Принудительный захват ролей FSMO в Active Directory

Принудительный захват ролей FSMO в Active Directory

захват ролей FSMO

Добрый день уважаемые читатели и гости блога Pyatilistnik.org, сегодня будет очень жизненная и на сто процентов практическая статья и посвящена она будет, трабшутингу Active Directory. Не так давно я вам рассказывал, как производится правильное удаление неисправного или недоступного контроллера домена, все хорошо, но может получиться ситуация, что именно он является носителем ролей FSMO, и перед его удалением вам нужно будет произвести принудительный захват ролей мастера-операций Active Directory.

Давайте выполним в командной строке вот такую команду:

netdom query fsmo

Нужные мне три нижние роли принадлежат dc10. их и будем забирать. Для этого вы должны быть, как минимум администратором домена.

определение fsmo мастера

Вот вам пример реальной ситуации, когда перед удалением контроллера домена, мне нужно было принудительно захватить роли мастеров операций.

Не удается передать роль хозяина операций по следующей причине: Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.

Это я увидел в оснастке Active Directory - Пользователи и компьютеры, при попытке по правильному передать роль RID.

Принудительный захват ролей FSMO в Active Directory

Если попытаться получить роль PDC эмулятора с недоступных контроллером, то он даст вам это сделать в ADUC, но вы увидите предупреждение.

Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO. Не удается связаться с текущим хозяином операций для передачи этой роли другому компьютеру. В некоторых случаях допускается принудительная передача роли. Вы хотите выполнить?

Говорим "Да"

Принудительный захват ролей FSMO в Active Directory

Все роль PDC получена.

Принудительный захват ролей FSMO в Active Directory

Тоже самое проделаем с мастером инфраструктуры. Выполнив опять запрос в командной строке, кто держит FSMO роли, видим, что это уже для двух нижних ролей, dc7, новый контроллер.

новый список серверов с FSMO

Теперь захватим роль RID, в этом нам поможет утилита ntdsutil. Открываем командную строку для принудительного захвата.

  • Вводим ntdsutil, попадем в исполняемую среду.
  • Далее пишем roles
  • в fsmo maintenance: пишем connections
  • в server connections: пишем connect to server имя сервера у меня это dc7
  • server connections: q
  • пишем в fsmo maintenance: seize RID master

Вам напишут: Попытка безопасной передачи RID FSMO перед захватом. Ошибка ldap_modify_sW, код ошибки 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Принудительный захват ролей FSMO в Active Directory

У вас выскочит окно с подтверждением операции, нажимаем "Да." В итоге роль все равно передастся, это можно увидеть сразу в ADUC.

Принудительный захват ролей FSMO в Active Directory

Если нужно принудительно захватить с помощью ntdsutil оставшиеся роли, то их ключи для последней команды:

  • seize PDC
  • seize infrastructure master
  • seize domain naming master
  • seize schema master

Вот так вот по правильному происходит принудительная передача ролей мастер операций в Active Directory, если есть вопросы, то пишите их в комментариях.

5 Responses to Принудительный захват ролей FSMO в Active Directory

  1. Кирилл:

    Подскажите пожалуйста, у меня обратная проблема:
    PDC, Диспетчер пула RID, хозяин инфраструктуры нужный домен DC2 (передал AD-пользователи и компьютеры — Свойства — Хозяева операций), а вот хозяин схемы и хозяин именования доменов DC1 планируемый к выводу домен, как передать Хозяин схемы и Хозяин именования доменов к DC2?
    Принадлежность ролей увидел используя netdom query fsmo
    DC1 выключен

  2. Иван Семин:

    Через оснастку схема и через оснастку сайты и домены, ну или ntdsutil http://pyatilistnik.org/kak-peredat-fsmo-roli-drugomu-kontrolleru-domena-active-directory/

  3. Кирилл:

    Спасибо, как всегда на высоте!

  4. Кирилл:

    Необходимо было отдать роли, исполняемые выключенным контроллером:
    1.seize schema master
    2.seize domain naming master

    использовал ntdsutil
    1 без проблем в соответствии с инструкцией.
    2 сказала — Ошибка при синтаксическом разборе ввода — неправильный синтаксис.

    Пробовал несколько раз (((

  5. Кирилл:

    Seize naming master — вот правильная команда

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *