Пользователь
0,0
рейтинг
5 июня 2012 в 02:33

Администрирование → Принудительный захват ролей умершего мастера операций

Не секрет, что в AD есть операции которые возлагаются лишь на один домен-контроллер в лесу, именуемый мастером операции. Например в AD только один контроллер назначается первичным хранителем схемы каталога.

В случае умирания такого сервера по любой из технических или нетехнических причин, возникает ситуация, когда второй DC в связке не позволяет вам полноценно управлять доменом. В таких случаях поможет следующий рецепт, который позволит перенести существующие роли мастера операций на уцелевший контроллер. Рецепт довольно известный, тем не менее, я посчитал полезным выложить подробную инструкцию на хабр, так как у меня первой реакцией была паника.

Рассматривается конфигурация домена с двумя контроллерами. Одному из них назначены роли мастера операций и глобального каталога и в нашем сценарии он умирает. Для переназначения всех ролей, администратор должен быть членом группы Enterprise Admins. Процедура состоит из двух этапов: захват ролей и назначение глобального каталога.

Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост, ну а мы приступаем.

Захват ролей

Нажмите кнопку Start, выберите пункт Run, введите ntdsutil, и нажмите ENTER.
1. Подключение
1.1. В приглашении ntdsutil: введите roles и нажмите ENTER.
1.2. В приглашении fsmo maintenance: введите connections и нажмите ENTER.
1.3. В приглашении server connections: введите connect to server имя_сервера (где имя_сервера является именем контроллера домена, который возьмет на себя роль хозяина операций), и нажмите ENTER.
1.4. После того как вы получите подтверждение соединения, введите quit и нажмите ENTER.
2. В зависимости от роли, которую вы хотите взять в приглашении fsmo maintenance: введите соответствующую команду из таблицы ниже и нажмите ENTER.
3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.

Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию.

Команды для захвата
Роль Необходимые привилегии Команда
Domain naming master Enterprise Admins seize domain naming master
Schema master Enterprise Admins seize schema master
Infrastructure master Domain Admins seize infrastructure master
PDC emulator Domain Admins seize pdc
RID master Domain Admins seize rid master

Назначение глобального каталога

1. Открытие оснастку Active Directory Sites and Services.
2. В дереве консоли выберите контроллер домена, где вы хотите включить или отключить глобальный каталог. Искать здесь Active Directory Sites and Services/Sites/имя_сайта/Servers/имя_контроллера
3. Щелкните правой кнопкой на NTDS Settings, выберите Properties. Выставьте флажок Global Catalog, чтобы включить глобальный каталог, или снимите флажок, чтобы отключить глобальный каталог.



Надеюсь, статья спасет кому нибуть добрую тонну нервов.

UPD:

В Win2k8R2 команды немного другие:

fsmo maintenance:?

? — Вывод этой справочной информации
Connections — Подключение к определенному DC/LDS-экземпляру AD
Help — Вывод этой справочной информации
Quit — Возврат к предыдущему меню
Seize infrastructure master — Перезаписать роль инфраструктуры на подключенном сервере
Seize naming master — Перезаписать роль хозяина именования на подключенном сервере
Seize PDC — Перезаписать роль PDC на подключенном сервере
Seize RID master — Перезаписать роль RID на подключенном сервере
Seize schema master — Перезаписать роль схемы на подключенном сервере
Select operation target — Выбор сайтов, серверов, доменов, ролей, контекстов именования
Transfer infrastructure master — Сделать подключенный сервер хозяином инфраструктуры
Transfer naming master — Сделать подключенный сервер хозяином именования
Transfer PDC — Сделать подключенный сервер PDC
Transfer RID master — Сделать подключенный сервер хозяином RID
Transfer schema master — Сделать подключенный сервер хозяином схемы

Полезный источник
Алексей Хилькевич @1ex
карма
31,7
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Администрирование

Комментарии (16)

  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      прям сюжет для книги/фильма
    • –1
      Нормальный заголовок, может предложите свой вариант получше?
  • +1
    Я так понимаю что все это применимо к Win2k3.
    В Win2k8R2 команды немного другие:

    fsmo maintenance:?

    ? — Вывод этой справочной информации
    Connections — Подключение к определенному DC/LDS-экземпляру AD
    Help — Вывод этой справочной информации
    Quit — Возврат к предыдущему меню
    Seize infrastructure master — Перезаписать роль инфраструктуры на подключенном сервере
    Seize naming master — Перезаписать роль хозяина именования на подключенном сервере
    Seize PDC — Перезаписать роль PDC на подключенном сервере
    Seize RID master — Перезаписать роль RID на подключенном сервере
    Seize schema master — Перезаписать роль схемы на подключенном сервере
    Select operation target — Выбор сайтов, серверов, доменов, ролей, контекстов именования
    Transfer infrastructure master — Сделать подключенный сервер хозяином инфраструктуры
    Transfer naming master — Сделать подключенный сервер хозяином именования
    Transfer PDC — Сделать подключенный сервер PDC
    Transfer RID master — Сделать подключенный сервер хозяином RID
    Transfer schema master — Сделать подключенный сервер хозяином схемы
    • 0
      Да, это все 2003я, мы сейчас теститруем 2008ую. На кафедре приоритет «работает — не трогай» ) Добавил в статью, спасибо
  • +1
    Что это? Для забаненных в гугле?
  • –2
    2003-й винде уже скоро 10 лет будет, на носу уже Windows Server 2012.

    Как можно до сих пор держать домен на уровне Windows 2003? Ставьте 2008 R2.
    • 0
      2003 работает и прекрасно поддерживается, поэтому и не переходим. Этим летом думаю мигрируем.
      • +1
        Конечно переходите, в 2008 R2 (в смысле в уровне домена) много всего очень вкусного по сравнению с 2003 :)
        • +2
          Золотое правило админа: «Работает? Не трожь!». У меня до сих пор крутится сервачек на 2.2 ядре, и вполне себе выполняет свои задачи…
          • –1
            Здесь никто не предлагает всё убивать.

            Можно плавненько поставить параллельно еще два сервера на Windows Server 2008 R2, перенести на них роли FSMO, плавно от-дцпромить старые сервера, потом поднять уровень домена. Необязательно это делать за один день.

            Я так делал не раз в разных организациях, у меня всё в порядке.
            • 0
              Спасибо, Кеп.
            • 0
              Поднятие уровня домена может пройти не слишком гладко для некоторого софта. Мы пока не решаемся трогать работающую систему.
              • 0
                интересно, а какой софт плохо реагирует на уровень домена?
                • 0
                  Не могу ответить за другой софт, но у нас есть собственной разработки старинный софт, который никто не будет переписывать, который кое-какие поля из AD выбирает для работы и никто не может предсказать как он будет работать после поднятия уровня домена.
                  Согласен, что такую кривость надо было бы давно переписать — но есть более «денежные» задачи.
                  Плюс непонятные хвосты остались после поднятие до 2003 домена и обновления Exchange 2003->2007->2010 — некоторые ящики не дает удалить никому — типа не хватает прав, но права уже какие только можно перепробовали — не помогает. Гугление тоже не помогло. Помогает только удаление аккаунта, тогда и ящик вместе с ним убивается без проблем, но это очень неудобное решение, так как есть ряд программ капитально завязанных на аккаунт.
  • +1
    Этот заголовок сделал мой день!)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.