AD DS prend en charge cinq rôles de maître d'opérations :

1 Propriétaire de noms de domaine (Domain Naming Master) ;

2 Maître de schéma ;

3 Propriétaire des identifiants relatifs (Relative ID Master) ;

4 Propriétaire d'infrastructure de domaine (maître d'infrastructure) ;

5 Émulateur de contrôleur de domaine principal (émulateur PDC).

Propriétaire du nom de domaine (Domain Naming Master).

Le rôle est conçu pour ajouter et supprimer des domaines dans la forêt. Si un contrôleur avec ce rôle n'est pas disponible lors de l'ajout ou de la suppression de domaines dans la forêt, une erreur d'opération se produit.

La forêt utilise un seul contrôleur de domaine avec le rôle - le propriétaire des noms de domaine (Domain Naming Master).

Afin de voir lequel des contrôleurs de domaine dont vous disposez est le propriétaire des noms de domaine, vous devez exécuter le composant logiciel enfichable Active Directory- Domaines et confiance faites un clic droit sur le nœud racine et sélectionnez " Maître d'opération"

Dans la ligne Domain Naming Master, vous verrez quel contrôleur de domaine a ce rôle.

Maître de schéma.

Un contrôleur doté du rôle de propriétaire du schéma est chargé d'apporter toutes les modifications au schéma de la forêt. Tous les autres domaines contiennent des répliques de schéma en lecture seule.

Le rôle de propriétaire de schéma est unique dans toute la forêt et ne peut être défini que sur un contrôleur de domaine.

Pour afficher le contrôleur de domaine agissant en tant que propriétaire du schéma, vous devez exécuter le composant logiciel enfichable Schéma Active Directory, mais pour ce faire, vous devez enregistrer ce composant logiciel enfichable. Pour ce faire, ouvrez la ligne de commande et entrez la commande

regsvr32 schmmgmt.dll

Après cela, appuyez sur " Démarrer"Choisir une équipe" Cours" et entrez " mmc"et appuyez sur le bouton" D'ACCORD". Ensuite, dans le menu, appuyez sur " Dossier"Choisir une équipe" Ajouter ou supprimer un snap". Dans un groupe Composants logiciels enfichables disponibles choisir " Schéma Active Directory", appuie sur le bouton" Ajouter" puis le bouton " D'ACCORD".

Cliquez avec le bouton droit sur le nœud racine du composant logiciel enfichable et sélectionnez " Maître d'opération".

Dans la ligne Current Schema Master (Online), vous verrez le nom du contrôleur de domaine qui remplit ce rôle.

Maître ID relatif.

Ce rôle fournit à tous les utilisateurs, ordinateurs et groupes un SID unique (Security Identifier - une structure de données de longueur variable qui identifie un utilisateur, un groupe, un domaine ou un compte d'ordinateur)

Le rôle de maître RID est unique au sein d'un domaine.

Pour voir quel contrôleur du domaine agit en tant que propriétaire de l'identifiant, vous devez exécuter le " Maître d'opération".

Dans l'onglet RID, vous verrez le nom du serveur faisant office de RID

Propriétaire de l'infrastructure du domaine (Infrastructure Master).

Ce rôle est pertinent lors de l'utilisation de plusieurs domaines dans une forêt. Sa tâche principale est de gérer les objets fantômes. Un objet fantôme est un objet créé dans un autre domaine pour fournir une sorte de ressource.

Le rôle d'infrastructure de domaine est unique au sein d'un domaine.

Pour voir quel contrôleur du domaine est le propriétaire de l'infrastructure du domaine, vous devez exécuter le " Utilisateurs et ordinateurs Active Directory", faites un clic droit sur le domaine et sélectionnez " Maître d'opération".

Dans l'onglet " Infrastructure" vous verrez le contrôleur qui remplit ce rôle dans le domaine.

Émulateur de contrôleur de domaine principal (émulateur PDC)

Le rôle de l'émulateur PDC a plusieurs fonctions importantes (toutes ne sont pas listées ici - seulement les principales) :

Participe à la réplication de la mise à jour du mot de passe. Chaque fois qu'un utilisateur modifie le mot de passe, ces informations sont stockées sur le contrôleur de domaine avec le rôle PDC. Lorsqu'un utilisateur saisit un mot de passe incorrect, l'authentification est acheminée vers l'émulateur PDC pour récupérer le mot de passe éventuellement modifié du compte (la saisie d'un mot de passe incorrect prend donc plus de temps pour vérifier le mot de passe que la saisie du mot de passe correct).

Participe à la mise à jour de la stratégie de groupe dans le domaine. En particulier, lorsque la stratégie de groupe change sur différents contrôleurs de domaine en même temps, l'émulateur PDC agit comme point focal pour toutes les modifications de stratégie de groupe. Lorsque vous ouvrez l'éditeur de gestion des stratégies de groupe, il se lie à un contrôleur de domaine agissant comme un émulateur PDC. Par conséquent, toutes les modifications de stratégie de groupe sont apportées par défaut à l'émulateur PDC.

L'émulateur PDC est la principale source de temps pour le domaine. Les émulateurs PDC de chaque domaine synchronisent leur heure avec l'émulateur PDC du domaine racine de la forêt. Les autres contrôleurs synchronisent leur heure avec l'émulateur PDC du domaine, les ordinateurs et les serveurs synchronisent leur heure avec le contrôleur de domaine.

Pour voir quel contrôleur du domaine agit comme un émulateur PDC, vous devez exécuter le " Utilisateurs et ordinateurs Active Directory", faites un clic droit sur le domaine et sélectionnez " Maître d'opération".

Dans l'onglet PDC, vous verrez le contrôleur qui remplit ce rôle.

Il existe plusieurs situations où vous devez vous souvenir des rôles FSMO- c'est la reprise après sinistre après une panne, la migration, ainsi que la recherche d'emploi (généralement les enquêteurs aiment beaucoup poser des questions du type "Quels sont les rôles dans UN D pour un contrôleur de domaine, pourquoi sont-ils nécessaires ?"). Et bien que toutes ces situations se produisent extrêmement rarement, pour une compréhension générale du travail UN D il est très utile de comprendre le but des rôles FSMO.

FSMO, ou alors Opérations flexibles à maître unique(opérations à exécuteur unique) sont des opérations effectuées par des contrôleurs de domaine Active Directory (AD), qui nécessitent que le serveur soit unique pour chaque opération. Selon le type d'opération, l'unicité FSMO implicite dans un seul domaine ou une forêt de domaines. différents types FSMO peut s'exécuter sur un ou plusieurs contrôleurs de domaine. Performance FSMO le serveur s'appelle rôle serveurs, et les serveurs eux-mêmes sont les maîtres des opérations.

La plupart des transactions en UN D peut être fait sur n'importe quel contrôleur de domaine. Service de réplication UN D copiera les modifications sur le reste des contrôleurs de domaine, garantissant l'identité de la base UN D sur tous les contrôleurs d'un domaine. L'élimination des conflits se produit comme suit - celui qui a apporté les modifications en dernier a raison.

Cependant, il existe plusieurs actions (par exemple, changer le schéma UN D) pour lesquels les conflits ne sont pas autorisés. Par conséquent, il existe des serveurs avec des rôles FSMO. Leur tâche — éviter de tels conflits. Ainsi le sens des rôles FSMO dans le suivant, chaque rôle ne peut s'exécuter que sur un serveur à la fois. Et si nécessaire, il peut être transféré à tout moment vers un autre contrôleur de domaine.

Il y a cinq rôles dans la forêt au total FSMO. Pour commencer, je vais en donner une brève description. :

• maître de schéma ( Maître de schéma) - responsable d'apporter des modifications au schéma Active Directory. Il ne peut y en avoir qu'un seul pour toute la forêt de domaines.
• Maître de nommage de domaine ( Maître de nommage de domaine) - est responsable de l'unicité des noms pour les domaines créés et les partitions d'application dans la forêt. Il ne peut y en avoir qu'un seul pour toute la forêt de domaines.
• Hôte d'infrastructure ( Mastère Infrastructures) - stocke des données sur les utilisateurs d'autres domaines qui sont membres des groupes locaux de leur domaine. Il peut y en avoir un pour chaque domaine de la forêt.
• Maître DÉBARRASSER (Maître RID) - est responsable de l'attribution des identifiants relatifs uniques ( DÉBARRASSER) requis lors de la création de comptes de domaine. Il peut y en avoir un pour chaque domaine de la forêt.
• émulateur PDC (Émulateur PDC) - responsable de la compatibilité avec le domaine NT4 et les clients à Windows 2000. Il peut y en avoir un pour chaque domaine de la forêt.

Passons maintenant en revue chaque rôle plus en détail et découvrons à quel point ils sont importants pour le fonctionnement. Active Directory.

Maître de schéma

Maître de schéma- est chargé d'apporter des modifications au schéma, où se trouvent les descriptions de toutes les classes et attributs Active Directory. Le schéma est modifié extrêmement rarement, par exemple, lors du changement de niveau de domaine, de l'installation Échanger et parfois d'autres applications. Ce rôle peut être situé sur n'importe quel contrôleur de domaine dans la forêt. Lorsqu'il n'est pas disponible Maître de schéma changer de schéma UN D sera impossible.

Maître de nommage de domaine

Maître de nommage de domaine responsable des opérations liées aux noms de domaine UN D, cependant, la liste de ses fonctions est un peu plus longue :

• Ajout et suppression de domaines dans une forêt. L'ajout et la suppression de domaines sont autorisés uniquement pour le contrôleur avec le rôle Maître de nommage de domaine. Il s'assure que le domaine ajouté est unique dans la forêt NETBIOS-Nom. Si Maître de nommage indisponible, vous ne pouvez pas ajouter ou supprimer un domaine dans la forêt.
• Création et suppression de partitions. Commençant par Windows 2003 il est devenu possible de créer des sections séparées - Partitions du répertoire d'applications, qui servent à stocker UN D données arbitraires. Par exemple, stocker des données pour DNS-serveurs dans les sections ForêtDnsZones et DomaineDnsZones. Gestion des partitions en cas d'indisponibilité Maître de nommage de domaine impossible.
• Création et suppression de références croisées. Les références croisées permettent de rechercher dans l'annuaire si le serveur auquel le client est connecté ne contient pas copie désirée répertoire, et vous pouvez également faire référence à des domaines en dehors de la forêt, sous réserve de leur disponibilité. Les références croisées sont stockées ( crossRef) dans un récipient Cloisons section Configuration, seul Maître de nommage de domaine a le droit de modifier le contenu de ce conteneur. Lorsqu'il n'est pas disponible Maître de nommage de domaine il ne sera pas possible de créer une nouvelle référence croisée, ou d'en supprimer une inutile.
• Approbation du changement de nom de domaine. Pour renommer un domaine, utilisez l'utilitaire random.exe. Elle écrit un script avec des instructions à exécuter pendant le processus de changement de nom. Ce script est placé dans un conteneur Cloisons section Configuration. Étant donné que seul le contrôleur avec le rôle Maître de nommage de domaine, c'est alors lui qui est chargé de vérifier les instructions et d'écrire les attributs.

Ce rôle peut être situé sur n'importe quel contrôleur de domaine dans la forêt.

Mastère Infrastructures

Si le serveur n'est pas un catalogue global ( CG), sa base de données ne contient pas de données sur les utilisateurs d'autres domaines. Cependant, nous pouvons ajouter des utilisateurs d'autres domaines à des groupes locaux de domaine. Un groupe à la base UN D doit physiquement avoir des liens vers tous les utilisateurs. Ce problème a été résolu en créant un objet fictif - un fantôme ( fantôme). Les objets fantômes sont un type spécial d'objets de base de données internes et ne peuvent pas être visualisés via ADSI ou alors LDAP. C'est le travail avec les fantômes dans lequel le maître de l'infrastructure est engagé.

Une autre caractéristique de ce rôle est bon fonctionnement dans un environnement multidomaine, le contrôleur de domaine qui agit en tant que maître d'infrastructure ne doit pas être un serveur de catalogue global. Si le titulaire du rôle Mastère Infrastructures est aussi un serveur CG, les objets factices ne sont pas créés ou mis à jour sur ce contrôleur de domaine. En effet, le catalogue global contient déjà des répliques partielles tout objets dans Active Directory, et il n'a pas besoin de fantômes .

Maître RID

Chaque compte du domaine (utilisateur, ordinateur, groupe) doit avoir un identifiant de sécurité unique ( SID), qui identifie de manière unique ce compte et sert à différencier les droits d'accès. Regards SID de la manière suivante :

S-1-5-Y1-Y2-Y3-Y4, où

• S-1 — SID révision 1. Seule cette révision est actuellement utilisée.
• 5 — Indique qui a émis le SID. 5 signifie Autorité NT. Cependant, les soi-disant "identifiants notoires" SID (SID bien connu) peut avoir 0, 1 et quelques autres valeurs dans cette partie.
• Y1-Y2-Y3— ID du domaine auquel il appartient Compte. Idem pour tous les objets principal de sécurité au sein d'un même domaine.
• Y4— Identifiant relatif ( ID relatif, RID) associé à un compte spécifique. Remplacé à partir du pool d'identifiants de domaine relatifs au moment de la création du compte.

Contrôleur de domaine de rôle Maître RID est responsable de l'extraction d'une séquence de DÉBARRASSERà chaque contrôleur de domaine dans son domaine, ainsi que pour l'exactitude du déplacement d'objets d'un domaine à un autre. Les contrôleurs de domaine ont un pool commun d'identités relatives ( Piscine RID), DÉBARRASSERà partir de laquelle chaque contrôleur est attribué par tranches de 500 pièces. Lorsque leur nombre arrive à son terme (devient inférieur à 100), le contrôleur demande une nouvelle portion. Le cas échéant, le nombre d'émissions DÉBARRASSER et le seuil de demande peut être modifié.

Un autre domaine de responsabilité Maître RID— déplacement d'objets entre domaines. Exactement Maître RID garantit que vous ne pouvez pas déplacer le même objet vers deux domaines différents en même temps. Sinon, une situation est possible lorsque deux domaines contiennent deux objets avec le même GUID qui est lourd des conséquences les plus inattendues.

Si Maître RID ne sera pas disponible, puis après la fin de la gratuité DÉBARRASSER il deviendra impossible de créer un nouveau compte, et il ne sera pas non plus possible de migrer des objets du domaine actuel vers un autre.

Émulateur PDC

Au départ, la tâche principale Émulateur de contrôleur de domaine principal (PDC)était d'assurer la compatibilité avec Versions précédentes les fenêtres. Dans un environnement mixte où les clients se rencontrent Windows NT4.0/ 95/98 et contrôleurs de domaine NT4, Émulateur PDC remplit (uniquement pour eux) les fonctions suivantes :

• Traitement de l'opération de « changement de mot de passe » pour les utilisateurs et les ordinateurs ;
• Répliquer les mises à jour sur bdc (Contrôleur de domaine secondaire);
• Network Explorer (recherche de ressources réseau).

Commencer au niveau du domaine Windows 2000 et des travaux plus anciens, a-t-il ajouté. Contrôleur de domaine de rôle Émulateur PDC remplit les fonctions suivantes :

• Responsable de la modification des mots de passe et surveille les verrouillages des utilisateurs pour les erreurs de mot de passe. Un mot de passe modifié par tout autre contrôleur de domaine est d'abord répliqué sur Émulateur PDC. Si l'authentification sur un autre contrôleur de domaine n'a pas réussi, la demande est répétée sur Émulateur PDC. Si le compte est authentifié avec succès immédiatement après une tentative infructueuse, Émulateur PDC il est notifié et réinitialise le compteur tentatives infructueusesà zéro. Il est important de noter qu'en cas d'indisponibilité Émulateur PDC les informations sur le changement de mot de passe se répandront toujours dans tout le domaine, cela se produira juste un peu plus lentement.
• L'éditeur de stratégie de groupe se connecte au serveur par défaut Émulateur PDC, et des changements de politique s'y produisent. Si Émulateur PDC n'est pas disponible, vous devrez indiquer à l'éditeur à quel contrôleur de domaine se connecter.
• Par défaut c'est Émulateur PDC est un serveur de temps pour les clients du domaine. Émulateur PDC le domaine racine de la forêt est le serveur de temps par défaut pour Émulateur PDC dans les domaines enfants.
• Modifications de l'espace de noms Système de fichiers distribué (DFS) sont effectués sur un contrôleur de domaine avec le rôle Émulateur PDC. Serveurs racine DFS lui demander périodiquement des métadonnées mises à jour, en les gardant en mémoire. inaccessibilité Émulateur PDC peut entraîner un fonctionnement incorrect. DFS.
• À Active Directory il existe des "participants au système de sécurité intégré" ( Principes de sécurité bien connus). Les comptes sont des exemples. Tout le monde, Utilisateurs authentifiés, Système, Moi-même et Propriétaire créateur. Tous sont gérés par un contrôleur de domaine avec le rôle Émulateur PDC. Plus précisément, avec les changements de UN D Émulateur PDC vérifie et met à jour le contenu du conteneur " CN=Principaux de sécurité bien connus, CN=Configuration, DC= >”.
• Dans chaque domaine forestier Active Directory il y a un propriétaire des descripteurs de sécurité administratifs − AdminSDHolder. Il stocke des informations sur les paramètres de sécurité pour les groupes dits protégés ( groupes protégés). Avec une certaine fréquence, ce mécanisme demande une liste de tous les membres de ces groupes et les expose à des droits conformément à sa liste de contrôle d'accès. Ainsi AdminSDHolder protège les groupes administratifs des modifications. Réalisé AdminSDHolder sur un contrôleur de domaine avec un rôle Émulateur PDC.

C'est probablement tout. J'espère avoir pu clarifier un peu la situation avec les rôles FSMO. Et la prochaine fois, nous examinerons les options permettant de transférer des rôles vers un autre contrôleur de domaine, ainsi que de forcer (capturer) un rôle en cas d'indisponibilité du contrôleur de domaine qui l'exécute.

Transfert et saisie des rôles FSMO

Décider de l'attribution des rôles FSMO envisager des options pour transférer des rôles vers un autre contrôleur de domaine, ainsi que forcer ou "capturer" un rôle en cas d'indisponibilité du contrôleur de domaine qui l'exécute.

Lorsqu'un domaine est créé, par défaut, tous les rôles sont attribués au premier contrôleur de domaine de la forêt. La réaffectation des rôles est rarement nécessaire. Microsoft recommande d'utiliser le transfert de rôle FSMO dans les cas suivants :

Rétrogradation planifiée d'un contrôleur de domaine propriétaire d'un rôle FSMO, par exemple, pour mettre le serveur hors service ;
Arrêt temporaire d'un contrôleur de domaine, par exemple, pour effectuer une maintenance. Dans ce cas, ses rôles doivent être attribués à un autre contrôleur de domaine fonctionnel. Ceci est particulièrement nécessaire lors de la désactivation de l'émulateur PDC. L'arrêt temporaire d'autres hôtes d'opérations a un impact moindre sur le travail UN D.

Capture de rôle FSMO produit dans les cas suivants :

Si le travail du titulaire actuel du rôle FSMO il y a eu des échecs qui empêchent l'exécution réussie des fonctions inhérentes à ce rôle et ne permettent pas la transition du rôle ;
Sur le contrôleur de domaine qui était le propriétaire du rôle FSMO, réinstallé ou ne se charge pas système opérateur;
Le rôle du contrôleur de domaine qui était le propriétaire du rôle FSMO, a été déclassé de force avec la commande dcpromo /forceremoval .

Noter.À partir de Windows Server 2003 SP1, lorsque vous exécutez la commande dcpromo /forceremoval vérifie si le contrôleur de domaine a le rôle de maître des opérations, est un serveur DNS ou un serveur de catalogue global. Pour chacun de ces rôles, vous recevrez une notification avec des instructions sur la façon de prendre les mesures appropriées.

Dans le cas où il y a deux ou plusieurs contrôleurs dans le domaine, la première chose que nous devons faire est de savoir qui est le propriétaire de chacun des rôles FSMO. C'est assez facile à faire avec la commande requête netdom fsmo

Bon, passons maintenant au transfert des rôles. Il existe plusieurs options d'action, nous les examinerons toutes dans l'ordre. La première option est la plus simple et la plus abordable.

Transfert volontaire des rôles FSMO à l'aide des composants logiciels enfichables de gestion Active Directory

Maître RID, Émulateur PDC et Mastère Infrastructures) utiliser l'accrochage Active Directory Utilisateurs et ordinateurs (Utilisateurs et ordinateurs). Pour ce faire, nous allons sur le contrôleur de domaine auquel nous voulons transférer les rôles, lançons le snap-in et faisons un clic droit sur le domaine souhaité, sélectionnez l'élément "Operations Masters".

Dans la fenêtre qui s'ouvre, sélectionnez le rôle dont nous avons besoin (dans notre exemple Maître RID) et cliquez sur le bouton Modifier.

Et on regarde le résultat. L'acte est fait, le rôle a été transféré sur un autre serveur .

Transfert de rôle Maître de nommage de domaine réalisée à partir d'un outil Active Directory Domaines et confiance (Domaines et approbation). Nous lançons le composant logiciel enfichable, si nécessaire, nous connectons au contrôleur de domaine souhaité, faisons un clic droit à la racine du composant logiciel enfichable et sélectionnons l'élément de menu "Maître des opérations".

Une fenêtre familière s'ouvre dans laquelle vous devez cliquer sur le bouton "Modifier", puis confirmer les modifications de la même manière que dans l'exemple précédent.

Avec un rôle Maître de schéma les choses sont un peu plus compliquées. Pour transférer ce rôle, vous devez d'abord enregistrer la bibliothèque de gestion de schéma dans le système Active Directory. Cela se fait avec la commande regsvr32 schmmgmt.dll , saisi dans la zone Exécuter ( Cours).

Ouvrez ensuite la console CMM et ajoutez-y un clin d'œil Schéma Active Directory .

Si pour une raison quelconque, il n'est pas possible de transférer des rôles à l'aide de composants logiciels enfichables graphiques, ainsi que pour les amateurs ligne de commande il y a une deuxième option :

Transfert volontaire de rôles fsmo avec Ntdsutil

ntdsutil.exe est un utilitaire de ligne de commande conçu pour maintenir un répertoire Active Directory. C'est un outil de gestion puissant, et ses fonctionnalités incluent le transfert et la prise de rôles. FSMO.

Pour transférer des rôles, accédez à n'importe quel contrôleur de domaine situé dans la forêt dans laquelle vous souhaitez transférer des rôles FSMO. Il est recommandé de vous connecter au contrôleur de domaine auquel sont attribués les rôles FSMO. Nous lançons la ligne de commande et entrons les commandes dans l'ordre suivant :

• ntdsutil
• rôles
• Connexions
• connecter au serveur<имя сервера>

Après une connexion réussie au serveur, nous recevons une invitation à gérer les rôles ( maintenance fsmo), et nous pouvons commencer à transférer les rôles :

• maître de nommage de domaine de transfert — transfert du rôle de maître de nom de domaine.
• maître d'infrastructure de transfert — transition du rôle de maître d'infrastructure ;
• transfert débarrasser maître transfert du rôle d'hôte DÉBARRASSER;
• maître de schéma de transfert transfert du rôle de maître de schéma ;
• transfert pdc - transfert de rôle d'émulateur PDC.

Pour terminer le travail Ntdsutil entrez la commande q et appuyez sur Entrée.

Noter.À partir de Windows Server 2008R2, la commande de transfert du rôle de maître de nom de domaine est maître de nommage de transfert.

Par exemple, passons le rôle Mastère Infrastructures serveur SRV2 et vérifier le résultat.

Eh bien, le troisième, le scénario le plus triste :

Forcer les rôles fsmo avec Ntdsutil

L'assignation forcée, ou capture de rôles, n'est effectuée qu'en cas de panne complète du serveur, avec impossibilité de le restaurer. Si possible, il est préférable de restaurer la fonctionnalité du contrôleur de domaine défaillant, auquel des rôles sont attribués FSMO. La procédure de capture elle-même n'est pas très différente du transfert des rôles. Nous allons au contrôleur de domaine auquel nous voulons transférer des rôles et entrons séquentiellement sur la ligne de commande :

• ntdsutil
• rôles
• Connexions
• connecter au serveur<имя сервера>

Pour capturer les rôles FSMO saisir la commande est utilisée

Et quelques autres points importants à prendre en compte lors du transfert/de la capture de rôles FSMO:

Pour transférer des rôles au niveau du domaine ( Maître RID, Émulateur PDC et Mastère Infrastructures) votre compte doit être membre du groupe Administrateurs du domaine ( Administrateurs de domaine), et pour transférer les rôles au niveau de la forêt ( Maître de nommage de domaine et Maître de schéma) - Administrateurs d'entreprise ( Administrateurs d'entreprise).
Ne pas attribuer de rôle si possible Mastère Infrastructuresà un contrôleur de domaine qui est un serveur de catalogue global, car dans ce cas, il ne mettra pas à jour les informations sur les objets. La raison de ce comportement est que le serveur de catalogue global conserve des répliques partielles de tous les objets de la forêt.
En cas de capture de rôle FSMO un contrôleur de domaine qui remplissait auparavant ces rôles ne doit jamais être renvoyé, car lorsqu'il apparaît sur le réseau, un conflit survient, ce qui peut entraîner des problèmes dans le fonctionnement du domaine. De plus, il doit être retiré de Active Directory.À Serveur Windows 2008 et 2008 R2 cela peut être fait en supprimant simplement l'objet serveur dans le composant logiciel enfichable Active Directory Utilisateurs et ordinateurs, et en Serveur Windows 2003 en utilisant le programme Ntdsutil en utilisant la commande ntdsutil-nettoyage des métadonnées. Vous pouvez en savoir plus à ce sujet dans le support technique. Microsoft

Ce n'est un secret pour personne que certaines opérations dans AD sont affectées à un seul contrôleur de domaine dans la forêt, appelé le maître d'opération. Par exemple, dans AD, un seul contrôleur est désigné comme dépositaire principal du schéma d'annuaire.

Si un tel serveur meurt pour l'une des raisons techniques ou non techniques, une situation se produit lorsque le deuxième DC du bundle ne vous permet pas de gérer entièrement le domaine. Dans de tels cas, la recette suivante vous aidera, ce qui vous permettra de transférer les rôles existants du maître des opérations au contrôleur survivant. La recette est assez célèbre, cependant, j'ai trouvé utile d'exposer des instructions détaillées sur habr, puisque ma première réaction a été la panique.

Nous considérons une configuration de domaine avec deux contrôleurs. L'un d'eux s'est vu attribuer les rôles de maître des opérations et de catalogue global, et dans notre scénario, il meurt. Pour réattribuer tous les rôles, l'administrateur doit être membre du groupe Administrateurs de l'entreprise. La procédure consiste en deux étapes : saisir les rôles et attribuer un catalogue global.

Ceux qui souhaitent apprendre la théorie des maîtres des opérations lisent cet article informatif, eh bien, nous continuons.

Capture de rôle

Cliquez sur le bouton Démarrer, Sélectionnez un élément Cours, Entrer ntdsutil, et appuyez sur ENTRÉE.
1. Connexion
1.1. Dans la convocation ntdsutil : Entrer rôles et appuyez sur ENTREE.
1.2. Dans la convocation entretien fsmo : Entrer Connexions et appuyez sur ENTREE.
1.3. Dans la convocation connexions serveur : Entrer connecter au serveur nom du serveur(où nom du serveur est le nom du contrôleur de domaine qui assumera le rôle de maître d'opérations), et appuyez sur ENTRÉE.
1.4. Après avoir reçu une confirmation de connexion, entrez quitter et appuyez sur ENTREE.
2. En fonction du rôle que vous souhaitez jouer sur l'invitation entretien fsmo : entrez la commande appropriée dans le tableau ci-dessous et appuyez sur ENTER.
3. Entrez quitter et appuyez sur ENTREE. Répétez à nouveau pour quitter ntdsutil.

Le système demande une confirmation. Il tente ensuite de transférer les rôles spécifiés. Plusieurs messages d'erreur peuvent s'afficher pendant cette opération, mais la capture se poursuivra. Une fois terminé, une liste des rôles et des nœuds LDAP des serveurs responsables s'affichera. Pendant la capture du RID maître, le maître actuel doit essayer de se synchroniser avec le partenaire de réplication, mais le partenaire est mort, donc un avertissement s'affichera et l'opération devra être confirmée.

Commandes de capture

Objet du catalogue global

1. Ouvrez le composant logiciel enfichable Sites et services Active Directory.
2. Dans l'arborescence de la console, sélectionnez le contrôleur de domaine sur lequel vous souhaitez activer ou désactiver le catalogue global. Recherchez ici Sites et services Active Directory/Sites/nom_site/Serveurs/nom_contrôleur
3. Cliquez avec le bouton droit sur Paramètres NTDS, sélectionnez Propriétés. Cochez la case Catalogue global pour activer le catalogue global ou décochez la case pour désactiver le catalogue global.

J'espère que cet article sauvera quelqu'un une bonne tonne de nerfs.

Dans Win2k8R2, les commandes sont légèrement différentes :

entretien fsmo : ?

Sortie de ces informations d'aide
Connexions - Connexion à une instance AD ​​DC/LDS spécifique
Aide - Afficher ces informations d'aide
Quitter - Retour au menu précédent
Saisir le maître d'infrastructure - Écraser le rôle d'infrastructure sur le serveur connecté
Seize naming master - Ecraser le rôle du naming master sur le serveur connecté
Seize PDC - Remplacer le rôle PDC sur le serveur connecté
Seize RID master - Remplacer le rôle RID sur le serveur connecté
Seize schema master - Remplacer le rôle de schéma sur le serveur connecté
Sélectionner la cible de l'opération - Sélectionner les sites, les serveurs, les domaines, les rôles, les contextes de nommage
Transférer le maître de l'infrastructure - Faire du serveur connecté le maître de l'infrastructure
Transférer le maître de nommage - Faire du serveur connecté le maître de nommage
Transfer PDC - Créer un serveur PDC connecté
Transférer le maître RID - Faire du serveur connecté le maître RID
Transférer le maître de schéma - Faire du serveur connecté le maître de schéma

Dans cet article, je propose de parler des méthodes de transfert de rôles FSMO entre contrôleurs de domaine dans un environnement Active Directory. Je vais brièvement essayer de vous rappeler ce que sont les rôles FSMO (Flexible Single Master Operation), traduction littérale opérations avec un seul exécuteur testamentaire) dans un domaine Active Directory. Ce n'est un secret pour personne que dans Active Directory, la plupart des opérations typiques (telles que la configuration de comptes, de groupes) peuvent être effectuées sur n'importe quel contrôleur de domaine. Le service de réplication AD se charge de répartir ces modifications dans l'ensemble de l'annuaire, et toutes sortes de conflits (par exemple, renommer simultanément un utilisateur sur plusieurs contrôleurs de domaine) sont résolus selon un principe simple - le dernier a raison. Cependant, il existe un certain nombre d'opérations au cours desquelles un conflit est inacceptable (par exemple, création d'un nouveau domaine/forêt enfant, etc.). C'est pourquoi il existe des contrôleurs de domaine avec des rôles FSMO, dont la tâche principale est d'éviter les conflits de ce type. Les rôles FSMO peuvent être transférés à tout moment vers un autre contrôleur de domaine.

Il existe cinq rôles FSMO dans Windows Server 2008 :

1. Maître de schéma - un serveur avec ce rôle pour toute la forêt. Le rôle est nécessaire pour étendre le schéma de la forêt Active Directory, généralement cette opération est effectuée par la commande adprep /forestprep
2. Maître de nommage de domaine - un pour toute la forêt. Un serveur avec ce rôle doit garantir des noms uniques pour tous les domaines et partitions d'application qui sont créés dans la forêt AD.
3. Émulateur PDC (émulateur PDC) - un serveur par domaine. Remplit plusieurs fonctions : est le navigateur principal dans Réseaux Windows, surveille les verrouillages des utilisateurs lorsque le mot de passe est entré de manière incorrecte, est destiné à prendre en charge les clients dotés de systèmes d'exploitation antérieurs à Windows 2000.
4. Mastère Infrastructures- un serveur par domaine. Un serveur avec ce rôle est requis pour l'exécution réussie de la commande adprep /domainprep. Responsable de la mise à jour des identificateurs de sécurité (GUID, SID) et des noms distinctifs d'objets dans les références d'objets interdomaines.
5. Maître RID- un serveur par domaine. Le serveur distribue des RID (500 chacun) à d'autres contrôleurs de domaine pour créer des SID uniques.

• Pour gérer un rôle maître de schéma vous devez être dans le groupe "Schema admins".
• Pour gérer un rôle Maître de nommage de domaine doit être membre du groupe "Administrateurs d'entreprise".
• Pour gérer les rôles PDCémulateur,InfrastructureMaître et DÉBARRASSERMaître vous devez avoir les droits d'administrateur de domaine "Domain Admins"

La nécessité de transférer les rôles FSMO entre les contrôleurs de domaine survient généralement lorsque le serveur sur lequel le contrôleur de domaine avec le rôle FSMO est installé est mis hors service, ou pour une autre raison. Le processus de transfert de rôle est un processus manuel.

Vous pouvez transférer le rôle FSMO depuis la ligne de commande à l'aide de l'utilitaire ntdsutil.EXE ou de interface graphique Snaps MMC. Nous sommes intéressés par les composants logiciels enfichables Active Directory suivants ()

• Schéma Active Directory(pour transférer le rôle de maître de schéma)
• Domaines et approbations Active Directory(pour transférer le rôle de nommage de domaine)
• (pour RID, PDC, transfert de rôle d'infrastructure)

Noter: Tout le travail doit être effectué sur le contrôleur avec le rôle que vous envisagez de migrer. Si la console du serveur n'est pas disponible, vous devez exécuter la commande RelieràDomainemanette et sélectionnez un contrôleur de domaine dans le composant logiciel enfichable mmc.

Transfert de rôle Maître de schéma

1. Enregistrez la bibliothèque schmmgmt.dll en exécutant la commande suivante sur la ligne de commande :

Regsvr32 schmmgmt.dll.

2. Ouvrez la console MMC en tapant CMMsur la ligne de commande.
3. Dans le menu, sélectionnez Ajouter enlever composant logiciel enfichable et ajouter une console Schéma Active Directory.
4. Faites un clic droit sur la racine de la console ( Schéma Active Directory) et sélectionnez maître des opérations.
5. Appuyez sur le bouton monnaie, entrez le nom du contrôleur auquel le rôle de maître de schéma sera transféré, puis cliquez sur D'ACCORD.

Transfert du rôle de maître de nommage de domaine

1. Ouvrez la console de gestion de domaine et de confiance ActifAnnuaireDomainesetFiducies.
2. Faites un clic droit sur votre nom de domaine et sélectionnez l'option OpérationsMaître.
3. Appuyez sur le bouton monnaie, fournissez un nom de contrôleur et OK.

Transfert des rôles de maître RID, d'émulateur PDC et de maître d'infrastructure

1. Ouvrez la console Utilisateurs et ordinateurs Active Directory.
2. Faites un clic droit sur votre nom de domaine et sélectionnez maître des opérations.
3. Vous verrez une fenêtre avec trois onglets ( RID, PDC, Infrastructure), sur chacun desquels vous pouvez transférer le rôle correspondant en cliquant sur le bouton monnaie.

Transfert de rôles FSMO depuis la ligne de commande à l'aide de l'utilitairentdsutil

Attention: Utiliser l'utilitaire ntdsutil vous devez être prudent, comprendre clairement ce que vous faites, sinon vous pouvez simplement définir votre domaine Active Directory !

1. Sur un contrôleur de domaine, ouvrez une invite de commande et entrez la commande

Ntdsutil

2. Composez une équipe

4. Ensuite, vous devez vous connecter au serveur sur lequel vous souhaitez transférer le rôle, pour cela, tapez :

Connecter au serveur

, où < nom du serveur> le nom du contrôleur de domaine auquel vous souhaitez transférer le rôle FSMO.

5. Entrez q et appuyez sur Entrée.

6. Équipe :

rôle de transfert

Où < rôle> c'est le rôle que vous souhaitez transférer. Par exemple: maître de schéma de transfert, RID de transfertet t. ré.

7. Une fois les rôles transférés, cliquez sur q et Enter pour sortir avec ntdsutil.EXE.

8. Redémarrez le serveur.