Windows Active Directory Принудительный захват ролей умершего мастера операций

Не секрет, что в AD есть операции которые возлагаются лишь на один домен-контроллер в лесу, именуемый мастером операции. Например в AD только один контроллер назначается первичным хранителем схемы каталога.

В случае умирания такого сервера по любой из технических или нетехнических причин, возникает ситуация, когда второй DC в связке не позволяет вам полноценно управлять доменом. В таких случаях поможет следующий рецепт, который позволит перенести существующие роли мастера операций на уцелевший контроллер. Рецепт довольно известный, тем не менее, я посчитал полезным выложить подробную инструкцию на хабр, так как у меня первой реакцией была паника.

Рассматривается конфигурация домена с двумя контроллерами. Одному из них назначены роли мастера операций и глобального каталога и в нашем сценарии он умирает. Для переназначения всех ролей, администратор должен быть членом группы Enterprise Admins. Процедура состоит из двух этапов: захват ролей и назначение глобального каталога.

Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост, ну а мы приступаем.

• Захват ролей

Нажмите кнопку Start, выберите пункт Run, введите ntdsutil, и нажмите ENTER.
1. Подключение
1.1. В приглашении ntdsutil: введите roles и нажмите ENTER.
1.2. В приглашении fsmo maintenance: введите connections и нажмите ENTER.
1.3. В приглашении server connections: введите connect to server имя_сервера (где имя_сервера является именем контроллера домена, который возьмет на себя роль хозяина операций), и нажмите ENTER.
1.4. После того как вы получите подтверждение соединения, введите quit и нажмите ENTER.
2. В зависимости от роли, которую вы хотите взять в приглашении fsmo maintenance: введите соответствующую команду из таблицы ниже и нажмите ENTER.
3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.

• Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию.

• Надеюсь, статья спасет кому нибуть добрую тонну нервов.

UPD:

В Win2k8R2 команды немного другие:

fsmo maintenance:?

? — Вывод этой справочной информации
Connections — Подключение к определенному DC/LDS-экземпляру AD
Help — Вывод этой справочной информации
Quit — Возврат к предыдущему меню
Seize infrastructure master — Перезаписать роль инфраструктуры на подключенном сервере
Seize naming master — Перезаписать роль хозяина именования на подключенном сервере
Seize PDC — Перезаписать роль PDC на подключенном сервере
Seize RID master — Перезаписать роль RID на подключенном сервере
Seize schema master — Перезаписать роль схемы на подключенном сервере
Select operation target — Выбор сайтов, серверов, доменов, ролей, контекстов именования
Transfer infrastructure master — Сделать подключенный сервер хозяином инфраструктуры
Transfer naming master — Сделать подключенный сервер хозяином именования
Transfer PDC — Сделать подключенный сервер PDC
Transfer RID master — Сделать подключенный сервер хозяином RID
Transfer schema master — Сделать подключенный сервер хозяином схемы

ДОПОЛНИТЕЛЬНО:

• Удаление недоступного домен-контроллера с помощью ntdsutil

ИСТОЧНИКИ:

• Принудительный захват ролей умершего мастера операций
• Как передать fsmo роли другому контроллеру домена Active Directory
• Передача и захват ролей FSMO
• Как правильно перезапускать Active Directory Domain Services
• Компонент

X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента]

• Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений
• Передача/захват ролей FSMO на другой контроллер домена Active Directory