Windows Active Directory Принудительный захват ролей умершего мастера операций: различия между версиями
Vix (обсуждение | вклад) Нет описания правки |
Vix (обсуждение | вклад) Нет описания правки |
||
(не показана 1 промежуточная версия этого же участника) | |||
Строка 7: | Строка 7: | ||
Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост, ну а мы приступаем. | Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост, ну а мы приступаем. | ||
Захват ролей | * Захват ролей | ||
Нажмите кнопку Start, выберите пункт Run, введите ntdsutil, и нажмите ENTER.<br> | Нажмите кнопку Start, выберите пункт Run, введите ntdsutil, и нажмите ENTER.<br> | ||
Строка 18: | Строка 18: | ||
3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.<br> | 3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.<br> | ||
Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию. | * Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию. | ||
<br> | <br> | ||
{| class="wikitable" | {| class="wikitable" | ||
Строка 48: | Строка 48: | ||
|} | |} | ||
Надеюсь, статья спасет кому нибуть добрую тонну нервов. | * Надеюсь, статья спасет кому нибуть добрую тонну нервов. | ||
UPD: | UPD: | ||
Строка 72: | Строка 72: | ||
Transfer schema master — Сделать подключенный сервер хозяином схемы | Transfer schema master — Сделать подключенный сервер хозяином схемы | ||
ИСТОЧНИКИ: | '''ДОПОЛНИТЕЛЬНО:''' | ||
<hr> | |||
* [[Удаление недоступного домен-контроллера с помощью ntdsutil]] | |||
<br> | |||
'''ИСТОЧНИКИ:''' | |||
<hr> | <hr> | ||
* [https://habr.com/en/post/145221/ Принудительный захват ролей умершего мастера операций] | * [https://habr.com/en/post/145221/ Принудительный захват ролей умершего мастера операций] | ||
Строка 81: | Строка 85: | ||
X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента] | X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента] | ||
* [https://winitpro.ru/index.php/2019/12/17/rdp-tls-ssl-sertfikat-v-windows/ Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений] | * [https://winitpro.ru/index.php/2019/12/17/rdp-tls-ssl-sertfikat-v-windows/ Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений] | ||
Текущая версия от 01:03, 24 февраля 2024
Не секрет, что в AD есть операции которые возлагаются лишь на один домен-контроллер в лесу, именуемый мастером операции. Например в AD только один контроллер назначается первичным хранителем схемы каталога.
В случае умирания такого сервера по любой из технических или нетехнических причин, возникает ситуация, когда второй DC в связке не позволяет вам полноценно управлять доменом. В таких случаях поможет следующий рецепт, который позволит перенести существующие роли мастера операций на уцелевший контроллер. Рецепт довольно известный, тем не менее, я посчитал полезным выложить подробную инструкцию на хабр, так как у меня первой реакцией была паника.
Рассматривается конфигурация домена с двумя контроллерами. Одному из них назначены роли мастера операций и глобального каталога и в нашем сценарии он умирает. Для переназначения всех ролей, администратор должен быть членом группы Enterprise Admins. Процедура состоит из двух этапов: захват ролей и назначение глобального каталога.
Желающие почерпнуть теорию по мастерам операций читают этот содержательный пост, ну а мы приступаем.
- Захват ролей
Нажмите кнопку Start, выберите пункт Run, введите ntdsutil, и нажмите ENTER.
1. Подключение
1.1. В приглашении ntdsutil: введите roles и нажмите ENTER.
1.2. В приглашении fsmo maintenance: введите connections и нажмите ENTER.
1.3. В приглашении server connections: введите connect to server имя_сервера (где имя_сервера является именем контроллера домена, который возьмет на себя роль хозяина операций), и нажмите ENTER.
1.4. После того как вы получите подтверждение соединения, введите quit и нажмите ENTER.
2. В зависимости от роли, которую вы хотите взять в приглашении fsmo maintenance: введите соответствующую команду из таблицы ниже и нажмите ENTER.
3. Введите quit и нажмите ENTER. Повторите опять, чтобы выйти из ntdsutil.
- Система запрашивает подтверждение. Затем она пытается передать указанные роли. Во время этого может быть выведено несколько сообщений об ошибках, но захват продолжится. После завершени будет выведен список ролей и LDAP-ноды ответственных серверов. Во время захвата RID мастера, текущий мастер должен попытаться синхронизироваться с партнером по репликации, но партнер мертв, поэтому будет выведено предупреждение и нужно будет подтвердить операцию.
РОЛЬ | ПРИВИЛЕГИИ | КОМАНДА |
---|---|---|
Domain naming master | Enterprise Admins | seize domain naming master |
Schema master | Enterprise Admins | seize schema master |
Infrastructure master | Domain Admins | seize infrastructure master |
PDC emulator | Domain Admins | seize pdc |
RID master | Domain Admins | seize rid master |
- Надеюсь, статья спасет кому нибуть добрую тонну нервов.
UPD:
В Win2k8R2 команды немного другие:
fsmo maintenance:?
? — Вывод этой справочной информации Connections — Подключение к определенному DC/LDS-экземпляру AD Help — Вывод этой справочной информации Quit — Возврат к предыдущему меню Seize infrastructure master — Перезаписать роль инфраструктуры на подключенном сервере Seize naming master — Перезаписать роль хозяина именования на подключенном сервере Seize PDC — Перезаписать роль PDC на подключенном сервере Seize RID master — Перезаписать роль RID на подключенном сервере Seize schema master — Перезаписать роль схемы на подключенном сервере Select operation target — Выбор сайтов, серверов, доменов, ролей, контекстов именования Transfer infrastructure master — Сделать подключенный сервер хозяином инфраструктуры Transfer naming master — Сделать подключенный сервер хозяином именования Transfer PDC — Сделать подключенный сервер PDC Transfer RID master — Сделать подключенный сервер хозяином RID Transfer schema master — Сделать подключенный сервер хозяином схемы
ДОПОЛНИТЕЛЬНО:
ИСТОЧНИКИ:
- Принудительный захват ролей умершего мастера операций
- Как передать fsmo роли другому контроллеру домена Active Directory
- Передача и захват ролей FSMO
- Как правильно перезапускать Active Directory Domain Services
- Компонент
X.224 RDP-протокола обнаружил ошибку в потоке протокола и отключил этого клиента]