Запленување на именување на домен господар има неточна синтакса. Управување со улогите на FSMO со Ntdsutil. PDC Transfer, RID Pool Manager, Infrastructure Master

Добро попладне, драги читатели и гости на страницата на блогот, денес ќе има многу витална и стопроцентна практична статија и ќе биде посветена на снимањето на тработ Активен директориум. Не толку одамна, ви кажав како правилно да отстраните неисправен или недостапен контролер на домен, сè е во ред, но може да испадне дека тој е носител на улогите на FSMO, а пред да го отстраните ќе треба да присили да ги одземе главните улоги за операции на Active Directory.

Ајде да ја извршиме следнава команда на командната линија:

netdom барање fsmo

Трите пониски улоги што ми требаат припаѓаат на dc10. и ќе ги собереме. За да го направите ова, мора да бидете барем администратор на домен.

Еве пример за реална ситуација каде што, пред да отстранам контролер на домен, требаше насилно да ги одземам улогите на оперативните господари.

Не може да се пренесе главната улога на операции од следнава причина: Бараната операција FSMO не успеа. Нема врска со сегашниот сопственик на FSMO.

Го видов ова во додатокот Active Directory - Users and Computers, кога се обидов правилно да ја префрлам улогата RID.

Ако се обидете да ја добиете улогата на PDC на емулаторот со недостапен контролер, тогаш тој ќе ви дозволи да го направите тоа во ADUC, но ќе видите предупредување.

Бараната операција на FSMO не успеа. Нема врска со сегашниот сопственик на FSMO. Не може да се контактира со мајсторот за тековни операции за да се префрли оваа улога на друг компјутер. Во некои случаи, дозволено е принудно пренесување на улога. Дали сакате да настапите?

Ние велиме да

Сите PDC улога стекнати.

Истото ќе го направиме и со волшебникот за инфраструктура. Откако повторно го извршивме барањето на командната линија, кој ги држи улогите на FSMO, гледаме дека ова е веќе за двете пониски улоги, dc7, новиот контролер.

Сега да ја искористиме улогата RID, алатката ntdsutil ќе ни помогне со ова. Отвораме командна линијаза присилно заробување.

• Внесете ntdsutil, влезете извршна средина.
• Следно пишуваме улоги
• во одржување на fsmo: пишување врски
• во серверските врски: напиши поврзи се со името на серверот на серверот, го имам dc7
• серверски врски: q
• напишете во одржување на fsmo: зграпчете RID master

Тие ќе ви напишат: Обид за безбедно пренесување на RID FSMO пред фаќањето. Грешка ldap_modify_sW, код за грешка 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Ќе се појави прозорец за потврда, кликнете „Да“. Како резултат на тоа, улогата сепак ќе биде пренесена, тоа може да се види веднаш во ADUC.

Ако треба да ги присилите преостанатите улоги да бидат запленети со помош на ntdsutil, тогаш нивните клучеви за последната команда се:

• заплени PDC
• заплени инфраструктурен господар
• зграпчи господар за именување на домен (Запленување на господар за именување)
• зграпчи шема господар

Вака насилно се пренесуваат главните улоги на операциите во Active Directory, доколку имате прашања, тогаш напишете ги во коментарите.

Здраво на сите, денес ќе ви кажам како да ги префрлите улогите на fsmo на друг контролер на домен на Active Directory. Кои се улогите на fsmo прочитајте овде. Исто така, веќе разгледавме како да ги дефинираме господарите на операции на FSMO. Задачата е следна, имаме домен Active Directory со контролери на домен Windows Server 2008R2, имаме инсталирано контролер кој работи на Windows Server 2012 R2. Треба да ги пренесеме улогите на fsmo на него и да ги замениме сите W2008R2 со W2012R2 во иднина.

Има 3 домени dc01 и dc02 е контролер на домен за Windows 2008 r2 и dc3 е нов со Windows Server 2012 r2.

netdom барање fsmo

Гледаме дека сите 5 улоги (Scheme Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) се наоѓаат на dc01.msk.site.

Првиот начин за кој ќе се дискутира во првиот дел е преку снимки.

Како да ги префрлите улогите на fsmo на друг контролер на домен на Active Directory преку snap-in

Пренесувањето на улогите на fsmo преку snap-in е најбрзиот и наједноставниот метод.

Трансфер PDC, RID Pool Manager, Infrastructure Master.

Отворете го додатокот Active Directory Users and Computers, ова може да се направи уште на почетокот со внесување dsa.msc.

Гледаме 3 DC контролери, dc3 има Windows Server 2012 R2

Десен клик на ниво на домен и изберете Operations Masters

Гледаме дека е вистински PDC, RID Pool Manager, Infrastructure Master го држи DC01

Ако кликнете на копчето за уредување, се појавува грешка:

Овој контролер на домен е главен оперативен систем. За да ја префрлите главната улога на операциите на друг компјутер, прво мора да се поврзете со него.

Од ова произлегува дека за фаќање треба да го изберете контролорот каде ќе ги префрлиме улогите, за мене тоа е dc3.

Префрлете се на dc3 и отворете го и ADUC

Избор на сопственици на операции

Гледаме дека сегашниот сопственик на RID е dco1 и на кого го префрламе овој dc3, кликнете промени.

Потврдуваме

Улогата е успешно префрлена

Гледаме дека сега сопственик на RID е dc3.msk.site

Направете го истото со PDC господарот

и со Инфраструктура

Ајде да видиме кој е сопственик на улогите, ова се прави со помош на командата на командната линија:

netdom барање fsmo

и видете три улоги на fsmo припаѓаат на dc3

Главен трансфер на шема

Отворете го додатокот за шема на Active Directory, како да го додадете во шемата на Active Directory прочитајте овде.

Десен клик на root и изберете Operations Master

Ќе се поврземе со dc01. Кликнете на промени

и добијте предупредување: Тековниот контролер на доменот на Active Directory е главен оперативен систем. За да ја пренесете улогата на главниот оперативен систем на друг DC, треба да ја насочите шемата за AD кон овој DC,

Го затвораме. Повторно кликнете со десното копче на коренот и изберете Change Active Directory Domain Controller.

Се појавува прозорец со пораката AD schema Snap-in не е поврзана со главниот дел на операциите на шемата. Не може да се направат промени. Промените на шемата може да се направат само во шемата на сопственикот на FSMO.

Повторно го избираме сопственикот на шемата и гледаме дека сега промената дава.

успешно префрлен.

Ајде да видиме кој е сопственик на улогите, ова се прави со помош на командата на командната линија:

netdom барање fsmo

и веќе гледаме 4 улоги за dc3

Главен трансфер за именување на домен

Отворете го додатокот Active Directory Domains and Trusts

Избор на оперативен мајстор

Промена

Улогата е успешно префрлена

Проверка

netdom барање fsmo

Сега сите улоги на FSMO имаат контролер на домен на Windows 2012 r2.

Така е само да се префрлат улогите на fsmo на друг контролер на домен на Active Directory. Ве советувам да прочитате Како да префрлите fsmo улоги на друг контролер на домен на Active Directory - дел 2 преку командната линија.

Понекогаш администраторот на доменот на Active Directory треба брзо да открие на кои контролери се наоѓаат моментално Улоги на FSMO – Флексибилна работа со еден мајстор, односно кој од нив е таканаречен господар или сопственик на одредена операција. Најбрзиот начин да се одреди ова е да се користи вградената команда Netdom.

Преглед на улогите на FSMO од командата Netdom

Стартувајте го cmd и извршете ја следнава команда:

netdom барање fsmo

Ги прикажува улогите на сопственикот на операциите за тековниот домен. Ако треба да ги видите улогите на FSMO за друг домен, тогаш треба да го користите клучот на доменот:

netdom барање fsmo /домен:име на домен

Потсетиме дека има само пет такви улоги во АД. Две улоги се единствени за шумата:

• Шема господар - Шема господар улога. Преку GUI, може да се види во приклучокот за шема на Active Directory.
• Господар за именување на домен - улогата на господарот за име на домен. Преку GUI, може да се најде во приклучокот Active Directory Domains and Trusts.

И три улоги се единствени за секој домен:

• RID базен менаџер - улогата на сопственикот на базенот RID (релативни идентификатори).
• PDC Emulator - Улога на емулатор на PDC (примарен домен контролер).
• Инфраструктурен господар - улогата на сопственикот на инфраструктурата.

Преку GUI, овие улоги може да се проверат во додатокот Active Directory Users and Computers.

Дознајте повеќе за Flexible Single-Master Operation

FSMO, или Флексибилни операции со еден господар(операции со еден извршител) се операции извршени од контролори на домени Active Directory (AD), кои бараат серверот да биде единствен за секоја операција. Во зависност од видот на операцијата, уникатност FSMOсе подразбира во еден домен или шума од домени. Различни видови FSMOможе да работи на еден или повеќе доменски контролери. Изведба FSMOсе повикува серверот улогасервери, а самите сервери се господари на операциите.

Повеќето трансакции во АДможе да се направи на кој било домен контролер. Услуга за репликација АДќе ги копира промените на останатите контролери на домени, обезбедувајќи го идентитетот на базата АДна сите контролери на еден домен. Елиминацијата на конфликтите се случува на следниов начин - тој што ги направил промените траен е во право.

Сепак, постојат неколку дејства (на пример, промена на шемата АД) за кои не се дозволени конфликти. Затоа, постојат сервери со улоги FSMO. Нивната задача - избегнувајте такви конфликти. Така значењето на улогите FSMOво следното, секоја улога може да работи само на еден сервер во исто време. И доколку е потребно, може да се пренесе во секое време на друг контролер на домен.

Вкупно има пет улоги во шумата FSMO.За почеток, ќе дадам краток опис на нив. :

• мајстор на шема ( Мајстор за шема) - одговорен за правење промени во шемата Активен директориум. Може да има само еден за целата шума на домени.
• Господар за именување на домен ( Мајстор за именување на домен) - е одговорен за уникатноста на имињата за креираните домени и партициите на апликациите во шумата. Може да има само еден за целата шума на домени.
• Инфраструктурен домаќин ( Мајстор за инфраструктура) - складира податоци за корисници од други домени кои се членови на локалните групи на нивниот домен. Може да има по еден за секој домен во шумата.
• Господар RID (RID Master) - е одговорен за доделување единствени релативни идентификатори ( RID) се бара при креирање на домени сметки. Може да има по еден за секој домен во шумата.
• емулатор PDC (PDC емулатор) - одговорен за компатибилност со доменот NT4и клиентите да Windows 2000. Може да има по еден за секој домен во шумата.

Сега да ја разгледаме секоја улога подетално и да дознаеме колку се важни за функционирање. Активен директориум.

Мајстор за шема

Мајстор за шема- одговорен за правење промени во шемата, каде што се наоѓаат описите на сите класи и атрибути Активен директориум. Шемата се менува исклучително ретко, на пример, кога се менува нивото на доменот, се инсталира Разменаа понекогаш и други апликации. Оваа улога може да биде лоцирана на кој било домен контролер во шумата. Кога не е достапно Мајстор за шемапромена на шемата АДќе биде невозможно.

Мајстор за именување на домен

Мајстор за именување на доменодговорни за операции поврзани со имиња на домени н.е.,сепак, списокот на неговите должности е нешто подолг :

• Додавање и отстранување на домени во шума. Додавањето и бришењето домени е дозволено само на контролорот со улогата Мајстор за именување на домен. Се осигурува дека доменот што се додава е единствен во шумата НЕТБИОС- Име. Ако Именување на мајсторнедостапно, не можете да додавате или отстраните домен во шумата.
• Креирање и бришење партиции. Почнувајќи со Windows 2003 годинастана можно да се создадат посебни делови - Партиции на директориумот на апликации, кои се користат за складирање АДпроизволни податоци. Како пример, складирање податоци за DNS-сервери во делови ForestDnsZonesИ DomainDnsZones. Управување со партиции кога е недостапно Мајстор за именување на доменневозможно.
• Креирање и бришење вкрстени референци. Вкрстените референци се користат за пребарување на директориумот кога серверот на кој е поврзан клиентот не ја содржи точната копија од директориумот, а може да се повикате и на домени надвор од шумата, под услов да се достапни. Вкрстените референци се зачувани ( crossRef) во контејнер Партициидел Конфигурација, но само Мајстор за именување на доменима право да ја промени содржината на овој контејнер. Кога не е достапно Мајстор за именување на доменнема да биде можно да се создаде нова вкрстена референца или да се избрише непотребна.
• Одобрување преименување на домен. За да преименувате домен, користете ја алатката random.exe.Таа пишува скрипта со инструкции што ќе треба да се извршат за време на процесот на преименување. Оваа скрипта се става во контејнер Партициидел Конфигурација. Бидејќи само контролорот со улогата Мајстор за именување на домен, тогаш тој е одговорен за проверка на инструкциите и пишување атрибути.

Оваа улога може да биде лоцирана на кој било домен контролер во шумата.

Мајстор за инфраструктура

Ако серверот не е глобален каталог ( GC), тогаш нејзината база на податоци не содржи податоци за корисници од други домени. Сепак, можеме да додадеме корисници од други домени во локални групи на домени. Група во базата АДмора физички да има врски до сите корисници. Овој проблем беше решен со создавање на фиктивен објект - фантом ( фантомски). Фантомските објекти се посебен вид објекти на внатрешна база на податоци и не можат да се прегледаат преку нив ADSIили LDAP. Тоа е работата со фантомки со која се занимава мајсторот на инфраструктурата.

Друга карактеристика на оваа улога е дека за да работи правилно во опкружување со повеќе домени, контролорот на доменот што дејствува како главен инфраструктурен не треба да биде глобален сервер за каталог. Доколку носителот на улогата Мајстор за инфраструктурае исто така сервер GC, лажни објекти не се креирани или ажурирани на овој домен контролер. Тоа е затоа што глобалниот каталог веќе содржи делумни копии ситепредмети во Активен директориум,и не му требаат фантоми .

RID Master

Секоја сметка во доменот (корисник, компјутер, група) мора да има единствен безбедносен идентификатор ( СИД), што уникатно ја идентификува оваа сметка и служи за разликување на правата за пристап. Изгледа СИДна следниот начин:

S-1-5-Y1-Y2-Y3-Y4, Каде

• С-1 - СИДревизија 1. Во моментов се користи само оваа ревизија.
• 5 - Укажува кој го издал СИД. 5 значи НТ орган. Сепак, таканаречените „добро познати идентификатори“ СИД (добро позната СИД) може да има 0, 1 и некои други вредности во овој дел.
• Y1-Y2-Y3- ИД на доменот на кој припаѓа сметката. Исто за сите предмети главен за безбедноство истиот домен.
• Y4- Релативен идентификатор ( Релативна лична карта, RID) поврзани со одредена сметка. Заменет од базенот на релативни идентификатори на домен во моментот на создавање на сметката.

Контролер на домен на улоги RID Masterе одговорен за извлекување на низа од уникатни RIDна секој домен контролер во неговиот домен, како и за исправноста на движењето на објектите од еден домен до друг. Контролерите на домени имаат заеднички базен на релативни идентитети ( RID базен), RIDод кои секој контролер е распределен во делови од 500 парчиња. Кога нивниот број ќе заврши (станува помал од 100), контролорот бара нов дел. Доколку е потребно, бројот на издадени RIDа прагот на барање може да се смени.

Друга област на одговорност RID Master- движење на објекти помеѓу домени. Точно RID Masterосигурува дека не можете да преместувате ист објект во два различни домени во исто време. Во спротивно, можна е ситуација кога два домени содржат два објекти со исти GUIDшто е полн со најнеочекувани последици.

Ако RID Masterнема да бидат достапни, а потоа по завршувањето на бесплатно RIDќе стане невозможно да се создаде нова сметка, а исто така нема да биде можно да се мигрираат објекти од тековниот домен во друг.

PDC емулатор

Првично, главната задача Емулатор за примарен контролер на домен (PDC).беше да се обезбеди компатибилност со претходните верзии Windows. Во мешана средина каде што клиентите се среќаваат Windows NT4.0/ 95/98 и контролери на домени NT4, PDC емулаторги извршува (само за нив) следните функции:

• Обработка на операцијата „промена на лозинка“ за корисници и компјутери;
• Реплицирајте ги ажурирањата на БДЦ (Резервен контролер на домен);
• Network Explorer (пребарување мрежни ресурси).

Почнувајќи од ниво на домен Windows 2000и постара работа додаде. Контролер на домен на улоги PDC емулаторги извршува следните функции:

• Одговорен за менување лозинки и ги следи заклучувањата на корисниците за грешки во лозинката. Лозинката променета од кој било друг домен контролер најпрво се реплицира на PDC емулатор. Ако автентикацијата на кој било друг контролер на домен не беше успешна, барањето се повторува PDC емулатор. Ако сметката е успешно автентификувана веднаш по неуспешен обид, PDC емулаторсе известува и ги ресетира неуспешните обиди бројач на нула. Важно е да се напомене дека во случај на недостапност PDC емулаторинформациите за промена на лозинката сепак ќе се шират низ доменот, само ќе се случува малку побавно.
• Уредникот за групна политика стандардно се поврзува со серверот PDC емулатор, и на него се случуваат промени во политиката. Ако PDC емулаторне е достапен, ќе треба да му кажете на уредникот со кој домен контролер да се поврзе.
• Стандардно е PDC емулаторе временски сервер за клиенти во доменот. PDC емулатор root доменот во шумата е стандардниот временски сервер за PDC емулаторво детски домени.
• Промени во именскиот простор Дистрибуиран датотечен систем (DFS) се направени на контролер на домен со улогата PDC емулатор. Корен сервери DFSпериодично барајте ажурирани метаподатоци од него, чувајќи ги во нивната меморија. непристапност PDC емулаторможе да резултира со неправилно работење. DFS.
• ВО Активен директориумпостојат таканаречени „Вградени учесници во безбедносниот систем“ ( Добро познати безбедносни принципи). Сметките се примери. Сите, автентицирани корисници, систем, себеИ Сопственик на создавачот. Сите тие се управувани од контролер на домен со улогата PDC емулатор. Поточно, со промени во АД PDC емулаторја проверува и ажурира содржината на контејнерот " CN=Добро познати безбедносни принципи, CN=конфигурација, DC= >”.
• Во секој шумски домен Активен директориумима сопственик на административни безбедносни дескриптори - AdminSDHolder. Ги чува информациите за безбедносните поставки за таканаречените заштитени групи ( заштитени групи). Со одредена фреквенција, овој механизам бара список на сите членови на овие групи и ги изложува на права во согласност со списокот за контрола на пристап. Така AdminSDHolderги штити административните групи од промени. Изведена AdminSDHolderна контролер на домен со улога PDC емулатор.

AD DS поддржува пет главни улоги на операции:

1 Сопственик на имиња на домени (Domain Naming Master);

2 Мајстор за шема;

3 Сопственик на релативни идентификатори (Relative ID Master);

4 Сопственик на домен инфраструктура (Infrastructure Master);

5 Емулатор на примарен контролер на домен (PDC емулатор).

Сопственик на име на домен (Господар за именување на домен).

Улогата е дизајнирана да додава и отстранува домени во шумата. Ако контролорот со оваа улога не е достапен додека додавате или отстранувате домени во шумата, ќе се појави грешка во работењето.

Шумата користи само еден домен контролер со улога - сопственик на имиња на домени (Domain Naming Master).

За да видите кој од контролорите на домени што ги имате е сопственик на имињата на домени, треба да го извршите приклучокот Активен директориум - домени и довербакликнете со десното копче на коренскиот јазол и изберете " Операција мајстор"

Во линијата Master Naming, ќе видите кој контролер на домен ја има оваа улога.

Мајстор за шема.

Контролорот со улога на сопственик на шема е одговорен за правење на сите промени во шемата за шуми. Сите други домени содржат реплики на шема само за читање.

Улогата на сопственикот на шемата е единствена низ шумата и може да се дефинира само на еден домен контролер.

За да го видите контролорот на доменот кој делува како сопственик на шемата, треба да го извршите додатокот Шема на Active Directory, но за да го направите ова, мора да го регистрирате овој додаток. За да го направите ова, отворете ја командната линија и внесете ја командата

regsvr32 schmmgmt.dll

После тоа притиснете " Започнете„Изберете тим“ Трчај"и внесете" mmc"и притиснете го копчето" добро". Следно, во менито, притиснете " Датотека„Изберете тим“ Додадете или отстранете залепувањеВо Групата Достапни приклучоциизберете " Шема на Active Directory", притисни го копчето" Додадете"и потоа копчето" добро".

Кликнете со десното копче на коренскиот јазол на snap-in и изберете „ Операција мајстор".

Во линијата Current Schema Master (Online), ќе го видите името на контролорот на доменот што ја извршува оваа улога.

Релативен проект мајстор.

Оваа улога им обезбедува на сите корисници, компјутери и групи единствен SID (Безбедносен идентификатор - структура на податоци со променлива должина што идентификува корисник, група, домен или сметка на компјутер)

Главната улога на RID е единствена во доменот.

За да видите кој контролер во доменот делува како сопственик на идентификаторот, треба да извршите " Операција мајстор".

Во табулаторот RID, ќе го видите името на серверот што дејствува како RID

Сопственик на домен инфраструктура (Infrastructure Master).

Оваа улога е релевантна кога се користат повеќе домени во шума. Неговата главна задача е да управува со фантомски објекти. Фантомски објект е објект кој е создаден во друг домен за да обезбеди некој вид на ресурс.

Улогата на инфраструктурата на доменот е единствена во доменот.

За да видите кој контролер во доменот е сопственик на инфраструктурата на доменот, треба да го извршите " Корисници на Active Directory и компјутери", кликнете со десното копче на доменот и изберете " Операција мајстор".

во јазичето " Инфраструктура" ќе го видите контролорот што ја извршува оваа улога во доменот.

Емулатор на примарен контролер на домен (PDC емулатор)

Улогата на емулаторот PDC има неколку важни функции (не сите се наведени овде - само главните):

Учествува во репликација на ажурирање лозинка. Секој пат кога корисникот ја менува лозинката, овие информации се зачувуваат на контролорот на доменот со улогата PDC. Кога корисникот ќе внесе погрешна лозинка, автентикацијата се пренасочува до PDC емулаторот за да се врати евентуално променетата лозинка на сметката (така што внесувањето неточна лозинка трае подолго за да се потврди лозинката во споредба со внесувањето на точната лозинка).

Учествува во ажурирање на групната политика во доменот. Особено, кога групната политика се менува на различни контролори на домени во исто време, емулаторот PDC делува како фокусна точка за сите промени на групните политики. Кога ќе го отворите Уредникот за управување со групна политика, тој се врзува за контролер на домен кој дејствува како емулатор на PDC. Затоа, сите промени во групната политика се стандардно направени на емулаторот PDC.

Емулаторот PDC е главниот извор на време за доменот. Емулаторите на PDC во секој домен го синхронизираат своето време со емулаторот на PDC доменот на шумскиот корен. Другите контролери го синхронизираат своето време со доменот PDC емулатор, компјутерите и серверите го синхронизираат своето време со контролерот на доменот.

За да видите кој контролер во доменот делува како PDC емулатор, треба да го извршите " Корисници на Active Directory и компјутери", кликнете со десното копче на доменот и изберете " Операција мајстор".

Во табулаторот PDC, ќе го видите контролорот што ја извршува оваа улога.