Передача и захват ролей FSMO
Если в рамках леса доменов имеется несколько контроллеров домена, обязанности исполнения специализированной роли могут быть перенесены с одного контроллера домена на другой. Процедура передачи роли требует, чтобы в оперативном режиме находились контроллеры домена, выступающие в качестве текущего и будущего исполнителя. В этом случае передача роли может быть осуществлена при помощи стандартных оснасток (таких, например, как Active Directory Users and Computers).
В случае, если необходимо передать роль другому контроллеру домена при недоступном текущем исполнителе, следует прибегнуть к захвату роли. Захват роли осуществляется при помощи утилиты NtdsUtil.exe.
Передача роли владельца операций RID, PDC и Infrastructure
Процедура передачи ролей, требующих уникальности исполнителя в пределах домена, происходит следующим образом. Подключите оснастку Active Directory Users and Computers к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду Operations Masters (Владелец операций). В открывшемся окне необходимо перейти на требуемую вкладку: RID, PDC или Infrastructure. Чтобы изменить исполнителя роли, щелкните по кнопке Change (Изменить).
Если в домене установлено несколько контроллеров домена, необходимо следить за тем, чтобы роль владельца инфраструктуры не возлагалась на контроллер домена, являющийся сервером глобального каталога. В противном случае в журнале Directory Service на контроллере домена, выбранном в качестве нового владельца роли, появится предупреждение.
Передача роли владельца доменных имен
Передача роли владельца доменных имен осуществляется при помощи оснастки Active Directory Domains and Trusts. Подключите оснастку к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду Operations Masters (Владелец операций). Чтобы изменить исполнителя роли в открывшемся окне, щелкните по кнопке Change (Изменить). Помните о том, что только один контроллер в лесу доменов может исполнять роль владельца доменных имен. При этом данный контроллер домена должен также выполнять функции сервера глобального каталога.
Передача роли владельца схемы
Передача роли владельца схемы осуществляется при помощи оснастки Active Directory Schema. Подключите оснастку к контроллеру домена, который выбран в качестве нового исполнителя роли. В контекстном меню корневого объекта пространства имен утилиты выберите команду Operations Masters (Владелец операций). Чтобы изменить владельца роли в открывшемся окне, щелкните по кнопке Change (Изменить). Помните о том, что только один контроллер в лесу доменов может быть владельцем схемы.
Владелец схемы каталога определяет контроллер домена, который отвечает за осуществление операции расширения схемы. По умолчанию право работать со схемой имеют только члены группы Schema Admins (Администраторы схемы).
Захват ролей
К операции захвата роли (seize role) прибегают в том случае, когда текущий исполнитель роли становится по той или иной причине недоступным, в результате чего выполнение специализированных операций станет невозможным. Операция захвата роли выполняется при помощи утилиты командной строки NtdsUtil.exe.
Ниже приводится пример использования утилиты NtdsUtil для захвата всех специализированных ролей контроллером домена store.khsu.ru:
C:\ntdsutil ntdsutil: roles fsmo maintenance: connection server connections: connect to server store.khsu.ru Binding to store.khsu.ru… Connected to store.khsu.ru using credentials of locally logged on user server connection: quit fsmo maintenance seize schema master fsmo maintenance seize domain naming master fsmo maintenance seize PDC fsmo maintenance seize RID master fsmo maintenance seize infrastructure master fsmo maintenance quit ntdsutil: quit Disconnecting from store.khsu.ru…
Применительно к ролям владельца схемы, владельца доменных имен и владельца идентификаторов запрещается возвращение в сеть прежнего исполнителя роли после выполнения ее захвата. Об этом необходимо помнить, выполняя захват указанных ролей.