Přenos / zachycení rolí FSMO do jiného řadiče domény Active Directory

V tomto článku se podíváme na to, jak definovat řadiče domény s rolemi FSMO ve službě Active Directory, jak přenést jednu nebo více rolí FSMO do jiného řadiče domény (volitelné) a jak násilně zachytit role FSMO v případě selhání řadiče domény, který vlastní roli..

Obsah:

• Jaké jsou role FSMO v doméně služby Active Directory??
• Zobrazení vlastníků rolí FSMO v doméně
• Přenos rolí FSMO pomocí PowerShell
• Přenos rolí FSMO z modulů snap-in Graphics Active Directory
• Přenos rolí FSMO z příkazového řádku pomocí nástroje ntdsutil Utility
• Vynutit FSMO Active Directory Role Capturing

Jaké jsou role FSMO v doméně služby Active Directory??

Stručně se pokuste vzpomenout, proč požadovaná role FSMO (Flexibilní operace s jedním Master, operace s jedním agentem) v doméně služby Active Directory.

Není žádným tajemstvím, že ve službě Active Directory lze většinu standardních operací (například vytváření nových uživatelských účtů, skupin zabezpečení, přidávání počítače do domény) provádět na libovolném řadiči domény. Služba AD Replication Service je zodpovědná za šíření těchto změn v adresáři AD. Různé konflikty (například současné přejmenování uživatele na několika řadičích domény) jsou vyřešeny jednoduchým principem - kdo je ten poslední, má pravdu. Existuje však řada operací, během nichž je konflikt nepřijatelný (například při vytváření nové podřízené domény / doménové struktury, změny schématu AD atd.). K provádění operací vyžadujících povinnou jedinečnost jsou nutné řadiče domény s rolemi FSMO. Primárním cílem rolí FSMO je zabránit tomuto druhu konfliktů.

Celková doména služby Active Directory může být pět role FSMO.

Dva jedinečné role pro lesní AD:

1. Master schématu - zodpovědný za provádění změn ve schématu Active Directory, například při rozšiřování pomocí příkazu adprep / forestprep (pro správu role jsou vyžadována práva „Schema admins“);
2. Master jmenování domén - poskytuje jedinečnost názvů pro všechny vytvořené domény a části aplikací v doménové struktuře AD (pro správu potřebujete práva „Enterprise admins“);

A tři role pro každého doména (Chcete-li tyto role spravovat, musí být váš účet ve skupině „Domain Admins“):

1. Emulátor PDC - Jedná se o hlavní prohlížeč v síti Windows (Domain Master Browser - potřebný pro normální zobrazení počítačů v síťovém prostředí); monitoruje uživatelské zámky s nesprávným heslem, je hlavním serverem NTP v doméně, používá se pro kompatibilitu s klienty Windows 2000 / NT, používá kořenové servery DFS k aktualizaci informací o oboru názvů;
2. Infrastruktura Master - je zodpovědný za aktualizaci odkazů na objekty napříč doménami, příkaz se na něm také provede adprep / domainprep.
3. RID Master (RID Master) -server distribuuje RID do jiných řadičů domény (v dávkách 500 kusů) a vytváří jedinečné identifikátory objektu - SID.

Zobrazení vlastníků rolí FSMO v doméně

Jak určit, který řadič domény je vlastníkem / vlastníkem konkrétní role FSMO?

Chcete-li najít všechny vlastníky rolí FSMO v doméně AD, spusťte příkaz:

netdom dotaz fsmo

Master schématu dc01.domain.loc Master jmenování domén dc01.domain.loc PDC dc01.domain.loc RID pool manager dc01.domain.loc Master infrastruktury dc01.domain.loc

Můžete zobrazit role FSMO pro jinou doménu:

netdom dotaz fsmo /domain:contoso.com

Tento příklad ukazuje, že všechny role FSMO jsou umístěny v řadiči domény DC01. Při nasazení nové doménové struktury AD (domény) jsou všechny role FSMO umístěny na první řadič domény. Kterýkoli řadič domény s výjimkou řadiče domény jen pro čtení může být hlavním uživatelem libovolné role FSMO. Správce domény může tedy převést jakoukoli roli FSMO na jakýkoli jiný řadič domény.

Informace o rolích FSMO v doméně můžete získat přes PowerShell pomocí Get-ADDomainController (musí být nainstalován modul Active Directory pro PowerShell z RSAT):

Get-ADDomainController -Filter * | Název Select-Object, Domain, Forest, OperationMasterRoles | Where-Object $ _. OperationMasterRoles

Nebo můžete získat FSMO rolí na úrovni domén a domén:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

Obecná doporučení společnosti Microsoft pro umístění rolí FSMO do řadičů domény:

1. Role na úrovni doménové struktury (hlavní server schématu a hlavní server názvů domén) musí být umístěn na kořenovém řadiči domény, který je také serverem globálního katalogu;
2. Všechny 3 role FSMO domény musí být umístěny na jednom DC s dostatečným výkonem;
3. Všechny řadiče domény v doménové struktuře musí být servery globálního katalogu, jako to zvyšuje spolehlivost a výkonnost AD, zatímco role Infrastruktury je prakticky zbytečná. Pokud ve vaší doméně máte řadič domény bez role globálního katalogu, musíte na ni umístit roli hlavního správce infrastruktury FSMO;
4. Na DC, majitelé rolí FSMO, nemíchejte další úkoly.

Ve službě Active Directory můžete přenášet role FSMO několika způsoby: pomocí grafických modulů snap-in mmc, pomocí obslužného programu ntdsutil.exe nebo pomocí prostředí PowerShell. Přenos rolí FSMO se obvykle předpokládá při optimalizaci infrastruktury AD, při vyřazování z provozu nebo při poruše řadiče domény s rolí FSMO. Existují dva způsoby přenosu rolí FSMO: dobrovolné (pokud jsou k dispozici oba DC) nebo nucen (pokud je DC s rolí FSMO nedostupný / mimo provoz)

Přenos rolí FSMO pomocí PowerShell

Nejjednodušší a nejrychlejší způsob, jak přenést role FSMO v doméně, je rutina PowerShell Move-ADDirectoryServerOperationMasterRole.

Můžete současně přenést jednu nebo více rolí FSMO na určený řadič domény. Následující příkaz převede obě role na DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

V argumentu OperationMasterRole Název role FSMO a její index můžete určit v souladu s tabulkou:

Předchozí příkaz v kratší podobě vypadá takto:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0.1

Chcete-li převést všechny role FSMO na další řadič domény najednou, proveďte následující kroky:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Přenos rolí FSMO z modulů snap-in Graphics Active Directory

K migraci rolí FSMO můžete použít standardní grafické moduly Active Directory. Operace přenosu se s výhodou provádí na DC s rolí FSMO. Pokud konzola serveru není k dispozici, musíte spustit příkaz Změnit řadič domény a vyberte řadič domény v mmc-snap.

Přeneste hlavní role RID, emulátor PDC a hlavní role infrastruktury

K přenosu rolí na úrovni domény (RID, PDC, Infrastruktura Master) se používá standardní konzola Uživatelé a počítače služby Active Directory (DSA.msc)

1. Otevřete konzolu Uživatelé a počítače služby Active Directory;
2. Klepněte pravým tlačítkem myši na název vaší domény a vyberte možnost Operační velitel;
3. Uvidíte okno se třemi kartami (RID, PDC, Infrastruktura), na kterých můžete přenést příslušnou roli zadáním nového vlastníka role FSMO a kliknutím na tlačítko Změnit.

Převod rolí schématu

Pomocí modulu snap-in Schéma služby Active Directory můžete přenést úroveň FSMO doménové struktury Schema Master.

1. Před spuštěním modulu snap-in je třeba zaregistrovat knihovnu schmmgmt.dll spuštěním příkazu na příkazovém řádku: regsvr32 schmmgmt.dll 2. Otevřete MMC zadáním MMC na příkazovém řádku;
   3. V nabídce vyberte Soubor -> Přidat nebo odebrat modul snap-in a přidejte konzolu Schéma služby Active Directory;
   4. Pravým tlačítkem myši klikněte na kořen konzoly (schéma Active Directory) a vyberte Operační velitel;
   5. Zadejte název řadiče, do kterého je přenesena role hlavního obvodu, klikněte na Změnit a OK. Pokud tlačítko není k dispozici, ověřte, zda je váš účet členem skupiny Schema admins.

Přenos FSMO hlavní role pojmenování domény

1. Chcete-li přenést roli hlavního serveru pro pojmenování domény FSMO, otevřete konzolu pro správu domény a důvěryhodnosti Domény a vztahy důvěryhodnosti služby Active Directory;
2. Klikněte pravým tlačítkem na název vaší domény a vyberte možnost Operační velitel;
3. Stiskněte tlačítko Změnit, zadejte název řadiče domény a klikněte na OK.

Přenos rolí FSMO z příkazového řádku pomocí nástroje ntdsutil Utility

Pozor: Je nutné používat nástroj ntdsutil s opatrností, jasně pochopit, co děláte, jinak můžete jednoduše rozbít vaši Active Directory doménu!

1. V řadiči domény otevřete příkazový řádek a zadejte příkaz: ntdsutil
2. Zadejte příkaz: role
3. Pak: spojení
4. Pak se musíte připojit k řadiči domény, do kterého chcete roli převést. Chcete-li to provést, zadejte: připojit se k serveru
5. Vstoupit q a stiskněte klávesu Enter.
6. Chcete-li přenést roli FSMO, použijte příkaz: přenosová role , kde je role, kterou chcete převést. Například: přenos hlavního schématu, převod RID atd.
7. Potvrdit převod role FSMO;
8. Po převodu rolí klikněte na q a Enter pro ukončení ntdsutil.exe;
9. Restartujte řadič domény.

Vynutit FSMO Active Directory Role Capturing

Pokud řadič domény s jednou z rolí FSMO selže (a není možné jej obnovit) nebo je dlouhodobě nedostupný, můžete z něj násilně zachytit jakoukoli roli FSMO. Zároveň je však nesmírně důležité zajistit, aby server, ze kterého byla převzata role FSMO nikdy by se neměl objevit v síti, pokud nechcete mít nové problémy s AD (i když později obnovíte DC ze zálohy). Pokud chcete vrátit ztracený server do domény, jediným správným způsobem je odebrat jej z AD, vyčistit přeinstalaci systému Windows pod novým názvem, nainstalovat roli ADDS a upgradovat server na řadič domény

Role FSMO můžete vynutit pomocí PowerShell nebo NTDSUtil.

Nejjednodušší způsob, jak zachytit roli FSMO, je přes PowerShell. K tomu se používá stejný rutina Move-ADDirectoryServerOperationMasterRole jako pro přenos role, ale parametr je přidán -Síla.

Chcete-li například uchopit roli PDCEmulatoru a přinutit ji, aby byla přenesena do DC02, proveďte následující kroky:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator -Force

Role FSMO můžete také přenést na server DC02 pomocí obslužného programu ntdsutil. Proces zachycení role pomocí ntdsutil je podobný běžnému přenosu. Použijte následující příkazy:

ntdsutil
role
spojení
připojit se k serveru DC02 (roli přenesete na tento server)
přestaň

Chcete-li zachytit různé role FSMO, použijte příkazy:
chopit se hlavního schématu
obsadit pojmenování pána
chytit zbaveného pána
chopit se pdc
chopte se velitele infrastruktury
přestaň