Arriva un momento nella carriera di qualsiasi amministratore di Active Directory (AD) in cui deve trasferire i ruoli FSMO (o confiscarli). I controller di dominio (DC) vanno e vengono e i ruoli FSMO ospitati su quei DC devono essere spostati.
In questo tutorial, imparerai come trasferire e confiscare tutti i ruoli FSMO di AD, passo dopo passo. Vedrai come spostare i ruoli FSMO tramite vari strumenti GUI e PowerShell.
Cominciamo!
Prerequisiti
Se vuoi seguirci, assicurati di avere quanto segue:
- Almeno due DC: questo tutorial utilizzerà Windows Server 2019 con un livello di funzionalità della foresta di Windows Server 2016, anche se non è cambiato molto.
- A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly
Correlato: Come installare e importare il modulo PowerShell di Active Directory
- Windows PowerShell v5.1
- Accedi con un account AD a un computer collegato al dominio. Per interrogare i ruoli, non sono necessari privilegi speciali. Tuttavia, sono necessari ulteriori privilegi per trasferire o confiscare i ruoli.
Trasferimento dei ruoli FSMO con la GUI
Esistono due modi per trasferire i ruoli FSMO: la GUI e PowerShell. Iniziamo prima a illustrare il trasferimento dei ruoli FSMO tramite alcune snap-in MMC diverse.
RID Master, PDCe e Infrastructure Master
Cominciamo con i ruoli FSMO specifici del dominio.
- Apri ADUC (dsa.msc), fai clic con il tasto destro sul dominio e scegli Operations Masters. Qui troverai tutti i ruoli FSMO unici al dominio (RID Master, PDCe e Infrastructure Master) rappresentati tramite le schede RID, PDC e Infrastructure.
2. Fai clic su ogni scheda. Noterai l’attuale detentore del ruolo FSMO (Operations master) e un pulsante Cambia.
3. Fai clic sul pulsante Cambia sotto ogni scheda e seleziona il nuovo DC per eseguire i trasferimenti per i ruoli FSMO di RID Master, PDCe e Infrastructure Master.
Domain Naming Master
Passiamo ora al ruolo del Domain Naming Master. Puoi visualizzare e modificare questo ruolo FSMO nella console Active Directory Domains and Trusts.
- Apri la console Active Directory Domains and Trusts (domain.msc).
2. Fai clic con il tasto destro sul nodo padre Active Directory Domains and Trusts e clicca su Operations Master. Qui vedrai l’attuale DC che detiene questo ruolo descritto come Domain naming operations master.
3. Fai clic sul pulsante Cambia e scegli il DC a cui desideri trasferire.
Schema Master
Infine, abbiamo il ruolo Schema Master. Per modificare questo ruolo, avrai bisogno del componente aggiuntivo MMC dello schema di Active Directory.
Prima di iniziare, assicurati di aver effettuato l’accesso con un account che fa parte del gruppo di amministratori dello schema AD.
- Apri un prompt dei comandi elevato o una console PowerShell e esegui
regsvr32.exe "schmmgmt.dll". La snap-in dello Schema di Active Directory non è disponibile per impostazione predefinita. Questo comando registra la DLL necessaria per la gestione dello schema.
2. Apri l’utilità mmc.exe.
3. Fai clic su File —> Aggiungi/Rimuovi snap-in.
4. Seleziona Schema di Active Directory dai snap-in disponibili e clicca su Aggiungi > e OK.
5. Una volta nella snap-in, fai clic con il pulsante destro del mouse su Schema di Active Directory [<nome del tuo dominio>] e scegli Operations Master per visualizzare l’attuale Schema Master nella finestra popup.
6. Fai clic su Cambia e seleziona il nuovo DC per trasferire il ruolo di Schema Master.
Trasferimento dei Ruoli FSMO con PowerShell
Se preferisci la linea di comando, PowerShell è qui per te.
Visualizzazione dei Titolari dei Ruoli FSMO Attuali
Prima di trasferirli con PowerShell, impariamo a visualizzare i titolari dei ruoli FSMO attuali. Per farlo, apri una console Windows PowerShell elevata e esegui Get-ADDomain e Get-ADForest per trovare ciascuno dei titolari dei ruoli FSMO attuali come mostrato di seguito.
Get-ADDomain
Get-ADForestTrasferimento dei Ruoli FSMO
Una volta che sai quali DC detengono attualmente i ruoli FSMO, puoi trasferirli anche tu. Per farlo in Windows PowerShell, esegui il comando Move-ADDirectoryServerOperationMasterRole utilizzando il parametro Identity per il DC a cui trasferire il ruolo FSMO (ChildDC1 in questo caso), seguito dal nome del ruolo FSMO. Nell’esempio seguente si trasferisce il ruolo Master RID.
Per il nome del ruolo FSMO, puoi utilizzare
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMastereDomainNamingMaster.
Puoi anche trasferire più di un ruolo contemporaneamente definendo ciascun nome del ruolo separato da una virgola, ad esempio
Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.
Forse sei davvero pigro e non vuoi digitare quei lunghi nomi. In tal caso, puoi anche usare solo numeri, con ciascun ruolo FSMO corrispondente a un numero specifico.
| Role Name | Number |
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Utilizzando gli identificatori invece dei nomi dei ruoli, il comando per trasferire il ruolo PDCE è breve come Move-ADDirectoryServerOperationMasterRole ChildDc2 0
Viene chiesto se vuoi trasferire il nome del ruolo FSMO, solo per essere sicuro che tu sappia cosa stai facendo. Poiché questa non è un’operazione frequente, potresti voler considerare l’utilizzo del nome completo dei ruoli che desideri trasferire. Specialmente se stai utilizzando il comando in uno script che qualcun altro utilizzerà; è più facile da capire.
Trasferimento dei ruoli FSMO con l’interfaccia graficaUtente:
Se hai bisogno di spostare un ruolo FSMO da un DC a un altro, il trasferimento dei ruoli è sempre la migliore opzione. Il trasferimento assicura che il ruolo FSMO venga completamente rimosso dal vecchio DC e trasferito al nuovo DC. Ma le cose non vanno sempre come previsto.
Se un DC non è più online o è fallito in qualche modo, puoi prendere il controllo dei ruoli FSMO, il che essenzialmente crea un nuovo ruolo FSMO su un nuovo DC senza rimuovere quello vecchio.
Prendi il controllo di un ruolo FSMO solo quando sei sicuro di non poter riportare il ruolo attuale online. Una volta che il ruolo viene preso, assicurati che il vecchio detentore del ruolo FSMO non venga mai riportato online.
Il prendere il controllo dei ruoli tramite l’interfaccia utente grafica viene fatto rimuovendo un account computer DC all’interno della console Utenti e computer di Active Directory (ADUC). Ecco come fare:
- Prima di tutto, connetti ADUC al DC a cui vuoi trasferire il ruolo FSMO. Per farlo, in ADUC, fai clic con il pulsante destro del mouse sul nodo radice Utenti e computer di Active Directory e fai clic su Cambia controller di dominio.
2. Cerca il DC a cui vuoi connetterti e connettiti ad esso.
3. Fai clic sulla OU Domain Controllers.
4. Fai clic con il pulsante destro del mouse sul DC da cui vuoi prendere il controllo del ruolo FSMO e fai clic su Elimina.
5. Successivamente, fai clic su Sì attraverso le prime due richieste.
6. Infine, riceverai un avviso che indica che il DC era un detentore di ruolo FSMO e il/i ruolo/i verranno spostati su un altro DC. Questo sarà il DC a cui è connessa la tua console ADUC. Fai clic su OK e l’account del computer del DC offline verrà eliminato e i ruoli verranno sequestrati e spostati sul nuovo DC.
Sequestro dei ruoli FSMO con PowerShell
Per sequestrare i ruoli FSMO con PowerShell, assicurati di avere Windows PowerShell aperto ed esegui il comando Move-ADDirectoryServerOperationMasterRole fornendo il nome del nuovo DC come valore del parametro Identity insieme al parametro Force.
Nell’esempio seguente, viene eseguito il sequestro del ruolo RID Master e assegnato al DC NewDC3.
Le stesse denominazioni di ruoli FSMO utilizzate per il trasferimento si applicano anche al cmdlet
Move-ADDirectoryServerOperationMasterRole.
Conclusione
Lo spostamento dei ruoli FSMO non è un compito quotidiano, ma quando stai promuovendo nuovi DC, declassando vecchi DC e dismettendo server, è importante conoscere i ruoli FSMO.
Segui i passaggi in questo tutorial per aiutarti a completare questo compito dalla tua lista!