Передача/захват FSMO ролей контроллеров домена Active Directory

В этой статье мы напомним для чего нужны контроллеры домена с ролями FSMO в Active Directory, как определить текущих владельцев FSMO ролей, как передать одну или несколько ролей хозяев операций на другой контроллер домена, а также как принудительно захватить FSMO роль в случае выхода из строя контроллера домена, которой является текущим владельцем роли.

Для чего нужны FSMO роли в домене Active Directory?

Кратко напомним, для чего нужный роли FSMO (Flexible Single Master Operation, операции с одним исполнителем) в домене Active Directory.

В Active Directory большинство стандартных операций (таких как создание новых пользователей, групп безопасности, добавление компьютеров в домен) можно выполнять на любом контроллере домена. За распространение этих изменений по всему каталогу AD отвечает служба репликации AD. Различные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу — кто последний тот и прав. Однако есть ряд операций, при выполнении которых недопустимо наличие конфликта (например, добавление нового домена в лесу, изменении схемы AD, и т.д). Для выполнения операций, требующих обязательной уникальности, нужны контроллеры домена с ролями FSMO. Основная задача ролей FSMO – не допустить конфликты такого рода.

Всего в домене Active Directory может быть пять ролей FSMO (в этом случае DC с любой ролью называется хозяином операций).

Две уникальные роли для леса AD:

1. Хозяин схемы (Schema master) – отвечает за внесение изменение в схему Active Directory. Например, при расширении с помощью команды adprep /forestprep, добавлении новых атрибутов (для управления ролью нужны права “Schema admins”);
2. Хозяин именования домена (Domain naming master) – обеспечивает уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD. Нужен для добавления/удаления доменов в лесу, установления доверительных отношений с другими доменами, для переименования доменов в AD (для управления нужны права “Enterprise admins”);

И три роли для каждого домена (для управления этими ролями нужны права Domain Admins):

1. Эмулятор PDC (PDC emulator) – является основным обозревателем в сети Windows (Domain Master Browser – нужен для нормального отображения компьютеров в сетевом окружении), обрабатывает блокировку пользователей при неправильно введенном пароле (в соответствии с настройками парольной политики AD), приоритетен при смене (сбросе) пароля пользователя, является главным источником NTP времени в домене, используется для совместимости с клиентами Windows 2000/NT, используется корневыми серверами DFS для обновления информации о пространстве имён; является точкой подключения по-умолчанию для редактора доменных политик (GPMC);
2. Хозяин инфраструктуры (Infrastructure Master) — отвечает за обновление междоменных объектных ссылок (например, когда пользователь одного домена добавляется в группу другого домена)
3. Хозяин RID (RID Master) – этот хозяин операций сервер раздает другим DC пулы относительных идентификаторов RID (пачками по 500 штук) для создания уникальных идентификаторов новых объектов — SID.

Определить владельцев FSMO ролей в домене

Как определить какой контролер домена является хозяином/владельцем конкретной FSMO роли?

Чтобы вывести текущий владельцев FSMO ролей в AD, выполните команду:

netdom query fsmo

Schema master dc01.domain.loc
Domain naming master dc01.domain.loc
PDC dc01.domain.loc
RID pool manager dc01.domain.loc
Infrastructure master dc01.domain.loc

Можно просмотреть FSMO роли для другого домена:

netdom query fsmo /domain:contoso.com

В этом примере видно, что все FSMO роли расположены на контроллере домена DC01. При развертывании нового леса AD (домена), все FSMO роли помещаются на первый DC. Любой контроллер домена (кроме Read-only-DC (RODC) может быть хозяином любой FSMO роли. Соответственно, администратора домена может передать любую FSMO роль на любой другой контроллер домен.

Также для вывода информации о FSMO ролях можно использовать PowerShell командлет Get-ADDomainController (должен быть установлен модуль Active Directory для PowerShell из состава RSAT):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles |Where-Object {$_.OperationMasterRoles}

Или можно по отдельности вывести владельцев FSMO ролей уровня леса и уровня домена:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator


Общие рекомендации Microsoft по размещении FSMO ролей на контроллерах домена:

1. Роли уровня леса (Schema master и Domain naming master) нужно расположить на контроллере корневого домена;
2. Все 3 доменные FSMO роли (PDC, RIDmaster, InfrMaster) можно разместить на одном DC с достаточной производительностью;
3. Все DC в лесу должны быть серверами глобального каталога, т.к. это повышает надежность и производительность AD при этом роль Infrastructure Master фактически не нужна. Если у вас в домене есть DC без роли Global Catalog, нужно поместить FSMO роль Infrastructure Master именно на него;
4. Не нужно постоянно перемещать FSMO между контроллерами домена без необходимости (например, не нужно передавать роль при плановой перезагрузке DC после установки обновлений). Кратковременный offline любого из владельцев FSMO никто не заметит.

Есть два сценария переноса ролей FSMO между контроллерами домена:

• Передача роли (transfer)– добровольная передача роли FSMO, при которой и предыдущий и новый хозяин операций работоспособен и доступен по сети (online). Используется в сценариях оптимизации инфраструктуры AD, выводе DC из эксплуатации, при плановом обслуживании, когда предполагается длительный (в течении всего рабочего дня или нескольких суток) офлайн текущего владельца роли FSMO
• Захват роли (seize) – принудительная передача FSMO роли, если предыдущий хозяин вышел из строя и восстановить его в разумные сроки не удастся.

В Active Directory доступно несколько инструментов для передачи (захвата) FSMO ролей:

• PowerShell
• Консольная утилита ntdsutil.exe
• Графический MMC оснастки управления AD — используются редко и только для добровольной передачи (не позволяют захватывать роль)

Передача FSMO ролей с помощью PowerShell

Проще всего для передачи FSMO ролей в домене воспользоваться PowerShell командой Move-ADDirectoryServerOperationMasterRole

Можно передать одну или несколько FSMO ролей за раз. В следующем примере мы передаем две роли на сервер DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole PDCEmulator, RIDMaster

В аргументе OperationMasterRole можно указать как имя FSMO роли, так и ее индекс в соответствии с таблицей:

Например, чтобы передать сразу все FSMO роли на дополнительный контроллер домена, выполните:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Если при выполнении команды Move-ADDirectoryServerOperationMasterRole появится отказ в доступе, проверьте что ваша учетная запись добавлена в указанные группы безопасности.

Передача FSMO ролей из командной строки с помощью утилиты ntdsutil

1. На контроллере домена откройте командную строку и введите команду: ntdsutil
2. Наберите команду: roles
3. Затем: connections
4. Затем нужно подключиться к DC, на который вы хотите передать роль: connect to server <servername>
5. Введите q и нажмите Enter.
6. Для передачи FSMO роли используется команда: transfer role , где <role> это роль которую вы хотите передать. Например: transfer schema master , transfer RID и т.д.
7. Подтвердите перенос FSMO роли;
8. После переноса ролей нажмите q и Enter, чтобы завершить работу с ntdsutil.exe;
9. Перезагрузите контроллер домена.

Принудительный захват FSMO ролей Active Directory

Если DC с одной из FSMO ролью вышел из строя (и его не возможно восстановить) вы можете принудительно забрать любую из FSMO ролей. Но при этом крайне важно убедиться, что сервер, у которого забрали FSMO роль никогда (!!!) не должен появится в сети, если вы не хотите новых проблем с AD (даже если вы позднее восстановите DC из резервной копии).

Для принудительного захвата FSMO роли с помощью командлета Move-ADDirectoryServerOperationMasterRole, нужно добавить параметр -Force.

Например, чтобы захватить роль PDCEmulator и принудительно передать ее на DC02, выполните:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator –Force

Также вы можете перенести роли FSMO на сервер DC02 с помощью утилиты ntdsutil. Используйте следующие команды:

ntdsutil
roles
connections
connect to server DC02 (на этот сервер вы перенесете роль)
quit

Для захвата различных ролей FSMO используйте команды:
seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit

Передача FSMO ролей с помощью графических оснасток Active Directory

Для переноса FSMO ролей можно использовать стандартные графические оснастки Active Directory. Операцию переноса желательно выполнять на DC с FSMO ролью. Если же консоль сервера не доступна, необходимо выполнить команду Change Domain Controller и выбрать connect to контроллер домена в mmc-оснастке.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

Для передачи ролей уровня домена (RID, PDC, Infrastructure Master:

1. Откройте консоль Active Directory Users and Computers ( DSA.msc );
2. Щелкните правой кнопкой мыши по имени вашего домена и выберите пункт Operations Master;
3. Перед вами появится окно с тремя вкладками (RID, PDC, Infrastructure), на каждой из которых можно передать соответствующую роль, указав нового владельца FSMO роли и нажав кнопку Change.

Передача роли Schema Master

Для переноса FSMO уровня леса Schema Master используется оснастка Active Directory Schema.

1. Сначала нужно зарегистрировать библиотеку schmmgmt.dll командой: regsvr32 schmmgmt.dll 2. Откройте консоль MMC, набрав MMC в командной строке;
   3. В меню выберите пункт File -> Add/Remove snap-in и добавьте консоль Active Directory Schema;
   4. Щелкните правой кнопкой по корню консоли (Active Directory Schema) и выберите пункт Operations Master;
   5. Введите имя контроллера, которому передается роль хозяина схемы, нажмите кнопку Change и OK. Если кнопка недоступна, проверьте что ваша учетная запись входит в группу Schema admins.

Передача FSMO роли Domain naming master

1. Для передачи FSMO роли хозяина именования домена, откройте консоль управления доменами и доверием Active Directory Domains and Trusts;
2. Щелкните правой кнопкой по имени вашего домена и выберите опцию Operations Master;
3. Нажмите кнопку Change, укажите имя контроллера домена и нажмите OK.