воскресенье, 25 июля 2010 г.

Использование средства Ntdsutil.exe для получения и передачи ролей FSMO контроллеру домена

http://support.microsoft.com/kb/255504/RU/

Некоторые операции уровня домена или предприятия, для которых не может выполняться обновление с несколькими хозяевами, выполняются одним контроллером домена в рамках домена или леса Active Directory. Контроллеры домена, назначенные для выполнения таких особых операций, называются хозяевами операций или обладателями ролей FSMO.
Ниже перечислены 5 особых ролей FSMO, существующих в лесу Active Directory, и специальные операции, выполняемые обладателями этих ролей.

  • Хозяин схемы. Роль хозяина схемы — это роль уровня леса. В каждом лесу существует один хозяин схемы. Эта роль необходима для расширения схемы леса Active Directory или для выполнения команды adprep /domainprep.
  • Хозяин именования домена. Роль хозяина именования домена — это роль уровня леса. В каждом лесу существует один хозяин именования домена. Эта роль необходима для добавления или удаления доменов или разделов приложений в лесу.
  • Хозяин RID. Роль хозяина RID — это роль уровня домена. В каждом домене существует один хозяин RID. Эта роль необходима для выделения идентификаторов RID, которые необходимы новым или существующим контроллерам доменов учетных записей пользователей, учетных записей компьютеров, а также групп безопасности.
  • Эмулятор PDC. Роль эмулятора PDC — это роль уровня домена. В каждом домене существует один эмулятор PDC. Эта роль необходима для контроллера домена, отправляющего обновления базы данных резервным контроллерам домена Windows NT. Контроллер домена, владеющий этой ролью, также используется некоторыми средствами администрирования и получает обновления паролей учетных записей пользователей и компьютеров.
  • Хозяин инфраструктуры. Роль хозяина инфраструктуры — это роль уровня домена. В каждом домене существует один хозяин инфраструктуры. Эта роль необходима контроллерам доменов для успешного выполнения команды adprep /forestprep, а также для обновления атрибутов идентификаторов безопасности (SID) и различающихся атрибутов имен для объектов, на которые указывают междоменные ссылки.
Мастер установки Active Directory (Dcpromo.exe) назначает все 5 ролей FSMO первому контроллеру домена в корневом домене леса. При создании дочерних доменов 3 роли уровня домена назначаются первому контроллеру домена в каждом дочернем домене. Контроллеры домена владеют ролями FSMO, пока эти роли не будут переданы другим контроллерам доменов одним из следующих методов.
  • Администратор переназначает роль с помощью средства администрирования с графическим интерфейсом.
  • Администратор переназначает роль, выполняя команду ntdsutil /roles.
  • Администратор в штатном порядке понижает роль контроллера домена, являющегося хранителем роли, с помощью мастера установки Active Directory. При этом роли, которыми обладал текущий контроллер домена, мастер переназначает существующим контроллерам домена в лесу. Если для понижения роли контроллера домена использовалась команда dcpromo /forceremoval, то роли FSMO будут находиться в недопустимом состоянии, пока администратор не выполнит переназначение ролей вручную.
Корпорация Майкрософт рекомендует использовать передачу ролей FSMO в следующих случаях.
  • Текущий обладатель роли работает надлежащим образом и доступен по сети новому обладателю роли FSMO.
  • Администратор в штатном порядке понижает роль контроллера домена, являющегося обладателем ролей FSMO, которые следует назначить определенному контроллеру домена в лесу Active Directory.
  • Контроллер домена, являющийся обладателем ролей FSMO, необходимо отключить для выполнения профилактических работ, а его роли должны быть назначены работающему контроллеру домена. Это может потребоваться для выполнения операций, относящихся к данному владельцу ролей FSMO. Это особенно необходимо при отключении эмулятора PDC. Временное отключение хозяина RID, хозяина именования домена и хозяина схемы в меньшей степени сказывается на работе.
Корпорация Майкрософт рекомендует использовать получение ролей FSMO в следующих случаях.
  • В работе текущего обладателя роли FSMO возникли сбои, которые препятствуют успешному выполнению функций, присущих данной роли, и не дают выполнить передачу роли.
  • Роль контроллера домена, являвшегося обладателем роли FSMO, была принудительно понижена с помощью команды dcpromo /forceremoval.
  • На компьютере, являвшемся обладателем роли FSMO, переустановлена или не загружается операционная система.
В процессе репликации сведения об изменениях, выполненных обладателями ролей FSMO, передаются всем не являющимся обладателями ролей FSMO контроллерам домена в лесу или в домене. При выборе контроллера домена, которому следует передать роль FSMO, рекомендуется выбирать контроллер, который расположен в соответствующем домене и последним (или в числе последних) выполнил входящую репликацию доступной для записи копии «раздела FSMO» с текущим обладателем данной роли. Например, хозяин схемы имеет различающееся имя пути CN=schema,CN=configuration,dc=<корневой_домен_леса>. Это означает, что роли хранятся и реплицируются в составе раздела CN=schema. Если на контроллере домена, являющемся хозяином схемы, возникает программный или аппаратный сбой, рекомендуется назначить эту роль контроллеру домена, расположенному в том же корневом домене и в том же узле Active Directory, что и исходный хозяин схемы. Контроллеры домена, находящиеся в пределах одного узла Active Directory, выполняют входящую репликацию каждые 5 минут или 15 секунд.
Ниже перечислены разделы, используемые ролями FSMO.

Свернуть эту таблицуРазвернуть эту таблицу

Роль FSMO
Раздел

Схема
CN=Schema,CN=configuration,DC=<корневой_домен_леса>

Хозяин именования домена
CN=configuration,DC=<корневой_домен_леса>

Эмулятор PDC
DC=<домен>

Хозяин RID
DC=<домен>

Хозяин инфраструктуры
DC=<домен>

После получения роли FSMO контроллер домена, ранее являвшийся обладателем этой роли, не должен обмениваться данными с другими контроллерами домена в лесу. На таком контроллере домена необходимо отформатировать жесткий диск и переустановить операционную систему или принудительно понизить роль данного контроллера домена в изолированной сети и удалить метаданные этого контроллера домена с других контроллеров домена в лесу с помощью команды ntdsutil /metadata cleanup. Включение в сеть обладателя роли FSMO, роль которого была получена другим компьютером, может привести к тому, что до получения сведений о получении роли при входящей репликации данный контроллер домена продолжит функционировать в качестве хозяина операций. Наличие двух компьютеров, исполняющих одну роль FSMO, может привести к созданию участников безопасности, обладающих перекрывающимися пулами идентификаторов RID, а также к возникновению других проблем.

Перейти к началу страницы

Передача ролей FSMO
Для передачи ролей FSMO с помощью средства Ntdsutil выполните следующие действия.
  1. Войдите в систему на рядовом сервере или контроллере домена под управлением Windows 2000 Server или Windows Server 2003, расположенном в том лесу, в котором следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Для передачи роли хозяина схемы или хозяина именования домена необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы предприятия». Для передачи роли эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы домена».
  2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку ОК.
  3. Введите строку roles и нажмите клавишу ВВОД.
    Примечание.. На любом этапе использования средства Ntdsutil для просмотра доступных команд следует ввести символ ? и нажать клавишу ВВОД.
  4. Введите строку connections и нажмите клавишу ВВОД.
  5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
  6. В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
  7. Введите команду transfer роль, где роль — роль, которую требуется передать. Чтобы определить роли, которые могут быть переданы, ознакомьтесь со списком ролей в начале данной статьи или введите команду ? после появления запроса fsmo maintenance и нажмите клавишу ВВОД. Например, для передачи роли хозяина RID введите команду transfer rid master. Единственным исключением является передача роли эмулятора PDC — для передачи данной роли необходимо использовать команду transfer pdc (а не transfer pdc emulator).
  8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.

Перейти к началу страницы

Получение ролей FSMO
Для получения ролей FSMO с помощью средства Ntdsutil выполните следующие действия.
  1. Войдите в систему на рядовом сервере или контроллере домена под управлением Windows 2000 Server или Windows Server 2003, расположенном в том лесу, в котором следует выполнить получение ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Для получения роли хозяина схемы или хозяина именования домена необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы предприятия». Для получения роли эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы домена».
  2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку ОК.
  3. Введите строку roles и нажмите клавишу ВВОД.
  4. Введите строку connections и нажмите клавишу ВВОД.
  5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
  6. В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
  7. Введите команду seize роль, где роль — роль, которую требуется получить. Чтобы определить роли, которые могут быть получены, ознакомьтесь со списком ролей в начале данной статьи или введите команду ? после появления запроса fsmo maintenance и нажмите клавишу ВВОД. Например, для получения роли хозяина RID введите команду seize rid master. Единственным исключением является получение роли эмулятора PDC — для получения данной роли необходимо использовать команду seize pdc (а не seize pdc emulator).
  8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.
    Примечания
    • В обычной ситуации все пять ролей должны быть назначены действующим контроллерам домена в лесу. Если контроллер домена, которому назначены роли FSMO, отключается до передачи ролей, необходимо выполнить получение этих ролей и назначить их работающим контроллерам домена. Корпорация Майкрософт рекомендует выполнять получение ролей только в тех случаях, когда исходный обладатель ролей больше не будет работать в домене. Если возможно, восстановите работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO. Выберите контроллер домена для каждой роли таким образом, чтобы все роли оказались на одном сервере. Для получения дополнительных сведений о размещении ролей FSMO щелкните следующий номер статьи базы знаний Майкрософт:

      223346 (http://support.microsoft.com/kb/223346/ ) Размещение и оптимизация FSMO на контроллерах домена Active Directory

    • Если контроллер домена, ранее исполнявший какую-либо роль FSMO, отсутствует в домене, а его роли были получены в соответствии с приведенными в этой статье указаниями, удалите данный контроллер из Active Directory. Для этого выполните процедуру, описанную в следующей статье базы знаний Майкрософт:

      216498 (http://support.microsoft.com/kb/216498/ ) Удаление данных из Active Directory после неудачного понижения роли контроллера домена

    • При удалении метаданных контроллера домена с помощью команды ntdsutil /metadata cleanup (версия для Windows 2000 или для Windows Server 2003, сборка 3790) роли FSMO, назначенные работающим контроллерам доменов, не передаются другим контроллерам домена. Версия средства Ntdsutil, входящая в состав Windows Server 2003 с пакетом обновления 1 (SP1), автоматизирует выполнение этой задачи и удаляет дополнительные элементы метаданных контроллера домена.
    • Некоторые администраторы предпочитают не восстанавливать состояние системы на контроллерах домена, являющихся обладателями ролей FSMO, если соответствующая роль была передана после архивирования состояния системы.
    • Не назначайте роль хозяина инфраструктуры контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае хозяин инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылки на объекты, которые не хранит. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
Чтобы проверить, является ли контроллер домена сервером глобального каталога, выполните следующие действия.
  1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory - сайты и службы.
  2. Дважды щелкните узел Сайты в левой панели и найдите соответствующий сайт или, если другие сайты отсутствуют, выберите вариант Default-first-site-name.
  3. Откройте папку «Серверы» и выделите требуемый контроллер домена.
  4. В папке контроллера домена дважды щелкните элемент Параметры NTDS.
  5. В меню Действие выберите команду Свойства.
  6. Перейдите на вкладку Общие и проверьте, установлен ли флажок Глобальный каталог.
Для получения дополнительных сведений о ролях FSMO щелкните следующие номера статей базы знаний Майкрософт:

197132 (http://support.microsoft.com/kb/197132/ ) Роли FSMO службы Active Directory в Windows 2000

223787 (http://support.microsoft.com/kb/223787/ ) Захват и передача ролей FSMO

Комментариев нет:

Отправить комментарий