Lukáš BeranNárodní úřad pro kybernetickou a informační bezpečnost vydal varování před kybernetickými hrozbami cílenými zejména na české...
Převod a převzetí FSMO rolí
Lukáš Beran FSMO role je pět speciálních rolí na doménovém řadiči, které se starají o hladký běh v multi master systému, protože některé funkce Active Directory vyžadují nějakou centrální autoritu, na kterou se budou ostatní řadiče obracet. A právě k tomu slouží FSMO role.
Tyto role jsou instalované automaticky a obvykle není důvod je přesouvat. Pokud ovšem odstraňujete z domény řadič nebo dojde k nějaké katastrofě na doméně, bude potřeba s rolemi pracovat a přesunout je (transfer) nebo je převzít (seize).
Jak jsem již zmínil, celkově se jedná o pět rolí rozdělených do dvou kategorií.
Forest Wide Roles
Jedná se o role, které slouží pro celý forest.
Schema Master
Schema Master řídí všechny změny a aktualizace doménového schématu.
Domain Naming
Slouží pro ověření, že doména přidávaná do forestu je unikátní. Při přidávání domény tedy Domain Master ověřuje, že je doména v rámci forestu unikátní.
Domain Wide Roles
Jedná se o role, které jsou specifické pro jednotlivé domény v rámci forestu.
Relative ID Master
Slouží k alokaci relativních ID doménovým řadičům v rámci jedné domény.
PDC Emulator
PDC emulátor vystupuje jako Windows NT PDC kvůli zpětné kompatibilitě a je také zodpovědný za synchronizaci času v doméně.
Infrastructure Master
Infrastructure Master je zodpovědný za aktualizaci referencí mezi objekty mezi doménami.
Převod FSMO rolí
Abyste mohli převést FSMO role, musí být řadič držící tyto role dostupný a musíte mít také potřebná oprávnění.
| FSMO role | Potřebná oprávnění |
|---|---|
| Schema Master | Schema Admin |
| Domain Naming | Enterprise Admin |
| Relative ID Master | Domain Admin |
| PDC Emulator | |
| Infrastructure Master |
Na libovolném doménovém řadiči spusťte nástroj ntdsutil (Windows – Run – ntdsutil).
1 2 3 4 5 6 7 | ntdsutil: roles fsmo maintenance: connections server connections: connect to server jmenoServeru Binding to jmenoServeru ... Connected to jmenoServeru using credentials of locally logged on user. server connections: q fsmo maintenance: |
Místo jmenoServeru zadejte jméno serveru, na který chcete role převést.
Nyní již můžete zadat jména rolí, které chcete přenést. Pokud chcete přenést všechny, zadejte postupně
1 2 3 4 5 | Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master |
Po dokončení restartujte server.
Převzetí FSMO rolí
Pokud server s FSMO rolemi není dostupný, není možné role převést, ale je nutné všechny role převzít. Otevřete opět nástroj ntdsutil (Windows – Run – ntdsutil).
1 2 3 4 5 6 7 | ntdsutil: roles fsmo maintenance: connections server connections: connect to server jmenoServeru Binding to jmenoServeru ... Connected to jmenoServeru using credentials of locally logged on user. server connections: q fsmo maintenance: |
Místo jmenoServeru opět zadejte jméno serveru, na který chcete převzít FSMO role.
Nyní již můžete zadat jména rolí, které chcete převzít.
1 2 3 4 5 | Seize domain naming master Seize infrastructure master Seize PDC Seize RID master Seize schema master |
Při převzetí jako první dojde k pokusu o převod dané role, který ale skončí chybou, takže automaticky začne proces převzetí, který by již měl skončit úspěšně.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | fsmo maintenance: seize pdc Attempting safe transfer of PDC FSMO before seizure. ldap_modify_sW error 0x34(52 (Unavailable). Ldap extended error message is 000020AF: SvcErr: DSID-03210806, problem 5002 (UNAVAILABLE), data 1722 Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holder could not be contacted.) ) Depending on the error code this may indicate a connection, ldap, or role transfer error. Transfer of PDC FSMO failed, proceeding with seizure ... Server "dc03" knows about 5 roles Schema - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com Naming Master - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com PDC - CN=NTDS Settings,CN=DC03,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com RID - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com Infrastructure - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com fsmo maintenance: seize pdc Attempting safe transfer of PDC FSMO before seizure. FSMO transferred successfully - seizure not required. Server "dc03" knows about 5 roles Schema - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com Naming Master - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com PDC - CN=NTDS Settings,CN=DC03,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com RID - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com Infrastructure - CN=NTDS Settings,CN=DC01,CN=Servers,CN=Prague,CN=Sites,CN=Configuration,DC=intra,DC=domain,DC=com fsmo maintenance: |
Po dokončení opět restartujte server.
Mým primárním zaměřením je bezpečnost identit, zařízení a dat v cloudu pomocí služeb, technologií a nástrojů společnosti Microsoft.
Komentáře 0
Nejsou zde žádné komentáře.