Prenos / zajem vlog FSMO na drug krmilnik domene Active Directory

V tem članku bomo pogledali, kako definirati krmilnike domen z vlogami FSMO v Active Directory, kako prenesti eno ali več vlog FSMO na drug krmilnik domene (neobvezno) in kako prisilno zajeti vloge FSMO v primeru nedelovanja upravljavca domene, ki je lastnik vloge.

Vsebina:

• Zakaj so vloge FSMO v domeni Active Directory??
• Ogled lastnikov vlog FSMO v domeni
• Prenos vlog FSMO z uporabo PowerShell-a
• Prenos vlog FSMO iz vtičnikov Active Directory Graphics
• Prenos vlog FSMO iz ukazne vrstice s pomočjo ntdsutil Utility
• Prisilite zajem vloge aktivnega imenika FSMO

Zakaj so vloge FSMO v domeni Active Directory??

Na kratko se spomnite, zakaj želeno vlogo FSMO (Prilagodljivo enotno glavno delovanje, operacije z enim agentom) v domeni Active Directory.

Ni skrivnost, da je v Active Directoryu večino običajnih operacij (na primer ustvarjanje novih uporabniških računov, varnostnih skupin, dodajanje računalnika domeni) mogoče izvajati na katerem koli regulatorju domene. Služba za podvajanje AD je odgovorna za širjenje teh sprememb po celotnem imeniku AD. Različne konflikte (na primer istočasno preimenovanje uporabnika na več domenskih krmilnikov) rešuje preprosto načelo - kdo je zadnji prav. Vendar pa obstaja več operacij, med katerimi konflikt ni sprejemljiv (na primer pri ustvarjanju nove podrejene domene / gozda, spremembi sheme AD itd.). Za izvajanje operacij, ki zahtevajo obvezno edinstvenost, so potrebni krmilniki domen z vlogami FSMO. Glavni cilj vlog FSMO je preprečiti tovrstne konflikte.

Skupna domena aktivnega imenika je lahko pet vloge FSMO.

Dva edinstvene vloge za gozd AD:

1. Mojster sheme - odgovoren za spreminjanje sheme Active Directory, na primer pri razširitvi z ukazom adprep / Forestprep (za upravljanje vloge so potrebne pravice "Administratorji sheme");
2. Vodja poimenovanja domen - zagotavlja edinstvenost imen za vse ustvarjene domene in razdelke aplikacij v AD gozdu (za upravljanje potrebujete pravice "Enterprise admins");

In trije vloge za vse domena (če želite upravljati te vloge, mora biti vaš račun v skupini »Administratorji domen«):

1. Emulator PDC - Je glavni brskalnik v omrežju Windows (Domain Master Browser - potreben za normalen prikaz računalnikov v omrežnem okolju); nadzira uporabniške ključavnice z napačnim geslom, je glavni strežnik NTP v domeni, uporablja se za združljivost s strankami Windows 2000 / NT in ga uporabljajo korenski strežniki DFS za posodabljanje podatkov o imenskem prostoru;
2. Poveljnik infrastrukture - je odgovoren za posodabljanje referenc predmetov med domenami, ukaz se izvaja tudi na njem adprep / domainprep.
3. Glavni RID (glavni RID) -strežnik distribuira RID-e drugim krmilnikom domen (v serijah po 500 kosov), da ustvari edinstvene identifikatorje predmeta - SID.

Ogled lastnikov vlog FSMO v domeni

Kako določiti, kateri krmilnik domene je lastnik / lastnik določene vloge FSMO?

Če želite najti vse lastnike vlog FSMO v domeni AD, zaženite ukaz:

poizvedovanje o netdom fsmo

Glavni shema dc01.domain.loc Glavni poimenovanje domen dc01.domain.loc PDC dc01.domain.loc Upravitelj bazena RID dc01.domain.loc Vodja infrastrukture dc01.domain.loc

Vloge FSMO si lahko ogledate za drugo domeno:

poizvedba o omrežju fsmo /domain:contoso.com

Ta primer kaže, da so vse vloge FSMO nameščene na krmilniku domene DC01. Ko postavite nov gozd AD (domena), so vse vloge FSMO postavljene v prvi DC. Vsak krmilnik domene razen RODC je lahko voditelj katere koli vloge FSMO. Skladno s tem lahko skrbnik domene prenese katero koli vlogo FSMO na katerega koli drugega upravljavca domene.

Informacije o vlogah FSMO v domeni lahko dobite prek PowerShell z Get-ADDomainController (treba je namestiti modul Active Directory za PowerShell iz RSAT):

Get-ADDomainController -Filter * | Izberi-ime predmeta, domena, gozd, operacijaMasterRoles | Where-Object $ _. OperationMasterRoles

Lahko pa dobite FSMO ravni gozdov in vlog na ravni domene, kot je ta:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Izberite-Predmet DomainNamingMaster, SchemaMaster

Splošna Microsoftova priporočila za dajanje vlog FSMO na krmilnike domen:

1. Vloge na ravni gozda (vodja sheme in mojster poimenovanja domen) morajo biti nameščene na korenskem regulatorju domene, ki je tudi globalni strežnik katalogov;
2. Vse 3 vloge domene FSMO morajo biti nameščene na enem DC z zadostno zmogljivostjo;
3. Vsi DC-ji v gozdu morajo biti globalni strežniki katalogov, kot to izboljšuje zanesljivost in uspešnost AD, medtem ko vloga glavnega vodja infrastrukture skorajda ni potrebna. Če imate DC v svoji domeni brez vloge Globalnega kataloga, morate nanjo postaviti glavno vlogo FSMO Infrastructure Master;
4. Ne mešajte drugih nalog na DC-ju, lastnike vlog FSMO.

V Active Directory lahko vloge FSMO prenašate na več načinov: z uporabo vtičnikov graficni AD mmc, s pomočjo pripomočka ntdsutil.exe ali prek PowerShell. Prenos vlog FSMO običajno razmišljamo pri optimizaciji infrastrukture AD, pri razgradnji ali razčlenitvi krmilnika domene z vlogo FSMO. Obstajata dva načina za prenos vlog FSMO: prostovoljno (kadar sta na voljo oba DC-ja) ali prisiljen (če DC z vlogo FSMO ni na voljo / ni na voljo)

Prenos vlog FSMO z uporabo PowerShell-a

Najlažji in najhitrejši način za prenos vlog FSMO v domeni je ukazni program PowerShell Move-ADDirectoryServerOperationMasterRole.

Naenkrat lahko prenesete eno ali več vlog FSMO v določeni DC. Naslednji ukaz bo dve vlogi prenesel v DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

V argumentu OperationMasterRole V skladu s tabelo lahko določite tako ime vloge FSMO kot tudi njegov indeks:

Prejšnji ukaz v krajši obliki izgleda takole:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

In za prenos vseh vlog FSMO na dodatni krmilnik domene naenkrat:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Prenos vlog FSMO iz vtičnikov Active Directory Graphics

Za migriranje vlog FSMO lahko uporabite standardne grafične vtičnike Active Directory. Operacija prenosa se prednostno izvaja na DC-ju z vlogo FSMO. Če konzola strežnika ni na voljo, morate zagnati ukaz Spremenite krmilnik domene in v mmc-snap izberite krmilnik domene.

Prenos glavnega RID-a, PDC emulatorja in glavne vloge infrastrukture

Za prenos vlog na ravni domene (RID, PDC, vodja infrastrukture) se uporablja standardna konzola za uporabnike in računalnike Active Directory (DSA.msc).

1. Odprite konzolo Uporabniki in računalniki Active Directory;
2. Z desno miškino tipko kliknite ime vaše domene in izberite Mojster operacij;
3. Videlo se bo okno s tremi zavihki (RID, PDC, infrastruktura), na katerega lahko prenesete ustrezno vlogo, tako da določite novega lastnika vloge FSMO in kliknete gumb Spremeni se.

Prenos glavnih vlog v shemi

Uporabite priključek sheme Active Directory za prenos ravni FSMO gozda Master sheme.

1. Pred zagonom vtičnika morate registrirati knjižnico schmmgmt.dll, tako da v ukaznem pozivu zaženete ukaz: regsvr32 schmmgmt.dll 2. Odprite MMC tako, da vtipkate MMC v ukazni vrstici;
   3. V meniju izberite Datoteka -> Dodajanje / odstranjevanje vtičnika in dodajte konzolo Shema aktivnega imenika;
   4. Z desno tipko miške kliknite koren konzole (shema aktivnega imenika) in izberite Mojster operacij;
   5. Vnesite ime regulatorja, na katerega je prenesena vloga vodje vezja, kliknite Spremeni se in v redu. Če gumb ni na voljo, preverite, ali je vaš račun član skrbniške skupine Schema.

FSMO prenos glavne vloge poimenovanja domene

1. Če želite prenesti glavno vlogo poimenovanja domene FSMO, odprite konzolo za upravljanje domene in zaupanja Domene in zaupanja Active Directory;
2. Z desnim klikom na ime vaše domene in izberite možnost Mojster operacij;
3. Pritisnite gumb Spremeni se, določite ime regulatorja domene in kliknite V redu.

Prenos vlog FSMO iz ukazne vrstice s pomočjo ntdsutil Utility

Pozor: Uporabiti morate orodje ntdsutil previdno in jasno razumeti, kaj počnete, sicer lahko preprosto prekinete domeno Active Directory!

1. Na krmilniku domene odprite ukazni poziv in vnesite ukaz: ntdsutil
2. Vnesite ukaz: vloge
3. Nato: povezave
4. Potem se morate povezati z DC, na katerega želite prenesti vlogo. Če želite to narediti, vnesite: povezati s strežnikom
5. Vnesite q in pritisnite Enter.
6. Za prenos vloge FSMO uporabite ukaz: prenosna vloga , kje je vloga, ki jo želite prenesti. Na primer: vodja sheme prenosa, prenos RID itd.
7. Potrdite prenos vloge FSMO;
8. Po prenosu vlog kliknite q in Enter, da zapustite ntdsutil.exe;
9. Znova zaženite krmilnik domene.

Prisilite zajem vloge aktivnega imenika FSMO

Če DC z eno od vlog FSMO ne uspe (in je ni mogoče obnoviti) ali je dalj časa nedosegljiv, lahko iz nje prisilno prestrežete katero od vlog FSMO. Vendar je hkrati izjemno pomembno, da se prepričate, ali je strežnik, s katerega je bila prevzeta vloga FSMO nikoli se ne smejo pojavljati v omrežju, če ne želite novih težav z AD (tudi če pozneje obnovite DC iz varnostne kopije). Če želite izgubljeni strežnik vrniti v domeno, je edini pravi način, da ga odstranite iz AD-ja, očistite ponovno namestitev sistema Windows pod novim imenom, namestite vlogo ADDS in nadgradite strežnik na krmilnik domene

Prisilite lahko zajemanje vlog FSMO z uporabo PowerShell ali NTDSUtil.

Najlažji način za zajem vloge FSMO je prek PowerShell-a. Za to se uporablja isti cmdlet Move-ADDirectoryServerOperationMasterRole kot za prenos vlog, vendar je dodan parameter -Sila.

Na primer, da prevzamete vlogo PDCEmulatorja in ga prisilite, da se prenese na DC02, naredite:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Vloge FSMO lahko prenesete tudi na strežnik DC02 s pomočjo pripomočka ntdsutil. Postopek zajemanja vloge prek ntdsutil je podoben običajnemu prenosu. Uporabite naslednje ukaze:

ntdsutil
vloge
povezave
povežite se s strežnikom DC02 (vlogo boste prenesli na ta strežnik)
odnehati

Za zajem različnih vlog FSMO uporabite ukaze:
zaseg mojster sheme
izkoristite poveljnika poimenovanja
zapleni mojster
zaseg pdc
zasegli poveljnika infrastrukture
odnehati