Блог системного администратора
Сайт посвящен тому с чем может столкнуться среднестатистический «эникейщик»
Перенос ролей FSMO
Переносим FSMO. Цель нашего мероприятия передать FSMO с одного контроллера домена на другой. На всякий случай я рассмотрю несколько способов переноса ролей, в том числе и случай, когда действующий хозяин FSMO недоступен.
Сначала немного теории:
FSMO (Flexible single-master operations — «операции с одним исполнителем»)— типы выполняемых контроллерами домена Active Directory операций, требующие обязательной уникальности сервера их выполняющего.
То есть все контроллеры домена равны, но один (или несколько) равнее других, постольку поскольку выполняют эти самые операции с одним исполнителем. В зависимости от типа операции уникальность FSMO подразумевается в пределах или леса доменов, или домена.
Всего корпорацией мелкомягких нам дано 5 ролей:
- Владелец схемы (Schema master) — один сервер с этой ролью на весь лес. Роль нужна для расширения схемы леса Active Directory, обычно эта операция выполняется командой adprep /forestprep
- Владелец доменных имён (Domain naming master) — один на весь лес. Сервер с данной ролью должен обеспечить уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD.
- Владелец относительных идентификаторов (PDC emulator) — один сервер на каждый домен. Выполняет несколько функций: является основным обозревателем в сети Windows, отслеживает блокировки пользователей при неправильно введенном пароле, являетсяглавным NTP сервером в домене, предназначен для поддержки клиентов с ОС предшествующим Windows 2000.
- Эмулятор основного контроллера домена (Infrastructure Master) — один сервер на каждый домен. Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Отвечает за обновление идентификаторов защиты (GUID, SID)и различающихся имен объектов в междоменных объектных ссылках.
- Владелец инфраструктуры домена (RID Master) — один сервер на каждый домен. Сервер раздает другим контроллерам домена идентификаторы RID (по 500 штук) для создания уникальных SID.
Для управления ролью Schema master необходимо быть в группе «Schema admins».
Для управления ролью Domain naming master необходимо состоять в группе «Enterprise admins».
Для управления ролями PDC emulator, Infrastructure Master и RID Master необходимо иметь права администратора домена «Domain Admins»
Необходимость переноса ролей может возникнуть по разным причинам, так же в больших сетях эти роли могут выполнятся разными серверами, хотя в нашем случае все роли выполняет один сервер. Вожно чтобы каждая роль исполнялась в вашем домене, если какя либо роль не будет назначена какому нибудь серверу, то вас может ждать много неприятных сюрпризов, как сразу, так и через продолжительное время, в зависимости от структуры AD.
При создании домена, по умолчанию все роли назначаются первому контроллеру домена в лесу. Переназначение ролей требуется крайне редко. Microsoft рекомендует использовать передачу ролей FSMO в следующих случаях:
- Плановое понижение роли контроллера домена, являющегося обладателем ролей FSMO, например с целью вывода сервера из эксплуатации (это как раз мой случай);
- Временное отключение контроллера домена, например для выполнения профилактических работ. Это особенно важно при отключении эмулятора PDC. Временное отключение остальных хозяев операций в меньшей степени сказывается на работе AD.
Захват ролей FSMO придется осуществлять в следующих случаях:
- Если в работе текущего обладателя роли FSMO возникли сбои, препятствующие успешному выполнению функций, присущих данной роли, и не дающие выполнить передачу роли;
- На контролере домена, являвшемся обладателем роли FSMO, переустановлена или не загружается операционная система;
- Роль контроллера домена, являвшегося обладателем роли FSMO, была принудительно понижена с помощью команды dcpromo /forceremoval.
Итак первое что нам понадобится это узнать какой сервер является хозяином FSMO. Проще всего это сделать с помощью утилиты netdom. Набрав в консоли:
Мы получим список всех пяти ролей с указанием FQDN хозяев. Этой же утилитой можно воспользоваться после переноса ролей, чтобы убедиться в успехе операции.
Теперь можно приступить непосредственно к переносу FSMO:
Способ первый, самй простой и мне он наиболее симпатичен — передача ролей FSMO с помощью утилиты ntdsutil:
ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active Directory. Она предоставляет много возможностей по управлению AD, в числе которых передача и захват ролей FSMO.
Для передачи ролей заходим на любой контролер домена (Это не обязательно должен быть текущий или будующий хозяин FSMO), расположенный в том лесу, в котором следует выполнить передачу ролей. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Запускаем консоль и вводим:
>ntdsutil
После чего утилита запускается в интерактивном режиме и может принимать команды. Первая наша команда указывает на то что мы хотим работать с FSMO
>roles
В ответ приглашение изменится на fsmo maintenance: Затем для вызова «меню» подключения вводим
>connections
И приглашение меняется на server connections: Теперь можно указать к какому серверу мы хотм подключиться ( — имя контроллера домена, на который вы хотите перенести роль FSMO.)
>connect to server
для выхода из меню подключения введите
>q
и нажмите Enter. Теперь, получив опять приглашение fsmo maintenance: мы можем приступить к переносу ролей. Для этого предназначена команда transfer:
>transfer
В качестве нужно указать ту роль которую вы хотите перенести:
- naming master — передача роли хозяина доменных имен;
- infrastructure master — передача роли хозяина инфраструктуры;
- RID master — передача роли хозяина RID;
- schema master — передача роли хозяина схемы;
- PDC — передача роли эмулятора PDC.
В версиях Windows предшествующих Windows Server 2008R2 хозяин доменных имен называется domain naming master. Как это принято в Windows системах регистр не имеет значения.
После ввода каждой команды transfer появляется диалоговое окно с запросом подтверждения (могли бы и в консоли подтверждение спрашивать а то «недоконсольно» как то получается), нажимаем каждый раз «OK», если конечно вы не набрали все предидущие команды случайно. 🙂
Для завершения работы Ntdsutil вводим команду q и нажимаем Enter.
Принудительное назначение ролей fsmo при помощи Ntdsutil
А что же нам делать, если хозяин роли недоступен, поврежден и нет надежды вернуть его в строй в ближайшее время? И тут нам снова поможет ntdsutil.exe:
Принудительное назначение (захват) ролей производятся только в случае полного выхода из строя сервера, с невозможностью его восстановления. Если возможно, лучше восстановить работоспособность вышедшего из строя хозяина FSMO. Сама процедура захвата похоже на описанную выше. Заходим на контроллер домена, которому хотим передать роли и проделываем то же что было писано в предидущем пункте введя:
>ntdsutil
>roles
>connections
>connect to server
>q
Единственно различие, вместо команды transfer для принудительного захвата роли используется команда seize
>seize
Где как и прежде
- naming master — хозяин доменных имен (до Windows Server 2008R2 — domain naming master);
- infrastructure master — хозяин инфраструктуры;
- rid master — хозяин RID;
- schema master — хозяин схемы;
- pdc — эмулятор PDC.
Не забудьте перед захватом роли попробовать передать роль с помощью команды transfer и только в случае неудачи применяйте seize.
• По возможности не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
• Ни в коем случае не возвращайте «в строй» контроллер домена ранее исполнявший роли FSMO в случае если исполняемые им роли были захвачены командой seize т.к. при его появлении в сети возникнет конфликт, что может вызвать привести к большим неприятностям. Его необходимо удалить из Active Directory. В Windows Server 2008 и старше это можно сделать, просто удалив объект сервера в оснастке Active Directory Пользователи и компьютеры, а в Windows Server 2003 с помощью программы Ntdsutil , используя команду ntdsutil — metadata cleanup.
Второй вариант — Добровольная передача ролей FSMO с помощью оснасток управления Active Directory, странный и неудобный, но это лишь моё субъективное мнение, сам способ прекрасно работает.
Передать роли уровня домена (RID Master, PDC Emulator и Infrastructure Master) можно с помощю оснастки Active Directory Пользователи и компьютеры (Users and Computers). Для этого заходим на контроллер домена, которому хотим передать роли, запускаем оснастку и щелкнув правой клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».
В открывшемся окне выбираем нужную нам роль и нажимаем кнопку «Изменить», Далее подтверждаем перенос роли и смотрим на результат. Имя хозяина операий должно поменятся на имя текущего сервера.
Для переноса роли Domain Naming Master потребуется оснастка Active Directory Домены и доверие (Domains and Trust). Запускаем оснастку, при необходимости подключаемся к нужному контроллеру домена, щелкаем правой клавишей мыши в корне оснастки и выбираем пункт меню «Хозяин операций».
Открывается окно, в котором надо нажать кнопку «Изменить», а затем подтвердить изменения так же, как и в предыдущем случае.
Для передачи роли Schema Master придется проделать несколько более сложные манипуляции. Сначало необходимо зарегистрировать в системе библиотеку управления схемой Active Directory. Сделать это можно командой
> regsvr32 schmmgmt.dll
Затем открываем консоль MMC и добавляем в нее оснастку Схема Active Directory.
Теперь можно зайти в оснастку и сменить хозяина роли Schema Master как и в предидущих примерах кликнув правой клавишей мыши по схеме и выбрав пункт «Хозяин операций. ».
Ура! Все роли переданы. И ещё раз: никогда не оставляйте ваш домен без назначенных хозяев ролей FSMO. Никогда! 🙂
Миграция ролей и компонентов в Windows Server Migrating roles and features in Windows Server
Применяется к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 Applies to: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Эта страница содержит ссылки на информацию и инструменты, которые помогут вам в процессе переноса ролей и компонентов в более новую версию Windows Server. This page contains links to information and tools that help guide you through the process of migrating roles and features to a newer version of Windows Server. Вы можете перенести файловые серверы и хранилище с помощью службы миграции хранилища, в то время как многие другие роли и компоненты можно перенести с помощью средств миграции Windows Server. Это набор командлетов PowerShell, которые были введены в Windows Server 2008 R2 для переноса ролей и компонентов. You can migrate file servers and storage using Storage Migration Service, while many other roles and features can be migrated by using the Windows Server Migration Tools, a set of PowerShell cmdlets that were introduced in Windows Server 2008 R2 for migrating roles and features.
Руководства по миграции охватывают перенос определенных ролей и компонентов с одного сервера на другой (не обновление на месте). The migration guides support migrations of specified roles and features from one server to another (not in-place upgrades). Если в руководствах не указано иное, поддерживается перенос между физическими и виртуальными компьютерами, а также между серверами Windows Server, для которых была выполнена полная установка, и серверами, для которых была выполнена только установка основных серверных компонентов. Unless otherwise noted in the guides, migrations are supported between physical and virtual computers, and between full installation options of Windows Server and servers that are running the Server Core installation option.
Перед началом работы Before you begin
Перед началом переноса ролей и компонентов убедитесь, что исходный и целевой серверы работают под управлением операционных систем с последними пакетами обновления, которые для них доступны. Before you begin migrating roles and features, verify that both source and destination servers are running the most current service packs that are available for their operating systems.
При миграции или обновлении до любой версии Windows Server следует просмотреть и понять политику сроков поддержки и период времени для этой версии и плана соответственно. Whenever you migrate or upgrade to any version of Windows Server, you should review and understand the support lifecycle policy and timeframe for that version and plan accordingly. Вы можете найти информацию о сроках для определенного выпуска Windows Server, который вас интересуют. You can search for the lifecycle information for the particular Windows Server release that you are interested in.
Windows Server 2019 Windows Server 2019
Для переноса файловых серверов и хранилища на Windows Server 2019 или Windows Server 2016 рекомендуется использовать службу миграции хранилища. To migrate file servers and storage to Windows Server 2019 or Windows Server 2016, we recommend using Storage Migration Service. Сведения о переносе других ролей приведены в руководстве по Windows Server 2016 и Windows Server 2012 R2. To migrate other roles, refer to the guidance for Windows Server 2016 and Windows Server 2012 R2.
Windows Server 2016 Windows Server 2016
Ниже приведены руководства по миграции для Windows Server 2016. Here are the migration guides for Windows Server 2016. Обратите внимание на то, что во многих случаях можно также использовать руководства по миграции для Windows Server 2012 R2. Note that in many cases you can also use the Windows Server 2012 R2 migration guides.
Для переноса файловых серверов в Windows Server 2019 или Windows Server 2016 рекомендуется использовать службу миграции хранилища. To migrate file servers to Windows Server 2019 or Windows Server 2016, we recommend using Storage Migration Service.
Windows Server 2012 R2 Windows Server 2012 R2
Следуйте инструкциям в этих руководствах для переноса ролей и компонентов с серверов под управлением Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 или Windows Server 2012 R2 на Windows Server 2012 R2. Follow the steps in these guides to migrate roles and features from servers that are running Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, or Windows Server 2012 R2 to Windows Server 2012 R2. Средства миграции Windows Server в Windows Server 2012 R2 поддерживают перенос между различными подсетями. Windows Server Migration Tools in Windows Server 2012 R2 supports cross-subnet migrations.
Теперь доступна электронная книга руководства по миграции Windows Server 2012 R2 и Windows Server 2012. An e-book of Windows Server 2012 R2 and Windows Server 2012 migration guides is now available. Чтобы получить дополнительные сведения и скачать электронную книгу, ознакомьтесь с коллекцией электронных книг по технологиям Майкрософт. For more information, and to download the e-book, see the E-Book Gallery for Microsoft Technologies.
Windows Server 2012 Windows Server 2012
Следуйте инструкциям в этих руководствах для переноса ролей и компонентов с серверов под управлением Windows Server 2003, Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 на Windows Server 2012. Follow the steps in these guides to migrate roles and features from servers that are running Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, or Windows Server 2012 to Windows Server 2012. Средства миграции Windows Server в Windows Server 2012 поддерживают перенос между различными подсетями. Windows Server Migration Tools in Windows Server 2012 supports cross-subnet migrations.
Для получения дополнительных материалов по миграции ознакомьтесь с разделом Перенос ролей и компонентов на Windows Server. For additional migration resources, visit Migrate Roles and Features to Windows Server 2012.
Windows Server 2008 R2 Windows Server 2008 R2
Следуйте инструкциям в этих руководствах для переноса ролей и компонентов с серверов под управлением Windows Server 2003, Windows Server 2008 или Windows Server 2008 R2 на Windows Server 2008 R2. Follow the steps in these guides to migrate roles and features from servers that are running Windows Server 2003, Windows Server 2008, or Windows Server 2008 R2 to Windows Server 2008 R2. Средства миграции Windows Server в Windows Server 2008 R2 не поддерживают перенос между различными подсетями. Windows Server Migration Tools in Windows Server 2008 R2 does not support cross-subnet migrations.
Для получения дополнительных материалов по миграции ознакомьтесь с разделом Migrate Server Roles to Windows Server 2008 R2 (Перенос ролей и компонентов в Windows Server 2008 R2). For additional migration resources, visit Migrate Roles and Features to Windows Server 2008 R2.