- Сменить хозяина схемы windows 2016
- Как передать fsmo роли другому контроллеру домена Active Directory через оснастки
- Передача PDC, Диспетчер пула RID, Хозяин инфраструктуры.
- Передача Schema master (мастера схемы)
- Передача Хозяина именования доменов
- Schema master — Хозяин схемы Active Directory
- Schema master — Хозяин схемы Active Directory
- Теория
- Лучшие практики
Сменить хозяина схемы windows 2016
Всем привет, сегодня расскажу как передать fsmo роли другому контроллеру домена Active Directory. Что такое fsmo роли читайте тут. Так же мы уже рассматривали как определить FSMO хозяева операций. Задача следующая у нас есть домен Active Directory с контроллерами домена Windows Server 2008R2, мы с вами установили контроллер под управлением Windows Server 2012 R2. Нам нужно передать ему роли fsmo и в будущем заменить все W2008R2 на W2012R2.
Есть 3 домена dc01 и dc02 это контроллер домена windows 2008 r2 и dc3 это новый с Windows Server 2012 R2. Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:
Видим, что все 5 ролей (Хозяин схемы, Хозяин именования доменов, PDC, Диспетчер пула RID, Хозяин инфраструктуры) находятся на dc01.msk.pyatilistnik.org.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-01
Первый способ который будет рассмотрен в первой части это через оснастки.
Как передать fsmo роли другому контроллеру домена Active Directory через оснастки
Передача ролей fsmo через оснастки самый быстрый и наглядный метод.
Передача PDC, Диспетчер пула RID, Хозяин инфраструктуры.
Открываем оснастку Active Directory Пользователи и компьютеры, это можно сделать через пуск набрав dsa.msc.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-02
Видим 3 DC контроллера, у dc3 стоит windows Server 2012 R2
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-03
Щелкаем правым кликом на уровне домена и выбираем Хозяева операций
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-04
Видим, что реально PDC, Диспетчер пула RID, Хозяин инфраструктуры держит DC01
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-05
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-06
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-07
Если вы нажмете кнопку изменить, то выскочит ошибка:
Данный контроллер домена является хозяином операций. Чтобы передать роль хозяина операций другому компьютеру, необходимо сначала подключиться к нему.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-08
Из этого следует что для захвата нужно выбрать контроллер куда мы будем передавать роли, у меня это dc3.
Переходим на dc3 и открываем тоже ADUC
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-09
Выбираем хозяева операций
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-10
Видим текущий хозяин RID это dco1 и кому передаем это dc3, жмем изменить.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-11
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-12
Роль успешна передана
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-13
Видим, что теперь хозяин RID dc3.msk.pyatilistnik.org
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-14
Тоже самое проделаем с PDC мастером
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-15
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-16
и с Инфраструктурой
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-17
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-18
Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:
и видим три роли fsmo принадлежат dc3
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-19
Передача Schema master (мастера схемы)
Открываем оснастку Active Directory Схема, как ее добавить Active Directory Схема читаем тут.
правым кликом по корню и выбираем Хозяин операций
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-20
Мы подключимся к dc01. Нажимаем сменить
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-21
и получаем предупреждение: Текущий контроллер домена Active Directory является хозяином операций. Чтобы передать роль хозяина операций другому DC, нужно нацелить на этот DC схему AD,
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-22
Закрываем его. Щелкаем правым кликом опять по корню и выбираем Сменить контроллер домена Active Directory.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-23
Вылезет окно с сообщением Оснастка схемы AD не подключена к хозяину операций схемы. Выполнение изменений невозможно. Изменения схемы могут быть сделаны только в схеме владельца FSMO.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-24
Снова выбираем хозяина схемы и видим, что теперь сменить дает.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-25
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-26
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-27
Посмотрим кто хозяин ролей, делается это с помощью команды в командной строке:
и видим уже 4 роли у dc3
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-28
Передача Хозяина именования доменов
Открываем оснастку Active Directory домены и доверие
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-29
Выбираем хозяин операций
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-30
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-31
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-32
Роль успешно передана
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-33
Теперь все роли FSMO у контроллер домена windows 2012 r2.
Как передать fsmo роли другому контроллеру домена Active Directory — 1 часть-34
Вот так вот просто передать fsmo роли другому контроллеру домена Active Directory. Советую почитать Как передать fsmo роли другому контроллеру домена Active Directory — 2 часть через командную строку.
Schema master — Хозяин схемы Active Directory
FSMO-роль хозяин схемы (Schema master) является одной из двух ролей, функционирующих на уровне леса Active Directory. То есть во всем лесе AD необходимо иметь лишь одного хозяина схемы .
Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.
Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике Windows Server на моем блоге.
Schema master — Хозяин схемы Active Directory
А вы знали, что при повреждении схемы AD придется восстанавливать все КД во всем лесу? А ведь это действительно так, вот почему будьте очень аккуратны при внесении изменений в схему. А пока немного теории.
Теория
Поскольку хозяин схемы — роль уровня леса, то в каждом конкретном лесе AD она существует всегда в единственном экземпляре. Другими словами существует только один контроллер домена, который имеет право вносить изменения/обновления в схему, тем не менее реплика схемы присутствует на каждом контроллере домена и при необходимости роль может быть захвачена принудительно любым DC, но об этом позже. На практике изменения схемы происходят крайне редко, например при установке сервера Exchange или других приложений, которые хранят некоторые свои данные (например объекты конфигурации) в AD.
Все-таки что такое схема AD 1 ? Это прежде всего набор объектов и их атрибутов, которые используются для хранения данных. Мало кому это определение что-то объясняет, попробую рассказать более детально на примере. Что такое объект? Например объектами являются учетные записи пользователей или компьютеров. В данном случае в схеме AD находится класс user, который определяет все атрибуты объекта учетной записи пользователя:
Каждая учетная запись пользователя в домене будет иметь все эти атрибуты. Но значения атрибутов могут быть и не заданы. Можно проверить какие атрибуты и их значения имеет моя недавно созданная учетная запись администратора домена. Чтобы это сделать, необходимо зайти в консоль adsiedit.msc и открыть контекст именования по умолчанию. В иерархии находим объект пользователя и открываем его свойства:
Вы можете увидеть, что объект имеет все атрибуты, которые определены в классе user. Если вы сами решили убедиться в сказанном мной и информация у вас различается, то обратите внимание на кнопку Фильтр, возможно у вас показываются не все атрибуты. Например можно сделать так, чтобы отображались атрибуты только имеющие значения. Администрировать объекты через adsiedit.msc не лучшая затея, делайте это через соответствующие оснастки.
Для интереса можно посмотреть атрибуты объекта сервера Exchange 2013, ведь Exchange вносит множество новых классов в схему:
В большинстве случаев вопросы касательно мастера схемы обходят стороной и достаточно лишь знать, что эта роль отвечает за внесение изменений в схему AD. Тем не менее схема изначально создавалась таким образом, чтобы в неё мог вносить изменения кто угодно. То есть сторонние компании могут разрабатывать свои приложения таким образом, чтобы они хранили свои данные в AD. Для этого на официальных источниках есть множество объемных гайдов 2 3 4 , некоторые из них доступны и на русском 5 языке.
Лучшие практики
Схема AD имеет принципиально важное значение для работоспособности Active Directory, а потому нуждается в соответствующем администрировании, хоть и о ней в большинстве случаев просто забывают. Ниже сформулированы лучшие практики администрирования схемы.
1) Перед изменением схемы всегда делайте резервное копирование. Перед процессом изменения схемы вы можете отключать все контроллеры домена, разумеется кроме одного, который является хозяином этой роли. После этого делаете резервную копию контроллера домена, выполняете все необходимы изменения и если все прошло удачно, то просто включаете заглушенные ранее DC. Если же что-то пошло не так, просто поднимаете единственный работающий на это время контроллер из резервной копии, включаете остальные и далее исследуете проблему;
2) Рекомендуется держать роли мастера именования доменов и хозяина схемы на одном и том же контроллере домена 6 7 :
На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.
Таким образом, контроллер домена, поддерживающий роль хозяина схемы, должен также отвечать за роль мастера именования доменов и являться глобальным каталогом.
3) Если вы по каким-либо причинам лишились сервера-хозяина схемы, то на любом другом контроллере домена вы можете принудительно захватить эту роль, но помните, что после этого изначальный хозяин схемы не должен появиться в сети.
4) Без крайней на то необходимости не выполняйте изменения схемы вручную. Если это все же нужно сделать в любом случае, см. пункт 1.
