איך להשתלב ולהעביר תפקידי FSMO (ממשק משתמש גרפי ופוורשל)

מדריכים

יש רגע בכל קריירת מנהל Active Directory (AD) שבה יש להעביר או להשתלב בהם (לכבוד החלפת השלטון). בשרתי הכניסה (DCs) מתחלפים והשלטונות של FSMO המארחים אותם חייבים להיעבר.

במדריך זה, תלמד כיצד להעביר ולהשתלב בכל השלטונות של AD FSMO, שלב אחרי שלב. תראה כיצד להעביר שלטונות FSMO דרך כלי GUI שונים וגם דרך PowerShell.

בואו נתחיל!

דרישות מוקדמות

אם ברצונך להתקדם במדריך, ודא שיש לך את הדברים הבאים:

  • לפחות שני שרתי כניסה (DCs) – במדריך זה נעשה שימוש ב- Windows Server 2019 עם רמת פונקציונליות יער של Windows Server 2016, אף שלא השתנה הרבה.
  • A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly

נושא קשור: איך להתקין ולייבא את מודול PowerShell של Active Directory

  • Windows PowerShell v5.1
  • התחבר עם חשבון AD למחשב המחובר לתחום. לשאילתא אחר השלטונות אין צורך בהרשאות מיוחדות. עם זאת, הרשאות נוספות נדרשות להעברת השלטונות או להשתלב בהם.

העברת שלטונות FSMO עם ה-GUI

ישנם שני אופנים להעברת השלטונות FSMO: ה-GUI וה-PowerShell. בוא נתחיל בהתעדכן בהעברת השלטונות FSMO דרך מספר כלי MMC שונים.

RID Master, PDCe ו-Infrastructure Master

בוא נתחיל ראשית בטפסט את שלטונות ה-FSMO הספציפיים לתחום.

  1. פתח את ADUC (dsa.msc), לחץ ימינה על הדומיין ובחר Operations Masters. כאן תמצא את כל תפקידי FSMO הייחודיים לדומיין (RID Master, PDCe ו-Infrastructure Master) מיוצגים דרך הלשוניות RID, PDC ו-Infrastructure.
Domain-specific FSMO roles

2. לחץ על כל לשונית. תראה את ה-FSMO role הנוכחי (Operations master) ולחץ על לחצן Change.

3. לחץ על לחצן Change מתחת לכל לשונית ובחר ב-DC החדש לביצוע העברות עבור RID Master, PDCe ו-Infrastructure Master FSMO roles.

מנהל שמות דומיין

אחרי זאת, בוא נמשיך לתפקיד של מנהל שמות הדומיין. תוכל להציג ולשנות את תפקיד זה ב-Active Directory Domains and Trusts Console.

  1. פתח את חלון ה-Active Directory Domains and Trusts Console (domain.msc).

2. לחץ ימינה על Active Directory Domains and Trusts ולחץ על Operations Master. כאן תראה את ה-DC הנוכחי החוזה את התפקיד מתואר כ-Domain naming operations master.

3. לחץ על לחצן Change ובחר ב-DC שברצונך להעביר אליו.

Transferring the domain naming master FSMO role

Schema Master

הבא והאחרון הוא תפקיד של Schema Master. כדי לשנות תפקיד זה, תצטרך ב-Active Directory Schema MMC snap-in.

לפני שתתחיל, וודא שאתה מחובר עם חשבון שנמצא בקבוצת ה- Schema Administrators AD.

  1. פתח פקודת פרומט מוגבהת או קונסולת PowerShell והרץ את regsvr32.exe "schmmgmt.dll". Snap-in של Active Directory Schema אינו זמין כברירת מחדל. פקודה זו מרשימה את ה-DLL הנדרש לניהול סכימה.

2. פתח את התוכנית mmc.exe.

3. לחץ על קובץ —> הוסף/הסר Snap-in.

4. בחר Active Directory Schema מתוך ה-snap-ins הזמינים ולחץ על הוסף > ואז אישור.

Add the Active Directory Schema in the MMC console

5. בפעם הבאה ב-snap-in, לחץ עם העכבר ימינה על Active Directory Schema [<שם הדומיין שלך>] ובחר מנהל פעולות כדי לצפות ב-Master Schema הנוכחי בחלון הקופץ.

6. לחץ על שנה ובחר את ה-DC החדש להעברת תפקיד ה-Master Schema.

Transferring the Schema Master role

העברת תפקידי FSMO בעזרת PowerShell

אם אתה יותר במצב לשורת הפקודות, PowerShell מכסה אותך.

צפייה במחזיקי תפקידי FSMO הנוכחיים

התחילו ראשית בלמד איך לצפות במחזיקי התפקידים הנוכחיים של FSMO לפני העברתם עם PowerShell. כדי לעשות זאת, פתח קונסולת PowerShell מוגבהת בחלון Windows והרץ את Get-ADDomain ואת Get-ADForest כדי למצוא את כל מחזיקי תפקידי FSMO הנוכחיים כפי שמוצג למטה.

Get-ADDomain
Get-ADForest
Running Get-ADDomain
Running Get-ADForest

העברת תפקידי FSMO

כאשר אתה יודע אילו שרתי DC מחזיקים את תפקידי FSMO הנוכחיים, אתה יכול להעביר אותם גם. כדי לעשות זאת ב-Windows PowerShell, הריץ את הפקודה Move-ADDirectoryServerOperationMasterRole עם הפרמטר Identity עבור ה-DC שברצונך להעביר את תפקיד ה-FSMO אליו (ChildDC1 במקרה זה), ואז את שם תפקיד ה-FSMO. בדוגמה למטה אנו מעבירים את תפקיד ה-RID Master.

Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" RidMaster

לשם התפקיד FSMO, תוכל להשתמש ב־PDCEmulator, RIDMaster, InfrastructureMaster, SchemaMaster ו־DomainNamingMaster.

Transferring FSMO roles with PowerShell

בנוסף, ניתן להעביר יותר מתפקיד אחד בו זמנית על ידי הגדרת שם התפקיד כלאחר נפרד מופרד בפסיק, לדוגמה Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.

אולי אתה מאוד עצלן ולא רוצה להקליד את השמות הארוכים האלו. במקרה כזה, תוכל גם פשוט להשתמש במספרים עם כל תפקיד FSMO המתאים למספר מסוים.

Role Name Number
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4

בשימוש בזיהויים במקום שמות התפקידים, הפקודה להעברת תפקיד ה-PDCE קצרה כמו Move-ADDirectoryServerOperationMasterRole ChildDc2 0

אתה מתבקש לגבי העברת שם תפקיד ה-FSMO, כדי לוודא שאתה יודע מה אתה עושה. מכיוון שזה אינו משימה תכופה, עשוי להיות שתרצה לשקול להשתמש בשם(שמות) המלא(ים) של התפקיד(ים) שברצונך להעביר. במיוחד אם אתה משתמש בפקודה בתסריט שמישהו אחר ישתמש בו; זה יותר קל להבנה.

The short, lazy way to transfer the PDCE role

השליכה של תפקידי FSMO עם ה-GUI

אם יש צורך להעביר תפקיד FSMO מ-DC אחד לאחר, העברת תפקידים היא תמיד האופציה הטובה ביותר. ההעברה מבטיחה שתפקיד ה-FSMO מוסר לחלוטין מה-DC הישן ומועבר ל-DC החדש. אך הדברים לא תמיד הולכים כמתוכנן.

אם DC אינו מקוון עוד או נכשל בצורה כלשהי, ניתן לחטוף תפקידי FSMO, שבעצם בונה תפקיד FSMO חדש ב-DC חדש ללא הסרת הישן.

חטוף תפקיד FSMO רק כאשר אתה בטוח שאי אפשר להחזיר את בעל התפקיד הנוכחי למקוון. לאחר החטיפה, ודא שבעל תפקיד ה-FSMO הישן לעולם לא יחזור.

חטיפת תפקידים באמצעות ה-GUI נעשית על ידי הסרת חשבון מחשב DC בתוך משתמשי ומחשבי Active Directory (ADUC) קונסול. לשם כך:

  1. ראשית, חבר את ADUC ל-DC שאליו תרצה להעביר את תפקיד ה-FSMO. לכך, ב-ADUC, לחץ על הקליק ימני על צומת השורש משתמשי ומחשבי Active Directory ולחץ על שינוי בקר תחום.

2. חפש את ה-DC שאליו תרצה להתחבר והתחבר אליו.

3. לחץ על OU בקרי התחום.

4. לחץ על הקליק ימני על ה-DC שממנו תרצה לחטוף את תפקיד ה-FSMO ולחץ על מחק.

Right-click the offline DC account and select Delete

5. לאחר מכן, לחץ כן בשני ההזמנות הראשונות.

Click OK to continue with the deletion process.
Confirm that you want to delete a DC that is a GC

אחרונה, תקבל התראה שמזהה את תפקיד ה- FSMO של ה- DC והתפקיד(ים) יועברו ל- DC אחר. זה יהיה ה- DC שאליו מחוברת קונסולת ADUC שלך. לחץ על אישור וחשבון המחשב של ה- DC הלא מקוון יימחק והתפקידים ייחסמו וייעברו ל- DC החדש.

You get a final prompt that the FSMO role(s) will be transferred to another DC. Click OK to seize the role(s) and to complete the deletion wizard

התפקידים של FSMO יועברו בעזרת PowerShell

כדי לקחת את התפקידים של FSMO בעזרת PowerShell, ודא שיש לך Windows PowerShell פתוח והפעל את Move-ADDirectoryServerOperationMasterRole וציין את שם ה- DC החדש כערך לפרמטר Identity יחד עם פרמטר ה- Force.

הדוגמה למטה מחזיקה את תפקיד RID Master ומעבירה אותו ל- DC NewDC3.

Move-ADDirectoryServerOperationMasterRole -Identity "NewDC3" RidMaster -Force

השמות של אותם תפקידי FSMO המשמשים להעברה גם מתייחסים לפקודת ה- Move-ADDirectoryServerOperationMasterRole.

סיכום

העברת תפקידי FSMO אינה משימה יומית אך כאשר אתה מקדם DCs חדשים, מדרדר DCs ישנים ומפיק שרתים, יהיה עליך לדעת על תפקידי FSMO.

עקוב אחר השלבים במדריך זה כדי לעזור לך להוריד את המשימה הזו מהרשימה שלך!

Source:
https://adamtheautomator.com/transfer-fsmo-roles/