При разных обстоятельствах необходимо передать роли FSMO (Flexible single-master operations) на другой или другие сервера AD DS. Например, при установке новых версий Windows Server с последующим поднятием функционального уровня AD DS. Роли FSMO – их пять, это роли в иерархической структуре домена или леса доменов, которые требуют уникальности. Поэтому контроллеров доменов в лесу может быть много, но мастер роли должны быть уникальным, т.е. выполняться одним конкретным контроллером.
Роли FSMO:
- Schema master
- Domain naming master
- RID master
- PDC emulator
- Infrastructure master
Роли RID Master, PDC Emulator и Infrastructure Master являются ролями уровня домена, а роли Domain Naming Master и Schema Master – уровня леса. Соответственно для передачи и захвата ролей пользователь должен иметь права группы Domain admins или Enterprise Admins соответственно.
Коротко о ролях — https://ru.wikipedia.org/wiki/FSMO
Посмотреть мастера роли FSMO:
netdom query fsmoОпределившись куда передаем роли, а роли можно распределять между разными контроллерами домена, можно приступать к передаче.
При передаче роли в консоли Active Directory Users and Computers нужно подключиться к контроллеру куда или откуда передается роль.
После в той же консоли выбираем Operation Master. В этой консоли можно передать три роли (RID master, PDC emulator, Infrastructure master).
Передача роли Domain naming master осуществляется через консоль Active Directory Domains and Trust.
Передача аналогична предыдущим ролям.
Для передачи роли Schema Master необходимо зарегистрировать библиотеку и настроить консоль управления мастером схемы:
regsvr32 schmmgmt.dll
mmc.exe
Передача роли аналогична предыдущим.
Еще раз проверим, что все роли раздались как, задумывалось:
netdom query fsmoПередача ролей FSMO с помощью POWERSHELL
Проверка хозяев ролей:
Get-ADForest domain.local | ft DomainNamingMaster, SchemaMaster
Get-ADDomain domain.local | ft InfrastructureMaster, PDCEmulator, RIDMasterТут все понятно по аналогии с ролями FSMO.
Передаем роли на сервер DC2 (название сервера):
Move-ADDirectoryServerOperationMasterRole -Identity "dc2" PDCEmulator
или все сразу
Move-ADDirectoryServerOperationMasterRole -Identity "dc2" –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMasterв PowerShell есть таблица соответствия ролей FSMO:
PDCEmulator 0
RIDMaster 1
InfrastructureMaster 2
SchemaMaster 3
DomainNamingMaster 4
более упрощенная команда для передачи ролей:
Move-ADDirectoryServerOperationMasterRole "dc2" –OperationMasterRole 0,1,2,3,4В случае недобровольной передачи от одного контроллера к другому, например ввиду выхода из строя или недоступности, можно использовать ключ -Force:
Move-ADDirectoryServerOperationMasterRole -Identity "dc2" –OperationMasterRole DomainNamingMaster,PDCEmulator,RIDMaster,SchemaMaster,InfrastructureMaster –ForceКак видно, Powershell в очередной раз своей простотой завоевывает превосходство.
