Hovedsyntaksen for beslagleggelse av domenenavn er feil. Administrere FSMO-roller ved hjelp av Ntdsutil. PDC Transfer, RID Pool Manager, Infrastructure Master

God ettermiddag, kjære lesere og gjester på bloggsiden, i dag vil det være en veldig viktig og hundre prosent praktisk artikkel, og den vil bli dedikert til trabshooting Active Directory. For ikke så lenge siden fortalte jeg deg hvordan du fjerner en defekt eller utilgjengelig domenekontroller, alt er i orden, men det kan oppstå en situasjon at det er FSMO-rollebæreren, og før du sletter den, må du utføre tvinge overtakelse av Active Directory-operasjonsmasterroller.

La oss kjøre følgende kommando på kommandolinjen:

netdom spørring fsmo

De tre lavere rollene jeg trenger tilhører dc10. Vi tar dem bort. For å gjøre dette må du minst være domeneadministrator.

Her er et eksempel på en reell situasjon der jeg, før jeg slettet en domenekontroller, måtte ta makten over operasjonsmesterrollene.

Operasjonsmasterrollen kan ikke overføres av følgende årsak: Den nødvendige FSMO-operasjonen mislyktes. Det er ingen kontakt med nåværende eier av FSMO.

Jeg så dette i snapin-modulen Active Directory - Brukere og datamaskiner, da jeg prøvde å overføre RID-rollen på riktig måte.

Hvis du prøver å få PDC-emulatorrollen med en utilgjengelig kontroller, lar den deg gjøre det i ADUC, men du vil se en advarsel.

Den nødvendige FSMO-operasjonen mislyktes. Det er ingen kontakt med nåværende eier av FSMO. Den gjeldende operasjonsmasteren kan ikke kontaktes for å overføre denne rollen til en annen datamaskin. I noen tilfeller er tvungen rolleoverføring tillatt. Vil du fullføre?

Vi sier "Ja"

Alle PDC-roller mottas.

Det samme vil vi gjøre med infrastrukturmesteren. Etter å ha kjørt en spørring på kommandolinjen igjen om hvem som har FSMO-rollene, ser vi at dette allerede er for de to lavere rollene, dc7, den nye kontrolleren.

La oss nå ta RID-rollen, ntdsutil-verktøyet vil hjelpe oss med dette. Åpning kommandolinje for tvangsfangst.

• Skriv inn ntdsutil, vi kommer til kjøretidsmiljø.
• Deretter skriver vi roller
• i fsmo vedlikehold: skrive forbindelser
• i servertilkoblinger: skriv koble til server, servernavnet mitt er dc7
• servertilkoblinger: q
• skriv i fsmo vedlikehold: beslaglegge RID master

De vil skrive til deg: Forsøker å sikkert overføre RID FSMO før fangst. ldap_modify_sW feil, feilkode 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Et vindu vil dukke opp som bekrefter operasjonen, klikk på "Ja". Som et resultat vil rollen fortsatt overføres, dette kan sees umiddelbart i ADUC.

Hvis du må gripe de gjenværende rollene med makt ved å bruke ntdsutil, så nøklene deres for den siste kommandoen:

• størrelse PDC
• beslaglegge infrastrukturmester
• beslaglegge domenenavnmester (beslaglegge navngivningsmester)
• grip skjemamester

Dette er hvordan tvungen overføring av hovedoperasjonsroller i Active Directory skjer riktig, hvis du har spørsmål, skriv dem i kommentarene.

Hei alle sammen, i dag skal jeg fortelle deg hvordan du overfører fsmo-roller til en annen Active Directory-domenekontroller. Les hva fsmo-roller er her. Vi har også allerede sett på hvordan man bestemmer FSMO-operasjonsmastere. Oppgaven er som følger: vi har et Active Directory-domene med Windows Server 2008R2-domenekontrollere, vi har installert en kontroller som kjører Windows Server 2012 R2. Vi må overføre fsmo-roller til den og erstatte alle W2008R2 med W2012R2 i fremtiden.

Det er 3 domener dc01 og dc02 er en Windows 2008 r2 domenekontroller og dc3 er en ny med Windows Server 2012 R2.

netdom spørring fsmo

Vi ser at alle 5 rollene (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) er plassert på dc01.msk.site.

Den første metoden, som vil bli diskutert i første del, er gjennom snap-ins.

Hvordan overføre fsmo-roller til en annen Active Directory-domenekontroller gjennom snap-ins

Overføring av fsmo-roller gjennom snap-ins er den raskeste og mest intuitive metoden.

PDC Transfer, RID Pool Manager, Infrastructure Master.

Åpne snapin-modulen Active Directory-brukere og datamaskiner; dette kan gjøres gjennom Start ved å skrive dsa.msc.

Vi ser 3 DC-kontrollere, dc3 har Windows Server 2012 R2

Høyreklikk på domenenivået og velg Operation Masters

Vi ser at den virkelige PDC, RID pool manager, infrastruktur eier har DC01

Hvis du klikker på redigeringsknappen, vil det dukke opp en feilmelding:

Denne domenekontrolleren er mester for operasjoner. For å overføre operasjonsmasterrollen til en annen datamaskin, må du først koble til den.

Det følger av dette at for å fange må vi velge kontrolleren som vi skal overføre rollene til, for meg er det dc3.

Gå til dc3 og åpne ADUC også

Velge eiere av operasjoner

Vi ser at den nåværende eieren av RID er dco1 og hvem vi overfører den til dc3, klikk endre.

Bekrefte

Rollen ble overført

Vi ser at nå er eieren av RID dc3.msk.site

Vi vil gjøre det samme med PDC-masteren.

og med infrastruktur

La oss se hvem som er eieren av rollene, dette gjøres ved å bruke kommandoen på kommandolinjen:

netdom spørring fsmo

og vi ser at tre fsmo-roller tilhører dc3

Overfører Schema master

Åpne snapin-modulen Active Directory Schema, les hvordan du legger den til Active Directory Schema her.

høyreklikk på roten og velg Operations Master

Vi kobler til dc01. Klikk endre

og vi mottar en advarsel: Den nåværende Active Directory-domenekontrolleren er mester for operasjoner. For å overføre operasjonsmasterrollen til en annen DC, må du målrette AD-skjemaet til den DC.

La oss lukke den. Høyreklikk på roten igjen og velg Change Active Directory Domain Controller.

Et vindu vises med meldingen AD-skjema-snap-in-modulen er ikke koblet til skjemaoperasjonsmasteren. Endringer kan ikke gjøres. Skjemaendringer kan kun gjøres i FSMO-eierens skjema.

Vi velger ut eieren av ordningen på nytt og ser at den nå lar oss endre.

overført vellykket.

La oss se hvem som er eieren av rollene, dette gjøres ved å bruke kommandoen på kommandolinjen:

netdom spørring fsmo

og vi ser allerede 4 roller for dc3

Overføring av domenenavnmaster

Åpne snapin-modulen Active Directory Domains and Trusts

Velge eier av operasjoner

Endring

Rollen ble overført

Sjekker

netdom spørring fsmo

Nå er alle FSMO-roller på Windows 2012 r2-domenekontrolleren.

Slik kan du enkelt overføre fsmo-roller til en annen Active Directory-domenekontroller. Jeg anbefaler deg å lese Hvordan overføre fsmo-roller til en annen Active Directory-domenekontroller - del 2 via kommandolinjen.

Noen ganger må en Active Directory-domeneadministrator raskt finne ut hvilke kontrollere som for øyeblikket befinner seg på FSMO roller – Fleksibel Single-Master Operation, det vil si hvem av dem som er den såkalte mesteren eller eieren av en bestemt operasjon. Den raskeste måten å fastslå dette på er å bruke den innebygde Netdom-kommandoen.

Viser FSMO-roller av Netdom-teamet

Start cmd og kjør følgende kommando:

netdom spørring fsmo

Den viser rollene til operasjonseiere for det gjeldende domenet. Hvis du trenger å se FSMO-roller for et annet domene, må du bruke domenenøkkelen:

netdom-spørring fsmo /domene:domenenavn

La oss minne deg på at det bare er fem slike roller i AD. To roller er unike for skogen:

• Skjemamester – skjemamesterens rolle. Gjennom GUI kan det sees i Active Directory Schema snap-in.
• Domenenavnmester – rollen til domenenavnmesteren. Gjennom GUI kan den bli funnet i Active Directory Domains and Trusts snap-in.

Og tre roller er unike for hvert domene:

• RID pool manager – rollen til eieren av RID pool (relative identifikatorer).
• PDC Emulator – rollen til PDC (primær domenekontroller) emulator.
• Infrastrukturmester – rollen til infrastruktureieren.

Gjennom et grafisk grensesnitt kan disse rollene sjekkes i snapin-modulen Active Directory-brukere og datamaskiner.

Du kan finne ut mer om Fleksibel Single-Master Operation

FSMO, eller Fleksibel enkelt-master operasjoner(single-executor-operasjoner) er operasjoner utført av domenekontrollere Active Directory (AD), som krever obligatorisk server unikhet for hver operasjon. Avhengig av type operasjon, unikhet FSMO betyr innenfor et enkelt domene eller skog av domener. Forskjellige typer FSMO kan kjøres på en eller flere domenekontrollere. Opptreden FSMO kalt en server rolle servere, og serverne selv er mestere av operasjoner.

De fleste operasjoner i AD kan gjøres på hvilken som helst domenekontroller. Replikeringstjeneste AD vil kopiere endringene til andre domenekontrollere, og sikre identiteten til databasen AD på alle kontrollere på samme domene. Å løse konflikter skjer som følger - den som gjorde de siste endringene har rett.

Det er imidlertid flere handlinger (for eksempel å endre skjemaet AD), der konflikter er uakseptable. Det er derfor det finnes servere med roller FSMO. Oppgaven deres - forhindre slike konflikter. Dermed betydningen av roller FSMO i det følgende - hver rolle kan bare kjøres på én server om gangen. Og om nødvendig kan den overføres til en annen domenekontroller når som helst.

Det er fem roller i skogen FSMO. Til å begynne med vil jeg gi en kort beskrivelse av dem. :

• Eieren av ordningen ( Schema Master) - ansvarlig for å gjøre endringer i skjemaet Active Directory. Det kan bare være én for hele skogen av domener.
• Domenenavn master ( Domenenavnmester) - er ansvarlig for det unike ved navn for opprettede domener og applikasjonsseksjoner i skogen. Det kan bare være én for hele skogen av domener.
• Infrastruktureier ( Infrastrukturmester) - lagrer data om brukere fra andre domener som er medlemmer av lokale grupper på domenet deres. Det kan være en for hvert domene i skogen.
• Herre KVITT (RID Master) - er ansvarlig for å tildele unike relative identifikatorer ( KVITT) kreves når du oppretter domenekontoer. Det kan være en for hvert domene i skogen.
• Emulator PDC (PDC emulator) - ansvarlig for domenekompatibilitet NT4 og klienter til Windows 2000. Det kan være en for hvert domene i skogen.

La oss nå se nærmere på hver rolle og finne ut hvor viktig de er for funksjonen til Active Directory.

Schema Master

Schema Master- er ansvarlig for å gjøre endringer i skjemaet, hvor beskrivelser av alle klasser og attributter finnes Active Directory. Ordningen endres ekstremt sjelden, for eksempel når du endrer domenenivå, installerer Utveksling og noen ganger andre applikasjoner. Denne rollen kan lokaliseres på hvilken som helst domenekontroller i skogen. Hvis utilgjengelig Schema Master endre ordningen AD vil være umulig.

Domenenavnmester

Domenenavnmester ansvarlig for drift knyttet til domenenavn A.D. men listen over hans ansvar er noe lengre :

• Legge til og fjerne domener i en skog. Bare en kontroller med rollen har lov til å legge til og fjerne domener Domenenavnmester. Det sikrer at domenet som legges til er unikt i skogen NETBIOS-Navn. Hvis Navngivning av mester ikke er tilgjengelig, er det umulig å legge til eller slette et domene i skogen.
• Opprette og slette partisjoner. Begynner med Windows 2003 det ble mulig å lage separate seksjoner - Programkatalogpartisjoner, som brukes til oppbevaring i AD vilkårlige data. Som et eksempel, lagring av data for DNS-servere i seksjoner ForestDnsZones Og DomeneDnsZones. Administrere partisjoner når de ikke er tilgjengelige Domenenavnmester umulig.
• Opprette og slette kryssreferanser. Kryssreferanser brukes til å søke i katalogen dersom serveren som klienten er koblet til ikke inneholder ønsket kopi av katalogen, og du kan også referere til domener utenfor skogen, forutsatt at de er tilgjengelige. Kryssreferanser lagres ( kryssref) i en beholder Skillevegger seksjon Konfigurasjon, men bare Domenenavnmester har rett til å endre innholdet i denne beholderen. Hvis utilgjengelig Domenenavnmester Det vil ikke være mulig å opprette en ny kryssreferanse eller slette en unødvendig.
• Godkjenning av omdøping av domene. For å gi nytt navn til et domene, bruk verktøyet rendom.exe. Hun skriver et skript med instruksjoner som må utføres under endringsprosessen. Dette skriptet er plassert i en beholder Skillevegger seksjon Konfigurasjon. Siden kun kontrolløren med rollen har rett til å endre innholdet i denne beholderen Domenenavnmester, så er han ansvarlig for å sjekke instruksjoner og registrere attributter.

Denne rollen kan lokaliseres på hvilken som helst domenekontroller i skogen.

Infrastrukturmester

Hvis serveren ikke er en global katalog ( G.C.), så inneholder ikke databasen data om brukere fra andre domener. Vi kan imidlertid legge til brukere fra andre domener til lokale domenegrupper. Og gruppen er i databasen AD må fysisk ha lenker til alle brukere. Dette problemet ble løst ved å lage et fiktivt objekt - et fantom ( fantom). Dummy-objekter er en spesiell type internt databaseobjekt og kan ikke sees gjennom ADSI eller LDAP. Det er infrastrukturmesteren som tar for seg fantomer.

Et annet trekk ved denne rollen er at for riktig drift i et multidomenemiljø, bør ikke domenekontrolleren som fungerer som infrastrukturmaster være en global katalogserver. Hvis eieren av rollen Infrastrukturmester er også en server G.C., dummy-objekter er ikke opprettet eller oppdatert på denne domenekontrolleren. Dette skjer fordi den globale katalogen allerede inneholder delvise replikaer alle gjenstander i Active Directory og han har ikke behov for fantomer .

RID Master

Hver konto i et domene (bruker, datamaskin, gruppe) må ha en unik sikkerhetsidentifikator ( SID), som unikt identifiserer denne kontoen og tjener til å differensiere tilgangsrettigheter. Ser ut som SID på følgende måte:

S-1-5-Y1-Y2-Y3-Y4, Hvor

• S-1 - SID revisjon 1. Foreløpig brukes kun denne revisjonen.
• 5 - Angir hvem som har utstedt SID. 5 betyr NT Myndighet. Imidlertid såkalte "velkjente identifikatorer" SID (velkjent SID) kan ha 0, 1 og noen andre verdier i denne delen.
• Y1-Y2-Y3- ID for domenet som kontoen tilhører. Samme for alle objekter sikkerhetsrektor innenfor ett domene.
• Y4- Relativ identifikator ( Pårørende ID, RID) spesifikt for en bestemt konto. Erstattet fra utvalget av relative domeneidentifikatorer på tidspunktet for kontooppretting.

Domenekontroller med rolle RID Master er ansvarlig for å identifisere en sekvens av unike KVITT til hver domenekontroller i sitt domene, samt for riktigheten av å flytte objekter fra ett domene til et annet. Domenekontrollere har en felles pool av relative identifikatorer ( RID Pool), KVITT hvorfra hver kontroller er tildelt i porsjoner på 500 stykker. Når antallet deres slutter (blir mindre enn 100), ber kontrolleren om en ny del. Om nødvendig, antall utstedte KVITT og forespørselsterskelen kan endres.

Et annet ansvarsområde RID Master- flytting av objekter mellom domener. Nøyaktig RID Master sikrer at ett objekt ikke kan flyttes til to forskjellige domener samtidig. Ellers er en situasjon mulig når det i to domener vil være to objekter med det samme GUID, som er full av de mest uventede konsekvenser.

Hvis RID Master vil ikke være tilgjengelig, da etter slutten av gratis KVITT Det vil bli umulig å opprette en ny konto, og det vil også være umulig å migrere objekter fra gjeldende domene til et annet.

PDC emulator

I utgangspunktet hovedoppgaven Primær domenekontroller (PDC) emulator kompatibilitet med tidligere versjoner ble sikret Windows. I et blandet miljø hvor kunder møtes Windows NT4.0/ 95/98 og domenekontrollere NT4, PDC emulator utfører (bare for dem) følgende funksjoner:

• Behandling av "passordendring" operasjonen for brukere og datamaskiner;
• Replikering av oppdateringer til BDC (Sikkerhetskopier domenekontroller);
• Network Explorer (søk etter nettverksressurser).

Starter på domenenivå Windows 2000 og han ble eldre enn arbeidet sitt. Domenekontroller med rolle PDC emulator utfører følgende funksjoner:

• Ansvarlig for endring av passord og overvåking av brukerforbud ved passordfeil. Et passord endret av en hvilken som helst annen domenekontroller blir først replikert til PDC emulator. Hvis autentisering på en annen domenekontroller ikke lykkes, gjentas forespørselen den PDC emulator. Hvis kontoen blir autentisert umiddelbart etter et mislykket forsøk, PDC emulator det varsles og telleren for mislykkede forsøk tilbakestilles til null. Det er viktig å merke seg at i tilfelle utilgjengelighet PDC emulator informasjon om endring av passord vil fortsatt spre seg over hele domenet, det vil bare skje litt tregere.
• Group Policy Editor kobler til serveren som standard PDC emulator, og policyendringer skjer på den. Hvis PDC emulator ikke er tilgjengelig, må du fortelle redaktøren hvilken domenekontroller du skal koble til.
• Som standard er det PDC emulator er en eksakt tidsserver i domenet for klienter. PDC emulator rotdomene i skogen er standard tidsserver for PDC emulator i barnedomener.
• Navneområdeendringer Distribuert filsystem (DFS), legges inn på domenekontrolleren med rollen PDC emulator. Rotservere DFS med jevne mellomrom be om oppdaterte metadata fra den, og lagre dem i minnet deres. Utilgjengelighet PDC emulator kan føre til feil drift DFS.
• I Active Directory Det er såkalte "innebygde sikkerhetsdeltakere" ( Velkjente sikkerhetsprinsipper). Eksempler inkluderer kontoer Alle, autentiserte brukere, system, selv Og Skaper eier. De administreres alle av en domenekontroller med rollen PDC emulator. Mer presist, med endringer i AD PDC emulator sjekker og oppdaterer innholdet i beholderen " CN=WellKnown Security Principals, CN=Configuration, DC= >”.
• I alle skogdomene Active Directory det er en eier av administrative sikkerhetsbeskrivelser - AdminSDHolder. Den lagrer informasjon om sikkerhetsinnstillinger for såkalte beskyttede grupper ( beskyttede grupper). Med visse intervaller ber denne mekanismen om en liste over alle medlemmer av disse gruppene og tildeler dem rettigheter i samsvar med dens tilgangskontrollliste. Dermed AdminSDHolder Beskytter administrative grupper mot endringer. Utført AdminSDHolder på en domenekontroller med rollen PDC emulator.

AD Domain Services støtter fem Operations Master-roller:

1 Domenenavn Master;

2 Schema Master;

3 Eier av relative identifikatorer (Relative ID Master);

4 Domeneinfrastruktureier (Infrastructure Master);

5 Primær domenekontroller-emulator (PDC-emulator).

Domenenavnmester.

Rollen er designet for å legge til og fjerne domener i skogen. Hvis en kontroller med denne rollen ikke er tilgjengelig når du legger til eller fjerner domener i skogen, vil operasjonen mislykkes.

Det er bare én domenekontroller i skogen med rollen som Domain Naming Master.

For å se hvilken domenekontroller du har som domenenavneier, må du kjøre snapin-modulen Active Directory – Domener og tillit høyreklikk på rotnoden og velg " Eier av driften"

På Domain Naming Master-linjen vil du se hvilken domenekontroller som utfører denne rollen.

Schema Master.

En kontroller med rollen Schema Owner er ansvarlig for å gjøre alle endringer i skogskjemaet. Alle andre domener inneholder skrivebeskyttede replikaer av skjemaet.

Rollen Schema Owner er unik på tvers av skogen og kan bare defineres på én domenekontroller.

For å se domenekontrolleren som fungerer som skjemaeier, må du kjøre snapin-modulen Active Directory-skjema, men for å gjøre dette må du registrere dette utstyret. For å gjøre dette, start kommandolinjen og skriv inn kommandoen

regsvr32 schmmgmt.dll

Etter det klikker du på " Start"velg et lag" Henrette"og gå inn" mmc" og klikk på "-knappen OK". Neste i menyen, klikk " Fil"la oss velge et lag" Legg til eller fjern en snap-in". I gruppe Tilgjengelig tilbehør plukke ut " Active Directory-skjema", trykk på knappen " Legg til" og deretter "-knappen OK".

Høyreklikk rotnoden til snapin-modulen og velg " Eier av driften".

På linjen Gjeldende skjemaeier (online) vil du se navnet på domenekontrolleren som utfører denne rollen.

Eier av relative identifikatorer (Relative ID Master).

Denne rollen gir alle brukere, datamaskiner og grupper en unik SID (Security Identifier - en datastruktur med variabel lengde som identifiserer en bruker, gruppe, domene eller datamaskinkonto)

RID Master-rollen er unik innenfor et domene.

For å se hvilken kontroller i domenet som fungerer som eier av identifikatoren, må du kjøre " Eier av driften".

I RID-fanen vil du se navnet på serveren som utfører RID-rollen

Eieren av domeneinfrastrukturen (Infrastructure Master).

Denne rollen er relevant når du bruker flere domener i en skog. Hovedoppgaven er å administrere fantomobjekter. Et fantomobjekt er et objekt som er opprettet i et annet domene for å gi noen ressurser.

Rollen til domeneinfrastruktur er unik for et domene.

For å se hvilken kontroller i domenet som fungerer som eier av domeneinfrastrukturen, må du kjøre " Active Directory – brukere og datamaskiner", høyreklikk på domenet og velg " Eier av driften".

I "fanen" Infrastruktur"du vil se kontrolleren utføre denne rollen i domenet.

Primær domenekontroller-emulator (PDC-emulator).

Rollen til PDC-emulatoren er flere viktige funksjoner (ikke alle er oppført her, bare de viktigste):

Deltar i replikering av passordoppdatering. Hver gang en bruker endrer passordet, lagres denne informasjonen på en domenekontroller med PDC-rollen. Når en bruker taster inn feil passord, sendes autentisering til PDC-emulatoren for å få tak i kontoens eventuelt endrede passord (så hvis brukeren skriver inn feil passord, tar påloggingskontrollen lengre tid sammenlignet med å angi riktig passord).

Deltar i gruppepolicyoppdateringer i domenet. Spesielt når gruppepolicy endres på forskjellige domenekontrollere samtidig, fungerer PDC-emulatoren som fokuspunktet for alle gruppepolicyendringer. Når du åpner Group Policy Management Editor, bindes den til en domenekontroller som fungerer som en PDC-emulator. Derfor gjøres alle gruppepolicyendringer i PDC-emulatoren som standard.

PDC-emulatoren er hovedtidskilden for domenet. PDC-emulatorer i hvert domene synkroniserer tiden sin med PDC-emulatoren til skogrotdomenet. Andre kontrollere synkroniserer tiden med domene-PDC-emulatoren, datamaskiner og servere synkroniserer tiden med domenekontrolleren.

For å se hvilken kontroller i domenet som fungerer som en PDC-emulator, må du kjøre " Active Directory – brukere og datamaskiner", høyreklikk på domenet og velg " Eier av driften".

I PDC-fanen vil du se kontrolleren utføre denne rollen.