Доменные службы AD поддерживают пять ролей мастеров операций:

1 Владелец доменных имён (Domain Naming Master);

2 Владелец схемы (Schema Master);

3 Владелец относительных идентификаторов (Relative ID Master);

4 Владелец инфраструктуры домена (Infrastructure Master);

5 Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).

Владелец доменных имён (Domain Naming Master).

Роль предназначена для добавления и удаления доменов в лесу. Если контроллер с этой ролью недоступен во время добавления или удаления доменов в лесу возникнет ошибка операции.

В лесу используется только один контроллер домена с ролью - владелец доменных имён (Domain Naming Master).

Для того, что бы посмотреть какой из контроллеров домена у вас выполняет роль Владельца доменных имен, необходимо запустить оснастку Active Directory - Домены и доверие щелкнуть правой кнопкой на корневой узел и выбрать "Хозяин операции "

В строке Хозяин именования доменов вы увидите какой контроллер домена выполняет эту роль.

Владелец схемы (Schema Master).

Контроллер с ролью владелец схемы отвечает за внесение всех изменений в схему леса. Все остальные домены содержат реплики схемы только для чтения.

Роль Владелец схемы уникальна во всем лесу и может быть определена только на одном контроллере домена.

Для того, что бы посмотреть контроллер домена выполняющий роль владельца схемы необходимо запустить оснастку Схема Active Directory , но для того что бы это сделать необходимо зарегистрировать эту оснастку. Для этого запускаем командную строку и вводим команду

regsvr32 schmmgmt.dll

После этого нажимаем "Пуск " выбераем команду "Выполнить " и вводим "mmc " и нажмите кнопку "ОК ". Далее в меню нажимаем "Файл " выбаем команду "Добавить или удалить оснастку ". В группе Доступные оснастки выбираем "Схема Active Directory ", нажимаем кнопку "Добавить ", а затем кнопку "ОК ".

Щелкните правой кнопкой мыши корневой узел оснастки и выберите "Хозяин операции ".

В строке Текущий хозяин схемы (в сети) увидите имя контроллера домена выполняющую эту роль.

Владелец относительных идентификаторов (Relative ID Master).

Эта роль обеспечивает всех пользователей, компьютеров и групп уникальными SID (Security Identifier- структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера)

Роль мастера RID уникальна в домене.

Что бы увидеть какой контролер в домене выполняет роль владельца идентификатора, необходимо запустить оснастку "Хозяин операции ".

Во вкладке RID увидите имя сервера выполняющую роль RID

Владелец инфраструктуры домена (Infrastructure Master).

Эта роль актуальна при использовании нескольких доменов в лесу. Основная ее задача заключается в управлении фантомными объектами. Фантомный объект - объект который создается в другом домене для предоставления каких либо ресурсов.

Роль инфраструктуры домена уникальна в домене.

Что бы увидеть какой контролер в домене выполняет роль владельца инфраструктуры домена, необходимо запустить оснастку "Active Directory- пользователи и компьютеры ", кликнуть на домене правой кнопкой мыши и выберать "Хозяин операции ".

Во вкладке "Инфраструктура " увидите контроллер выполняющий эту роль в домене.

Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).

Роль PDC- эмулятора несколько важных функций (здесь указаны не все- только основные):

Участвует в репликации обновления паролей. Каждый раз когда пользователь меняет пароль эта информация сохраняется на контроллере домена с ролью PDC. При вводе пользователя неправильного пароля проверка подлинности направляется на PDC- эмулятор для получения возможно изменившегося пароля учетной записи (поэтому при вводе не правильного пароля вход проверка пароля происходит дольше в сравнении с вводом правильного пароля).

Участвует в обновлении групповой политики в домене. В частности когда изменяется групповая политика на разных контроллерах домена в одно время PDC- эмулятор действует как точка фокуса всех изменений групповой политики. При открытии редактора управлениями групповыми политиками она привязывается к контроллеру домена, выполняющую роль PDC- эмулятора. Поэтому все изменения групповых политик по умолчанию вносятся в PDC- эмулятор.

PDC- эмулятор является главным источником времени для домена. PDC- эмуляторы в каждом домене синхронизирует свое время с PDC эмулятором корневого домена леса. Другие контролеры синхронизируют свое время с PDC- эмулятором домена, компьютеры и сервера синхронизируют время с контролера домена.

Что бы увидеть какой контролер в домене выполняет роль PDC- эмулятора, необходимо запустить оснастку "Active Directory- пользователи и компьютеры ", кликните на домене правой кнопкой мыши и выберите "Хозяин операции ".

Во вкладке PDC увидите контроллер выполняющий эту роль.

Есть несколько ситуаций, когда приходится вспоминать о ролях FSMO — это аварийное восстановление после сбоя, миграция, а также поиск работы (обычно на собеседованиях очень любят задавать вопросы типа «Какие существуют роли в AD для контроллера домена, зачем они нужны?»). И хотя все эти ситуации происходят крайне редко, для общего понимания работы AD весьма полезно понимать назначение ролей FSMO .

FSMO , или Flexible single-master operations (операции с одним исполнителем) — это операции, выполняемые контроллерами домена Active Directory (AD) , которые требуют обязательной уникальности сервера для каждой операции. В зависимости от типа операции уникальность FSMO подразумевается в пределах одного домена или леса доменов. Различные типы FSMO могут выполняться как на одном, так и на нескольких контроллерах домена. Выполнение FSMO сервером называют ролью сервера, а сами сервера — хозяевами операций.

Большинство операций в AD можно делать на любом контроллере домена. Служба репликации AD скопирует изменения на остальные контролеры домена, обеспечив идентичность базы AD на всех контролерах одного домена. Устранение конфликтов происходит следующим образом – прав тот, кто вносил изменения последним.

Однако существует несколько действий (например изменение схемы AD ), при которых конфликты недопустимы. Поэтому и существуют сервера с ролями FSMO . Их задача — не допускать таких конфликтов. Таким образом, смысл ролей FSMO в следующем — каждая роль одновременно может выполняться только на одном сервере. А при необходимости ее можно в любой момент передать другому контроллеру домена.

Всего в лесу есть пять ролей FSMO. Для начала приведу их краткое описание:

• Хозяин схемы (Schema Master ) — отвечает за внесение изменений в схему Active Directory . Может быть только один на весь лес доменов.
• Хозяин именования доменов (Domain Naming Master ) — отвечает за уникальность имен для создаваемых доменов и разделов приложений в лесу. Может быть только один на весь лес доменов.
• Хозяин инфраструктуры (Infrastructure Master ) — хранит данные о пользователях из других доменов, входящих в локальные группы своего домена. Может быть один на каждый домен в лесу.
• Хозяин RID (RID Master ) — отвечает за выделение уникальных относительных идентификаторов (RID ), необходимых при создании доменных учетных записей. Может быть один на каждый домен в лесу.
• Эмулятор PDC (PDC Emulator ) — отвечает за совместимость с доменом NT4 и клиентами до Windows 2000 . Может быть один на каждый домен в лесу.

А теперь пройдемся подробнее по каждой роли и выясним, насколько они важны для функционирования Active Directory .

Schema Master

Schema Master — отвечает за внесение изменений в схему, где находятся описания всех классов и атрибутов Active Directory . Схема модифицируется крайне редко, например при изменении уровня домена, установке Exchange и иногда других приложений. Располагаться данная роль может на любом контроллере домена в пределах леса. При недоступности Schema Master изменить схему AD будет невозможно.

Domain Naming Master

Domain Naming Master отвечает за операции, связанные с именами доменов AD, однако список его обязанностей несколько больше:

• Добавление и удаление доменов в пределах леса. Добавлять и удалять домены позволяется только контролеру с ролью Domain Naming Master . Он отслеживает, чтобы добавляемый домен имел уникальное в пределах леса NETBIOS -имя. Если Naming Master недоступен, добавить или удалить домен в лесу невозможно.
• Создание и удаление разделов. Начиная с Windows 2003 появилась возможность создавать обособленные разделы — Application Directory Partitions , которые используются для хранения в AD произвольных данных. Как пример — хранение данных для DNS -серверов в разделах ForestDnsZones и DomainDnsZones . Управление разделами при недоступном Domain Naming Master невозможно.
• Создание и удаление перекрестных ссылок. Перекрестные ссылки используются для поиска по каталогу в том случае, если сервер, к которому подключен клиент, не содержит нужной копии каталога, причем ссылаться можно и на домены вне леса, при условии их доступности. Хранятся перекрестные ссылки (crossRef ) в контейнере Partitions раздела Configuration , и только Domain Naming Master имеет право на изменение содержимого этого контейнера. При недоступности Domain Naming Master не получится создать новую перекрестную ссылку, или удалить ненужную.
• Одобрение переименования домена. Для переименования домена используется утилита rendom.exe. Она составляет скрипт с инструкциями, которые должны будут выполниться в процессе переименования. Скрипт этот помещается в контейнер Partitions раздела Configuration . Поскольку право менять содержимое этого контейнера есть только у контроллера с ролью Domain Naming Master , то за проверку инструкций и запись атрибутов отвечает именно он.

Находиться данная роль может на любом контроллере домена в пределах леса.

Infrastructure Master

Если сервер не является глобальным каталогом (GC ), то в его базе нет данных о пользователях из других доменов. Тем не менее, в локальные группы домена мы можем добавлять пользователей из других доменов. А группа в базе AD должна физически иметь ссылки на всех пользователей. Эту проблему решили созданием фиктивного объекта — фантома (phantom ). Фиктивные объекты представляют собой особый тип объектов внутренней базы данных и не могут просматриваться через ADSI или LDAP . Именно работой с фантомами занимается мастер инфраструктуры.

Еще одна особенность данной роли — для правильной работы в многодоменной среде контролер домена, выполняющий роль хозяина инфраструктуры не должен быть сервером глобального каталога. Если обладатель роли Infrastructure Master также является сервером GC , фиктивные объекты не создаются или не обновляются на этом контроллере домена. Это происходит потому, что глобальный каталог уже содержит частичные реплики всех объектов в Active Directory, и ему нет необходимости в фантомах.

RID Master

У каждой учетной записи в домене (пользователя, компьютера, группы) должен быть уникальный идентификатор безопасности (SID ), который однозначно идентифицирует эту учетную запись и служит для разграничения прав доступа. Выглядит SID следующим образом:

S-1-5-Y1-Y2-Y3-Y4 , где

• S-1 — SID ревизии 1. В настоящее время используется только эта ревизия.
• 5 — Обозначает, кем был выдан SID. 5 означает NT Authority . Однако так называемые «хорошо известные идентификаторы» SID (well-known SID ) могут в данной части иметь 0, 1, и некоторые другие значения.
• Y1-Y2-Y3 — Идентификатор домена, к которому относится учетная запись. Одинаковый для всех объектов security principal в пределах одного домена.
• Y4 — Относительный идентификатор (Relative ID, RID ), относящийся к конкретной учетной записи. Подставляется из пула отностительных идентификаторов домена в момент создания учетной записи.

Контроллер домена с ролью RID Master отвечает за выделение последовательности уникальных RID каждому контроллеру домена в своем домене, а также за корректность перемещения объектов из одного домена в другой. У контроллеров домена есть общий пул относительных идентификаторов (RID Pool ), RID из которого каждому контроллеру выделяются порциями по 500 штук. Когда их число подходит к концу (становится меньше 100), контроллер запрашивает новую порцию. При необходимости число выдаваемых RID и порог запроса можно изменить.

Еще одна зона ответственности RID Master — перемещение объектов между доменами. Именно RID Master следит за тем, чтобы нельзя было одновременно переместить один объект в два разных домена. Иначе возможна ситуация, когда в двух доменах будет два объекта с одинаковым GUID , что чревато самыми неожиданными последствиями.

Если RID Master не будет доступен, то после окончания свободных RID создать новую учетную запись станет невозможно, а также не удастся провести миграцию объектов из текущего домена в другой.

PDC Emulator

Изначально основной задачей Primary Domain Controller (PDC) Emulator было обеспечение совместимости с предыдущими версиями Windows . В смешанной среде, в которой встречаются клиенты Windows NT4.0/ 95/98 и контроллеры домена NT4 , PDC Emulator выполняет (только для них) следующие функции:

• Обработка операции “смена пароля” для пользователей и компьютеров;
• Репликация обновлений на BDC (Backup Domain Controller );
• Обозреватель сети (поиск сетевых ресурсов).

Начиная с уровня домена Windows 2000 и старше работы ему прибавилось. Контроллер домена с ролью PDC Emulator выполняет следующие функции:

• Отвечает за изменение паролей и отслеживает блокировки пользователей при ошибках паролей. Пароль, измененный любым другим контроллером домена, первым делом реплицируется на PDC Emulator . Если аутентификация на любом другом контроллере домена не была успешной, запрос повторяется на PDC Emulator . При успешной аутентификации учетной записи сразу после неудачной попытки, PDC Emulator о ней уведомляется и сбрасывает счетчик неудачных попыток в ноль. Важно заметить, что в случае недоступности PDC Emulator информация об изменении пароля всё равно распространится по домену, просто произойдет это несколько медленнее.
• Редактор групповых политик по умолчанию соединяется с сервером PDC Emulator , и изменения политик происходят на нем же. Если PDC Emulator недоступен, придется указать редактору, к какому контроллеру домена подключиться.
• По умолчанию именно PDC Emulator является для клиентов сервером точного времени в домене. PDC Emulator корневого домена в лесу является по умолчанию сервером точного времени для PDC Emulator в дочерних доменах.
• Изменения, вносимые в пространство имен Distributed File System (DFS ), вносятся на контроллере домена с ролью PDC Emulator . Корневые серверы DFS периодически запрашивают с него обновленные метаданные, сохраняя их у себя в памяти. Недоступность PDC Emulator может повлечь за собой неверную работу DFS .
• В Active Directory есть так называемые «Встроенные участники системы безопасности» (Well Known Security Principals ). Примерами могут служить учетные записи Everyone, Authenticated Users, System, Self и Creator Owner . Управление ими всеми осуществляет контроллер домена с ролью PDC Emulator . Точнее говоря, при изменениях в AD PDC Emulator проверяет и обновляет содержимое контейнера “CN=WellKnown Security Principals, CN=Configuration, DC=>”.
• В каждом домене леса Active Directory есть владелец административных дескрипторов безопасности — AdminSDHolder . Он хранит информацию о настройках безопасности для так называемых защищённых групп (protected groups ). С определённой периодичностью данный механизм запрашивает перечень всех участников этих групп и выставляет им права в соответствии со своим списком управления доступом. Таким образом AdminSDHolder защищает административные группы от изменений. Выполняется AdminSDHolder на контроллере домена с ролью PDC Emulator .

На этом пожалуй все. Надеюсь мне удалось немного прояснить ситуацию с ролями FSMO . А в следующий раз мы рассмотрим варианты передачи ролей другому контроллеру домена, а также принудительное назначение (захват) роли в случае недоступности контроллера домена, который ее выполняет.

Передача и захват ролей FSMO

Определившись с назначением ролей FSMO рассмотрим варианты передачи ролей другому контроллеру домена, а также принудительное назначение, или «захват» роли в случае недоступности контроллера домена, который ее выполняет.

При создании домена, по умолчанию все роли назначаются первому контроллеру домена в лесу. Переназначение ролей требуется крайне редко. Microsoft рекомендует использовать передачу ролей FSMO в следующих случаях:

Плановое понижение роли контроллера домена, являющегося обладателем ролей FSMO , например с целью вывода сервера из эксплуатации;
Временное отключение контроллера домена, например для выполнения профилактических работ. В этом случае его роли должны быть назначены другому, работающему контроллеру домена. Это особенно необходимо при отключении эмулятора PDC . Временное отключение остальных хозяев операций в меньшей степени сказывается на работе AD .

Захват ролей FSMO производится в следующих случаях:

Если в работе текущего обладателя роли FSMO возникли сбои, препятствующие успешному выполнению функций, присущих данной роли, и не дающие выполнить передачу роли;
На контролере домена, являвшемся обладателем роли FSMO , переустановлена или не загружается операционная система;
Роль контроллера домена, являвшегося обладателем роли FSMO , была принудительно понижена с помощью команды dcpromo /forceremoval .

Примечание. Начиная с Windows Server 2003 SP1 при выполнении команды dcpromo /forceremoval осуществляется проверка, имеет ли контроллер домена роль хозяина операций, является DNS-сервером или сервером глобального каталога. Для каждой из этих ролей будет получено уведомление с указаниями по выполнению соответствующих действий.

В том случае, если в домене два или более контроллеров, первым делом нам необходимо выяснить, кто является обладателем каждой из ролей FSMO . Это достаточно просто сделать с помощью команды netdom query fsmo

Ну а теперь приступим к передаче ролей. Есть несколько вариантов действий, рассмотрим их все по порядку. Вариант первый, самый простой и доступный.

Добровольная передача ролей FSMO с помощью оснасток управления Active Directory

RID Master , PDC Emulator и Infrastructure Master ) используем оснастку Active Directory Пользователи и компьютеры (Users and Computers ). Для этого заходим на контроллер домена, которому хотим передать роли, запускаем оснастку и щелкнув правой клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».

В открывшемся окне выбираем нужную нам роль (в нашем примере RID Master ) и нажимаем кнопку «Изменить».

И смотрим на результат. Дело сделано, роль передана другому серверу.

Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust ). Запускаем оснастку, при необходимости подключаемся к нужному контроллеру домена, щелкаем правой клавишей мыши в корне оснастки и выбираем пункт меню «Хозяин операций».

Открывается знакомое окно, в котором надо нажать кнопку «Изменить», а затем подтвердить изменения так же, как и в предыдущем примере.

С ролью Schema Master дела обстоят несколько сложнее. Для передачи этой роли необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory . Делается это с помощью команды regsvr32 schmmgmt.dll , введенной в окне Выполнить (Run ).

Затем открываем консоль MMC и добавляем в нее оснастку Схема Active Directory .

Если по каким то причинам не удается передать роли с помощью графических оснасток, а также для любителей командной строки есть второй вариант:

Добровольная передача ролей fsmo при помощи Ntdsutil

ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active Directory . Она представляет из себя мощный инструмент управления, и в число ее возможностей входит передача и захват ролей FSMO .

Для передачи ролей заходим на любой контролер домена, расположенный в том лесу, в котором следует выполнить передачу ролей FSMO . Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO . Запускаем командную строку и вводим команды в такой последовательности:

• ntdsutil
• roles
• connections
• connect to server <имя сервера>

После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance ), и можем начать передавать роли:

• transfer domain naming master — передача роли хозяина доменных имен.
• transfer infrastructure master — передача роли хозяина инфраструктуры;
• transfer rid master — передача роли хозяина RID ;
• transfer schema master — передача роли хозяина схемы;
• transfer pdc — передача роли эмулятора PDC .

Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.

Примечание. Начиная с Windows Server 2008R2 команда для передачи роли хозяина доменных имен transfer naming master.

В качестве примера передадим роль Infrastructure Master серверу SRV2 и проверим результат.

Ну и третий, самый печальный вариант развития событий:

Принудительное назначение ролей fsmo при помощи Ntdsutil

Принудительное назначение, или захват ролей производятся только в случае полного выхода из строя сервера, с невозможностью его восстановления. Если возможно, лучше восстановить работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO . Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена, которому хотим передать роли и последовательно вводим в командной строке:

• ntdsutil
• roles
• connections
• connect to server <имя сервера>

Для захвата ролей FSMO используется команда seize

И еще несколько важных моментов, которые нужно учесть при передаче\захвате ролей FSMO :

Для передачи ролей уровня домена (RID Master , PDC Emulator и Infrastructure Master ) ваша учетная запись должна быть членом группы Администраторы домена (Domain admins ), а для передачи ролей уровня леса (Domain Naming Master и Schema Master ) — Администраторы предприятия (Enterprise Admins ).
По возможности не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем случае нельзя возвращать обратно, т.к. при его появлении в сети возникнет конфликт, что может вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active Directory. В Windows Server 2008 и 2008 R2 это можно сделать, просто удалив объект сервера в оснастке Active Directory Пользователи и компьютеры , а в Windows Server 2003 с помощью программы Ntdsutil , используя команду ntdsutil — metadata cleanup . Подробнее об этом можно почитать в техподдержке Microsoft

Не секрет, что в AD есть операции которые возлагаются лишь на один домен-контроллер в лесу, именуемый мастером операции. Например в AD только один контроллер назначается первичным хранителем схемы каталога.

В случае умирания такого сервера по любой из технических или нетехнических причин, возникает ситуация, когда второй DC в связке не позволяет вам полноценно управлять доменом. В таких случаях поможет следующий рецепт, который позволит перенести существующие роли мастера операций на уцелевший контроллер. Рецепт довольно известный, тем не менее, я посчитал полезным выложить подробную инструкцию на хабр, так как у меня первой реакцией была паника.

Рассматривается конфигурация домена с двумя контроллерами. Одному из них назначены роли мастера операций и глобального каталога и в нашем сценарии он умирает. Для переназначения всех ролей, администратор должен быть членом группы Enterprise Admins. Процедура состоит из двух этапов: захват ролей и назначение глобального каталога.

Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост , ну а мы приступаем.

Захват ролей

Нажмите кнопку Start , выберите пункт Run , введите ntdsutil , и нажмите ENTER.
1. Подключение
1.1. В приглашении ntdsutil: введите roles и нажмите ENTER.
1.2. В приглашении fsmo maintenance: введите connections и нажмите ENTER.
1.3. В приглашении server connections: введите connect to server имя_сервера (где имя_сервера является именем контроллера домена, который возьмет на себя роль хозяина операций), и нажмите ENTER.
1.4. После того как вы получите подтверждение соединения, введите quit и нажмите ENTER.
2. В зависимости от роли, которую вы хотите взять в приглашении fsmo maintenance: введите соответствующую команду из таблицы ниже и нажмите ENTER.
3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.

Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию.

Команды для захвата

Назначение глобального каталога

1. Открытие оснастку Active Directory Sites and Services.
2. В дереве консоли выберите контроллер домена, где вы хотите включить или отключить глобальный каталог. Искать здесь Active Directory Sites and Services/Sites/имя_сайта/Servers/имя_контроллера
3. Щелкните правой кнопкой на NTDS Settings, выберите Properties. Выставьте флажок Global Catalog, чтобы включить глобальный каталог, или снимите флажок, чтобы отключить глобальный каталог.

Надеюсь, статья спасет кому нибуть добрую тонну нервов.

В Win2k8R2 команды немного другие:

Fsmo maintenance:?

Вывод этой справочной информации
Connections - Подключение к определенному DC/LDS-экземпляру AD
Help - Вывод этой справочной информации
Quit - Возврат к предыдущему меню
Seize infrastructure master - Перезаписать роль инфраструктуры на подключенном сервере
Seize naming master - Перезаписать роль хозяина именования на подключенном сервере
Seize PDC - Перезаписать роль PDC на подключенном сервере
Seize RID master - Перезаписать роль RID на подключенном сервере
Seize schema master - Перезаписать роль схемы на подключенном сервере
Select operation target - Выбор сайтов, серверов, доменов, ролей, контекстов именования
Transfer infrastructure master - Сделать подключенный сервер хозяином инфраструктуры
Transfer naming master - Сделать подключенный сервер хозяином именования
Transfer PDC - Сделать подключенный сервер PDC
Transfer RID master - Сделать подключенный сервер хозяином RID
Transfer schema master - Сделать подключенный сервер хозяином схемы

В данной статье предлагаю поговорить о методиках передачи ролей FSMO между доменными контроллерами в среде Active Directory. Кратко попытаюсь напомнить что же такое роли FSMO (Flexible Single Master Operation, дословный перевод операции с одним исполнителем ) в домене Active Directory. Не секрет, что в Active Directory большинство типовых операций (таких как заведение учеток, групп) можно выполнять на любом контроллере домена. За распространение данных изменений по всему каталогу отвечает служба репликации AD, а всевозможные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу — кто последний тот и прав. Однако существует ряд операций, при выполнении которых недопустимо наличие конфликта (например, создание нового дочернего домена/леса и т.д). Именно поэтому и существуют контроллеры домена с ролями FSMO, основная задача которых – недопустить конфликты такого рода. Роли FSMO можно в любой момент передать другому контроллеру домена.

В Windows Server 2008 существует пять ролей FSMO:

1. Хозяин схемы (Schema master) – один сервер с этой ролью на весь лес. Роль нужна для расширения схемы леса Active Directory, обычно эта операция выполняется командой adprep /forestprep
2. Хозяин именования домена (Domain naming master) – один на весь лес. Сервер с данной ролью должен обеспечить уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD.
3. Эмулятор PDC (PDC emulator) – один сервер на каждый домен. Выполняет несколько функций: является основным обозревателем в сети Windows, отслеживает блокировки пользователей при неправильно введенном пароле, является , предназначен для поддержки клиентов с ОС предшествующим Windows 2000.
4. Хозяин инфраструктуры (Infrastructure Master) — один сервер на каждый домен. Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Отвечает за обновление идентификаторов защиты (GUID, SID)и различающихся имен объектов в междоменных объектных ссылках.
5. Хозяин RID (RID Master) — один сервер на каждый домен. Сервер раздает другим контроллерам домена идентификаторы RID (по 500 штук) для создания уникальных SID.

• Для управления ролью Schema master необходимо быть в группе «Schema admins».
• Для управления ролью Domain naming master необходимо состоять в группе «Enterprise admins».
• Для управления ролями PDC emulator, Infrastructure Master иRID Master необходимо иметь права администратора домена «Domain Admins»

Необходимость переноса FSMO ролей между контроллерами домена обычно возникает при вывода из эксплуатации сервера, на котором установлен контроллера домена с ролью FSMO, или по неким другим причинам. Процесс переноса роли выполняется вручную.

Передать FSMO роль можно из командной строки с помощью утилиты ntdsutil. exe или же из графического интерфейса MMC оснасток. Нас интересуют следующие оснасти Active Directory ()

• Active Directory Schema (для переноса роли Schema master)
• Active Directory Domains and Trusts (для переноса роли Domain Naming)
• (для переноса роли RID, PDC, Infrastructure)

Примечание: Все работы необходимо выполнять на контроллере с ролью, которую планируется перенести. Если же консоль сервера не доступна, то необходимо выполнить команду Connect to Domain Controller и выбрать контроллер домена в оснастке mmc.

Передача роли Schema Master

1. Зарегистрируйте библиотеку schmmgmt.dll , выполнив в командной строке команду:

Regsvr32 schmmgmt.dll.

2. Откройте консоль MMC, набрав MMC в командной строке.
3. В меню выберите пункт Add/Remove snap-in и добавьте консоль Active Directory Schema .
4. Правой кнопкой щелкните по корню консоли (Active Directory Schema ) и выберите пункт Operations Master.
5. Нажмите кнопку Change , введите имя контроллера, которому передается роль хозяина схемы и нажмите OK.

Передача роли Domain naming master

1. Откройте консоль управления доменами и доверием Active Directory Domains and Trusts .
2. Правой кнопкой щелкните по имени вашего домена и выберите опцию Operations Master.
3. Нажмите кнопку Change , укажите имяконтроллера и OK.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

1. Откройте консоль the Active Directory Users and Computers .
2. Правой кнопкой мыши щелкните по имени вашего домена и выберите пункт Operations Master.
3. Перед вами появится окно с тремя вкладками (RID, PDC, Infrastructure ), на каждой из которых можно передать соответствующую роль, нажав кнопку Change.

Передача ролей FSMO из командной строки с помощью утилиты ntdsutil

Внимание: Использовать утилиту ntdsutil необходимо с осторожностью, четко понимая что вы делаете, иначе можно просто уложить ваш домен Active Directory!

1. На контроллере домена откройте командную строку и введите команду

Ntdsutil

2. Наберите команду

4. Затем нужно подключиться к серверу, на который вы хотите передать роль, для этого наберите:

Connect to server

, где < servername> имя контроллера домена, на который вы хотите перенести роль FSMO.

5. Введите q и нажмите Enter.

6. Команда:

Transfer role

Где < role> это роль которую вы хотите передать. Например: transfer schema master, transfer RID и т . д .

7. После переноса ролей нажмите q и Enter, чтобы завершить работу с ntdsutil. exe.

8. Перезагрузите сервер.