Az FSMO szerepek átvitele / elfogása egy másik Active Directory tartományvezérlőre

Ebben a cikkben megvizsgáljuk, hogyan lehet meghatározni az Active Directory könyvtárban az FSMO szerepekkel rendelkező tartományvezérlőket, hogyan lehet egy vagy több FSMO szerepet átvinni egy másik tartományvezérlőre (opcionális), és hogyan kell erőteljesen rögzíteni az FSMO szerepeket a szerepkört birtokló tartományvezérlő meghibásodása esetén..

Tartalom:

  • Melyek az FSMO szerepek az Active Directory tartományban??
  • Az FSMO szerepetulajdonosok megtekintése egy domainben
  • Az FSMO szerepek átvitele a PowerShell használatával
  • FSMO szerepek átvitele az Active Directory grafikus beépülő modulokból
  • Az FSMO szerepek átvitele a parancssorból az ntdsutil segédprogrammal
  • Kényszerítse az FSMO Active Directory szerepkör-rögzítését

Melyek az FSMO szerepek az Active Directory tartományban??

Röviden próbálja felidézni, hogy miért a kívánt szerep az FSMO (Rugalmas egységes mesterművelet, egy ügynök műveletei) az Active Directory tartományban.

Nem titok, hogy az Active Directory-ban a legtöbb szokásos művelet (például új felhasználói fiókok létrehozása, biztonsági csoportok, számítógép hozzáadása egy tartományhoz) bármilyen tartományvezérlőn végrehajtható. Az AD replikációs szolgálat felel ezeknek a változásoknak az AD könyvtár egészében történő terjesztéséért. Különböző konfliktusokat (például egy felhasználó egyidejű átnevezése több domain-vezérlőn) egy egyszerű elvvel oldják meg - ki igaz utoljára. Számos olyan művelet létezik, amelyek során a konfliktus elfogadhatatlan (például új gyermektartomány / erdő létrehozásakor, az AD-séma megváltoztatásakor stb.). A kötelező egyediséget igénylő műveletek végrehajtásához FSMO szerepekkel rendelkező tartományvezérlőkre van szükség. Az FSMO szerepek elsődleges célja az ilyen típusú konfliktusok megelőzése.

Lehet, hogy az összes Active Directory domain öt szerepek FSMO.

két egyedi szerepek erdei AD esetén:

  1. Sémamester - felelős az Active Directory sémájának módosításáért, például az adprep / forestprep paranccsal történő kiterjesztéskor (a szerep kezeléséhez „Séma adminisztrátorok” jogokra van szükség);
  2. Domain elnevezés mester - biztosítja a nevek egyediségét az összes létrehozott domainhez és alkalmazásrészhez az AD-erdőben (a felügyelethez szüksége van az „Enterprise adminok” jogokra);

és három szerepek mindenkinek domain (ezeknek a szerepeknek a kezeléséhez a fiókjának a „Domain Admins” csoportban kell lennie):

  1. PDC emulátor - Ez a Windows böngésző fő böngészője (Domain Master Browser - szükséges a számítógépek normál megjelenítéséhez hálózati környezetben); figyeli a felhasználói zárolást helytelen jelszóval, a tartomány fő NTP-kiszolgálója, a Windows 2000 / NT kliensekkel való kompatibilitásra használja, és a DFS gyökérkiszolgálók használják a névtér-információk frissítésére;
  2. Infrastruktúra-mester - a tartományok közötti objektumhivatkozások frissítéséért felel; a parancsot is rajta hajtják végre adprep / domainprep.
  3. RID Master (RID Master) -a szerver elosztja a RID-eket más tartományvezérlőknek (500 darabos tételekben) egyedi objektumazonosítók létrehozásához - SID.

Az FSMO szerepetulajdonosok megtekintése egy domainben

Hogyan lehet meghatározni, hogy melyik tartományvezérlő az adott FSMO szerep tulajdonos / tulajdonos?

Az FSMO szerepkörök összes tulajdonosának az AD tartományban történő kereséséhez futtassa a következő parancsot:

netdom query fsmo

Rendszergazda dc01.domain.loc Domain elnevezés master dc01.domain.loc PDC dc01.domain.loc RID készletkezelő dc01.domain.loc Infrastruktúra mester dc01.domain.loc

Megtekintheti az FSMO szerepeket egy másik domainhez:

netdom query fsmo / domain :contoso.com

Ez a példa azt mutatja, hogy az összes FSMO szerepkör a DC01 tartományvezérlőn található. Amikor új AD erdőt (tartományt) telepít, az összes FSMO szerep betöltődik az első DC-n. Bármely tartományvezérlő az RODC kivételével bármilyen FSMO szerep szerepelhet. Ennek megfelelően a tartomány adminisztrátora bármilyen FSMO szerepet átvihet bármely más tartományvezérlőre.

Információkat szerezhet a tartomány FSMO-szerepköreiről a PowerShell-en keresztül a Get-ADDomainController használatával (telepíteni kell az RSAT PowerShell Active Directory-modulját):

Get-ADDomainController -Filter * Select-Object név, domain, erdő, OperationMasterRoles | Hol-Object $ _. OperationMasterRoles

Vagy megszerezheti az erdőszintű és tartományszintű szerepkörök FSMO-ját például:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Általános Microsoft-ajánlások az FSMO-szerepköröknek a tartományvezérlőkre helyezéséhez:

  1. Az erdőszintű szerepeknek (sémavezérlőnek és tartománynév-nevező masternek) a gyökértartományvezérlőn kell elhelyezkedniük, amely szintén a globális katalóguskiszolgáló;
  2. Mind a 3 domain FSMO szerepet egy DC-re kell helyezni megfelelő teljesítmény mellett;
  3. Az erdőben az összes DC-nek globális katalóguskiszolgálónak kell lennie ez javítja az AD megbízhatóságát és teljesítményét, míg az Infrastructure Master szerepe gyakorlatilag felesleges. Ha a tartományában DC van a globális katalógus szerep nélkül, akkor rá kell helyeznie az FSMO Infrastructure Master szerepet;
  4. Ne keverje más feladatokat a DC-n, az FSMO szerepek tulajdonosán.

Az Active Directory alkalmazásban az FSMO szerepeket több módon is átviheti: az mmc grafikus AD beépülő modulokkal, az ntdsutil.exe segédprogrammal vagy a PowerShell segítségével. Az FSMO szerepkörök átadására általában az AD infrastruktúra optimalizálásakor gondolkodnak, amikor az FSMO szerepkörrel rendelkező tartományvezérlőt leszerelik vagy lebontják. Kétféle módon lehet átadni az FSMO szerepeket: önkéntes (ha mindkét DC rendelkezésre áll) vagy kötelező (ha az FSMO szerepkörrel rendelkező DC nem érhető el / nem rendelhető)

Az FSMO szerepek átvitele a PowerShell használatával

Az FSMO szerepek átvitelének legegyszerűbb és leggyorsabb módja a tartományban a PowerShell-parancsmag Move-ADDirectoryServerOperationMasterRole.

Egyszerre átvihet egy vagy több FSMO szerepet a megadott DC-be. A következő parancs továbbítja a két szerepet a DC02-re:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

Az érvben OperationMasterRole Megadhatja az FSMO szerep nevét és indexét a táblázatnak megfelelően:

PDCEmulator0
RIDMaster1
InfrastructureMaster2
SchemaMaster3
DomainNamingMaster4

Az előző rövidebb parancs így néz ki:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0.1

Az összes FSMO szerepkör átadása egy további tartományvezérlőre egyszerre:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

FSMO szerepek átvitele az Active Directory grafikus beépülő modulokból

Használhat szabványos Active Directory grafikus beépülő modulokat az FSMO szerepkörök áttelepítéséhez. Az átviteli műveletet előnyösen DC-n hajtjuk végre, FSMO szereppel. Ha a szerverkonzol nem érhető el, akkor a parancsot kell futtatnia A tartományvezérlő módosítása és válassza ki a tartományvezérlőt mmc-snap-ban.

Transfer RID Master, PDC emulátor és infrastruktúra Master Szerepek

A tartomány szintű szerepek (RID, PDC, Infrastructure Master) átviteléhez a szokásos Active Directory felhasználói és számítógépek konzolt (DSA.msc) kell használni.

  1. Nyissa meg az Active Directory felhasználók és számítógépek konzolt;
  2. Kattintson a jobb gombbal a domain nevére, és válassza a lehetőséget Műveleti mester;
  3. Megjelenik egy ablak három lapokkal (RID, PDC, Infrastruktúra), amelyek mindegyikén átviheti a megfelelő szerepet az FSMO szerep új tulajdonosának megadásával és a gombra kattintással. változás.

Séma mester szerepe átadása

Használja az Active Directory séma beépülő modult a Séma mester erdő FSMO szintjének átviteléhez.

  1. A beépülő modul elindítása előtt regisztrálnia kell a schmmgmt.dll könyvtárat a parancssorban lévő parancs futtatásával: regsvr32 schmmgmt.dll 2. Gépelésével nyissa meg az MMC-t MMC a parancssorban;
     3. A menüben válassza a lehetőséget fájl -> Beépülő modul hozzáadása / eltávolítása és adjuk hozzá a konzolt Active Directory séma;
    4. Kattintson a jobb gombbal a konzol gyökerére (Active Directory séma), és válassza a lehetőséget Műveleti mester;
    5. Írja be annak a vezérlőnek a nevét, amelyre az áramkör mesterének szerepe kerül, kattintson a gombra változás és rendben van. Ha a gomb nem érhető el, ellenőrizze, hogy fiókja a Séma adminisztrátorok csoportjának tagja-e.

A domain elnevezés mester szerepének FSMO átadása

  1. Az FSMO domain elnevezés mester szerepének átviteléhez nyissa meg a tartomány és a bizalomkezelő konzolt Active Directory tartományok és vagyonkezelők;
  2. Kattintson a jobb gombbal a domain nevére, és válasszon egy lehetőséget Műveleti mester;
  3. Nyomja meg a gombot változás, adja meg a tartományvezérlő nevét, majd kattintson az OK gombra.

Az FSMO szerepek átvitele a parancssorból az ntdsutil segédprogrammal

Figyelmeztetés: Az ntdsutil segédprogramot óvatosan kell használni, egyértelműen megértve, mit csinál, különben egyszerűen megszakíthatja az Active Directory tartományát!

  1. Nyissa meg a tartományvezérlőn a parancssort, és írja be a következő parancsot: ntdsutil
  2. Írja be a parancsot: szerepek
  3. akkor: kapcsolatok
  4. Ezután csatlakoznia kell a DC-hez, amelybe át szeretné helyezni a szerepet. Ehhez írja be: csatlakozni a szerverhez
  5. belép q és nyomja meg az Enter billentyűt.
  6. Az FSMO szerep átviteléhez használja a következő parancsot: átadási szerep , hol a szerepe, amelyet át szeretne adni. Például: átviteli séma mester, transzfer RID stb..
  7. Erősítse meg az FSMO szerep átadását;
  8. A szerepek átadása után kattintson a gombra q és Enter, hogy kilépjen az ntdsutil.exe fájlból;
  9. Indítsa újra a tartományvezérlőt.

Kényszerítse az FSMO Active Directory szerepkör-rögzítését

Ha az egyik FSMO-szerepkörrel rendelkező DC meghibásodik (és ezt nem lehet visszaállítani), vagy hosszú ideig nem érhető el, erőteljesen elfoghatja az FSMO-szerepkörök bármelyikét. Ugyanakkor rendkívül fontos, hogy ellenőrizze azt a kiszolgálót, amelytől az FSMO szerepet átvette soha nem jelenik meg a hálózaton, ha nem kíván új problémákat az AD-vel (még akkor is, ha később visszaállítja a DC-t a biztonsági másolatból). Ha az elveszített szervert vissza szeretné adni a domainhez, akkor az egyetlen helyes módszer az eltávolítása az AD-ből, a Windows újratelepítése új név alatt, az ADDS szerepkör telepítése és a szerver frissítése tartományvezérlőre.

Az FSMO szerepeket kényszerítheti a PowerShell vagy az NTDSUtil használatával.

Az FSMO szerep elfogásának legegyszerűbb módja a PowerShell. Ehhez ugyanazt a Move-ADDirectoryServerOperationMasterRole parancsmagot kell használni, mint a szerepátvitelhez, de a paraméter hozzáadva -erő.

Például, hogy megragadja a PDCEmulator szerepét és kényszerítse azt a DC02-re történő átvitelre, tegye:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Az FSMO szerepeket az ntdsutil segédprogrammal is átviheti a DC02 kiszolgálóra. A szerep rögzítésének folyamata az ntdsutil segítségével hasonló a rendszeres átvitelhez. Használja a következő parancsokat:

ntdsutil
szerepek
kapcsolatok
csatlakozzon a DC02 szerverhez (átadja a szerepet erre a szerverre)
kilép

Különféle FSMO szerepek rögzítéséhez használja a következő parancsokat:
megragadni séma mester
megragadni elnevezési mester
ragadja meg a megszabadult mestert
megragadni a pdc-t
megragadni az infrastruktúra mesterét
kilép

Kategória