Принудительный захват ролей FSMO
 |
Соглашусь, что тема известная, избитая и в интернете много информации на сей счёт. Пишу скорее шпаргалку для себя, дабы не искать где-то ещё… Так получилось, что одна компания внезапно продала свой филиал, находящийся в другом городе. «Отрезанный» сегмент сети оказался в изоляции, её домен-контроллер без некоторых ролей. А надо как-то «жить дальше»… |
Единственный оставшийся домен-контроллер (бывший когда-то вторичным) работает под управлением Windows Server 2003 R2. Уровень работы домена такой же.
Всего существует 5 ролей FSMO (Flexible single-master operations — «операции с одним исполнителем»):
- хозяин схемы (schema master);
- хозяин именования доменов (domain naming master);
- PDC (primary domain controller);
- диспетчер пула RID (relative ID master);
- хозяин инфраструктуры (infrastructure master).
Подробнее можно почитать тут.
Для нормального функционирования домена оставшийся единственным домен-контроллер должен обладать всеми этими ролями. Но в нашем случае передать эти роли от других домен-контроллеров бывшей уже сети не представляется возможным из-за их недоступности. Остаётся только принудительно захватить все эти роли. Делается это следующим образом…
Исходные данные:
- srv-krasnodar – оставшийся единственным домен-контроллер;
- srv-moscow – вышестоящий недоступный домен-контроллер;
- Moskva – сайт (сегмент сети) головной компании;
- Krasnodar – сайт оставшегося сегмента сети;
- domain.ru – наименование домена,
- все команды выполняются от имени администратора домена.
C:\>ntdsutilntdsutil:rolesfsmo maintenance:connectionsserver connections:connect to server srv-krasnodarПривязка к srv-krasnodar ... Подключен к srv-krasnodar с помощью учетных данных локального пользователя. server connections:q
Пытаемся получить роль PDC:
fsmo maintenance: seize PDC
Попытка безопасной передачи PDC FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321051A, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может быть ошибка подключения, LDAP или передачи роли.
Не удалось передать PDC FSMO, выполняется захват...
При этом в появившемся окне подтверждаем выполнение желаемого действия:
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем роль RID:
fsmo maintenance: seize RID master
Попытка безопасной передачи RID FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-0321092B, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может бытьошибка подключения, LDAP или передачи роли.
Не удалось передать RID FSMO, выполняется захват...
Поиск наивысшего пула RID в домене Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем роль хозяина именования доменов:
fsmo maintenance: seize domain naming master
Попытка безопасной передачи domain naming FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может бытьошибка подключения, LDAP или передачи роли.
Не удалось передать domain naming FSMO, выполняется захват...
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем роль хозяина инфраструктуры:
fsmo maintenance: seize infrastructure master
Попытка безопасной передачи infrastructure FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может быть ошибка подключения, LDAP или передачи роли.
Не удалось передать infrastructure FSMO, выполняется захват...
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-MOSCOW,CN=Servers,CN=Moskva,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru
Получаем последнюю известную роль хозяина схемы:
fsmo maintenance: seize schema master
Попытка безопасной передачи schema FSMO перед захватом.
Ошибка ldap_modify_sW, код ошибки 0x34(52 (Нет данных).
Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210333, problem 5002 (UNAVAILABLE), data 1722
Возвращенная ошибка Win32 0x20af(Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.)
)
В зависимости от кода ошибки это может быть ошибка подключения, LDAP или передачи роли.
Не удалось передать schema FSMO, выполняется захват...
Серверу "srv-krasnodar" известно о 5 ролях Схема - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Домен - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru PDC - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru RID - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru Инфраструктура - CN=NTDS Settings,CN=SRV-KRASNODAR,CN=Servers,CN=Krasnodar,CN=Sites,CN=Configuration,DC=domain,DC=ru fsmo maintenance:qntdsutil:qОтключение от srv-krasnodar...
Таким образом оставшийся «в изоляции» домен-контроллер srv-krasnodar стал единственным полноправным хозяином данного сегмента сети.
Ошибка:
seize domain naming master
Правильно будет:
seize naming master