Chuyển / nắm bắt các vai trò FSMO sang một bộ điều khiển miền khác

Trong bài viết này, chúng ta sẽ xem xét cách tìm bộ điều khiển miền có vai trò FSMO trong Active Directory, cách chuyển một hoặc nhiều vai trò FSMO sang bộ điều khiển miền (bổ sung / phụ) khác và cách nắm giữ vai trò FSMO trong trường hợp miền bị lỗi chủ sở hữu vai trò điều khiển FSMO.

Hiểu Vai trò FSMO trong Miền Active Directory

FSMO ( Hoạt động chính một lần linh hoạt là gì ) vai trò trong miền Active Directory? Bạn có thể thực hiện hầu hết các hoạt động tiêu chuẩn trong Active Directory (như tạo tài khoản người dùng và nhóm bảo mật mới hoặc tham gia máy tính vào miền) trên bất kỳ bộ điều khiển miền nào. Dịch vụ sao chép AD chịu trách nhiệm phân phối những thay đổi này trong toàn bộ thư mục AD. Các xung đột khác nhau (ví dụ:đổi tên đồng thời tài khoản người dùng trên một số bộ điều khiển miền) được giải quyết bằng nguyên tắc đơn giản - nguyên tắc cuối cùng đúng. Tuy nhiên, có một số hoạt động xảy ra xung đột là không thể chấp nhận được (ví dụ:khi tạo miền / rừng con mới, thay đổi lược đồ AD, v.v.). Để thực hiện các hoạt động yêu cầu tính duy nhất, bạn cần bộ điều khiển miền có vai trò FSMO. Nhiệm vụ chính của các vai trò FSMO là ngăn chặn những xung đột như vậy.

Có thể có năm Vai trò của FSMO trong miền Active Directory.

Hai vai trò là duy nhất cho một khu rừng QUẢNG CÁO :

1. Sơ đồ tổng thể chịu trách nhiệm thực hiện các thay đổi đối với lược đồ Active Directory (ví dụ:khi mở rộng lược đồ AD bằng cách sử dụng adprep / forestprep lệnh;
2. Cái tên miền chính cung cấp các tên duy nhất cho tất cả các miền và phần ứng dụng bạn tạo trong khu rừng quảng cáo của mình (để quản lý nó, bạn cần có đặc quyền "Quản trị viên doanh nghiệp").

Và có ba vai trò cho từng miền (để quản lý chúng, tài khoản của bạn phải là thành viên của nhóm "Quản trị viên miền"):

1. Trình mô phỏng PDC là trình duyệt chính trong mạng Windows của bạn ( Domain Master Browser được sử dụng để hiển thị các máy tính trong môi trường mạng), nó theo dõi các lần khóa máy của người dùng khi nhập sai mật khẩu, nó là máy chủ NTP chính trong miền của bạn, nó được sử dụng để cung cấp khả năng tương thích với các máy khách chạy Windows 2000 / NT, nó được sử dụng bởi máy chủ gốc DFS để cập nhật thông tin không gian tên ;
2. Bậc thầy về Cơ sở hạ tầng chịu trách nhiệm cập nhật các liên kết đối tượng liên miền; và adprep / domainprep lệnh được chạy trên đó;
3. RID Maste r - máy chủ phân phối RID (theo gói 500 phần) cho các bộ điều khiển miền khác để tạo mã nhận dạng đối tượng duy nhất (SID).

Làm cách nào để liệt kê Chủ sở hữu vai trò FSMO trong miền?

Làm cách nào bạn có thể tìm ra bộ điều khiển miền nào là người nắm giữ vai trò FSMO trong miền Active Directory của bạn?

Để tìm tất cả chủ sở hữu vai trò FSMO trong miền, hãy chạy lệnh:

truy vấn netdom fsmo

Schema master dc01.test.com
Domain naming master dc01.test.com
PDC dc01.test.com
RID pool manager dc01.test.com
Infrastructure master dc01.test.com

Bạn có thể xem các vai trò FSMO cho một miền khác:

truy vấn tên miền mạng fsmo /domain:woshub.com

Trong ví dụ này, bạn có thể thấy rằng tất cả các vai trò FSMO đều nằm trên DC01. Khi triển khai một khu rừng (miền) AD mới, tất cả các vai trò FSMO được đặt cho DC đầu tiên. Bất kỳ bộ điều khiển miền nào, ngoại trừ RODC, đều có thể là người nắm giữ bất kỳ vai trò FSMO nào. Theo đó, quản trị viên miền có thể chuyển bất kỳ vai trò FSMO nào cho bất kỳ bộ điều khiển miền nào khác.

Bạn có thể nhận thông tin về vai trò FSMO trong miền của mình qua PowerShell bằng cách sử dụng lệnh ghép ngắn Get-ADDomainController (phải cài đặt mô-đun RSAT Active Directory cho PowerShell):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles | Where-Object {$ _. OperationMasterRoles}

Hoặc bạn có thể xem các vai trò FSMO cấp rừng hoặc cấp miền như sau:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Miền chọn đối tượngNamingMaster, SchemaMaster

Dưới đây là các khuyến nghị chung của Microsoft về vị trí vai trò FSMO trong miền:

• Đồng thời đặt các vai trò cấp rừng (Cái chính lược đồ và Cái đặt tên miền) trên miền gốc là máy chủ Danh mục chung;
• Đặt tất cả ba vai trò FSMO miền trên một bộ điều khiển miền với hiệu suất phù hợp;
• Tất cả các DC rừng phải là máy chủ Danh mục toàn cầu vì nó cải thiện độ tin cậy và hiệu suất của AD. Sau đó, vai trò Chủ cơ sở hạ tầng thực sự không cần thiết. Nếu bạn có DC không có vai trò Danh mục toàn cầu, hãy đặt vai trò Người quản lý cơ sở hạ tầng cho nó.
• Không đặt bất kỳ nhiệm vụ nào khác lên các DC của chủ sở hữu vai trò FSMO.

Bạn có thể chuyển các vai trò FSMO trong Active Directory bằng một số phương pháp:sử dụng snap-in đồ họa AD MMC, ntdsutil.exe hoặc PowerShell . Việc chuyển các vai trò FSMO có liên quan khi tối ưu hóa cơ sở hạ tầng AD của bạn hoặc DC giữ vai trò FSMO đã bị lỗi phần cứng / phần mềm nghiêm trọng. Có hai cách để di chuyển vai trò FSMO: chuyển giao (khi cả hai DC đều khả dụng) hoặc thu giữ (khi một DC có vai trò FSMO không khả dụng hoặc đã bị hỏng).

Cách chuyển Vai trò FSMO bằng PowerShell?

Cách dễ nhất và nhanh nhất để chuyển các vai trò FSMO trong miền là sử dụng Move-ADDirectoryServerOperationMasterRole Lệnh ghép ngắn PowerShell.

Bạn có thể chuyển một hoặc nhiều vai trò FSMO tại một thời điểm đến DC được chỉ định. Lệnh sau sẽ chuyển hai vai trò sang DC02:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole PDCEmulator, RIDMaster

Trong OperationMasterRole đối số, bạn có thể chỉ định tên của vai trò FSMO hoặc chỉ mục của nó theo bảng sau:

Lệnh trước ở dạng ngắn hơn trông giống như sau:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

Để chuyển tất cả các vai trò FSMO cùng một lúc sang bộ điều khiển miền bổ sung, hãy chạy lệnh sau:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

Chuyển các Vai trò FSMO bằng phần mềm Active Directory Graphic Snap-in

Để di chuyển các vai trò FSMO, bạn có thể sử dụng snap-in đồ họa Active Directory tiêu chuẩn. Hoạt động chuyển giao tốt nhất nên được thực hiện trên DC có vai trò FSMO. Nếu bảng điều khiển cục bộ của máy chủ không khả dụng, hãy sử dụng Thay đổi bộ điều khiển miền và chọn bộ điều khiển miền trong phần đính vào MMC.

Làm cách nào để chuyển Vai trò chính của RID Master, Trình mô phỏng PDC &Cơ sở hạ tầng?

Để chuyển các vai trò cấp miền (RID, PDC, Infrastructure Master), bảng điều khiển Máy tính và Người dùng Active Directory (DSA.msc) được sử dụng.

1. Mở phần đính kèm Người dùng và Máy tính Active Directory (ADUC);
2. Nhấp chuột phải vào tên miền của bạn và chọn Operations Master ;
   
3. Một cửa sổ có ba tab (RID, PDC, Cơ sở hạ tầng) xuất hiện. Sử dụng các tab này để chuyển các vai trò tương ứng bằng cách chỉ định chủ sở hữu FSMO mới và nhấp vào nút Thay đổi nút.
   

Làm cách nào để chuyển vai trò chính của lược đồ?

Để chuyển FSMO Schema Master cấp rừng, phần đính vào của Active Directory Schema được sử dụng.

1. Trước khi bắt đầu snap-in, bạn phải đăng ký thư viện schmmgmt.dll bằng cách chạy regsvr32 schmmgmt.dll trong dấu nhắc lệnh;
   
2. Mở bảng điều khiển MMC bằng cách nhập MMC trong dấu nhắc lệnh;
3. Chọn Tệp -> Thêm / Xóa snap-in từ trình đơn và thêm Lược đồ Active Directory bàn điều khiển;
   
4. Nhấp chuột phải vào thư mục gốc (Active Directory Schema) và chọn Operations Master ;
5. Nhập tên bộ điều khiển miền mà bạn muốn chuyển vai trò Schema Master sang, sau đó nhấp vào Thay đổi và OK. Nếu nút này không khả dụng, hãy đảm bảo rằng tài khoản của bạn là thành viên của nhóm quản trị viên giản đồ.
   

Làm cách nào để chuyển FSMO Master đặt tên miền?

1. Để chuyển vai trò FSMO của Công cụ quản lý đặt tên miền, hãy mở Tên miền và độ tin cậy của Active Directory bảng điều khiển;
2. Nhấp chuột phải vào tên miền của bạn và chọn Operations Master ;
3. Nhấp vào Thay đổi , nhập tên của bộ điều khiển miền và nhấp vào OK.
   

Sử dụng Ntdsutil.exe để chuyển các vai trò FSMO từ Command Prompt

1. Chạy dấu nhắc lệnh trên bộ điều khiển miền của bạn và chạy: ntdsutil
2. Nhập lệnh này: role
3. Sau đó: kết nối
4. Sau đó, bạn phải kết nối với DC mà bạn muốn chuyển các vai trò FSMO sang. Để thực hiện, hãy nhập: kết nối với máy chủ
5. Nhập q và nhấn Enter;
6. Để chuyển một vai trò FSMO, hãy sử dụng lệnh sau: transfer , trong đó là vai trò bạn muốn chuyển. Ví dụ: chuyển lược đồ tổng thể , chuyển RID , v.v.;
   
7. Xác nhận chuyển giao vai trò FSMO;
   
8. Khi hoàn tất, nhấn q và sau đó Enter để thoát ntdsutil.exe;
9. Khởi động lại bộ điều khiển miền.

Nắm bắt vai trò AD FSMO

Nếu một DC có một trong các vai trò FSMO đã bị hỏng (và không thể phục hồi) hoặc không khả dụng trong một thời gian dài, bạn có thể buộc chiếm giữ bất kỳ vai trò nào của nó. Tuy nhiên, điều rất quan trọng là phải đảm bảo rằng máy chủ mà bạn nắm giữ vai trò không bao giờ xuất hiện trong mạng nếu bạn không muốn có bất kỳ sự cố mới nào với AD (ngay cả khi sau này bạn khôi phục DC từ bản sao lưu). Nếu bạn muốn trả lại DC bị hỏng cho miền, phương pháp đúng duy nhất là xóa tài khoản coputer của nó khỏi AD, thực hiện cài đặt Windows sạch với tên máy chủ mới, cài đặt vai trò ADDS và quảng bá máy chủ cho bộ điều khiển miền.

Bạn có thể nắm bắt các vai trò FSMO bằng PowerShell hoặc NTDSUtil.

Cách dễ nhất để nắm bắt vai trò FSMO là thông qua PowerShell. Để thực hiện việc này, cùng một lệnh ghép ngắn Move-ADDirectoryServerOperationMasterRole được sử dụng, nhưng –Force tham số được thêm vào nó.

Ví dụ:để nắm bắt vai trò PDCEmulator và buộc chuyển nó sang DC02, hãy chạy lệnh:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator –Force

Bạn cũng có thể nắm bắt các vai trò FSMO cho máy chủ DC02 của mình bằng cách sử dụng ntdsutil.exe. Việc thu giữ vai trò tương tự như chuyển nhượng thông thường. Sử dụng các lệnh sau:

Các kết nối ntdsutil
vai trò

kết nối với máy chủ DC02 (máy chủ mà bạn chuyển vai trò sang)
thoát

Để nắm bắt các vai trò FSMO khác nhau, hãy sử dụng các lệnh sau:

nắm bắt chương trình tổng thể về lược đồ
nắm giữ bản chủ đặt tên
nắm giữ bản đồ gốc
nắm giữ bản gốc của máy chủ cơ sở hạ tầng