• Ваш кошик порожній!

Сервісний центр VPSGroup ремонт комп'ютерної техніки, заправка картриджів, ремонт оргтехніки, Київ, Виставковий центр, Васильківська, 55

Передача і захоплення ролей FSMO.

31/10/2021

Визначившись з призначенням ролей FSMO розглянемо варіанти передачі ролей іншому контролеру домену, а також примусове призначення, або «захоплення» ролі в разі недоступності контролера домену, який її виконує.

при створенні домену, за замовчуванням всі ролі призначаються першому контролеру домену в лісі.Перепризначення ролей потрібно вкрай рідко. Microsoft рекомендує використовувати передачу ролей FSMO в наступних випадках:

• Планове зниження ролі контролера домену, який є володарем ролей FSMO, наприклад з метою виведення сервера з експлуатації;
• Тимчасове відключення контролера домену, наприклад для виконання профілактичних робіт.В цьому випадку його ролі мають бути призначені іншому, працюючому контролеру домену. Це особливо необхідно при відключенні емулятора PDC. Тимчасове відключення інших господарів операцій в меншій мірі позначається на роботі AD.

Захоплення ролей FSMO проводиться в наступних випадках:

• Якщо в роботі поточного володаря ролі FSMO виникли збої, що перешкоджають успішному виконанню функцій , властивих цій ролі, і не дають виконати передачу ролі;
• На контролері домену, який був володарем ролі FSMO, переінстальовано або не завантажується операційна система;
• Роль контролера домену, що була власником ролі FSMO, була примусово знижено за допомогою команди dcpromo/forceremoval.

Примітка. Починаючи з Windows Server 2003 SP1 при виконанні команди dcpromo/forceremoval здійснюється перевірка, чи має контролер домену роль господаря операцій, є DNS-сервером або сервером глобального каталогу. Для кожної з цих ролей Ви отримуватимете оповіщення з вказівками щодо виконання відповідних дій.

В тому випадку, якщо в домені два або більше контролерів, насамперед нам необхідно з'ясувати, хто є власником кожної з ролей FSMO. Це досить просто зробити за допомогою команди netdom query fsmo



Ну а тепер приступимо до передачі ролей. Є кілька варіантів дій, розглянемо їх все по порядку.Варіант перший, найпростіший і найдоступніший.

Добровільна передача ролей FSMO за допомогою оснасток управління Active Directory

Для передачі ролей рівня домену (RID Master, PDC Emulator і Infrastructure Master) використовуємо оснащення Active Directory Користувачі і комп'ютери (Users and Computers). Для цього заходимо на контролер домену, якому хочемо передати ролі, запускаємо оснащення і клацнувши правою клавішею миші на потрібному домені, вибираємо пункт «Господарі операцій».



У вікні вибираємо потрібну нам роль (в нашому прикладі RID Master) і натискаємо кнопку « змінити ».



Далі підтверджуємо перенесення ролі



І дивимося на результат. Справу зроблено, роль передана іншого сервера.



Передача ролі Domain Naming Master здійснюється з оснащення Active Directory Домени і довіру (Domains and Trust).Запускаємо оснащення, при необхідності підключаємося до потрібного контролера домену, клацаємо правою клавішею миші в корені оснащення і вибираємо пункт меню «Господар операцій».



Відкривається знайоме вікно, в якому треба натиснути кнопку «Змінити», а потім підтвердити зміни так само, як і в попередньому прикладі.



З роллю Schema Master справи йдуть трохи складніше. Для передачі цієї ролі необхідно попередньо зареєструвати в системі бібліотеку управління схемою Active Directory. Робиться це за допомогою команди regsvr32 schmmgmt.dll, введеної в вікні Виконати (Run).



потім відкриваємо консоль MMC і додаємо в неї оснащення Схема Active Directory.



Ну а далі заходимо в оснастку і діємо аналогічно попереднім прикладам.



Якщо з якихось причин не вдається передати ролі за допомогою графічних оснасток, а також для любителів командного рядка є другий варіант:

Добровільна передача ролей fsmo за допомогою Ntdsutil

ntdsutil.exe - утиліта командного рядка, призначена для обслуговування каталогу Active Directory. Вона представляє із себе потужний інструмент управління, і в число її можливостей входить передача і захоплення ролей FSMO.

Для передачі ролей заходимо на будь-який контролер домену, розташований в тому лісі, в якому слід виконати передачу ролей FSMO.Рекомендується увійти в систему на контролері домену, якому призначаються ролі FSMO. Запускаємо командний рядок і вводимо команди в такій послідовності:

  • ntdsutil
  • roles
  • connections
  • connect to server
  • q

Після успішного підключення до сервера ми отримуємо запрошення до управління ролями (fsmo maintenance), і можемо почати передавати ролі:

  • transfer domain naming master - передача ролі господаря доменних імен.
  • transfer infrastructure master - передача ролі господаря інфраструктури;
  • transfer rid master - передача ролі володаря RID;
  • transfer schema master - передача ролі господаря схеми;
  • transfer pdc - передача ролі емулятора PDC.

Для завершення роботи Ntdsutil вводимо команду q і натискаємо Enter.

Примітка.Починаючи з Windows Server 2008R2 команда для передачі ролі господаря доменних імен transfer naming master.

Як приклад передамо роль Infrastructure Master сервера SRV2 і перевіримо результат.



Ну і третій, найсумніший варіант розвитку подій:

Примусове призначення ролей fsmo за допомогою Ntdsutil

Примусове призначення, або захоплення ролей виробляються тільки в разі повного виходу з ладу сервера, з неможливістю його відновлення.Якщо можливо, краще відновити працездатність вийшов з ладу контролера домену, якому призначено ролі FSMO. Сама процедура захоплення не особливо відрізняється від передачі ролей. Заходимо на контролер домену, якому хочемо передати ролі і послідовно вводимо в командному рядку:

  • ntdsutil
  • roles
  • connections
  • connect to server
  • q

Для захоплення ролей FSMO використовується команда seize

  • seize domain naming master - захоплення ролі господаря доменних імен;
  • seize infrastructure master - захоплення ролі господаря інфраструктури;
  • seize rid master - захоплення ролі володаря RID;
  • seize schema master - захоплення ролі господаря схеми;
  • seize pdc - захоплення ролі емулятора PDC.

Примітка. Починаючи з Windows Server 2008R2 команда для захоплення ролі господаря доменних імен seize naming master.

Як приклад відберемо у сервера SRV2 передану йому роль Infrastructure Master і передамо її сервера DC1. Як видно з прикладу, спочатку робиться спроба передачі ролі, і тільки в разі неможливості цього дії здійснюється захоплення.



І ще кілька важливих моментів, які потрібно врахувати при передачі \ захопленні ролей FSMO:

• для передачі ролей рівня домену (RID Master, PDC Emulator і Infrastructure Master) ваш обліковий запис повинен бути членом групи адміністраторів домену (Domain admins), а для передачі ролей рівня лісу (Domain Naming Master і Schema Master) - адміністратори підприємства (Enterprise Admins).
• По можливості не призначайте роль Infrastructure Master контролера домену, який є сервером глобального каталогу, оскільки в цьому випадку він не буде оновлювати відомості про об'єкти. Причина такої поведінки полягає в тому, що сервер глобального каталогу зберігає часткові репліки всіх об'єктів в лісі.
• У разі захоплення ролей FSMO контролер домену, який раніше виконував ці ролі, ні в якому разі не можна повертати назад, тому що при його появі в мережі виникне конфлікт, що може викликати проблеми в роботі домену. Крім того, його необхідно видалити з Active Directory. У Windows Server 2008 і 2008 R2 це можна зробити, просто видаливши об'єкт сервера в оснащенні Active Directory Користувачі і комп'ютери, а в Windows Server 2003 за допомогою програми Ntdsutil, використовуючи команду ntdsutil - metadata cleanup.Детальніше про це можна почитати в техпідтримку Microsoft http://support.microsoft.com/kb/216498.

.