Приходит время в карьере любого администратора Active Directory (AD), когда ему или ей приходится перемещать роли FSMO (или захватывать их). Контроллеры домена (DC) приходят и уходят, и роли FSMO, размещенные на этих контроллерах домена, должны быть перемещены.
В этом руководстве вы узнаете, как перемещать и захватывать все роли AD FSMO шаг за шагом. Вы увидите, как перемещать роли FSMO с помощью различных инструментов GUI и PowerShell.
Давайте начнем!
Предварительные условия
Если вы хотите следовать за нами, убедитесь, что у вас есть следующее:
- По крайней мере, два DC — В этом руководстве будут использоваться Windows Server 2019 с уровнем функционала леса Windows Server 2016, хотя мало что изменилось.
- A domain-joined computer with RBAC installed or you’re on a DC’s desktop directly
Связанный: Как установить и импортировать модуль PowerShell Active Directory
- Windows PowerShell v5.1
- Войдите под учетной записью AD на компьютер, подключенный к домену. Для запроса ролей не требуются специальные привилегии. Однако для передачи или захвата ролей требуются дополнительные привилегии.
Передача ролей FSMO с помощью GUI
Существуют два способа передачи ролей FSMO: с помощью GUI и PowerShell. Давайте сначала пройдем через передачу ролей FSMO через несколько различных инструментов MMC.
Мастер RID, PDCe и Инфраструктурный мастер
Давайте сначала рассмотрим специфические для домена роли FSMO.
- Откройте ADUC (dsa.msc), щелкните правой кнопкой мыши по домену и выберите Мастера операций. Здесь вы найдете все роли FSMO, уникальные для домена (Мастер RID, PDCe и Мастер инфраструктуры), представленные на вкладках RID, PDC и Инфраструктура.
2. Нажмите на каждую вкладку. Вы заметите текущего владельца роли FSMO (Мастер операций) и кнопку Изменить.
3. Нажмите кнопку Изменить под каждой вкладкой и выберите новый контроллер домена для передачи ролей FSMO Мастера RID, PDCe и Мастера инфраструктуры.
Мастер имени домена
Далее перейдем к роли Мастера имени домена. Вы можете просмотреть и изменить эту роль FSMO в консоли Active Directory доменов и доверия.
- Откройте консоль Active Directory доменов и доверия (domain.msc).
2. Щелкните правой кнопкой мыши на родительском узле Active Directory доменов и доверия и выберите Мастер операций. Здесь вы увидите текущий контроллер домена, удерживающий эту роль, описанный как Мастер операций по именам домена.
3. Нажмите кнопку Изменить и выберите контроллер домена, на который вы хотели бы передать эту роль.
Мастер схемы
Наконец, последней будет роль Мастера схемы. Чтобы изменить эту роль, вам понадобится MMC snap-in схемы Active Directory.
Прежде чем начать, убедитесь, что вы вошли под учетной записью, которая состоит в группе администраторов схемы.
- Откройте повышенную командную строку или консоль PowerShell и выполните
regsvr32.exe "schmmgmt.dll". Плагин схемы Active Directory не доступен по умолчанию. Эта команда регистрирует необходимую DLL для управления схемой.
2. Откройте утилиту mmc.exe.
3. Нажмите Файл —> Добавить или удалить Snap-in.
4. Выберите Схема Active Directory из раздела Доступные snap-in и нажмите Добавить >, а затем ОК.
5. После загрузки snap-in, щелкните правой кнопкой мыши Схема Active Directory [<имя вашего домена>] и выберите Мастер операций, чтобы просмотреть текущего Мастера схемы во всплывающем окне.
6. Нажмите Изменить и выберите новый контроллер домена для передачи роли Мастера схемы.
Передача ролей FSMO с помощью PowerShell
Если вы больше предпочитаете командную строку, то PowerShell вам поможет.
Просмотр текущих держателей ролей FSMO
Давайте сначала узнаем, как просмотреть текущих держателей ролей FSMO перед их передачей с помощью PowerShell. Для этого откройте повышенную консоль Windows PowerShell и выполните команды Get-ADDomain и Get-ADForest, чтобы найти каждого из текущих держателей ролей FSMO, как показано ниже.
Get-ADDomain
Get-ADForestПередача ролей FSMO
Как только вы узнаете, какие контроллеры домена (DC) удерживают текущие роли FSMO, вы можете их передать. Для этого воспользуйтесь командой Move-ADDirectoryServerOperationMasterRole в Windows PowerShell, используя параметр Identity для указания DC, на который нужно передать роль FSMO (в данном случае ChildDC1), а затем укажите имя роли FSMO. В приведенном ниже примере выполняется передача роли RID Master.
Для имени роли FSMO вы можете использовать
PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMasterиDomainNamingMaster.
Также можно передать более одной роли, определив каждое имя роли, разделенное запятой, например
Move-ADDirectoryServerOperationMasterRole -Identity "ChildDC1" PDCEmulator,InfrastructureMaster.
Возможно, вы действительно ленивы и не хотите вводить эти длинные имена. В таком случае вы также можете использовать числа, при этом каждая роль FSMO соответствует определенному числу.
| Role Name | Number |
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Используя идентификаторы вместо имен ролей, команда для передачи роли PDCE становится короче: Move-ADDirectoryServerOperationMasterRole ChildDc2 0
Вам будет предложено подтвердить передачу роли FSMO, чтобы убедиться, что вы знаете, что делаете. Поскольку это нечастая задача, рекомендуется использовать полные имена ролей, которые вы хотите передать. Это особенно важно, если команду использует кто-то еще; так легче понять.
Отбирание ролей FSMO с помощью графического интерфейса
Если вам нужно переместить роль FSMO с одного контроллера домена на другой, передача ролей всегда является лучшим вариантом. Передача гарантирует, что роль FSMO полностью удаляется с старого контроллера домена и передается на новый. Но не всегда все идет по плану.
Если контроллер домена больше не в сети или произошел сбой, вы можете захватить роли FSMO, что по сути создает новую роль FSMO на новом контроллере домена без удаления старой.
Захватывайте роль FSMO только тогда, когда вы уверены, что не можете восстановить текущего владельца роли. После захвата роли убедитесь, что старый владелец роли FSMO больше не включается.
Захват ролей с использованием графического интерфейса выполняется путем удаления учетной записи компьютера контроллера домена в консоли Пользователи и компьютеры Active Directory (ADUC). Для этого:
- Во-первых, подключитесь к ADUC к контроллеру домена, на который вы хотите передать роль FSMO. Для этого щелкните правой кнопкой мыши на корневом узле Пользователи и компьютеры Active Directory и выберите Сменить контроллер домена.
2. Найдите контроллер домена, к которому вы хотите подключиться, и подключитесь к нему.
3. Щелкните по Организационным единицам Контроллеры домена.
4. Щелкните правой кнопкой мыши по контроллеру домена, с которого вы хотите захватить роль FSMO, и выберите Удалить.
5. Затем щелкните Да в ответ на первые два запроса.
6. Наконец, вы получите подсказку, уведомляющую вас о том, что DC является обладателем роли FSMO, и роль(и) будут перемещены на другой DC. Этот DC будет подключен к вашей консоли ADUC. Щелкните OK, и учетная запись компьютера отключенного DC будет удалена, а роли будут захвачены и перемещены на новый DC.
Захват ролей FSMO с помощью PowerShell
Чтобы захватить роли FSMO с помощью PowerShell, убедитесь, что у вас открыт Windows PowerShell, и выполните команду Move-ADDirectoryServerOperationMasterRole, указав имя нового DC в качестве значения параметра Identity вместе с параметром Force.
Приведенный ниже пример захвата роли RID Master и ее назначения для DC NewDC3.
Те же имена ролей FSMO, которые используются для передачи, также применимы к командлету
Move-ADDirectoryServerOperationMasterRole.
Заключение
Перемещение ролей FSMO – не ежедневная задача, но когда вы продвигаете новые DC, снимаете старые DC и выводите серверы из строя, вам нужно знать о ролях FSMO.
Следуйте этим шагам в данном руководстве, чтобы помочь вам выполнить эту задачу!