كيفية استيلاء ونقل أدوار FSMO (واجهة المستخدم الرسومية وPowerShell)

الدروس التعليمية

يأتي وقت في حياة أي مسؤول لنظام التشغيل الموجَّه أنشطة الدليل النشط (AD) عندما يكون عليه نقل أدوار FSMO (أو استيلادها). تأتي وتذهب مراقبي المجال (DCs) ويجب نقل أدوار FSMO المستضافة على تلك المراقبين.

في هذا البرنامج التعليمي، ستتعلم كيفية نقل واستيلاد جميع أدوار AD FSMO، خطوة بخطوة. سترون كيفية نقل أدوار FSMO عبر أدوات الواجهة الرسومية (GUI) المختلفة وPowerShell.

لنبدأ!

المتطلبات المسبقة

إذا كنت ترغب في المتابعة، يرجى التأكد من توفر المتطلبات التالية:

  • ما لا يقل عن مراقبي المجالين (DCs) – سيتم استخدام Windows Server 2019 في هذا البرنامج التعليمي مع مستوى وظائف الغابة لـ Windows Server 2016، على الرغم من أنه لم يتغير كثيرًا.
  • A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly

ذات الصلة: كيفية تثبيت واستيراد وحدة PowerShell نشطة للدليل

  • Windows PowerShell v5.1
  • قم بتسجيل الدخول باستخدام حساب AD على جهاز متصل بالمجال. لا يلزم امتيازات خاصة للاستعلام عن الأدوار. ومع ذلك، تلزم امتيازات إضافية لنقل أو استيلاد الأدوار.

نقل أدوار FSMO باستخدام واجهة المستخدم الرسومية (GUI)

هناك طريقتان لنقل أدوار FSMO؛ واجهة المستخدم الرسومية (GUI) وPowerShell. دعنا نبدأ أولاً بنقل أدوار FSMO عبر عدة أدوات MMC مختلفة.

محدد الهوية الرئيسي (RID)، ومحدد مراقبة المجال الأول (PDCe) ومحدد البنية

لنبدأ أولاً بتحديد أدوار FSMO الخاصة بالمجال.

  1. افتح ADUC (dsa.msc)، انقر بزر الماوس الأيمن على النطاق واختر مشرفي العمليات. هنا ستجد جميع أدوار FSMO الفريدة للنطاق (مشرف RID ومشرف PDCe ومشرف البنية التحتية) الممثلة من خلال علامات RID و PDC و البنية التحتية.
Domain-specific FSMO roles

2. انقر على كل علامة تبويب. ستلاحظ حامل الدور الحالي لـ دور FSMO (مشرف العمليات) وزر تغيير.

3. انقر على زر تغيير تحت كل علامة تبويب واختر مركز البيانات الجديد لأداء نقل الأدوار FSMO لمشرف RID ومشرف PDCe ومشرف البنية التحتية.

مشرف تسمية النطاق

الآن، لننتقل إلى دور مشرف تسمية النطاق. يمكنك عرض وتغيير هذا الدور FSMO في وحدة تحكم Active Directory Domains and Trusts.

  1. افتح وحدة التحكم Active Directory Domains and Trusts (domain.msc).

2. انقر بزر الماوس الأيمن على Active Directory Domains and Trusts وانقر على مشرفي العمليات. هنا سترى مركز البيانات الحالي الذي يحتفظ بهذا الدور وهو موضح بأنه مشرف عمليات تسمية النطاق.

3. انقر على زر تغيير واختر مركز البيانات الذي ترغب في نقله إليه.

Transferring the domain naming master FSMO role

مشرف المخطط

وأخيرًا دور مشرف المخطط. لتغيير هذا الدور، ستحتاج إلى وحدة التحكم MMC لمخطط Active Directory.

قبل البدء، تأكد أولاً من تسجيل الدخول باستخدام حساب ينتمي إلى مجموعة مسؤولي المخطط.

  1. افتح موجه الأوامر المرتفعة المستوى أو نافذة بووشيل وقم بتشغيل regsvr32.exe "schmmgmt.dll". مكون Snap-in Active Directory Schema غير متوفر افتراضيًا. هذا الأمر يقوم بتسجيل مكتبة الربط الديناميكي اللازمة لإدارة النطاق.

2. افتح أداة mmc.exe.

3. انقر على ملف —> إضافة/إزالة Snap-in.

4. حدد Active Directory Schema من الـ Snap-ins المتاحة وانقر على إضافة > و موافق.

Add the Active Directory Schema in the MMC console

5. بمجرد الدخول إلى الـ Snap-in ، انقر بزر الماوس الأيمن على Active Directory Schema [<اسم النطاق الخاص بك>] واختر مدير العمليات لعرض مدير النطاق الحالي في نافذة منبثقة.

6. انقر على تغيير وحدد مركز النطاق الجديد لنقل دور مدير النطاق.

Transferring the Schema Master role

نقل أدوار FSMO باستخدام بووشيل

إذا كنت تفضل استخدام سطر الأوامر ، فإن بووشيل هو الحل.

عرض حاملي أدوار FSMO الحالية

لنتعلم أولاً كيفية عرض حاملي أدوار FSMO الحالية قبل القيام بنقلها باستخدام بووشيل. للقيام بذلك ، افتح نافذة بووشيل بمستوى الإدارة المرتفعة وقم بتشغيل Get-ADDomain و Get-ADForest للعثور على كل حامل لأدوار FSMO الحالية كما هو موضح أدناه.

Get-ADDomain
Get-ADForest
Running Get-ADDomain
Running Get-ADForest

نقل أدوار FSMO

بمجرد معرفة أي مراقب توزيع المجالات يحتفظ بأدوار FSMO الحالية، يمكنك أيضًا نقلها. للقيام بذلك في سطر الأوامر PowerShell في نظام التشغيل Windows، قم بتشغيل الأمر Move-ADDirectoryServerOperationMasterRole باستخدام معلمة Identity لمراقب توزيع المجالات لنقل دور FSMO إليه (ChildDC1 في هذه الحالة)، ثم اسم دور FSMO. في المثال أدناه يتم نقل دور RID Master.

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

بالنسبة لاسم دور FSMO، يمكنك استخدام PDCEmulator، RIDMaster، InfrastructureMaster، SchemaMaster و DomainNamingMaster.

Transferring FSMO roles with PowerShell

يمكنك أيضًا نقل أكثر من دور في وقت واحد عن طريق تحديد كل اسم دور مفصول بفاصلة، على سبيل المثال Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.

ربما تكون كسولًا حقًا ولا ترغب في كتابة تلك الأسماء الطويلة. في هذه الحالة، يمكنك أيضًا استخدام الأرقام مع كل دور FSMO يقابله رقم محدد.

Role Name Number
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

باستخدام المعرفات بدلاً من أسماء الأدوار، يصبح الأمر لنقل دور PDCE قصيرًا مثل Move-ADDirectoryServerOperationMasterRole ChildDc2 0

سيتم طلب تأكيد نقل اسم دور FSMO، فقط للتأكد من أنك تعرف ما تفعله. نظرًا لأن هذه ليست مهمة متكررة، قد ترغب في النظر في استخدام الأسماء الكاملة للأدوار التي ترغب في نقلها. خاصة إذا كنت تستخدم الأمر في سكربت سيستخدمه شخص آخر؛ فإنه من الأسهل فهمه.

The short, lazy way to transfer the PDCE role

استيلاء أدوار FSMO باستخدام واجهة المستخدم الرسومية

إذا كنت بحاجة لنقل دور FSMO من مركز تحكم المجال الواحد إلى مركز تحكم المجال الآخر، فإن نقل الأدوار هو دائمًا الخيار الأفضل. يضمن نقل الأدوار إزالة دور FSMO بالكامل من المركز القديم ونقله إلى المركز الجديد. ولكن الأمور لا تسير دائمًا على النحو المخطط له.

إذا لم يكن مركز تحكم المجال غير متصل بالشبكة أو قد تعطل بطريقة ما، يمكنك احتكار أدوار FSMO مما يؤدي إلى إنشاء دور FSMO جديد على مركز تحكم المجال الجديد دون إزالة القديم.

احتكار دور FSMO فقط عندما تكون متأكدًا من عدم إمكانية إعادة تشغيل حامل الدور الحالي على الإنترنت. بمجرد استحواذ الدور، تأكد من ألا يتم إعادة تشغيل حامل الدور القديم.

يتم إجراء استحواذ الأدوار باستخدام واجهة المستخدم الرسومية عن طريق إزالة حساب كمبيوتر مركز تحكم المجال ضمن نافذة “مستخدمي Active Directory والحواسيب” (ADUC). للقيام بذلك:

  1. أولاً، قم بتوصيل ADUC بمركز تحكم المجال الذي ترغب في نقل دور FSMO إليه. للقيام بذلك، انقر بزر الماوس الأيمن على مجلد “مستخدمي Active Directory والحواسيب” الجذر وانقر على “تغيير مركز تحكم المجال”.

2. ابحث عن مركز تحكم المجال الذي ترغب في الاتصال به وقم بالاتصال به.

3. انقر على مجلد “مراكز تحكم المجال”.

4. انقر بزر الماوس الأيمن على مركز تحكم المجال الذي ترغب في استحواذ دور FSMO منه وانقر على “حذف”.

Right-click the offline DC account and select Delete

5. بعد ذلك، انقر على “نعم” في المستويين الأولين من الرسائل الموجودة.

Click OK to continue with the deletion process.
Confirm that you want to delete a DC that is a GC

6. في النهاية، ستحصل على رسالة تعلمك أن دور FSMO كان محتفظًا بهذا الكمبيوتر، وسيتم نقل الأدوار إلى مجموعة تحكم قائمة. ستكون هذه المجموعة هي المجموعة التي يتصل بها واجهة تحكم ADUC الخاصة بك. انقر على موافق وسيتم حذف حساب الكمبيوتر الخاص بمجموعة التحكم المتوقفة وسيتم نقل الأدوار إلى المجموعة التحكم الجديدة.

You get a final prompt that the FSMO role(s) will be transferred to another DC. Click OK to seize the role(s) and to complete the deletion wizard

نقل أدوار FSMO باستخدام PowerShell

لنقل أدوار FSMO باستخدام PowerShell، تأكد من فتح نافذة Windows PowerShell وتشغيل الأمر Move-ADDirectoryServerOperationMasterRole وتوفير اسم المجموعة التحكم الجديدة كقيمة لمعلمة Identity بالإضافة إلى معلمة Force.

في المثال التالي، يتم نقل دور RID Master وتعيينه لمجموعة التحكم NewDC3.

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

تنطبق نفس أسماء أدوار FSMO المستخدمة للنقل على أمر Move-ADDirectoryServerOperationMasterRole أيضًا.

الاستنتاج

نقل أدوار FSMO ليس مهمة يومية ولكن عند ترقية مجموعات التحكم الجديدة، إزالة مجموعات التحكم القديمة وإيقاف التشغيل للخوادم، ستحتاج إلى معرفة أدوار FSMO.

اتبع الخطوات في هذا البرنامج التعليمي لمساعدتك في إتمام هذه المهمة!

Source:
https://adamtheautomator.com/transfer-fsmo-roles/