Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Active Directory траблешутинг. Передаем роли FSMO (часть 2).


В предыдущей части, коротко о том, что произошло и что дальше делать. Далее по плану: Передать все роли FSMO на рабочий контроллер (в моем текущем случае рабочий dc2);

О передаче ролей я ранее уже писал здесь, но в рамках траблешутинга решил еще раз наиболее полно аккумулировать информацию.

У нас была авария на PDC, поэтому проверяем, какой dc какими ролями FSMO обладает, и передаем их все на рабочий dc, если это необходимо.

Когда я готовился к экзаменам, я безусловно точно помнил для чего необходима каждая роль, но спустя годы, постепенно детали забываются, не мешает повторить:

Мастер именования доменов
Роль мастера операций для леса. Управляет добавлением и удалением всех разделов каталогов и иерархии леса. Контроллер домена с ролью именования домена с ролью мастера именования доменов необходим для выполнения описанных далее операций.

  • Добавление и удаление доменов
  • Добавление и удаление разделов каталогов приложений
  • Переименование доменов

Мастер схемы
Роль мастера операций для леса. Является единственным контроллером домена, который располагает разрешением записи в схему каталогов. Уведомляет остальные контроллеры домена в лесу об изменении схемы и необходимости выполнить репликацию.

Мастер RID
Роль мастера операций для домена, которая используется для управления пулом идентификаторов RID с целью создания новых принципалов безопасности домене (как, например, пользователи, компьютеры, группы). Если мастер RID в течении некоторого периода времени недоступен, процесс создания новых учетных записей на контроллерах домена может прерваться.

Эмулятор PDC
Роль мастера операций для домена, выполняющая несколько функций:

  • Обеспечивает обновление паролей. Все изменения паролей на других контроллерах в домене пересылаются на эмулятор PDC посредством срочной репликации. В случае отказа проверки подлинности пользователя на контроллере домена, не являющимся эмулятором PDC, проверка подлинности выполняется повторно на эмуляторе PDC. Если эмулятор PDC принял последние изменения проверка подлинности будет пройдена успешно.
  • Главная точка синхронизации времени
  • Принимает изменения в групповых политиках
  • Эммулирует работу PDC NT 4.0

Мастер инфраструктуры
Роль мастера операций для домена. Отвечает за обновление ссылок «группа-пользователь» между доменами, тем самым обеспечивая отражение изменений имен объектов в информации о членстве в группах, локализованных в другом домене. Мастер инфраструктуры поддерживает обновляемый список таких ссылок, а затем реплицирует эту информацию на все остальные контроллеры в домене. Если мастер инфраструктуры не доступен, ссылки «группа-пользователь» обновляться не будут.

Передаем роли через PowerShell:

Cmd: Netdom Query FSMO

PS: Get-AdForest | Select-Object DomainNamingMaster, SchemaMaster

PS: Get-AdDomain |Select-Object InfrastructureMaster, RIDMaster, PDCEmulator

Как видно, наш «битый» контроллер обладает некоторыми ролями, передаем их «живому» dc2:

PS: Move-ADDirectoryServerOperationMasterRole «dc2» PDCEmulator

в примере выше будет перенесена роль PDC эмулятор на наш контроллер dc2.

P.S: Move-ADDirectoryServerOperationMasterRole -Identity «dc2» -OperationMasterRole DomainNamingMaster, SchemaMaster, RIDMaster, PDCEmulator, InfrastructureMaster

Или  сразу передаем все 5 ролей на dc2.

 

Можно это сделать и через графическую оболочку:

Мастер схемы — Active Directory Schema
Мастер именования доменов —
Active Directory Domain and Trusts
Мастер
RID, эмулятор PDC и мастер инфраструктуры — Active Directory Users and Computers

Зарегистрируем библиотеку, чтобы увидеть нужную оснастку.

regsvr32 schmmgmt.dll

Открываем оснастку на dc1, правой кнопкой нажимаем на Схема Active Directory и выбираем Сменить контроллер домена Active Directory;

Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это dc2, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;

 

Или из командной строки с помощью утилиты NTDSUTIL (это более долгий вариант).

Для этого на контроллере домена запускаем команду ntdsutil и последовательно вводим:

  • roles
  • connections
  • connect to server <имя сервера>
  • quit

Теперь вводим команду для захвата конкретной роли:

  • seize schema master
  • seize domain naming master
  • seize pdc
  • seize rid master
  • seize infrastructure master

Для выхода вводим quit.

Из картинки видно, что  теперь  все роли у рабочего контроллера dc2… Это мне как раз и нужно.

Продолжение следует…

Всем хорошей работы!!!

16.04.2019 - Posted by | ms windows 2016

1 комментарий

  1. […] предыдущем посте, передали роли FSMO. Мигрируем Центр Сертификации […]

    Уведомление от Active Directory траблешутинг. Мигрируем ЦС (часть 3). « Blog of Khlebalin Dmitriy | 18.04.2019


Sorry, the comment form is closed at this time.

%d такие блоггеры, как: