Přesun role Flexible Single Master Operations (FSMO) z jednoho řadiče domény (DC) na jiný se běžně provádí prostřednictvím operace přenosu role. Pokud však DC, který má roli FSMO, zaznamená vážné selhání, které jej vyřadí z provozu, musíte místo toho převzít jeho role FSMO a znovu je přiřadit funkčnímu DC.
Například musíte převzít roli FSMO, pokud aktuální držitel role:
- Trpí provozním problémem, který brání úspěchu operací souvisejících s FSMO
- Není vůbec k dispozici kvůli hardwarovému problému
- Má problémy s replikací, které brání přenesení role
Důležité: Poté, co převezmete roli FSMO od DC, zajistěte, aby nebyl nikdy znovu připojen k síti. V opačném případě bude za povinnosti spojené s rolí odpovědný jak DC, tak nový držitel role, což může způsobit vážné problémy v Active Directory.
Určení, zda převzít konkrétní role FSMO
Konkrétní roli FSMO musíte převzít vždy, když potřebujete provést operaci, která tuto roli vyžaduje, ale aktuální držitel role není k dispozici.
Zde je 5 rolí FSMO a jejich odpovědnosti:
- Role hlavního serveru schémat – Potřebné k rozšíření nebo jiné změně schématu AD
- Doména Role hlavního pojmenování — Vyžaduje se pro přidání nové domény nebo DC
- Role hlavního serveru RID – Potřebná k vytvoření objektů Active Directory, protože přiřazuje potřebné fondy relativních identifikátorů (RID) jiným řadičům domény
- Role emulátoru PDC — Potřebná pro různé operace, včetně synchronizace času, změn hesel a aktualizací Zásady skupiny
- Role Infrastructure Master – Potřebná k vyřešení odkazů na objekty mezi doménami v doménové struktuře s více doménami, pokud nejsou všechny DC globální katalog hostitelé
Oprávnění požadovaná k převzetí rolí FSMO
Chcete-li převzít některou z rolí v celé doménové struktuře (Hlavní server schémat nebo Hlavní server názvů domén), musí být uživatel členem skupiny Enterprise Administrators.
Chcete-li převzít roli pro celou doménu (emulátor PDC, hlavní server RID nebo hlavní server infrastruktury) od DC, musí být uživatel členem skupiny Domain Administrators pro doménu DC.
Jak převzít role FSMO
Chcete-li převzít role FSMO, můžete použít kteroukoli z následujících možností:
- Uživatelé a počítače služby Active Directory (ADUC)
- PowerShell
- ntdsutil.exe
Jak převzít role FSMO pomocí ADUC
Chcete-li převzít roli FSMO pomocí konzoly ADUC, proveďte následující kroky:
- Nejprve se přihlaste k řadiči domény, kterému chcete přiřadit roli FSMO.
- Klikněte na tlačítko Start a klikněte na Správce serveru.
- Ve Správci serveru klikněte na nabídku Nástroje a vyberte možnost Uživatelé a počítače služby Active Directory.
- V seznamu vlevo klikněte na Řadiče domény. Ve výsledném seznamu vpravo vyhledejte řadič domény, který selhal (v tomto příkladu je to MILKYWAYDC2). Klikněte na něj pravým tlačítkem a vyberte Odstranit.
- Po zobrazení výzvy k potvrzení smazání klikněte na Ano.
- Objeví se další varování. Zaškrtněte políčko „Přesto smazat tento řadič domény….“ a poté klikněte na Odstranit.
- Objeví se třetí varování. Klikněte na Ano.
- Poslední varování podrobně uvede, které role FMSO budou přesunuty do DC, ke kterému jste přihlášeni. Kliknutím na OK změníte přiřazení těchto rolí FSMO.
Chcete-li potvrdit, že role byly přeřazeny z nefunkčního DC na požadovanou, otevřete PowerShell a zadejte následující příkaz:
NetDom Query FSMO
Jak převzít role FSMO pomocí PowerShellu
Případně můžete převzít role FSMO od aktuálního držitele role tak, že se přihlásíte k DC, kterému chcete role znovu přiřadit, a spustíte následující rutinu PowerShell:
Move-ADDirectoryServerOperationMasterRole –Identita <Server ADDirectory> –OperationMasterRole <Role>-Vynutit<Instance ADDS nebo ADLDS> -Server
- -Identita určuje DC, kterému chcete přiřadit roli nebo role
- -OperationMasterRole určuje roli nebo role, které chcete převzít (určené buď názvem role, nebo číslem role, jak je uvedeno níže)
- -Force označuje, že role budou převzaty, nikoli převedeny
Převzetí role emulátoru PDC
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC2" -OperationMasterRole PDCEmulator -Force
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC2" -OperationMasterRole 0 -Enforce
Převzetí role hlavního serveru RID
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC3" -OperationMasterRole RIDMaster -Force
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC3" -OperationMasterRole 1 -Force
Převzetí role hlavního serveru infrastruktury
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC4" -OperationMasterRole InfrastructureMaster -Force
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC4" -OperationMasterRole 2 -Force
Převzetí role Schema Master
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC2" -OperationMasterRole SchemaMaster -Force
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC2" -OperationMasterRole 3 -Force
Převzetí role Domain Naming Master
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC3" -OperationMasterRole DomainNamingMaster -Force
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC3" -OperationMasterRole 4 -Force
Obsazení více rolí najednou
Můžete se zmocnit dvou nebo více rolí najednou. Například v malém prostředí může být všech 5 rolí FSMO přiřazeno stejnému DC. Pokud se stane neobnovitelnou, můžete převzít všech pět rolí pomocí některé z následujících rutin:
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC2" -OperationMasterRole PDCEmulator,RIDMaster,InfrastructureMaster,SchemaMaster,DomainNamingMaster -Force
Move-ADDirectoryServerOperationMasterRole -Identita "MilkywayDC2" -OperationMasterRole 0,1,2,3,4 -Power
Budete vyzváni k potvrzení operace, jak je uvedeno níže. Pokud stisknete A, všechny role budou obsazeny. Pokud stisknete Y, budete požádáni o potvrzení každého následujícího obsazení role samostatně.
Jak převzít role FSMO pomocí ntdsutil.exe
Chcete-li získat jednu nebo více rolí FSMO programu příkazového řádku ntdsutil.exe, proveďte následující kroky:
- Přihlaste se k členskému počítači, kde jsou nainstalovány nástroje AD RSAT.
- Chcete-li spustit ntdsutil, klikněte na Start, zadejte Spustit, zadejte ntdsutil a poté klikněte na OK.
3. Na výzvu ntdsutil zadejte role a stiskněte Enter.
4. Na výzvu fsmo maintenance zadejte connections a stiskněte Zadejte
5. Pomocí následujícího příkazu se připojte k řadiči domény, na který chcete přenést role:
připojit k serveru <název serveru>
6. Na výzvu k připojení k serveru zadejte q a poté stiskněte Enter. Tím se vrátíte zpět k výzvě fsmo maintenance.
7. Chcete-li převzít roli, spusťte příslušný příkaz ze seznamu níže:
- Seize jmenovat mistra
- Zabavte velitele infrastruktury
- Zabavte PDC
- Zabavte RID master
- Seize schema master
8. Chcete-li se vrátit k výzvě ntdsutil, zadejte q a poté stiskněte Zadejte.
9. Chcete-li ukončit nástroj Ntdsutil, zadejte q poté stiskněte Enter.
Zdroj: Netwrix