้จะดำเนินการทุกๆ สองสามปีเมื่อมีการแนะนำคอนโทรลเลอร์บนระบบปฏิบัติการที่ใหม่กว่าเข้าสู่เครือข่ายหรือติดตั้งผลิตภัณฑ์เซิร์ฟเวอร์อื่นๆ เช่น Exchange ในทางปฏิบัติ การไม่มีเจ้าของโครงการอาจไม่สามารถสังเกตได้เป็นเวลาหลายปี
  • เจ้าของการตั้งชื่อโดเมน- ไม่สามารถเพิ่มหรือลบโดเมนได้ ในทำนองเดียวกัน กับเจ้าของสนามแข่ง การหายตัวไปของเขาอาจไม่มีใครสังเกตเห็นเป็นเวลานาน

บทบาทระดับโดเมนมีอยู่หนึ่งบทบาทต่อโดเมน และมีความสำคัญต่อการทำงานของ AD มากกว่า

  • ปริญญาโทโครงสร้างพื้นฐาน- หากมีหลายโดเมนบนคอนโทรลเลอร์ที่ไม่มี แคตตาล็อกทั่วโลกการเป็นสมาชิกในกลุ่มท้องถิ่นของโดเมนอาจถูกละเมิด หากตัวควบคุมโดเมนทั้งหมดเป็นไดเร็กทอรีส่วนกลาง (วันนี้เป็นการกำหนดค่าที่แนะนำโดย Microsoft) คุณสามารถลืมการมีอยู่ของเจ้าของโครงสร้างพื้นฐานได้อย่างปลอดภัยเช่นเดียวกับโดเมนเดียวในฟอเรสต์
  • โฮสต์กำจัด- หลังจากผ่านไประยะหนึ่ง จะไม่สามารถสร้างออบเจ็กต์ใหม่ใน AD ได้ เวลาจะขึ้นอยู่กับจำนวน SID ว่างที่เหลืออยู่ ซึ่งออกเป็นกลุ่มว่าง 500 ช่อง หาก AD ของคุณมีออบเจ็กต์จำนวนน้อยและคุณไม่ได้สร้างออบเจ็กต์ใหม่ทุกวัน การไม่มีเจ้าของ RID จะไม่มีใครสังเกตเห็นเป็นเวลานาน
  • โปรแกรมจำลอง PDC- บทบาทที่สำคัญที่สุด หากไม่พร้อมใช้งาน จะไม่สามารถเข้าสู่ระบบโดเมนของไคลเอ็นต์ก่อน Windows 2000 ได้ทันที (หากยังคงมีอยู่ที่ใดที่หนึ่ง) การซิงโครไนซ์เวลาจะหยุดลง และนโยบายบางอย่างจะไม่มีผลเมื่อป้อนรหัสผ่านไม่ถูกต้อง ในทางปฏิบัติ การไม่มีโปรแกรมจำลอง PDC จะสังเกตเห็นได้ในครั้งแรกที่นาฬิกาไม่ซิงค์กันนานกว่า 5 นาที และอาจเกิดขึ้นเร็วกว่าที่คุณคาดไว้

ในเวลาเดียวกัน อย่างที่คุณเห็น ไม่มีบทบาท FSMO ใดที่ความล้มเหลวจะทำให้ฟังก์ชัน AD สูญเสียไปอย่างมาก แม้ว่าบทบาท FSMO ทั้งหมดจะล้มเหลว โครงสร้างพื้นฐานก็สามารถทำงานได้ตามปกติเป็นเวลาหลายวัน สัปดาห์ หรือกระทั่งหลายเดือน

ดังนั้น หากคุณกำลังจะเลิกใช้งานคอนโทรลเลอร์ที่มีบทบาทบางส่วนหรือทั้งหมดไประยะหนึ่ง (เช่น สำหรับการบำรุงรักษา) ก็ไม่จำเป็นต้องถ่ายโอนบทบาทเหล่านั้น AD ของคุณก็จะใช้งานได้ตามปกติหากไม่มีบทบาทเหล่านั้น

การโอนบทบาทมีความเหมาะสมหากคุณวางแผนที่จะเลิกใช้งานเซิร์ฟเวอร์นี้เป็นเวลานานหรือโอนไปยังแผนกอื่น (เช่น ไปยังไซต์อื่น) หรือการดำเนินการตามแผนอาจทำให้เกิดความล้มเหลว (เช่น การอัพเกรดฮาร์ดแวร์)

ในกรณีที่ตัวควบคุมล้มเหลว อย่ารีบเร่งในการยึดบทบาท คุณจะมีเวลาทำเช่นนี้เสมอ มิฉะนั้น เมื่อกู้คืนและเชื่อมต่อกับเครือข่ายเซิร์ฟเวอร์ที่มีบทบาท FSMO ก่อนหน้านี้ คุณจะได้รับช่วงเวลาที่ไม่พึงประสงค์มากมายที่เกี่ยวข้องกับ การย้อนกลับของ USNและการฟื้นฟูการทำงานตามปกติของโดเมน หากท้ายที่สุดแล้ว บทบาทถูกจับ และคุณได้กู้คืนคอนโทรลเลอร์เก่า ทางออกที่ดีที่สุดคือติดตั้งระบบบนคอนโทรลเลอร์นั้นใหม่และป้อนโดเมนอีกครั้ง

อีกจุดที่ไม่ชัดเจนหากคุณมีหลายโดเมนและตัวควบคุมบางตัวไม่ใช่แคตตาล็อกส่วนกลาง อย่าวางโครงสร้างพื้นฐานหลักไว้บนคอนโทรลเลอร์ที่มีแค็ตตาล็อกส่วนกลาง- นี่เท่ากับขาดไป

คุณสามารถดูได้ว่าคอนโทรลเลอร์ตัวใดมีบทบาท FSMO ด้วยคำสั่ง:

แบบสอบถาม Netdom fsmo

หากต้องการจัดการบทบาท FSMO ให้เรียกใช้ยูทิลิตี ntdsutilบนตัวควบคุมโดเมนใดๆ:

Ntdsutil

มาดูการจัดการบทบาทกันดีกว่า:

ขั้นตอนต่อไปคือการเชื่อมต่อกับตัวควบคุมโดเมนที่เราจะถ่ายโอนบทบาท โดยไปที่เมนูย่อยเพื่อเชื่อมต่อกับเซิร์ฟเวอร์:

การเชื่อมต่อ

และเชื่อมต่อกับเซิร์ฟเวอร์ที่ต้องการ:

เชื่อมต่อกับเซิร์ฟเวอร์ SERVERNAME

ที่ไหน SERVERNAME- ชื่อของตัวควบคุมโดเมนที่เราต้องการ จากนั้นเราออกจากเมนูย่อย:

ควรจำไว้ว่าเราสามารถเรียกใช้ยูทิลิตี้นี้บนตัวควบคุมโดเมนใดก็ได้และเข้าร่วม DC อื่น ๆ เพื่อถ่ายโอนหรือยึดบทบาท ในตัวอย่างของเรา เราอยู่บนเซิร์ฟเวอร์ SRV-DC01เชื่อมต่อกับเซิร์ฟเวอร์ WIN2K8R2-SP1และเราจะพยายามมอบบทบาทบางอย่างให้เขา

คำสั่งใช้เพื่อถ่ายโอนบทบาท โอนย้ายอาร์กิวเมนต์ซึ่งเป็นชื่อของบทบาทที่ถ่ายโอนสำหรับแต่ละบทบาทจะใช้ชื่อต่อไปนี้:

  • ต้นแบบการตั้งชื่อ- ต้นแบบการตั้งชื่อโดเมน
  • ต้นแบบโครงสร้างพื้นฐาน- เจ้าของโครงสร้างพื้นฐาน
  • พีดีซี- โปรแกรมจำลอง PDC
  • ต้นแบบการกำจัด- เจ้าของกรมชลประทาน
  • ต้นแบบสคีมา- เจ้าของวงจร

ความสนใจ! บนระบบก่อน Windows Server 2008 R2 สำหรับ เจ้าของชื่อโดเมนชื่อที่ใช้ ต้นแบบการตั้งชื่อโดเมน.

เช่น การโอนบทบาท เจ้าของชื่อโดเมนมารันคำสั่งกัน:

โอนการตั้งชื่อต้นแบบ

กล่องโต้ตอบจะปรากฏขึ้นเพื่อขอให้เรายืนยันการดำเนินการ เราขอแนะนำให้คุณศึกษาเนื้อหาอย่างระมัดระวังเสมอ

เมื่อได้รับคำตอบที่ยืนยันแล้ว ยูทิลิตี้นี้จะโอนบทบาทที่เลือกไปยังเซิร์ฟเวอร์อื่น

ตอนนี้ลองจินตนาการว่าเซิร์ฟเวอร์ WIN2K8R2-SP1ออกจากการกระทำอย่างไม่อาจแก้ไขได้ และเราจำเป็นต้องยึดบทบาทนี้ไว้ ต้นแบบของการตั้งชื่อกลับ. คำสั่งใช้ในการยึดบทบาท ยึดซึ่งมีไวยากรณ์คล้ายกัน

เพื่อคว้าบทบาทมาวิ่งกันอีกครั้ง ntdsutilและเมื่อเชื่อมต่อกับคอนโทรลเลอร์ที่เราจะจับแล้วให้ดำเนินการคำสั่ง:

ยึดหลักการตั้งชื่อ

หลังจากที่เรายืนยันการเทคโอเวอร์แล้ว ntdsutilจะพยายามดำเนินการโอนบทบาทและเฉพาะในกรณีที่เป็นไปไม่ได้เท่านั้นที่จะทำการจับกุม

การทำเช่นนี้เพื่อหลีกเลี่ยงสถานการณ์ที่บทบาทถูกยึดจากตัวควบคุมที่ใช้งานได้ และจะมีเจ้าของสองคนที่มีบทบาทเดียวกันในเครือข่าย

จดจำหลังจากจับภาพแล้ว ให้รวมตัวควบคุมที่มีบทบาทถูกจับไว้ในเครือข่าย เป็นสิ่งต้องห้าม!

อย่างที่คุณเห็นการใช้ยูทิลิตี้นี้ ntdsutilไม่ยากและสะดวกกว่าการจัดการบทบาทโดยใช้สแน็ปอิน MMC นอกจากนี้ความเป็นไปได้ ntdsutilไม่ได้จำกัดอยู่เพียงการจัดการบทบาท แต่เราจะพูดถึงเรื่องนี้ในเอกสารต่อไปนี้

ไม่มีความลับที่ใน AD มีการดำเนินการที่กำหนดให้กับตัวควบคุมโดเมนเพียงตัวเดียวในฟอเรสต์ เรียกว่าหลักการดำเนินการ ตัวอย่างเช่น ใน AD จะมีการกำหนดคอนโทรลเลอร์เพียงตัวเดียวให้เป็นผู้ดูแลหลักของไดเร็กทอรีสคีมา

หากเซิร์ฟเวอร์ดังกล่าวหยุดทำงานด้วยเหตุผลทางเทคนิคหรือไม่ใช่ทางเทคนิค สถานการณ์เกิดขึ้นเมื่อ DC ตัวที่สองในการเชื่อมต่อไม่อนุญาตให้คุณจัดการโดเมนได้อย่างสมบูรณ์ ในกรณีเช่นนี้ สูตรต่อไปนี้จะช่วยได้ ซึ่งจะช่วยให้คุณสามารถถ่ายโอนบทบาทหลักในการปฏิบัติงานที่มีอยู่ไปยังตัวควบคุมที่ยังมีชีวิตอยู่ได้ สูตรนี้เป็นที่รู้จักกันดี แต่ฉันคิดว่าการโพสต์คำแนะนำโดยละเอียดบนฮับน่าจะมีประโยชน์ เนื่องจากปฏิกิริยาแรกของฉันคือตื่นตระหนก

เรากำลังพิจารณาการกำหนดค่าโดเมนด้วยตัวควบคุมสองตัว หนึ่งในนั้นได้รับมอบหมายบทบาทของ Operations Master และ Global Catalog และในสถานการณ์ของเราเขาเสียชีวิต หากต้องการมอบหมายบทบาทใหม่ทั้งหมด ผู้ดูแลระบบจะต้องเป็นสมาชิกของกลุ่มผู้ดูแลระบบองค์กร ขั้นตอนประกอบด้วยสองขั้นตอน: การรวบรวมบทบาทและการกำหนดแค็ตตาล็อกส่วนกลาง

ผู้ที่ต้องการเรียนรู้ทฤษฎีเกี่ยวกับผู้เชี่ยวชาญด้านปฏิบัติการ โปรดอ่านโพสต์ที่ให้ข้อมูลนี้ และเริ่มกันเลย

การจับบทบาท
คลิกปุ่ม เริ่มให้เลือกรายการ วิ่ง, เข้า ntdsutilและกด ENTER
1. การเชื่อมต่อ
1.1. ในการเชิญชวน ntdsutil:เข้า บทบาทและกด ENTER
1.2. ในการเชิญชวน การบำรุงรักษา FSMO:เข้า การเชื่อมต่อและกด ENTER
1.3. ในการเชิญชวน การเชื่อมต่อเซิร์ฟเวอร์:เข้า เชื่อมต่อกับเซิร์ฟเวอร์ เซิร์ฟเวอร์_ชื่อ(ที่ไหน เซิร์ฟเวอร์_ชื่อคือชื่อของตัวควบคุมโดเมนที่จะรับบทบาทเป็นหลักของการดำเนินงาน) แล้วกด ENTER
1.4. เมื่อคุณได้รับการยืนยันการเชื่อมต่อแล้ว ให้ป้อน ล้มเลิกและกด ENTER
2. ขึ้นอยู่กับบทบาทที่คุณต้องการรับคำเชิญ การบำรุงรักษา FSMO:ป้อนคำสั่งที่เหมาะสมจากตารางด้านล่างแล้วกด ENTER
3. เข้า ล้มเลิกและกด ENTER ทำซ้ำอีกครั้งเพื่อออกจาก ntdsutil

ระบบจะขอคำยืนยัน จากนั้นจะพยายามถ่ายโอนบทบาทดังกล่าว ข้อความแสดงข้อผิดพลาดบางอย่างอาจปรากฏขึ้นในระหว่างกระบวนการนี้ แต่การจับภาพจะดำเนินต่อไป หลังจากเสร็จสิ้น รายการบทบาทและโหนด LDAP ของเซิร์ฟเวอร์ที่รับผิดชอบจะปรากฏขึ้น ในระหว่างการจับ RID หลัก ต้นแบบปัจจุบันควรพยายามซิงโครไนซ์กับคู่การจำลองแบบ แต่คู่นั้นตายแล้ว ดังนั้นจะมีการออกคำเตือนและการดำเนินการจะต้องได้รับการยืนยัน

คำสั่งจับภาพ

วัตถุประสงค์ของแคตตาล็อกสากล
1. เปิดสแนปอินไซต์ Active Directory และบริการ
2. ในคอนโซลทรี ให้เลือกตัวควบคุมโดเมนที่คุณต้องการเปิดใช้งานหรือปิดใช้งานแค็ตตาล็อกส่วนกลาง ค้นหาที่นี่ ไซต์ Active Directory และบริการ/ไซต์/site_name/Servers/controller_name
3. คลิกขวาที่การตั้งค่า NTDS เลือกคุณสมบัติ เลือกกล่องกาเครื่องหมายแค็ตตาล็อกส่วนกลางเพื่อเปิดใช้งานแค็ตตาล็อกส่วนกลาง หรือล้างกล่องกาเครื่องหมายเพื่อปิดใช้งานแค็ตตาล็อกส่วนกลาง

ฉันหวังว่าบทความนี้จะช่วยให้ใครบางคนหายกังวลได้มาก

ใน Win2k8R2 คำสั่งจะแตกต่างออกไปเล็กน้อย:

การบำรุงรักษา Fsmo:?

การส่งออกข้อมูลความช่วยเหลือนี้
การเชื่อมต่อ - เชื่อมต่อกับอินสแตนซ์ AD DC/LDS เฉพาะ
ความช่วยเหลือ - แสดงข้อมูลความช่วยเหลือนี้
ออก - กลับสู่เมนูก่อนหน้า
ยึดโครงสร้างพื้นฐานหลัก - เขียนทับบทบาทโครงสร้างพื้นฐานบนเซิร์ฟเวอร์ที่เชื่อมต่อ
ยึดการตั้งชื่อหลัก - เขียนทับบทบาทหลักในการตั้งชื่อบนเซิร์ฟเวอร์ที่เชื่อมต่อ
Seize PDC - เขียนทับบทบาท PDC บนเซิร์ฟเวอร์ที่เชื่อมต่อ
ยึด RID ต้นแบบ - เขียนทับบทบาท RID บนเซิร์ฟเวอร์ที่เชื่อมต่อ
ยึดสคีมาหลัก - เขียนทับบทบาทสคีมาบนเซิร์ฟเวอร์ที่เชื่อมต่อ
เลือกเป้าหมายการดำเนินการ - การเลือกไซต์ เซิร์ฟเวอร์ โดเมน บทบาท บริบทการตั้งชื่อ
ถ่ายโอนโครงสร้างพื้นฐานหลัก - ทำให้เซิร์ฟเวอร์ที่เชื่อมต่อเป็นต้นแบบของโครงสร้างพื้นฐาน
ถ่ายโอนการตั้งชื่อหลัก - ทำให้เซิร์ฟเวอร์ที่เชื่อมต่อเป็นต้นแบบการตั้งชื่อ
ถ่ายโอน PDC - สร้างเซิร์ฟเวอร์ PDC ที่เชื่อมต่อ
ถ่ายโอน RID ต้นแบบ - ทำให้เซิร์ฟเวอร์ที่เชื่อมต่อเป็น RID ต้นแบบ
โอนสคีมาต้นแบบ - ทำให้เซิร์ฟเวอร์ที่เชื่อมต่อเป็นต้นแบบของสคีมา

ในบทความนี้ ฉันเสนอให้พูดคุยเกี่ยวกับวิธีการถ่ายโอนบทบาท FSMO ระหว่างตัวควบคุมโดเมนในสภาพแวดล้อม Active Directory ฉันจะพยายามเตือนคุณสั้นๆ ว่าบทบาทของ FSMO คืออะไร (Flexible Single Master Operation, การแปลตามตัวอักษร การทำธุรกรรมกับผู้ดำเนินการหนึ่งคน) ในโดเมน Active Directory ไม่เป็นความลับเลยว่าการดำเนินการมาตรฐานส่วนใหญ่ใน Active Directory (เช่น การสร้างบัญชี กลุ่ม) สามารถดำเนินการได้บนตัวควบคุมโดเมนใดๆ บริการการจำลองแบบ AD มีหน้าที่กระจายการเปลี่ยนแปลงเหล่านี้ทั่วทั้งไดเร็กทอรี และข้อขัดแย้งทุกประเภท (เช่น การเปลี่ยนชื่อผู้ใช้บนตัวควบคุมโดเมนหลายตัวพร้อมกัน) จะได้รับการแก้ไขตามหลักการง่ายๆ - ใครก็ตามที่อยู่คนสุดท้ายมีสิทธิ์ อย่างไรก็ตาม มีการดำเนินการหลายอย่างในระหว่างที่ไม่สามารถยอมรับการมีอยู่ของข้อขัดแย้งได้ (เช่น การสร้างโดเมนย่อย/ฟอเรสต์ใหม่ เป็นต้น) นี่คือเหตุผลที่มีตัวควบคุมโดเมนที่มีบทบาท FSMO ซึ่งมีหน้าที่หลักคือป้องกันความขัดแย้งประเภทนี้ บทบาท FSMO สามารถถ่ายโอนไปยังตัวควบคุมโดเมนอื่นได้ตลอดเวลา

มีบทบาท FSMO ห้าบทบาทใน Windows Server 2008:

  1. ต้นแบบสคีมา –เซิร์ฟเวอร์เดียวที่มีบทบาทนี้สำหรับทั้งฟอเรสต์ บทบาทนี้จำเป็นในการขยายสกีมาของ Active Directory โดยปกติการดำเนินการนี้จะดำเนินการด้วยคำสั่ง adprep /forestprep
  2. ต้นแบบการตั้งชื่อโดเมน –หนึ่งอันสำหรับทั้งป่า เซิร์ฟเวอร์ที่มีบทบาทนี้จะต้องรับรองชื่อที่ไม่ซ้ำสำหรับโดเมนที่สร้างขึ้นและพาร์ติชันแอปพลิเคชันทั้งหมดในฟอเรสต์ AD
  3. โปรแกรมจำลอง PDC –หนึ่งเซิร์ฟเวอร์ต่อโดเมน ทำหน้าที่หลายอย่าง: เป็นเบราว์เซอร์หลักบนเครือข่าย Windows ตรวจสอบการล็อกผู้ใช้เมื่อป้อนรหัสผ่านไม่ถูกต้อง และได้รับการออกแบบมาเพื่อรองรับไคลเอนต์ที่มีระบบปฏิบัติการก่อน Windows 2000
  4. ปริญญาโทโครงสร้างพื้นฐาน— หนึ่งเซิร์ฟเวอร์สำหรับแต่ละโดเมน เซิร์ฟเวอร์ที่มีบทบาทนี้จำเป็นต้องดำเนินการคำสั่ง adprep /domainprep ได้สำเร็จ รับผิดชอบในการอัปเดตตัวระบุความปลอดภัย (GUID, SID) และชื่อที่แตกต่างของออบเจ็กต์ในการอ้างอิงออบเจ็กต์ข้ามโดเมน
  5. กำจัดอาจารย์— หนึ่งเซิร์ฟเวอร์สำหรับแต่ละโดเมน เซิร์ฟเวอร์กระจาย RID (500 ตัวต่อตัว) ไปยังตัวควบคุมโดเมนอื่นเพื่อสร้าง SID ที่ไม่ซ้ำกัน
  • เพื่อจัดการบทบาท สคีมาต้นแบบคุณต้องอยู่ในกลุ่ม "ผู้ดูแลระบบสคีมา"
  • เพื่อจัดการบทบาท ต้นแบบการตั้งชื่อโดเมนคุณต้องเป็นสมาชิกของกลุ่ม "ผู้ดูแลระบบองค์กร"
  • เพื่อจัดการบทบาท พีดีซีโปรแกรมจำลองโครงสร้างพื้นฐานผู้เชี่ยวชาญและ กำจัดผู้เชี่ยวชาญคุณต้องมีสิทธิ์ของผู้ดูแลระบบโดเมน “Domain Admins”

ความจำเป็นในการถ่ายโอนบทบาท FSMO ระหว่างตัวควบคุมโดเมนมักจะเกิดขึ้นเมื่อเซิร์ฟเวอร์ที่ติดตั้งตัวควบคุมโดเมนที่มีบทบาท FSMO ถูกเลิกใช้งานหรือด้วยเหตุผลอื่นบางประการ กระบวนการย้ายบทบาทจะดำเนินการด้วยตนเอง

คุณสามารถถ่ายโอนบทบาท FSMO จากบรรทัดคำสั่งโดยใช้ยูทิลิตีนี้ได้ ntdsutil.อดีตหรือจากอินเทอร์เฟซแบบกราฟิกของสแน็ปอิน MMC เราสนใจอุปกรณ์ Active Directory ดังต่อไปนี้ ()

  • สคีมาไดเรกทอรีที่ใช้งานอยู่(เพื่อโอนบทบาทหลักของสคีมา)
  • โดเมน Active Directory และความเชื่อถือ(สำหรับการโอนบทบาทการตั้งชื่อโดเมน)
  • (สำหรับ RID, PDC, การถ่ายโอนบทบาทโครงสร้างพื้นฐาน)

บันทึก:งานทั้งหมดจะต้องดำเนินการบนคอนโทรลเลอร์โดยมีบทบาทที่วางแผนไว้ว่าจะถ่ายโอน หากไม่มีคอนโซลเซิร์ฟเวอร์ คุณจะต้องรันคำสั่ง เชื่อมต่อถึงโดเมนคอนโทรลเลอร์และเลือกตัวควบคุมโดเมนในสแน็ปอิน mmc

การโอนบทบาท สคีมามาสเตอร์

1. ลงทะเบียนห้องสมุด schmmgmt.dllโดยการรันคำสั่งบนบรรทัดคำสั่ง:

Regsvr32 schmmgmt.dll

2. เปิดคอนโซล MMC โดยพิมพ์ เอ็มเอ็มซีบนบรรทัดคำสั่ง
 3. จากเมนู ให้เลือก เพิ่ม/ลบสแน็ปอินและเพิ่มคอนโซล สคีมาไดเรกทอรีที่ใช้งานอยู่.
4. คลิกขวาที่รูทคอนโซล ( สคีมาไดเรกทอรีที่ใช้งานอยู่) และเลือก ปริญญาโทปฏิบัติการ
5. คลิกปุ่ม เปลี่ยนป้อนชื่อของคอนโทรลเลอร์ที่จะถ่ายโอนบทบาทหลักของสคีมา และคลิก ตกลง.

การโอนบทบาทหลักในการตั้งชื่อโดเมน

1. เปิดโดเมนและคอนโซลการจัดการความน่าเชื่อถือ คล่องแคล่วไดเรกทอรีโดเมนและเชื่อถือ.
2. คลิกขวาที่ชื่อโดเมนของคุณแล้วเลือกตัวเลือก การดำเนินงานผู้เชี่ยวชาญ.
3. กดปุ่ม เปลี่ยนระบุชื่อคอนโทรลเลอร์และตกลง

การโอนบทบาท RID Master, PDC Emulator และ Infrastructure Master

1. เปิดคอนโซล ผู้ใช้ Active Directory และคอมพิวเตอร์.
2. คลิกขวาที่ชื่อโดเมนของคุณแล้วเลือก ปริญญาโทปฏิบัติการ
3. หน้าต่างที่มีสามแท็บจะปรากฏขึ้นตรงหน้าคุณ ( กรมชลประทาน, PDC, โครงสร้างพื้นฐาน) ซึ่งคุณสามารถถ่ายโอนบทบาทที่เกี่ยวข้องได้โดยคลิกที่ปุ่ม เปลี่ยน.

การโอนบทบาท FSMO จากบรรทัดคำสั่งโดยใช้ยูทิลิตี้ntdsutil

ความสนใจ:ใช้ยูทิลิตี้ ntdsutilคุณต้องระมัดระวัง และเข้าใจอย่างชัดเจนว่าคุณกำลังทำอะไรอยู่ ไม่เช่นนั้นคุณก็สามารถทำลายโดเมน Active Directory ของคุณได้!

1. บนตัวควบคุมโดเมน ให้เปิดพร้อมท์คำสั่งแล้วป้อนคำสั่ง

Ntdsutil

2. พิมพ์คำสั่ง

4. จากนั้นคุณจะต้องเชื่อมต่อกับเซิร์ฟเวอร์ที่คุณต้องการถ่ายโอนบทบาท โดยพิมพ์:

เชื่อมต่อกับเซิร์ฟเวอร์

, ที่ไหน < ชื่อเซิร์ฟเวอร์>ชื่อของตัวควบคุมโดเมนที่คุณต้องการถ่ายโอนบทบาท FSMO

5. เข้า ถามและกด Enter

6. ทีม:

โอนบทบาท

ที่ไหน < บทบาท>นี่คือบทบาทที่คุณต้องการถ่ายทอด ตัวอย่างเช่น: โอนสคีมาต้นแบบ, โอน RIDและ . .

7. หลังจากโอนบทบาทแล้ว คลิก ถามและ Enter เพื่อออก ntdsutil.อดีต

8. รีบูตเซิร์ฟเวอร์

AD Domain Services รองรับบทบาท Operations Master ห้าบทบาท:

1 ต้นแบบการตั้งชื่อโดเมน;

2 สคีมามาสเตอร์;

3 เจ้าของตัวระบุแบบสัมพันธ์ (Relative ID Master);

4 เจ้าของโครงสร้างพื้นฐานโดเมน (Infrastructure Master);

5 ตัวจำลองตัวควบคุมโดเมนหลัก (PDC Emulator)

ต้นแบบการตั้งชื่อโดเมน

บทบาทนี้ได้รับการออกแบบเพื่อเพิ่มและลบโดเมนในฟอเรสต์ หากไม่มีตัวควบคุมที่มีบทบาทนี้เมื่อเพิ่มหรือลบโดเมนในฟอเรสต์ การดำเนินการจะล้มเหลว

มีตัวควบคุมโดเมนเพียงตัวเดียวในฟอเรสต์ที่มีบทบาทเป็น Domain Naming Master

หากต้องการดูว่าคุณมีตัวควบคุมโดเมนใดเป็นเจ้าของชื่อโดเมน คุณจะต้องเรียกใช้สแน็ปอิน Active Directory - โดเมนและความน่าเชื่อถือคลิกขวาที่โหนดรูทแล้วเลือก " เจ้าของกิจการ"

ในบรรทัด Domain Naming Master คุณจะเห็นว่าตัวควบคุมโดเมนใดที่ทำหน้าที่นี้

สคีมามาสเตอร์

ผู้ควบคุมที่มีบทบาทเจ้าของสคีมามีหน้าที่รับผิดชอบในการเปลี่ยนแปลงสคีมาฟอเรสต์ทั้งหมด โดเมนอื่นๆ ทั้งหมดมีแบบจำลองแบบอ่านอย่างเดียวของสคีมา

บทบาทของเจ้าของสคีมาจะไม่ซ้ำกันทั่วทั้งฟอเรสต์ และสามารถกำหนดได้บนตัวควบคุมโดเมนเดียวเท่านั้น

หากต้องการดูตัวควบคุมโดเมนที่ทำหน้าที่เป็นเจ้าของสคีมา คุณจะต้องเรียกใช้สแน็ปอิน สคีมาไดเรกทอรีที่ใช้งานอยู่แต่เพื่อที่จะทำเช่นนี้ คุณต้องลงทะเบียนอุปกรณ์นี้ ในการดำเนินการนี้ ให้เปิดบรรทัดคำสั่งแล้วป้อนคำสั่ง

regsvr32 schmmgmt.dll

หลังจากนั้นคลิก " เริ่ม"เลือกทีม" ดำเนินการ"และเข้า" มิลลิเมตร" และคลิกปุ่ม " ตกลง" ต่อไปในเมนูคลิก " ไฟล์"มาเลือกทีมกันเถอะ" เพิ่มหรือลบสแน็ปอิน“.ในกลุ่ม อุปกรณ์เสริมที่มีจำหน่ายเลือก " สคีมาไดเรกทอรีที่ใช้งานอยู่", กดปุ่ม" เพิ่ม" และปุ่ม " ตกลง".

คลิกขวาที่โหนดรูทของสแน็ปอินแล้วเลือก " เจ้าของกิจการ".

ในบรรทัดเจ้าของสคีมาปัจจุบัน (ออนไลน์) คุณจะเห็นชื่อของตัวควบคุมโดเมนที่ทำหน้าที่นี้

เจ้าของตัวระบุแบบสัมพันธ์ (Relative ID Master)

บทบาทนี้มอบ SID ที่ไม่ซ้ำกันให้กับผู้ใช้ คอมพิวเตอร์ และกลุ่มทั้งหมด (ตัวระบุความปลอดภัย - โครงสร้างข้อมูลที่มีความยาวผันแปรได้ซึ่งระบุผู้ใช้ กลุ่ม โดเมน หรือบัญชีคอมพิวเตอร์)

บทบาท RID Master จะไม่ซ้ำกันภายในโดเมน

หากต้องการดูว่าตัวควบคุมใดในโดเมนที่ทำหน้าที่เป็นเจ้าของตัวระบุ คุณต้องเรียกใช้ฟังก์ชัน " เจ้าของกิจการ".

ในแท็บ RID คุณจะเห็นชื่อของเซิร์ฟเวอร์ที่ทำหน้าที่ RID

เจ้าของโครงสร้างพื้นฐานโดเมน (Infrastructure Master)

บทบาทนี้มีความเกี่ยวข้องเมื่อใช้หลายโดเมนในฟอเรสต์ หน้าที่หลักคือจัดการวัตถุหลอน วัตถุ Phantom คือวัตถุที่ถูกสร้างขึ้นในโดเมนอื่นเพื่อจัดเตรียมทรัพยากรบางอย่าง

บทบาทของโครงสร้างพื้นฐานของโดเมนนั้นมีลักษณะเฉพาะสำหรับโดเมน

หากต้องการดูว่าตัวควบคุมใดในโดเมนที่ทำหน้าที่เป็นเจ้าของโครงสร้างพื้นฐานของโดเมน คุณต้องเรียกใช้ฟังก์ชัน " Active Directory - ผู้ใช้และคอมพิวเตอร์" ให้คลิกขวาที่โดเมนแล้วเลือก " เจ้าของกิจการ".

ใน "แท็บ" โครงสร้างพื้นฐาน"คุณจะเห็นผู้ควบคุมทำหน้าที่นี้ในโดเมน

ตัวจำลองตัวควบคุมโดเมนหลัก (PDC Emulator)

บทบาทของโปรแกรมจำลอง PDC คือฟังก์ชันที่สำคัญหลายประการ (ไม่ได้แสดงไว้ทั้งหมดที่นี่ มีเพียงฟังก์ชันหลักเท่านั้น):

เข้าร่วมในการจำลองการอัพเดตรหัสผ่าน ทุกครั้งที่ผู้ใช้เปลี่ยนรหัสผ่าน ข้อมูลนี้จะถูกจัดเก็บไว้ในตัวควบคุมโดเมนที่มีบทบาท PDC เมื่อผู้ใช้ป้อนรหัสผ่านไม่ถูกต้อง การตรวจสอบสิทธิ์จะถูกส่งไปยังโปรแกรมจำลอง PDC เพื่อรับรหัสผ่านที่อาจมีการเปลี่ยนแปลงของบัญชี (ดังนั้นหากผู้ใช้ป้อนรหัสผ่านไม่ถูกต้อง การตรวจสอบการเข้าสู่ระบบจะใช้เวลานานกว่าเมื่อเทียบกับการป้อนรหัสผ่านที่ถูกต้อง)

เข้าร่วมการอัปเดตนโยบายกลุ่มในโดเมน โดยเฉพาะอย่างยิ่ง เมื่อการเปลี่ยนแปลงนโยบายกลุ่มบนตัวควบคุมโดเมนที่แตกต่างกันในเวลาเดียวกัน ตัวจำลอง PDC ทำหน้าที่เป็นจุดโฟกัสสำหรับการเปลี่ยนแปลงนโยบายกลุ่มทั้งหมด เมื่อคุณเปิดตัวแก้ไขการจัดการนโยบายกลุ่ม จะผูกกับตัวควบคุมโดเมนที่ทำหน้าที่เป็นโปรแกรมจำลอง PDC ดังนั้น การเปลี่ยนแปลงนโยบายกลุ่มทั้งหมดจึงเกิดขึ้นตามค่าเริ่มต้นในโปรแกรมจำลอง PDC

โปรแกรมจำลอง PDC เป็นแหล่งเวลาหลักสำหรับโดเมน ตัวจำลอง PDC ในแต่ละโดเมนจะซิงโครไนซ์เวลากับตัวจำลอง PDC ของโดเมนรากของฟอเรสต์ ตัวควบคุมอื่นๆ ซิงโครไนซ์เวลากับโปรแกรมจำลอง PDC ของโดเมน คอมพิวเตอร์และเซิร์ฟเวอร์ซิงโครไนซ์เวลากับตัวควบคุมโดเมน

หากต้องการดูว่าตัวควบคุมใดในโดเมนที่ทำหน้าที่เป็นโปรแกรมจำลอง PDC คุณต้องเรียกใช้ฟังก์ชัน " Active Directory - ผู้ใช้และคอมพิวเตอร์" ให้คลิกขวาที่โดเมนแล้วเลือก " เจ้าของกิจการ".

ในแท็บ PDC คุณจะเห็นตัวควบคุมที่ทำหน้าที่นี้

สวัสดีทุกคน วันนี้ฉันจะบอกวิธีถ่ายโอนบทบาท fsmo ไปยังตัวควบคุมโดเมน Active Directory อื่น อ่านบทบาท fsmo ที่นี่ เราได้ดูวิธีการกำหนดหลักการดำเนินการ FSMO แล้ว งานมีดังนี้: เรามีโดเมน Active Directory พร้อมตัวควบคุมโดเมน Windows Server 2008R2 เราได้ติดตั้งตัวควบคุมที่ใช้ Windows Server 2012 R2 เราจำเป็นต้องถ่ายโอนบทบาท fsmo ไปที่มันและแทนที่ W2008R2 ทั้งหมดด้วย W2012R2 ในอนาคต

มี 3 โดเมน dc01 และ dc02 เป็นตัวควบคุมโดเมน windows 2008 r2 และ dc3 เป็นโดเมนใหม่ที่มี Windows Server 2012 R2

แบบสอบถาม netdom fsmo

เราเห็นว่าทั้ง 5 บทบาท (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) อยู่ที่ dc01.msk.site

วิธีแรกซึ่งจะกล่าวถึงในส่วนแรกคือผ่านสแน็ปอิน

วิธีการถ่ายโอนบทบาท fsmo ไปยังตัวควบคุมโดเมน Active Directory อื่นผ่านสแน็ปอิน

การถ่ายโอนบทบาท fsmo ผ่านสแน็ปอินเป็นวิธีที่เร็วและใช้งานง่ายที่สุด

การถ่ายโอน PDC, ผู้จัดการพูล RID, ต้นแบบโครงสร้างพื้นฐาน

เปิดสแน็ปอินผู้ใช้ Active Directory และคอมพิวเตอร์ ซึ่งสามารถทำได้ผ่าน Start โดยพิมพ์ dsa.msc

เราเห็นคอนโทรลเลอร์ DC 3 ตัว dc3 มี windows Server 2012 R2

คลิกขวาที่ระดับโดเมนและเลือก Operation Masters

เราเห็นว่า PDC ตัวจริง ผู้จัดการพูล RID เจ้าของโครงสร้างพื้นฐานถือ DC01

หากคุณคลิกปุ่มแก้ไข ข้อผิดพลาดจะปรากฏขึ้น:

ตัวควบคุมโดเมนนี้เป็นหลักของการดำเนินงาน หากต้องการถ่ายโอนบทบาทหลักของการดำเนินงานไปยังคอมพิวเตอร์เครื่องอื่น คุณต้องเชื่อมต่อกับคอมพิวเตอร์เครื่องนั้นก่อน

จากนี้ไปในการจับภาพเราต้องเลือกคอนโทรลเลอร์ที่เราจะถ่ายโอนบทบาท สำหรับฉันมันคือ dc3

ไปที่ dc3 แล้วเปิด ADUC ด้วย

การเลือกเจ้าของการดำเนินงาน

เราเห็นเจ้าของปัจจุบันของ RID คือ dco1 และเราโอนไปให้ dc3 ให้คลิกเปลี่ยน

ยืนยัน

โอนบทบาทเรียบร้อยแล้ว

เราเห็นว่าตอนนี้เจ้าของ RID คือ dc3.msk.site

เราจะทำเช่นเดียวกันกับต้นแบบ PDC

และด้วยโครงสร้างพื้นฐาน

มาดูกันว่าใครเป็นเจ้าของบทบาทซึ่งทำได้โดยใช้คำสั่งบนบรรทัดคำสั่ง:

แบบสอบถาม netdom fsmo

และเราเห็นบทบาท fsmo สามบทบาทที่เป็นของ dc3

กำลังโอน Schema master

เปิดสแน็ปอิน Active Directory Schema อ่านวิธีเพิ่มลงใน Active Directory Schema ที่นี่

คลิกขวาที่รูทแล้วเลือก Operations Master

เราจะเชื่อมต่อกับ dc01 คลิกเปลี่ยนแปลง

และเราได้รับคำเตือน: ตัวควบคุมโดเมน Active Directory ปัจจุบันเป็นหลักในการดำเนินงาน หากต้องการถ่ายโอนบทบาทหลักของการดำเนินงานไปยัง DC อื่น คุณต้องกำหนดเป้าหมายสคีมา AD ไปยัง DC นั้น

มาปิดกันเถอะ คลิกขวาที่รูทอีกครั้งแล้วเลือกเปลี่ยน Active Directory Domain Controller

หน้าต่างจะปรากฏขึ้นพร้อมกับข้อความ สแน็ปอินสคีมาโฆษณาไม่ได้เชื่อมต่อกับต้นแบบการดำเนินงานสคีมา ไม่สามารถทำการเปลี่ยนแปลงได้ การเปลี่ยนแปลงสคีมาสามารถทำได้กับสคีมาของเจ้าของ FSMO เท่านั้น

เราเลือกเจ้าของโครงการอีกครั้งและเห็นว่าตอนนี้ทำให้เราสามารถเปลี่ยนแปลงได้

โอนเรียบร้อยแล้ว

มาดูกันว่าใครเป็นเจ้าของบทบาทซึ่งทำได้โดยใช้คำสั่งบนบรรทัดคำสั่ง:

แบบสอบถาม netdom fsmo

และเราเห็น 4 บทบาทสำหรับ dc3 แล้ว

การย้ายต้นแบบการตั้งชื่อโดเมน

เปิดโดเมน Active Directory และสแน็ปอิน Trusts

การคัดเลือกเจ้าของกิจการ

เปลี่ยน

โอนบทบาทเรียบร้อยแล้ว

กำลังตรวจสอบ

แบบสอบถาม netdom fsmo

ขณะนี้บทบาท FSMO ทั้งหมดอยู่บนตัวควบคุมโดเมน Windows 2012 r2

นี่คือวิธีที่คุณสามารถถ่ายโอนบทบาท fsmo ไปยังตัวควบคุมโดเมน Active Directory อื่นได้ ฉันแนะนำให้คุณอ่านวิธีถ่ายโอนบทบาท fsmo ไปยังตัวควบคุมโดเมน Active Directory อื่น - ตอนที่ 2 ผ่านทางบรรทัดคำสั่ง



บทความที่เกี่ยวข้อง