AD DS mendukung lima peran master operasi:

1 Pemilik nama domain (Master Penamaan Domain);

2 Master Skema;

3 Pemilik pengidentifikasi relatif (Master ID Relatif);

4 Pemilik Infrastruktur Domain (Master Infrastruktur);

5 Emulator Pengontrol Domain Utama (Emulator PDC).

Pemilik nama domain (Master Penamaan Domain).

Peran ini dirancang untuk menambah dan menghapus domain di hutan. Jika pengontrol dengan peran ini tidak tersedia saat menambahkan atau menghapus domain di hutan, kesalahan operasi akan terjadi.

Hutan hanya menggunakan satu pengontrol domain dengan peran - pemilik nama domain (Master Penamaan Domain).

Untuk melihat pengontrol domain mana yang Anda miliki yang merupakan Pemilik nama domain, Anda perlu menjalankan snap-in Direktori Aktif- Domain dan kepercayaan klik kanan pada simpul root dan pilih " master operasi"

Di baris Master Penamaan Domain, Anda akan melihat pengontrol domain mana yang memiliki peran ini.

Master skema.

Pengontrol dengan peran Pemilik Skema bertanggung jawab untuk membuat semua perubahan pada skema hutan. Semua domain lain berisi replika skema baca-saja.

Peran Pemilik Skema unik di seluruh hutan dan hanya dapat ditentukan pada satu pengontrol domain.

Untuk melihat pengontrol domain yang bertindak sebagai pemilik skema, Anda perlu menjalankan snap-in Skema Direktori Aktif, tetapi untuk melakukan ini, Anda harus mendaftarkan snap-in ini. Untuk melakukan ini, buka baris perintah dan masukkan perintah

regsvr32 schmmgmt.dll

Setelah itu tekan " Awal"Pilih tim" Lari"dan masuk" mmc"dan tekan tombol" Oke". Selanjutnya, di menu, tekan " Mengajukan"Pilih tim" Tambahkan atau hapus snap". Dalam grup Tersedia snap-in memilih " Skema Direktori Aktif", tekan tombolnya" Menambahkan"lalu tombol" Oke".

Klik kanan simpul akar snap-in dan pilih " master operasi".

Di baris Master Skema Saat Ini (Online), Anda akan melihat nama pengontrol domain yang menjalankan peran ini.

Master ID relatif.

Peran ini memberi semua pengguna, komputer, dan grup SID unik (Pengidentifikasi Keamanan - struktur data panjang variabel yang mengidentifikasi pengguna, grup, domain, atau akun komputer)

Peran master RID unik dalam domain.

Untuk melihat pengontrol mana dalam domain yang bertindak sebagai pemilik pengenal, Anda perlu menjalankan " master operasi".

Di tab RID, Anda akan melihat nama server yang bertindak sebagai RID

Pemilik infrastruktur domain (Infrastructure Master).

Peran ini relevan saat menggunakan beberapa domain di hutan. Tugas utamanya adalah mengelola objek hantu. Objek hantu adalah objek yang dibuat di domain lain untuk menyediakan beberapa jenis sumber daya.

Peran infrastruktur domain unik dalam domain.

Untuk melihat pengontrol mana dalam domain yang merupakan pemilik infrastruktur domain, Anda perlu menjalankan " Pengguna dan Komputer Direktori Aktif", klik kanan pada domain dan pilih " master operasi".

Di tab" Infrastruktur" Anda akan melihat pengontrol yang melakukan peran ini di domain.

Emulator Pengontrol Domain Utama (Emulator PDC)

Peran emulator PDC memiliki beberapa fungsi penting (tidak semuanya tercantum di sini - hanya yang utama):

Berpartisipasi dalam replikasi pembaruan kata sandi. Setiap kali pengguna mengubah sandi, informasi ini disimpan di pengontrol domain dengan peran PDC. Ketika pengguna memasukkan kata sandi yang salah, otentikasi diarahkan ke emulator PDC untuk mengambil kata sandi akun yang mungkin diubah (jadi memasukkan kata sandi yang salah membutuhkan waktu lebih lama untuk memverifikasi kata sandi dibandingkan dengan memasukkan kata sandi yang benar).

Berpartisipasi dalam memperbarui kebijakan grup di domain. Secara khusus, ketika kebijakan grup berubah pada pengontrol domain yang berbeda secara bersamaan, emulator PDC bertindak sebagai titik fokus untuk semua perubahan kebijakan grup. Saat Anda membuka Editor Manajemen Kebijakan Grup, itu mengikat pengontrol domain yang bertindak sebagai emulator PDC. Oleh karena itu, semua perubahan kebijakan grup dibuat ke emulator PDC secara default.

Emulator PDC adalah sumber waktu utama untuk domain. Emulator PDC di setiap domain menyinkronkan waktu mereka dengan emulator PDC domain root hutan. Pengontrol lain menyinkronkan waktu mereka dengan emulator PDC domain, komputer dan server menyinkronkan waktu mereka dengan pengontrol domain.

Untuk melihat pengontrol mana dalam domain yang bertindak sebagai emulator PDC, Anda perlu menjalankan " Pengguna dan Komputer Direktori Aktif", klik kanan pada domain dan pilih " master operasi".

Di tab PDC, Anda akan melihat pengontrol yang melakukan peran ini.

Ada beberapa situasi ketika Anda harus mengingat peran FSMO- ini adalah pemulihan bencana setelah kegagalan, migrasi, serta pencarian kerja (biasanya pewawancara sangat suka mengajukan pertanyaan seperti "Apa peran dalam IKLAN untuk pengontrol domain, mengapa mereka dibutuhkan?"). Dan meskipun semua situasi ini sangat jarang terjadi, untuk pemahaman umum tentang pekerjaan IKLAN sangat berguna untuk memahami tujuan peran FSMO.

FSMO, atau Operasi master tunggal yang fleksibel(operasi pelaksana tunggal) adalah operasi yang dilakukan oleh pengontrol domain Direktori Aktif (AD), yang mengharuskan server menjadi unik untuk setiap operasi. Tergantung pada jenis operasi, keunikan FSMO tersirat dalam satu domain atau hutan domain. jenis yang berbeda FSMO dapat berjalan pada satu atau lebih pengontrol domain. Pertunjukan FSMO servernya disebut peran server, dan server itu sendiri adalah penguasa operasi.

Transaksi terbanyak di IKLAN dapat dilakukan pada kontroler domain apa pun. Layanan replikasi IKLAN akan menyalin perubahan ke pengontrol domain lainnya, memastikan identitas pangkalan IKLAN pada semua pengontrol dari satu domain. Penghapusan konflik terjadi sebagai berikut - orang yang membuat perubahan terakhir adalah benar.

Namun, ada beberapa tindakan (misalnya, mengubah skema IKLAN) yang konfliknya tidak diperbolehkan. Oleh karena itu, ada server dengan peran FSMO. Tugas mereka — menghindari konflik semacam itu. Demikian pengertian peran FSMO di yang berikutnya, setiap peran hanya dapat berjalan di satu server pada satu waktu. Dan jika perlu, itu dapat ditransfer kapan saja ke pengontrol domain lain.

Ada lima peran di hutan secara total FSMO. Untuk memulainya, saya akan memberikan deskripsi singkat tentang mereka. :

• skema master ( Master skema) - bertanggung jawab untuk membuat perubahan pada skema Direktori Aktif. Hanya ada satu untuk seluruh hutan domain.
• Ahli penamaan domain ( Master Penamaan Domain) - bertanggung jawab atas keunikan nama untuk domain yang dibuat dan partisi aplikasi di hutan. Hanya ada satu untuk seluruh hutan domain.
• Tuan rumah infrastruktur ( Guru Infrastruktur) - menyimpan data tentang pengguna dari domain lain yang menjadi anggota grup lokal domain mereka. Mungkin ada satu untuk setiap domain di hutan.
• Menguasai MENYINGKIRKAN (RID Master) - bertanggung jawab untuk mengalokasikan pengidentifikasi relatif unik ( MENYINGKIRKAN) diperlukan saat membuat akun domain. Mungkin ada satu untuk setiap domain di hutan.
• emulator PDC (Emulator PDC) - bertanggung jawab atas kompatibilitas dengan domain NT4 dan klien untuk Jendela 2000. Mungkin ada satu untuk setiap domain di hutan.

Sekarang mari kita membahas setiap peran secara lebih rinci dan mencari tahu betapa pentingnya peran itu untuk berfungsi. Direktori Aktif.

Master skema

Master skema- bertanggung jawab untuk membuat perubahan pada skema, di mana deskripsi semua kelas dan atribut berada Direktori Aktif. Skema sangat jarang dimodifikasi, misalnya, saat mengubah level domain, menginstal Menukarkan dan terkadang aplikasi lainnya. Peran ini dapat ditemukan di pengontrol domain apa pun di dalam hutan. Bila tidak tersedia Master skema ubah skema IKLAN akan mustahil.

Master Penamaan Domain

Master Penamaan Domain bertanggung jawab atas operasi yang terkait dengan nama domain IKLAN, namun, daftar tugasnya agak lebih panjang :

• Menambah dan menghapus domain di dalam hutan. Menambah dan menghapus domain hanya diperbolehkan ke pengontrol dengan peran Master Penamaan Domain. Itu memastikan bahwa domain yang ditambahkan unik di dalam hutan NETBIOS-nama. Jika sebuah Master Penamaan tidak tersedia, Anda tidak dapat menambah atau menghapus domain di hutan.
• Membuat dan menghapus partisi. Dimulai dengan Windows 2003 menjadi mungkin untuk membuat bagian terpisah - Partisi Direktori Aplikasi, yang digunakan untuk menyimpan IKLAN data sewenang-wenang. Misalnya, menyimpan data untuk DNS-server di bagian ForestDnsZones dan DomainDnsZones. Manajemen partisi saat tidak tersedia Master Penamaan Domain mustahil.
• Membuat dan menghapus referensi silang. Referensi silang digunakan untuk mencari direktori jika server yang terhubung dengan klien tidak berisi salinan yang diinginkan direktori, dan Anda juga dapat merujuk ke domain di luar hutan, tergantung ketersediaannya. Referensi silang disimpan ( lintasRef) dalam wadah Partisi bagian Konfigurasi, tapi hanya Master Penamaan Domain berhak mengubah isi wadah ini. Bila tidak tersedia Master Penamaan Domain tidak mungkin membuat referensi silang baru, atau menghapus referensi yang tidak perlu.
• Persetujuan penggantian nama domain. Untuk mengganti nama domain, gunakan utilitas acak.exe. Dia menulis skrip dengan instruksi yang akan dieksekusi selama proses penggantian nama. Script ini ditempatkan dalam wadah Partisi bagian Konfigurasi. Karena hanya pengontrol dengan peran Master Penamaan Domain, maka dialah yang bertanggung jawab untuk memeriksa instruksi dan atribut penulisan.

Peran ini dapat ditemukan di pengontrol domain apa pun di dalam hutan.

Guru Infrastruktur

Jika server bukan katalog global ( GC), maka databasenya tidak berisi data tentang pengguna dari domain lain. Namun, kami dapat menambahkan pengguna dari domain lain ke grup lokal domain. Sebuah grup di pangkalan IKLAN harus secara fisik memiliki tautan ke semua pengguna. Masalah ini diselesaikan dengan membuat objek fiktif - hantu ( hantu). Objek phantom adalah tipe khusus dari objek database internal dan tidak dapat dilihat melalui ADSI atau LDAP. Ini adalah pekerjaan dengan hantu yang dilakukan oleh master infrastruktur.

Fitur lain dari peran ini adalah operasi yang benar dalam lingkungan multi-domain, pengontrol domain yang bertindak sebagai master infrastruktur tidak boleh menjadi server katalog global. Jika pemegang peran Guru Infrastruktur juga server GC, objek dummy tidak dibuat atau diperbarui pada pengontrol domain ini. Ini karena katalog global sudah berisi replika sebagian semua benda-benda di Direktori Aktif, dan dia tidak membutuhkan hantu .

RID Master

Setiap akun di domain (pengguna, komputer, grup) harus memiliki pengenal keamanan unik ( SID), yang secara unik mengidentifikasi akun ini dan berfungsi untuk membedakan hak akses. terlihat SID dengan cara berikut:

S-1-5-Y1-Y2-Y3-Y4, di mana

• S-1 — SID revisi 1. Hanya revisi ini yang sedang digunakan.
• 5 — Menunjukkan siapa yang mengeluarkan SID. 5 artinya Otoritas NT. Namun, apa yang disebut "pengidentifikasi terkenal" SID (SID terkenal) mungkin memiliki 0, 1, dan beberapa nilai lain di bagian ini.
• Y1-Y2-Y3— ID domain tempatnya berada Akun. Sama untuk semua objek kepala keamanan dalam domain yang sama.
• Y4— Pengidentifikasi relatif ( ID relatif, RID) yang terkait dengan akun tertentu. Diganti dari kumpulan pengidentifikasi domain relatif pada saat pembuatan akun.

Pengontrol domain peran RID Master bertanggung jawab untuk mengekstraksi urutan unik MENYINGKIRKAN untuk setiap pengontrol domain di domainnya, serta untuk kebenaran memindahkan objek dari satu domain ke domain lainnya. Pengontrol domain memiliki kumpulan identitas relatif yang sama ( Kolam renang RID), MENYINGKIRKAN dari mana setiap pengontrol dialokasikan dalam porsi 500 buah. Ketika jumlah mereka berakhir (menjadi kurang dari 100), pengontrol meminta bagian baru. Jika perlu, jumlah yang dikeluarkan MENYINGKIRKAN dan ambang batas permintaan dapat diubah.

Area tanggung jawab lainnya RID Master— memindahkan objek antar domain. Tepat RID Master memastikan bahwa Anda tidak dapat memindahkan objek yang sama ke dua domain berbeda secara bersamaan. Jika tidak, situasi mungkin terjadi ketika dua domain berisi dua objek dengan yang sama GUID yang penuh dengan konsekuensi yang paling tak terduga.

Jika sebuah RID Master tidak akan tersedia, maka setelah akhir gratis MENYINGKIRKAN akan menjadi tidak mungkin untuk membuat akun baru, dan juga tidak mungkin untuk memigrasikan objek dari domain saat ini ke domain lain.

Emulator PDC

Awalnya, tugas utama Emulator Pengontrol Domain Utama (PDC) adalah untuk memastikan kompatibilitas dengan versi sebelumnya jendela. Dalam lingkungan campuran di mana klien bertemu Windows NT4./ 95/98 dan pengontrol domain NT4, Emulator PDC melakukan (hanya untuk mereka) fungsi-fungsi berikut:

• Memproses operasi "ubah kata sandi" untuk pengguna dan komputer;
• Replikasi pembaruan ke bdc (Pengontrol Domain Cadangan);
• Network Explorer (mencari sumber daya jaringan).

Mulai dari tingkat domain Jendela 2000 dan pekerjaan yang lebih tua dia menambahkan. Pengontrol domain peran Emulator PDC melakukan fungsi-fungsi berikut:

• Bertanggung jawab untuk mengubah kata sandi dan memantau penguncian pengguna untuk kesalahan kata sandi. Kata sandi yang diubah oleh pengontrol domain lainnya pertama kali direplikasi ke Emulator PDC. Jika otentikasi pada pengontrol domain lain tidak berhasil, permintaan akan diulang pada Emulator PDC. Jika akun berhasil diautentikasi segera setelah upaya yang gagal, Emulator PDC itu diberitahukan dan mengatur ulang penghitung upaya yang gagal ke nol. Penting untuk dicatat bahwa jika tidak tersedia Emulator PDC informasi tentang mengubah kata sandi masih akan menyebar ke seluruh domain, itu hanya akan terjadi sedikit lebih lambat.
• Editor Kebijakan Grup terhubung ke server secara default Emulator PDC, dan perubahan kebijakan terjadi padanya. Jika sebuah Emulator PDC tidak tersedia, Anda harus memberi tahu editor pengontrol domain mana yang akan dihubungkan.
• Secara default adalah Emulator PDC adalah server waktu untuk klien di domain. Emulator PDC domain root di hutan adalah server waktu default untuk Emulator PDC di domain anak.
• Perubahan Namespace Sistem File Terdistribusi (DFS) dibuat pada pengontrol domain dengan peran Emulator PDC. Server root DFS secara berkala meminta metadata yang diperbarui darinya, menyimpannya di memori mereka. tidak dapat diaksesnya Emulator PDC dapat mengakibatkan pengoperasian yang salah. DFS.
• PADA Direktori Aktif ada yang disebut "Peserta Sistem Keamanan Terpasang" ( Kepala Keamanan Terkenal). Akun adalah contohnya. Semua Orang, Pengguna Terotentikasi, Sistem, Mandiri dan Pemilik Pencipta. Semuanya dikelola oleh pengontrol domain dengan peran Emulator PDC. Lebih tepatnya, dengan perubahan IKLAN Emulator PDC memeriksa dan memperbarui isi wadah " CN=Prinsip Keamanan Terkenal, CN=Konfigurasi, DC= >”.
• Di setiap domain hutan Direktori Aktif ada pemilik deskriptor keamanan administratif AdminSDHolder. Ini menyimpan informasi tentang pengaturan keamanan untuk apa yang disebut grup yang dilindungi ( kelompok yang dilindungi). Dengan frekuensi tertentu, mekanisme ini meminta daftar semua anggota grup ini dan memberikan mereka hak sesuai dengan daftar kontrol aksesnya. Lewat sini AdminSDHolder melindungi grup administratif dari perubahan. dilakukan AdminSDHolder pada pengontrol domain dengan peran Emulator PDC.

Itu mungkin saja. Saya harap saya bisa mengklarifikasi situasinya sedikit dengan peran FSMO. Dan lain kali kita akan melihat opsi untuk mentransfer peran ke pengontrol domain lain, serta memaksa (menangkap) peran jika pengontrol domain yang menjalankannya tidak tersedia.

Mentransfer dan merebut peran FSMO

Memutuskan penugasan peran FSMO pertimbangkan opsi untuk mentransfer peran ke pengontrol domain lain, serta memaksa, atau "menangkap" peran jika pengontrol domain yang menjalankannya tidak tersedia.

Saat domain dibuat, secara default, semua peran ditetapkan ke pengontrol domain pertama di hutan. Penugasan kembali peran jarang diperlukan. Microsoft merekomendasikan menggunakan transfer peran FSMO dalam kasus berikut:

Demosi terjadwal dari pengontrol domain yang memiliki peran FSMO, misalnya, untuk menonaktifkan server;
Mematikan sementara pengontrol domain, misalnya, untuk melakukan pemeliharaan. Dalam hal ini, perannya harus ditetapkan ke pengontrol domain lain yang berfungsi. Ini terutama diperlukan saat menonaktifkan emulator PDC. Penghentian sementara host operasi lain memiliki dampak yang lebih kecil pada pekerjaan IKLAN.

Penangkapan peran FSMO diproduksi dalam kasus berikut:

Jika pekerjaan pemegang peran saat ini FSMO ada kegagalan yang mencegah keberhasilan pelaksanaan fungsi yang melekat dalam peran ini, dan tidak memungkinkan transisi peran;
Pada pengontrol domain yang merupakan pemilik peran FSMO, diinstal ulang atau tidak dapat dimuat sistem operasi;
Peran pengontrol domain yang merupakan pemilik peran FSMO, diturunkan secara paksa dengan perintah dcpromo /penghapusan paksa .

Catatan. Dimulai dengan Windows Server 2003 SP1, saat Anda menjalankan perintah dcpromo /penghapusan paksa memeriksa apakah pengontrol domain memiliki peran master operasi, adalah server DNS, atau server katalog global. Untuk setiap peran ini, Anda akan menerima pemberitahuan dengan petunjuk tentang cara mengambil tindakan yang sesuai.

Jika ada dua atau lebih pengontrol dalam domain, hal pertama yang perlu kita lakukan adalah mencari tahu siapa pemilik dari masing-masing peran FSMO. Ini cukup mudah dilakukan dengan perintah permintaan netdom fsmo

Nah, sekarang mari kita beralih ke transfer peran. Ada beberapa opsi untuk tindakan, kami akan mempertimbangkan semuanya secara berurutan. Opsi pertama adalah yang termudah dan paling terjangkau.

Transfer Sukarela Peran FSMO Menggunakan Snap-in Manajemen Direktori Aktif

RID Master, Emulator PDC dan Guru Infrastruktur) gunakan jepret Direktori Aktif Pengguna dan komputer (Pengguna dan Komputer). Untuk melakukan ini, kami pergi ke pengontrol domain tempat kami ingin mentransfer peran, meluncurkan snap-in dan klik kanan pada domain yang diinginkan, pilih item "Operations Masters".

Di jendela yang terbuka, pilih peran yang kita butuhkan (dalam contoh kita RID Master) dan klik tombol Ubah.

Dan kita lihat hasilnya. Akta selesai, peran telah ditransfer ke server lain .

Transfer Peran Master Penamaan Domain dilakukan dari alat Direktori Aktif Domain dan kepercayaan (Domain dan Kepercayaan). Kami meluncurkan snap-in, jika perlu, sambungkan ke pengontrol domain yang diinginkan, klik kanan di root snap-in dan pilih item menu "Operations Master".

Jendela yang sudah dikenal terbuka di mana Anda perlu mengklik tombol "Ubah", dan kemudian konfirmasikan perubahan dengan cara yang sama seperti pada contoh sebelumnya.

Dengan peran Master skema hal-hal yang agak lebih rumit. Untuk mentransfer peran ini, Anda harus terlebih dahulu mendaftarkan perpustakaan manajemen skema di sistem Direktori Aktif. Ini dilakukan dengan perintah regsvr32 schmmgmt.dll , dimasukkan dalam kotak Jalankan ( Lari).

Kemudian buka konsol MMC dan tambahkan snap untuk itu Skema Direktori Aktif .

Jika karena alasan tertentu tidak mungkin untuk mentransfer peran menggunakan snap-in grafis, serta untuk amatir garis komando ada opsi kedua:

Secara sukarela mentransfer peran fsmo dengan Ntdsutil

ntdsutil.exe adalah utilitas baris perintah yang dirancang untuk memelihara direktori Direktori Aktif. Ini adalah alat manajemen yang kuat, dan fitur-fiturnya termasuk mentransfer dan merebut peran. FSMO.

Untuk mentransfer peran, buka pengontrol domain mana pun yang terletak di hutan tempat Anda ingin mentransfer peran FSMO. Disarankan agar Anda masuk ke pengontrol domain yang diberi peran FSMO. Kami meluncurkan baris perintah dan memasukkan perintah dalam urutan berikut:

• tidak berguna
• peran
• koneksi
• sambungkan ke server<имя сервера>

Setelah berhasil terhubung ke server, kami menerima undangan untuk mengelola peran ( pemeliharaan fsmo), dan kita dapat mulai mentransfer peran:

• transfer master penamaan domain — transfer peran master nama domain.
• transfer master infrastruktur — transisi peran master infrastruktur;
• transfer singkirkan master mentransfer peran tuan rumah MENYINGKIRKAN;
• transfer skema master mentransfer peran master skema;
• transfer pdc - transfer peran emulator PDC.

Untuk menyelesaikan pekerjaan Ntdsutil masukkan perintah q dan tekan Enter.

Catatan. Mulai di Windows Server 2008R2, perintah untuk mentransfer peran master nama domain adalah: mentransfer master penamaan.

Sebagai contoh, mari kita lewati peran Guru Infrastruktur server SRV2 dan periksa hasilnya.

Nah, skenario ketiga yang paling menyedihkan:

Memaksa peran fsmo dengan Ntdsutil

Penugasan paksa, atau pengambilan peran, dilakukan hanya jika server gagal total, dengan ketidakmungkinan memulihkannya. Jika memungkinkan, lebih baik mengembalikan fungsionalitas pengontrol domain yang gagal, yang diberi peran FSMO. Prosedur penangkapannya sendiri tidak jauh berbeda dengan pemindahan peran. Kami pergi ke pengontrol domain tempat kami ingin mentransfer peran dan secara berurutan masuk pada baris perintah:

• tidak berguna
• peran
• koneksi
• sambungkan ke server<имя сервера>

Untuk menangkap peran FSMO perintah ambil digunakan

Dan beberapa poin penting yang perlu dipertimbangkan saat mentransfer / menangkap peran FSMO:

Untuk mentransfer peran tingkat domain ( RID Master, Emulator PDC dan Guru Infrastruktur) akun Anda harus menjadi anggota grup Admin Domain ( Admin domain), dan untuk mentransfer peran di tingkat hutan ( Master Penamaan Domain dan Master skema) - Administrator Perusahaan ( Admin Perusahaan).
Jangan berikan peran jika memungkinkan Guru Infrastruktur ke pengontrol domain yang merupakan server katalog global, karena dalam hal ini tidak akan memperbarui informasi tentang objek. Alasan untuk perilaku ini adalah bahwa server katalog global memelihara replika sebagian dari semua objek di hutan.
Dalam hal penangkapan peran FSMO pengontrol domain yang sebelumnya melakukan peran ini tidak boleh dikembalikan, karena ketika muncul di jaringan, akan muncul konflik, yang dapat menyebabkan masalah dalam pengoperasian domain. Selain itu, itu harus dihapus dari Direktori aktif. PADA Windows Server 2008 dan 2008R2 ini dapat dilakukan hanya dengan menghapus objek server dalam sekejap Direktori Aktif Pengguna dan komputer, dan masuk Windows Server 2003 menggunakan program Ntdsutil menggunakan perintah ntdsutil - pembersihan metadata . Anda dapat membaca lebih lanjut tentang ini di dukungan teknis. Microsoft

Bukan rahasia lagi bahwa ada operasi di AD yang ditetapkan hanya untuk satu pengontrol domain di hutan, yang disebut master operasi. Misalnya, di AD, hanya satu pengontrol yang ditetapkan sebagai penjaga utama skema direktori.

Jika server tersebut mati karena alasan teknis atau non-teknis, situasi muncul ketika DC kedua dalam bundel tidak memungkinkan Anda untuk mengelola domain sepenuhnya. Dalam kasus seperti itu, resep berikut akan membantu, yang memungkinkan Anda untuk mentransfer peran master operasi yang ada ke pengontrol yang masih hidup. Resepnya cukup terkenal, namun, saya merasa berguna untuk ditata instruksi rinci pada habr, karena reaksi pertama saya adalah panik.

Kami mempertimbangkan konfigurasi domain dengan dua pengontrol. Salah satunya telah diberi peran sebagai master operasi dan katalog global, dan dalam skenario kami dia meninggal. Untuk menetapkan ulang semua peran, administrator harus menjadi anggota grup Admin Perusahaan. Prosedur ini terdiri dari dua langkah: merebut peran dan menetapkan katalog global.

Mereka yang ingin mempelajari teori master operasi membaca posting informatif ini, kami melanjutkan.

Penangkapan peran

Klik tombol Mulailah, Pilih item Lari, memasuki tidak berguna, dan tekan ENTER.
1. Koneksi
1.1. Dalam undangan ntdsutil: memasuki peran dan tekan ENTER.
1.2. Dalam undangan pemeliharaan fsmo: memasuki koneksi dan tekan ENTER.
1.3. Dalam undangan koneksi server: memasuki sambungkan ke server nama server(di mana nama server adalah nama pengontrol domain yang akan mengambil alih peran master operasi), dan tekan ENTER.
1.4. Setelah Anda menerima konfirmasi koneksi, masukkan berhenti dan tekan ENTER.
2. Bergantung pada peran yang ingin Anda ambil pada undangan pemeliharaan fsmo: masukkan perintah yang sesuai dari tabel di bawah ini dan tekan ENTER.
3. Masuk berhenti dan tekan ENTER. Ulangi lagi untuk keluar dari ntdsutil.

Sistem meminta konfirmasi. Kemudian mencoba untuk mentransfer peran yang ditentukan. Beberapa pesan kesalahan mungkin ditampilkan selama ini, tetapi pengambilan akan dilanjutkan. Setelah selesai, daftar peran dan node LDAP dari server yang bertanggung jawab akan ditampilkan. Selama pengambilan RID master, master saat ini harus mencoba menyinkronkan dengan mitra replikasi, tetapi mitra mati, jadi peringatan akan ditampilkan dan operasi perlu dikonfirmasi.

Perintah Tangkap

Tujuan katalog global

1. Buka snap-in Situs dan Layanan Direktori Aktif.
2. Di pohon konsol, pilih pengontrol domain tempat Anda ingin mengaktifkan atau menonaktifkan katalog global. Cari di sini Situs dan Layanan Direktori Aktif/Situs/nama_situs/Server/nama_pengendali
3. Klik kanan pada NTDS Settings, pilih Properties. Pilih kotak centang Katalog Global untuk mengaktifkan katalog global, atau kosongkan kotak centang untuk menonaktifkan katalog global.

Saya harap artikel ini akan menyelamatkan seseorang dari banyak saraf.

Di Win2k8R2, perintahnya sedikit berbeda:

pemeliharaan fsmo:?

Keluaran dari informasi bantuan ini
Koneksi - Koneksi ke instans AD DC/LDS tertentu
Bantuan - Tampilkan informasi bantuan ini
Keluar - Kembali ke menu sebelumnya
Rebut master infrastruktur - Timpa peran infrastruktur di server yang terhubung
Tangkap master penamaan - Timpa peran master penamaan di server yang terhubung
Rebut PDC - Timpa peran PDC di server yang terhubung
Rebut master RID - Timpa peran RID di server yang terhubung
Tangkap master skema - Timpa peran skema di server yang terhubung
Pilih target operasi - Pilih situs, server, domain, peran, konteks penamaan
Transfer master infrastruktur - Jadikan server yang terhubung sebagai master infrastruktur
Transfer penamaan master - Jadikan server yang terhubung sebagai master penamaan
Transfer PDC - Buat server PDC yang terhubung
Transfer master RID - Jadikan server yang terhubung sebagai master RID
Transfer skema master - Jadikan server yang terhubung sebagai master skema

Dalam artikel ini, saya mengusulkan untuk berbicara tentang metode untuk mentransfer peran FSMO antara pengontrol domain di lingkungan Active Directory. Saya akan secara singkat mencoba mengingatkan Anda apa peran FSMO (Flexible Single Master Operation), terjemahan literal operasi dengan satu pelaksana) dalam domain Direktori Aktif. Bukan rahasia lagi bahwa di Direktori Aktif, sebagian besar operasi umum (seperti menyiapkan akun, grup) dapat dilakukan pada pengontrol domain apa pun. Layanan replikasi AD bertanggung jawab untuk mendistribusikan perubahan ini di seluruh direktori, dan segala macam konflik (misalnya, penggantian nama pengguna secara simultan di beberapa pengontrol domain) diselesaikan sesuai dengan prinsip sederhana - yang terakhir benar. Namun, ada sejumlah operasi di mana konflik tidak dapat diterima (misalnya, membuat domain/hutan turunan baru, dll.). Itulah sebabnya ada pengontrol domain dengan peran FSMO, yang tugas utamanya adalah mencegah konflik semacam ini. Peran FSMO dapat ditransfer ke pengontrol domain lain kapan saja.

Ada lima peran FSMO di Windows Server 2008:

1. master skema - satu server dengan peran ini untuk seluruh hutan. Peran diperlukan untuk memperluas skema hutan Direktori Aktif, biasanya operasi ini dilakukan dengan perintah adprep /forestprep
2. Ahli penamaan domain - satu untuk seluruh hutan. Server dengan peran ini harus memastikan nama unik untuk semua domain dan partisi aplikasi yang dibuat di hutan AD.
3. Emulator PDC (emulator PDC) - satu server per domain. Melakukan beberapa fungsi: adalah browser utama di Jaringan Windows, memantau penguncian pengguna saat sandi yang dimasukkan salah, dimaksudkan untuk mendukung klien dengan sistem operasi sebelum Windows 2000.
4. Guru Infrastruktur- satu server per domain. Server dengan peran ini diperlukan untuk menyelesaikan perintah adprep /domainprep dengan sukses. Bertanggung jawab untuk memperbarui pengidentifikasi keamanan (GUID, SID) dan nama yang dibedakan objek dalam referensi objek lintas domain.
5. RID Master- satu server per domain. Server mendistribusikan RID (masing-masing 500) ke pengontrol domain lain untuk membuat SID unik.

• Untuk mengelola peran skema master Anda harus berada di grup "Admin skema".
• Untuk mengelola peran Ahli penamaan domain harus menjadi anggota grup "Admin perusahaan".
• Untuk mengelola peran PDCemulator,InfrastrukturMenguasai dan MENYINGKIRKANMenguasai Anda harus memiliki hak administrator domain "Admin Domain"

Kebutuhan untuk mentransfer peran FSMO antara pengontrol domain biasanya muncul ketika server tempat pengontrol domain dengan peran FSMO diinstal dinonaktifkan, atau karena alasan lain. Proses alih peran merupakan proses manual.

Anda dapat mentransfer peran FSMO dari baris perintah menggunakan utilitas ntdsutil.exe atau dari GUI Jepretan MMC. Kami tertarik dengan snap-in Active Directory berikut ()

• Skema Direktori Aktif(untuk mentransfer peran master Skema)
• Domain dan Trust Direktori Aktif(untuk mentransfer peran Penamaan Domain)
• (untuk RID, PDC, transfer peran Infrastruktur)

Catatan: Semua pekerjaan harus dilakukan pada pengontrol dengan peran yang Anda rencanakan untuk dimigrasikan. Jika konsol server tidak tersedia, maka Anda perlu menjalankan perintah MenghubungkeDomainpengontrol dan pilih pengontrol domain di snap-in mmc.

Transfer peran Master skema

1. Daftarkan perpustakaan schmmgmt.dll dengan menjalankan perintah berikut pada baris perintah:

Regsvr32 schmmgmt.dll.

2. Buka konsol MMC dengan mengetik MMCpada baris perintah.
3. Dari menu, pilih Tambah/Hapus snap-in dan tambahkan konsol Skema Direktori Aktif.
4. Klik kanan pada root konsol ( Skema Direktori Aktif) dan pilih master operasi.
5. Tekan tombol mengubah, masukkan nama pengontrol tempat peran master skema akan ditransfer, dan klik OKE.

Mentransfer peran master penamaan domain

1. Buka Konsol Manajemen Domain dan Kepercayaan AktifDirektoriDomaindanPercaya diri.
2. Klik kanan pada nama domain Anda dan pilih opsi Operasimenguasai.
3. Tekan tombol mengubah, berikan nama pengontrol, dan OK.

Mentransfer peran Master RID, Emulator PDC, dan Master Infrastruktur

1. Buka konsol Pengguna dan Komputer Direktori Aktif.
2. Klik kanan pada nama domain Anda dan pilih master operasi.
3. Anda akan melihat jendela dengan tiga tab ( RID, PDC, Infrastruktur), di mana masing-masing Anda dapat mentransfer peran yang sesuai dengan mengklik tombol mengubah.

Perpindahan peran FSMO dari baris perintah menggunakan utilitastidak berguna

Perhatian: Gunakan utilitas tidak berguna Anda harus berhati-hati, memahami dengan jelas apa yang Anda lakukan, jika tidak, Anda dapat meletakkan domain Active Directory Anda!

1. Pada pengontrol domain, buka prompt perintah dan masukkan perintah

Ntdsutil

2. Hubungi tim

4. Kemudian Anda harus terhubung ke server tempat Anda ingin mentransfer peran, untuk melakukan ini, ketik:

Sambungkan ke server

, di mana < nama server> nama pengontrol domain tempat Anda ingin mentransfer peran FSMO.

5. Masuk q dan tekan Enter.

6. Tim:

alih peran

Di mana < peran> ini adalah peran yang ingin Anda transfer. Sebagai contoh: transfer master skema, transfer RIDdan t. d.

7. Setelah peran telah ditransfer, klik q dan Enter untuk keluar dengan ntdsutil.exe.

8. Nyalakan ulang server.