AD DS unterstützt fünf Betriebsmasterrollen:

1 Inhaber von Domainnamen (Domain Naming Master);

2 Schema-Master;

3 Inhaber von relativen Identifikatoren (Relative ID Master);

4 Eigentümer der Domain-Infrastruktur (Infrastruktur-Master);

5 Primärer Domänencontroller-Emulator (PDC-Emulator).

Eigentümer des Domainnamens (Domain Naming Master).

Die Rolle dient zum Hinzufügen und Entfernen von Domänen in der Gesamtstruktur. Wenn ein Controller mit dieser Rolle beim Hinzufügen oder Entfernen von Domänen in der Gesamtstruktur nicht verfügbar ist, tritt ein Vorgangsfehler auf.

Die Gesamtstruktur verwendet nur einen Domänencontroller mit der Rolle - der Besitzer von Domänennamen (Domain Naming Master).

Um zu sehen, welcher Ihrer Domänencontroller der Eigentümer der Domänennamen ist, müssen Sie das Snap-In ausführen Active Directory- Domänen und Vertrauen Klicken Sie mit der rechten Maustaste auf den Stammknoten und wählen Sie " Betriebsmeister"

In der Zeile Domain Naming Master sehen Sie, welcher Domänencontroller diese Rolle hat.

Schema-Master.

Ein Controller mit der Rolle „Schemabesitzer“ ist dafür verantwortlich, alle Änderungen am Gesamtstrukturschema vorzunehmen. Alle anderen Domänen enthalten schreibgeschützte Schemareplikate.

Die Rolle des Schemabesitzers ist in der gesamten Gesamtstruktur eindeutig und kann nur auf einem Domänencontroller definiert werden.

Um den als Schemabesitzer fungierenden Domänencontroller anzuzeigen, müssen Sie das Snap-In ausführen Active Directory-Schema, aber dazu müssen Sie dieses Snap-In registrieren. Öffnen Sie dazu die Kommandozeile und geben Sie den Befehl ein

regsvr32 schmmgmt.dll

Danach drücken Sie " Anfang"Wählen Sie eine Mannschaft" Laufen" und eingeben " mmc"und drücke den Knopf" OK". Drücken Sie anschließend im Menü auf " Datei"Wählen Sie eine Mannschaft" Fügen Sie einen Snap hinzu oder entfernen Sie ihn". In einer Gruppe Verfügbare Snap-Ins wählen " Active Directory-Schema", Drücken Sie den Knopf" Hinzufügen" und dann die taste " OK".

Klicken Sie mit der rechten Maustaste auf den Stammknoten des Snap-Ins und wählen Sie " Betriebsmeister".

In der Zeile Current Schema Master (Online) sehen Sie den Namen des Domänencontrollers, der diese Rolle ausführt.

Relativer ID-Master.

Diese Rolle stellt allen Benutzern, Computern und Gruppen eine eindeutige SID (Security Identifier – eine Datenstruktur variabler Länge, die einen Benutzer, eine Gruppe, eine Domäne oder ein Computerkonto identifiziert) zur Verfügung.

Die RID-Master-Rolle ist innerhalb einer Domäne eindeutig.

Um zu sehen, welcher Controller in der Domäne als Eigentümer der Kennung fungiert, müssen Sie die " Betriebsmeister".

Auf der Registerkarte RID sehen Sie den Namen des Servers, der als RID fungiert

Eigentümer der Domäneninfrastruktur (Infrastruktur-Master).

Diese Rolle ist relevant, wenn mehrere Domänen in einer Gesamtstruktur verwendet werden. Seine Hauptaufgabe ist die Verwaltung von Phantomobjekten. Ein Phantomobjekt ist ein Objekt, das in einer anderen Domäne erstellt wird, um eine Art von Ressource bereitzustellen.

Die Domäneninfrastrukturrolle ist innerhalb einer Domäne eindeutig.

Um zu sehen, welcher Controller in der Domäne der Besitzer der Domäneninfrastruktur ist, müssen Sie die " Aktive Verzeichnisse Benutzer und Computer", klicken Sie mit der rechten Maustaste auf die Domain und wählen Sie " Betriebsmeister".

In der Registerkarte " Infrastruktur" sehen Sie den Controller, der diese Rolle in der Domäne ausführt.

Primärer Domänencontroller-Emulator (PDC-Emulator)

Die Rolle des PDC-Emulators hat mehrere wichtige Funktionen (nicht alle sind hier aufgeführt - nur die wichtigsten):

Beteiligt sich an der Kennwortaktualisierungsreplikation. Jedes Mal, wenn ein Benutzer das Kennwort ändert, werden diese Informationen auf dem Domänencontroller mit der PDC-Rolle gespeichert. Wenn ein Benutzer ein falsches Passwort eingibt, wird die Authentifizierung an den PDC-Emulator weitergeleitet, um das möglicherweise geänderte Passwort des Kontos abzurufen (daher dauert die Eingabe eines falschen Passworts länger, um das Passwort zu überprüfen, als die Eingabe des richtigen Passworts).

Beteiligt sich an der Aktualisierung der Gruppenrichtlinie in der Domäne. Insbesondere wenn Gruppenrichtlinien gleichzeitig auf verschiedenen Domänencontrollern geändert werden, fungiert der PDC-Emulator als zentraler Punkt für alle Gruppenrichtlinienänderungen. Wenn Sie den Gruppenrichtlinienverwaltungs-Editor öffnen, bindet er an einen Domänencontroller, der als PDC-Emulator fungiert. Daher werden alle Gruppenrichtlinienänderungen standardmäßig am PDC-Emulator vorgenommen.

Der PDC-Emulator ist die Hauptzeitquelle für die Domäne. Die PDC-Emulatoren in jeder Domäne synchronisieren ihre Zeit mit dem PDC-Emulator der Gesamtstruktur-Stammdomäne. Andere Controller synchronisieren ihre Zeit mit dem Domänen-PDC-Emulator, Computer und Server synchronisieren ihre Zeit mit dem Domänencontroller.

Um zu sehen, welcher Controller in der Domäne als PDC-Emulator fungiert, müssen Sie die " Aktive Verzeichnisse Benutzer und Computer", klicken Sie mit der rechten Maustaste auf die Domain und wählen Sie " Betriebsmeister".

Auf der Registerkarte PDC sehen Sie den Controller, der diese Rolle ausführt.

Es gibt mehrere Situationen, in denen Sie sich die Rollen merken müssen FSMO- dies ist Disaster Recovery nach einem Ausfall, Migration sowie Jobsuche (normalerweise stellen Interviewer sehr gerne Fragen wie „In welchen Rollen sind ANZEIGE für einen Domänencontroller, warum werden sie benötigt?"). Und obwohl all diese Situationen äußerst selten vorkommen, für ein allgemeines Verständnis der Arbeit ANZEIGE Es ist sehr nützlich, den Zweck von Rollen zu verstehen FSMO.

FSMO, oder Flexibler Single-Master-Betrieb(Single-Executor-Vorgänge) sind Vorgänge, die von Domänencontrollern ausgeführt werden Active Directory (AD), die erfordern, dass der Server für jeden Vorgang eindeutig ist. Je nach Art der Operation, Eindeutigkeit FSMO innerhalb einer einzelnen Domäne oder einer Gesamtstruktur von Domänen impliziert. verschiedene Typen FSMO kann auf einem oder mehreren Domänencontrollern ausgeführt werden. Leistung FSMO Der Server wird aufgerufen Rolle Server, und die Server selbst sind die Master of Operations.

Die meisten Transaktionen in ANZEIGE kann auf jedem Domänencontroller durchgeführt werden. Replikationsdienst ANZEIGE kopiert die Änderungen auf die restlichen Domänencontroller und stellt so die Identität der Basis sicher ANZEIGE auf allen Controllern einer Domäne. Die Beseitigung von Konflikten erfolgt wie folgt - Recht hat derjenige, der die Änderungen zuletzt vorgenommen hat.

Es gibt jedoch mehrere Aktionen (z. B. das Ändern des Schemas ANZEIGE), für die keine Konflikte zulässig sind. Daher gibt es Server mit Rollen FSMO. Ihre Aufgabe — vermeiden Sie solche Konflikte. Daher die Bedeutung von Rollen FSMO in der nächsten kann jede Rolle nur auf einem Server gleichzeitig ausgeführt werden. Und bei Bedarf kann es jederzeit auf einen anderen Domänencontroller übertragen werden.

Es gibt insgesamt fünf Rollen im Wald FSMO. Zu Beginn werde ich sie kurz beschreiben. :

• Schema-Master ( Schema-Master) - verantwortlich für Änderungen am Schema Active Directory. Es kann nur eine für die gesamte Gesamtstruktur der Domänen geben.
• Domain-Namensmaster ( Meister der Domänennamen) - ist für die Eindeutigkeit von Namen für die erstellten Domänen und Anwendungspartitionen in der Gesamtstruktur verantwortlich. Es kann nur eine für die gesamte Gesamtstruktur der Domänen geben.
• Infrastrukturhost ( Infrastrukturmeister) - speichert Daten über Benutzer aus anderen Domänen, die Mitglieder der lokalen Gruppen ihrer Domäne sind. Es kann eine für jede Domäne in der Gesamtstruktur geben.
• Meister LOSWERDEN (RID-Meister) - ist verantwortlich für die Zuweisung eindeutiger relativer Identifikatoren ( LOSWERDEN) erforderlich, wenn Domänenkonten erstellt werden. Es kann eine für jede Domäne in der Gesamtstruktur geben.
• Emulator PDC (PDC-Emulator) - verantwortlich für die Kompatibilität mit der Domäne NT4 und Kunden zu Windows 2000. Es kann eine für jede Domäne in der Gesamtstruktur geben.

Lassen Sie uns nun jede Rolle genauer durchgehen und herausfinden, wie wichtig sie für das Funktionieren sind. Active Directory.

Schema-Master

Schema-Master- ist verantwortlich für Änderungen am Schema, in dem sich die Beschreibungen aller Klassen und Attribute befinden Active Directory. Das Schema wird äußerst selten geändert, zum Beispiel beim Wechsel der Domänenebene, beim Installieren Austausch und manchmal andere Anwendungen. Diese Rolle kann sich auf jedem Domänencontroller innerhalb der Gesamtstruktur befinden. Wenn nicht verfügbar Schema-Master Schema ändern ANZEIGE wird unmöglich sein.

Meister der Domänennamen

Meister der Domänennamen verantwortlich für Vorgänge im Zusammenhang mit Domainnamen ANZEIGE, allerdings ist die Liste seiner Aufgaben etwas länger :

• Hinzufügen und Entfernen von Domänen innerhalb einer Gesamtstruktur. Das Hinzufügen und Löschen von Domänen ist nur dem Controller mit der Rolle gestattet Meister der Domänennamen. Es stellt sicher, dass die hinzugefügte Domäne innerhalb der Gesamtstruktur eindeutig ist NETBIOS-Name. Wenn ein Meister benennen nicht verfügbar ist, können Sie keine Domäne in der Gesamtstruktur hinzufügen oder entfernen.
• Partitionen erstellen und löschen. Mit ... anfangen Windows 2003 es wurde möglich, separate Abschnitte zu erstellen - Anwendungsverzeichnispartitionen, die zum Speichern verwendet werden ANZEIGE willkürliche Daten. Zum Beispiel das Speichern von Daten für DNS-Server in Abschnitten ForestDnsZones und DomainDnsZones. Partitionsverwaltung, wenn nicht verfügbar Meister der Domänennamen unmöglich.
• Querverweise erstellen und löschen. Querverweise werden verwendet, um das Verzeichnis zu durchsuchen, wenn der Server, mit dem der Client verbunden ist, es nicht enthält gewünschte Kopie Verzeichnis, und Sie können auch auf Domänen außerhalb der Gesamtstruktur verweisen, sofern diese verfügbar sind. Querverweise werden gespeichert ( Querverweis) in einem Behälter Partitionen Sektion Aufbau, und nur Meister der Domänennamen hat das Recht, den Inhalt dieses Containers zu ändern. Wenn nicht verfügbar Meister der Domänennamen Es ist nicht möglich, einen neuen Querverweis zu erstellen oder einen unnötigen zu löschen.
• Genehmigung der Domänenumbenennung. Verwenden Sie das Dienstprogramm, um eine Domäne umzubenennen random.exe. Sie schreibt ein Skript mit Anweisungen, die während des Umbenennungsprozesses ausgeführt werden sollen. Dieses Skript wird in einem Container platziert Partitionen Sektion Aufbau. Da nur der Controller mit der Rolle Meister der Domänennamen, dann ist er für die Überprüfung von Anweisungen und Schreibattributen verantwortlich.

Diese Rolle kann sich auf jedem Domänencontroller innerhalb der Gesamtstruktur befinden.

Infrastrukturmeister

Wenn der Server kein globaler Katalog ist ( GC), dann enthält seine Datenbank keine Daten über Benutzer aus anderen Domänen. Wir können jedoch Benutzer aus anderen Domänen zu lokalen Domänengruppen hinzufügen. Eine Gruppe in der Basis ANZEIGE müssen physische Verbindungen zu allen Benutzern haben. Dieses Problem wurde gelöst, indem ein fiktives Objekt erstellt wurde - ein Phantom ( Phantom). Phantomobjekte sind eine spezielle Art von internen Datenbankobjekten und können nicht durchgesehen werden ADSI oder LDAP. Es ist die Arbeit mit Phantomen, mit der sich der Infrastrukturmeister beschäftigt.

Ein weiteres Merkmal dieser Rolle ist korrekter Betrieb In einer Umgebung mit mehreren Domänen sollte der Domänencontroller, der als Infrastrukturmaster fungiert, kein globaler Katalogserver sein. Wenn der Rolleninhaber Infrastrukturmeister ist auch ein Server GC, werden auf diesem Domänencontroller keine Dummy-Objekte erstellt oder aktualisiert. Dies liegt daran, dass der globale Katalog bereits Teilreplikate enthält alle Gegenstände hinein Active Directory, und er braucht keine Phantome .

RID-Meister

Jedes Konto in der Domäne (Benutzer, Computer, Gruppe) muss eine eindeutige Sicherheitskennung haben ( SID), die dieses Konto eindeutig identifiziert und der Differenzierung von Zugriffsrechten dient. Sieht aus SID auf die folgende Weise:

S-1-5-Y1-Y2-Y3-Y4, wo

• S-1 — SID Revision 1. Nur diese Revision wird derzeit verwendet.
• 5 — Gibt an, wer die SID ausgestellt hat. 5 bedeutet NT-Autorität. Allerdings sind sogenannte „Well Known Identifier“ SID (bekannte SID) kann in diesem Teil 0, 1 und einige andere Werte haben.
• Y1-Y2-Y3— ID der Domäne, zu der sie gehört Konto. Für alle Objekte gleich Sicherheitsprinzipal innerhalb derselben Domäne.
• Y4— Relativer Bezeichner ( Relative ID, RID) einem bestimmten Konto zugeordnet. Wird zum Zeitpunkt der Kontoerstellung aus dem Pool relativer Domänenkennungen ersetzt.

Rolle Domänencontroller RID-Meister ist verantwortlich für das Extrahieren einer eindeutigen Sequenz LOSWERDEN an jeden Domänencontroller in seiner Domäne sowie für die Korrektheit des Verschiebens von Objekten von einer Domäne in eine andere. Domänencontroller haben einen gemeinsamen Pool relativer Identitäten ( RID-Pool), LOSWERDEN von denen jeder Controller in Portionen von 500 Stück zugeteilt wird. Wenn ihre Anzahl zu Ende geht (weniger als 100 wird), fordert der Controller eine neue Portion an. Ggf. die Anzahl der ausgestellten LOSWERDEN und der Anforderungsschwellenwert kann geändert werden.

Ein weiterer Aufgabenbereich RID-Meister— Verschieben von Objekten zwischen Domänen. Exakt RID-Meister stellt sicher, dass Sie dasselbe Objekt nicht gleichzeitig in zwei verschiedene Domänen verschieben können. Andernfalls ist eine Situation möglich, in der zwei Domänen zwei Objekte mit demselben enthalten GUID die mit den unerwartetsten Folgen behaftet ist.

Wenn ein RID-Meister wird nicht verfügbar sein, dann nach dem Ende kostenlos LOSWERDEN Es wird unmöglich, ein neues Konto zu erstellen, und es wird auch nicht möglich sein, Objekte von der aktuellen Domäne in eine andere zu migrieren.

PDC-Emulator

Zunächst die Hauptaufgabe Primary Domain Controller (PDC)-Emulator war, die Kompatibilität mit sicherzustellen vorherige Versionen Windows. In einem gemischten Umfeld, in dem sich Kunden treffen Windows NT4.0/ 95/98 und Domänencontroller NT4, PDC-Emulator führt (nur für sie) die folgenden Funktionen aus:

• Verarbeitung der Operation „Passwort ändern“ für Benutzer und Computer;
• Updates replizieren nach vdc (Domänencontroller sichern);
• Network Explorer (Suche nach Netzwerkressourcen).

Beginnend auf Domänenebene Windows 2000 und ältere Arbeit fügte er hinzu. Rolle Domänencontroller PDC-Emulator führt die folgenden Funktionen aus:

• Verantwortlich für das Ändern von Passwörtern und überwacht Benutzersperrungen auf Passwortfehler. Ein von einem anderen Domänencontroller geändertes Kennwort wird zuerst repliziert PDC-Emulator. Wenn die Authentifizierung auf einem anderen Domänencontroller nicht erfolgreich war, wird die Anfrage wiederholt PDC-Emulator. Wenn das Konto unmittelbar nach einem erfolglosen Versuch erfolgreich authentifiziert wird, PDC-Emulator er wird benachrichtigt und setzt den Zähler zurück fehlgeschlagene Versuche bis Null. Es ist wichtig zu beachten, dass im Falle der Nichtverfügbarkeit PDC-Emulator Informationen zum Ändern des Passworts werden sich immer noch in der gesamten Domäne verbreiten, es wird nur etwas langsamer passieren.
• Der Gruppenrichtlinien-Editor stellt standardmäßig eine Verbindung zum Server her PDC-Emulator, und Richtlinienänderungen treten darauf auf. Wenn ein PDC-Emulator nicht verfügbar ist, müssen Sie dem Editor mitteilen, mit welchem ​​Domänencontroller eine Verbindung hergestellt werden soll.
• Standardmäßig ist es PDC-Emulator ist ein Zeitserver für Clients in der Domäne. PDC-Emulator root-Domäne in der Gesamtstruktur ist der Standardzeitserver für PDC-Emulator in untergeordneten Domänen.
• Namespace-Änderungen Verteiltes Dateisystem (DFS) werden auf einem Domänencontroller mit der Rolle vorgenommen PDC-Emulator. Root-Server DFS fordern regelmäßig aktualisierte Metadaten von ihm an und behalten sie in ihrem Gedächtnis. Unzugänglichkeit PDC-Emulator kann zu Fehlfunktionen führen. DFS.
• BEI Active Directory es gibt sogenannte „Built-in Security System Participants“ ( Bekannte Sicherheitsprinzipale). Konten sind Beispiele. Jeder, Authentifizierte Benutzer, System, Selbst und Ersteller-Besitzer. Alle werden von einem Domänencontroller mit der Rolle verwaltet PDC-Emulator. Genauer gesagt, mit Änderungen in ANZEIGE PDC-Emulatorüberprüft und aktualisiert den Inhalt des Containers " CN=WellKnown Security Principals, CN=Configuration, DC= >”.
• In jeder Walddomäne Active Directory es gibt einen Besitzer von administrativen Sicherheitsbeschreibungen − AdminSDHolder. Es speichert Informationen über Sicherheitseinstellungen für sogenannte geschützte Gruppen ( geschützte Gruppen). Dieser Mechanismus fordert mit einer gewissen Häufigkeit eine Liste aller Mitglieder dieser Gruppen an und erteilt ihnen Rechte gemäß seiner Zugriffskontrollliste. Auf diese Weise AdminSDHolder schützt administrative Gruppen vor Änderungen. Aufgeführt AdminSDHolder auf einem Domänencontroller mit einer Rolle PDC-Emulator.

Das ist wahrscheinlich alles. Ich hoffe, ich konnte die Situation mit den Rollen ein wenig verdeutlichen FSMO. Und beim nächsten Mal werden wir uns Optionen ansehen, um Rollen auf einen anderen Domänencontroller zu übertragen, sowie die Zuweisung (Beschlagnahme) einer Rolle zu erzwingen, falls der Domänencontroller, der sie ausführt, nicht verfügbar ist.

Übertragung und Übernahme von FSMO-Rollen

Entscheidung über die Rollenverteilung FSMO Erwägen Sie Optionen zum Übertragen von Rollen auf einen anderen Domänencontroller sowie zum Erzwingen oder „Erfassen“ einer Rolle im Falle der Nichtverfügbarkeit des Domänencontrollers, der sie ausführt.

Wenn eine Domäne erstellt wird, werden standardmäßig alle Rollen dem ersten Domänencontroller in der Gesamtstruktur zugewiesen. Eine Rollenneuzuweisung ist selten erforderlich. Microsoft empfiehlt die Verwendung der Rollenübertragung FSMO in folgenden Fällen:

Geplante Herabstufung eines rollenbesitzenden Domänencontrollers FSMO, um beispielsweise den Server außer Betrieb zu nehmen;
Vorübergehendes Herunterfahren eines Domänencontrollers, z. B. zur Durchführung von Wartungsarbeiten. In diesem Fall müssen seine Rollen einem anderen funktionierenden Domänencontroller zugewiesen werden. Dies ist insbesondere beim Deaktivieren des Emulators erforderlich PDC. Die vorübergehende Schließung anderer Betriebe hat geringere Auswirkungen auf die Arbeit ANZEIGE.

Rollenerfassung FSMO in folgenden Fällen hergestellt:

Wenn die Arbeit des aktuellen Rolleninhabers FSMO es gab Fehler, die die erfolgreiche Ausführung der dieser Rolle innewohnenden Funktionen verhindern und den Wechsel der Rolle nicht zulassen;
Auf dem Domänencontroller, der der Besitzer der Rolle war FSMO, neu installiert oder wird nicht geladen operationssystem;
Die Rolle des Domänencontrollers, der der Besitzer der Rolle war FSMO, wurde mit dem Befehl zwangsweise herabgestuft dcpromo /forceremoval .

Notiz. Beginnend mit Windows Server 2003 SP1, wenn Sie den Befehl ausführen dcpromo /forceremovalüberprüft, ob der Domänencontroller die Rolle des Master of Operations hat, ein DNS-Server oder ein globaler Katalogserver ist. Für jede dieser Rollen erhalten Sie eine Benachrichtigung mit Anweisungen, wie Sie die entsprechenden Maßnahmen ergreifen können.

Für den Fall, dass es zwei oder mehr Controller in der Domäne gibt, müssen wir zuerst herausfinden, wer der Besitzer der jeweiligen Rolle ist FSMO. Das geht ganz einfach mit dem Befehl Netdom-Abfrage fsmo

Kommen wir nun zur Rollenübergabe. Es gibt mehrere Handlungsoptionen, wir werden sie alle der Reihe nach betrachten. Die erste Option ist die einfachste und günstigste.

Freiwillige Übertragung von FSMO-Rollen mithilfe von Active Directory-Verwaltungs-Snap-Ins

RID-Meister, PDC-Emulator und Infrastrukturmeister) Snap verwenden Active Directory Benutzer und Computer (Benutzer und Computer). Dazu gehen wir auf den Domänencontroller, auf den wir die Rollen übertragen wollen, starten das Snap-In und klicken mit der rechten Maustaste auf die gewünschte Domäne, wählen den Punkt „Operations Masters“ aus.

Wählen Sie in dem sich öffnenden Fenster die gewünschte Rolle aus (in unserem Beispiel RID-Meister) und klicken Sie auf die Schaltfläche Ändern.

Und wir schauen uns das Ergebnis an. Die Tat ist vollbracht, die Rolle wurde auf einen anderen Server übertragen .

Rollenübertragung Meister der Domänennamen von einem Tool aus durchgeführt Active Directory Domänen und Vertrauen (Domänen und Vertrauen). Wir starten das Snap-In, verbinden uns ggf. mit dem gewünschten Domänencontroller, klicken mit der rechten Maustaste in das Stammverzeichnis des Snap-Ins und wählen den Menüpunkt „Operations Master“.

Es öffnet sich ein bekanntes Fenster, in dem Sie auf die Schaltfläche "Ändern" klicken und die Änderungen dann auf die gleiche Weise wie im vorherigen Beispiel bestätigen müssen.

Mit Rolle Schema-Master die Sache ist etwas komplizierter. Um diese Rolle zu übertragen, müssen Sie zuerst die Schemaverwaltungsbibliothek im System registrieren Active Directory. Dies geschieht mit dem Befehl regsvr32 schmmgmt.dll , in das Feld „Ausführen“ eingegeben ( Laufen).

Öffnen Sie dann die Konsole MMC und fügen Sie einen Snap hinzu Active Directory-Schema .

Wenn es aus irgendeinem Grund nicht möglich ist, Rollen mit grafischen Snap-Ins zu übertragen, sowie für Laien Befehlszeile es gibt noch eine zweite Möglichkeit:

Freiwilliges Übertragen von fsmo-Rollen mit Ntdsutil

ntdsutil.exe ist ein Befehlszeilendienstprogramm zum Verwalten eines Verzeichnisses Active Directory. Es ist ein leistungsstarkes Verwaltungstool, und zu seinen Funktionen gehören das Übertragen und Ergreifen von Rollen. FSMO.

Wechseln Sie zum Übertragen von Rollen zu einem beliebigen Domänencontroller in der Gesamtstruktur, in der Sie Rollen übertragen möchten FSMO. Es wird empfohlen, dass Sie sich bei dem Domänencontroller anmelden, dem die Rollen zugewiesen sind FSMO. Wir starten die Kommandozeile und geben die Befehle in folgender Reihenfolge ein:

• ntdsutil
• Rollen
• Verbindungen
• verbinden zum Server<имя сервера>

Nach erfolgreicher Verbindung zum Server erhalten wir eine Einladung zur Rollenverwaltung ( fsmo-Wartung), und wir können mit der Übertragung von Rollen beginnen:

• Transfer-Domain-Namensmaster —Übertragung der Rolle des Domänennamen-Masters.
• Meister der Übertragungsinfrastruktur — Übergang der Infrastruktur-Master-Rolle;
• Meister loswerdenÜbertragung der Host-Rolle LOSWERDEN;
• Schemamaster übertragenÜbertragung der Schema-Master-Rolle;
• pdc übertragen - Emulator-Rollenübertragung PDC.

Um die Arbeit abzuschließen Ntdsutil geben Sie den Befehl ein q und drücken Sie die Eingabetaste.

Notiz. Ab Windows Server 2008R2 lautet der Befehl zum Übertragen der Domänennamen-Masterrolle Benennungsmaster übertragen.

Lassen Sie uns als Beispiel die Rolle übergeben Infrastrukturmeister Server SRV2 und überprüfe das Ergebnis.

Nun, das dritte, das traurigste Szenario:

Erzwingen von fsmo-Rollen mit Ntdsutil

Eine erzwungene Zuweisung oder Übernahme von Rollen erfolgt nur im Falle eines vollständigen Ausfalls des Servers mit der Unmöglichkeit seiner Wiederherstellung. Wenn möglich, ist es besser, die Funktionalität des ausgefallenen Domänencontrollers wiederherzustellen, dem Rollen zugewiesen wurden FSMO. Das Erfassungsverfahren selbst unterscheidet sich nicht sehr von der Übertragung von Rollen. Wir gehen zu dem Domänencontroller, auf den wir Rollen übertragen möchten, und geben nacheinander auf der Befehlszeile ein:

• ntdsutil
• Rollen
• Verbindungen
• verbinden zum Server<имя сервера>

Rollen zu erobern FSMO Belegung-Befehl verwendet wird

Und noch ein paar wichtige Punkte, die bei der Übertragung / Übernahme von Rollen zu beachten sind FSMO:

So übertragen Sie Rollen auf Domänenebene ( RID-Meister, PDC-Emulator und Infrastrukturmeister) Ihr Konto muss Mitglied der Gruppe Domänen-Admins sein ( Domänenadministratoren) und zum Übertragen von Rollen auf Gesamtstrukturebene ( Meister der Domänennamen und Schema-Master) - Unternehmensadministratoren ( Unternehmensadministratoren).
Weisen Sie möglichst keine Rolle zu Infrastrukturmeister an einen Domänencontroller, der ein globaler Katalogserver ist, da in diesem Fall keine Informationen zu Objekten aktualisiert werden. Der Grund für dieses Verhalten liegt darin, dass der globale Katalogserver Teilreplikate aller Objekte in der Gesamtstruktur verwaltet.
Im Falle einer Rollenerfassung FSMO Ein Domänencontroller, der diese Rollen zuvor ausgeführt hat, sollte niemals zurückgegeben werden, weil Wenn es im Netzwerk erscheint, tritt ein Konflikt auf, der Probleme beim Betrieb der Domäne verursachen kann. Außerdem muss es entfernt werden Aktives Verzeichnis. BEI Windows-Server 2008 und 2008R2 Dies kann durch einfaches Löschen des Serverobjekts im Snap erfolgen Active Directory Benutzer und Computer, und in Windows-Server 2003 mit dem Programm Ntdsutil mit dem Befehl ntdsutil - Metadatenbereinigung . Mehr dazu erfahren Sie im Technischen Support. Microsoft

Es ist kein Geheimnis, dass es Operationen in AD gibt, die nur einem Domänencontroller in der Gesamtstruktur, dem so genannten Operationsmaster, zugewiesen sind. Beispielsweise wird in AD nur ein Controller als primärer Verwalter des Verzeichnisschemas festgelegt.

Wenn ein solcher Server aus einem der technischen oder nicht-technischen Gründe ausfällt, entsteht eine Situation, in der der zweite DC im Paket es Ihnen nicht erlaubt, die Domäne vollständig zu verwalten. In solchen Fällen hilft das folgende Rezept, mit dem Sie die bestehenden Rollen des Betriebsleiters auf den überlebenden Controller übertragen können. Das Rezept ist ziemlich berühmt, aber ich fand es nützlich, es auszulegen detaillierte Anleitung am habr, da war meine erste reaktion panik.

Wir betrachten eine Domänenkonfiguration mit zwei Controllern. Einem von ihnen wurden die Rollen des Betriebsleiters und des globalen Katalogs zugewiesen, und in unserem Szenario stirbt er. Um alle Rollen neu zuzuweisen, muss der Administrator Mitglied der Gruppe „Organisations-Admins“ sein. Das Verfahren besteht aus zwei Schritten: Besetzen von Rollen und Zuweisen eines globalen Katalogs.

Diejenigen, die die Theorie der Masters of Operations lernen möchten, lesen diesen informativen Beitrag. Nun, wir machen weiter.

Rollenerfassung

Drück den Knopf Anfang, Wähle einen Artikel aus Laufen, Eintreten ntdsutil, und drücken Sie die EINGABETASTE.
1. Verbindung
1.1. In der Einladung ntdsutil: Eintreten Rollen und drücken Sie ENTER.
1.2. In der Einladung fsmo-Wartung: Eintreten Verbindungen und drücken Sie ENTER.
1.3. In der Einladung Serververbindungen: Eintreten verbinden zum Server Servername(wo Servername der Name des Domänencontrollers ist, der die Rolle des Betriebsmasters übernimmt), und drücken Sie die EINGABETASTE.
1.4. Nachdem Sie eine Verbindungsbestätigung erhalten haben, geben Sie ein Verlassen und drücken Sie ENTER.
2. Abhängig von der Rolle, die Sie die Einladung annehmen möchten fsmo-Wartung: Geben Sie den entsprechenden Befehl aus der folgenden Tabelle ein und drücken Sie die EINGABETASTE.
3. Geben Sie ein Verlassen und drücken Sie ENTER. Wiederholen Sie den Vorgang erneut, um ntdsutil zu beenden.

Das System bittet um Bestätigung. Es versucht dann, die angegebenen Rollen zu übertragen. Währenddessen werden möglicherweise mehrere Fehlermeldungen angezeigt, die Erfassung wird jedoch fortgesetzt. Nach Abschluss wird eine Liste der Rollen und LDAP-Knoten der verantwortlichen Server angezeigt. Während der Master-RID-Erfassung sollte der aktuelle Master versuchen, sich mit dem Replikationspartner zu synchronisieren, aber der Partner ist tot, sodass eine Warnung angezeigt wird und der Vorgang bestätigt werden muss.

Capture-Befehle

Zweck des globalen Katalogs

1. Öffnen Sie das Snap-In Active Directory-Standorte und -Dienste.
2. Wählen Sie in der Konsolenstruktur den Domänencontroller aus, auf dem Sie den globalen Katalog aktivieren oder deaktivieren möchten. Suchen Sie hier Active Directory-Sites und -Dienste/Sites/Site-Name/Server/Controller-Name
3. Klicken Sie mit der rechten Maustaste auf NTDS-Einstellungen, wählen Sie Eigenschaften. Aktivieren Sie das Kontrollkästchen Globaler Katalog, um den globalen Katalog zu aktivieren, oder deaktivieren Sie das Kontrollkästchen, um den globalen Katalog zu deaktivieren.

Ich hoffe, dass dieser Artikel jemandem eine Menge Nerven ersparen wird.

In Win2k8R2 sind die Befehle etwas anders:

fsmo-Wartung:?

Ausgabe dieser Hilfeinformationen
Verbindungen – Verbindung zu einer bestimmten AD DC/LDS-Instanz
Hilfe - Zeigt diese Hilfeinformationen an
Beenden – Zurück zum vorherigen Menü
Infrastruktur-Master übernehmen – Überschreiben Sie die Infrastrukturrolle auf dem verbundenen Server
Naming Master übernehmen - Überschreiben Sie die Rolle des Naming Masters auf dem verbundenen Server
PDC übernehmen – PDC-Rolle auf verbundenem Server überschreiben
RID-Master übernehmen – Überschreiben Sie die RID-Rolle auf dem verbundenen Server
Schema-Master übernehmen – Schema-Rolle auf verbundenem Server überschreiben
Vorgangsziel auswählen – Wählen Sie Sites, Server, Domänen, Rollen und Namenskontexte aus
Infrastruktur-Master übertragen – Machen Sie den verbundenen Server zum Infrastruktur-Master
Benennungsmaster übertragen – Machen Sie den verbundenen Server zum Namensmaster
PDC übertragen - Erstellen Sie einen verbundenen PDC-Server
RID-Master übertragen – Machen Sie den verbundenen Server zum RID-Master
Schema-Master übertragen – Machen Sie den verbundenen Server zum Schema-Master

In diesem Artikel schlage ich vor, über Methoden zum Übertragen von FSMO-Rollen zwischen Domänencontrollern in einer Active Directory-Umgebung zu sprechen. Ich werde kurz versuchen, Sie daran zu erinnern, was FSMO-Rollen (Flexible Single Master Operation) sind, wörtliche Übersetzung Operationen mit einem Executor) in einer Active Directory-Domäne. Es ist kein Geheimnis, dass in Active Directory die meisten typischen Operationen (wie das Einrichten von Konten, Gruppen) auf jedem Domänencontroller ausgeführt werden können. Der AD-Replikationsdienst ist für die Verteilung dieser Änderungen im gesamten Verzeichnis zuständig und alle möglichen Konflikte (z. B. gleichzeitiges Umbenennen eines Benutzers auf mehreren Domänencontrollern) werden nach einem einfachen Prinzip gelöst - wer zuletzt ist, hat Recht. Es gibt jedoch eine Reihe von Vorgängen, bei denen ein Konflikt nicht akzeptabel ist (z. B. Erstellen einer neuen untergeordneten Domäne/Gesamtstruktur usw.). Deshalb gibt es Domänencontroller mit FSMO-Rollen, deren Hauptaufgabe es ist, solche Konflikte zu verhindern. FSMO-Rollen können jederzeit auf einen anderen Domänencontroller übertragen werden.

Es gibt fünf FSMO-Rollen in Windows Server 2008:

1. Schema-Master - ein Server mit dieser Rolle für die gesamte Gesamtstruktur. Die Rolle wird benötigt, um das Active Directory-Gesamtstrukturschema zu erweitern. Normalerweise wird dieser Vorgang vom Befehl adprep /forestprep ausgeführt
2. Domain-Namensmeister - Eine für den ganzen Wald. Ein Server mit dieser Rolle muss eindeutige Namen für alle Domänen und Anwendungspartitionen sicherstellen, die in der AD-Gesamtstruktur erstellt werden.
3. PDC-Emulator (PDC-Emulator) - ein Server pro Domäne. Führt mehrere Funktionen aus: ist der Hauptbrowser in Windows-Netzwerke, überwacht Benutzersperrungen bei falscher Kennworteingabe, soll Clients mit Betriebssystemen vor Windows 2000 unterstützen.
4. Infrastrukturmeister- ein Server pro Domäne. Ein Server mit dieser Rolle ist für die erfolgreiche Ausführung des Befehls adprep /domainprep erforderlich. Verantwortlich für die Aktualisierung von Sicherheitskennungen (GUIDs, SIDs) und eindeutigen Objektnamen in domänenübergreifenden Objektverweisen.
5. RID-Meister- ein Server pro Domäne. Der Server verteilt RIDs (jeweils 500) an andere Domänencontroller, um eindeutige SIDs zu erstellen.

• Um eine Rolle zu verwalten Schema-Master Sie müssen in der Gruppe "Schema-Admins" sein.
• Um eine Rolle zu verwalten Meister der Domain-Namensgebung muss Mitglied der Gruppe „Enterprise Admins“ sein.
• Rollen verwalten PDCEmulator,InfrastrukturMeister und LOSWERDENMeister Sie müssen über Domänenadministratorrechte "Domänen-Admins" verfügen

Die Notwendigkeit, FSMO-Rollen zwischen Domänencontrollern zu übertragen, entsteht normalerweise, wenn der Server, auf dem der Domänencontroller mit der FSMO-Rolle installiert ist, außer Betrieb genommen wird, oder aus einem anderen Grund. Der Rollenübertragungsprozess ist ein manueller Prozess.

Sie können die FSMO-Rolle mit dem Dienstprogramm von der Befehlszeile aus übertragen ntdsutil.exe oder von GUI MMC-Schnappschüsse. Wir interessieren uns für die folgenden Active Directory-Snap-Ins ()

• Active Directory-Schema(zur Übertragung der Schema-Master-Rolle)
• Active Directory-Domänen und -Vertrauensstellungen(für die Übertragung der Domain-Naming-Rolle)
• (für RID, PDC, Infrastruktur-Rollentransfer)

Notiz: Alle Arbeiten müssen auf dem Controller mit der Rolle ausgeführt werden, die Sie migrieren möchten. Wenn die Serverkonsole nicht verfügbar ist, müssen Sie den Befehl ausführen VerbindenzuDomainRegler und wählen Sie im MMC-Snap-In einen Domänencontroller aus.

Rollenübertragung Schema-Master

1. Registrieren Sie die Bibliothek schmmgmt.dll indem Sie den folgenden Befehl auf der Befehlszeile ausführen:

Regsvr32 schmmgmt.dll.

2. Öffnen Sie die MMC-Konsole durch Eingabe MMCauf der Kommandozeile.
3. Wählen Sie im Menü aus Hinzufügen/Entfernen Snap-In und Konsole hinzufügen Active Directory-Schema.
4. Klicken Sie mit der rechten Maustaste auf das Stammverzeichnis der Konsole ( Active Directory-Schema) und auswählen Betriebsmeister.
5. Drücken Sie die Taste Rückgeld, geben Sie den Namen des Controllers ein, an den die Schema-Master-Rolle übertragen werden soll, und klicken Sie auf OK.

Übertragen der Rolle des Domänennamensmasters

1. Öffnen Sie die Domänen- und Vertrauensverwaltungskonsole AktivVerzeichnisDomänenundVertrauen.
2. Klicken Sie mit der rechten Maustaste auf Ihren Domänennamen und wählen Sie die Option aus OperationenMeister.
3. Drücken Sie die Taste Rückgeld, geben Sie einen Controller-Namen ein und bestätigen Sie mit OK.

Übertragen von RID-Master-, PDC-Emulator- und Infrastruktur-Master-Rollen

1. Öffnen Sie die Konsole Aktive Verzeichnisse Benutzer und Computer.
2. Klicken Sie mit der rechten Maustaste auf Ihren Domainnamen und wählen Sie ihn aus Betriebsmeister.
3. Sie sehen ein Fenster mit drei Registerkarten ( RID, PDC, Infrastruktur), auf die Sie jeweils mit einem Klick auf die Schaltfläche die entsprechende Rolle übertragen können Rückgeld.

Übertragung von Rollen FSMO über die Befehlszeile mit dem Dienstprogrammntdsutil

Aufmerksamkeit: Dienstprogramm verwenden ntdsutil Sie müssen vorsichtig sein und klar verstehen, was Sie tun, sonst können Sie einfach Ihre Active Directory-Domäne festlegen!

1. Öffnen Sie auf einem Domänencontroller eine Eingabeaufforderung und geben Sie den Befehl ein

Ntdsutil

2. Wählen Sie ein Team an

4. Dann müssen Sie sich mit dem Server verbinden, auf den Sie die Rolle übertragen möchten. Geben Sie dazu Folgendes ein:

Verbinden zum Server

, wo < Servername> der Name des Domänencontrollers, auf den Sie die FSMO-Rolle übertragen möchten.

5. Geben Sie ein q und drücken Sie die Eingabetaste.

6. Mannschaft:

Rolle übertragen

Wo < Rolle> Dies ist die Rolle, die Sie übertragen möchten. Zum Beispiel: Schemamaster übertragen, RID übertragenund t. d.

7. Nachdem die Rollen übertragen wurden, klicken Sie auf q und Enter zum Beenden mit ntdsutil.exe.

8. Starten Sie den Server neu.