Предположим, что у нас вышел из строя первичный контроллер домена (PDC) — College-DC01. Предполагается, что мы были довольно дальновидны и использовали два контроллера домена. Так как первый контроллер домена вышел из строя на неопределенное время, принимаем решение о передаче всех прав от первичного контроллера вторичному.
1. Через диспетчер серверов вызываем оснастку Active Directory Пользователи и компьютеры и выбираем из контекстного меню в окне оснастки пункт «Хозяева операции»
В открывшемся окне, в полях «Хозяин операции» во всех вкладках будет, скорее всего, либо указан контроллер College-DC01, либо вообще «Ошибка» (в моём скриншоте всё немного иначе, не обращайте внимание. Экспериментирую, не всегда успевая записать и заскриншотить всё до изменений… )) )
2. Некоторым администраторам удается успешно изменить хозяев операции через приведенное выше окно оснастки путем нажатия на кнопку «Изменить» и последующего выбора необходимого работающего контроллера домена. Но не в моём случае — у меня поле «Хозяин операции» содержало ошибку и при попытке нажать кнопку «Изменить» появлялось окно с ошибкой. Один из выходов — использование утилиты NTDSUtil.
3. Запускает утилиту со следующей последовательностью команд:
1 2 3 4 5 |
ntdsutil roles connections connect to server College-dc02 q |
4. Если бы первый контроллер домена College-DC01 работал и не «умер», то можно было бы перенести роли с него на второй контроллер домена College-DC02 командой добровольной передачи ролей — transfer, но так как забирать роли мне не у кого, ввиду выхода из строя первого контроллера домена, то мне пришлось пользоваться командой принудительного захвата ролей — seize. Далее привожу пошагово необходимые команды (при использовании команды transfer просто можно заменить слово seize на transfer, соответственно):
1 2 3 4 5 |
seize schema master — захват роли хозяина схемы; seize naming master — захват роли хозяина доменных имен; seize pdc — захват роли эмулятора PDC; seize rid master — захват роли хозяина RID; seize infrastructure master — захват роли хозяина инфраструктуры. |
5. После, можно удалить все упоминания о первичном контроллере, как написано в статье: Удаление вышедшего из строя контроллера домена из Active Directory.
6. Иногда после проделанных выше действий возникает ошибка доступа к оснастке DNS. Один из способов избавления от проблемы — устраняем ошибку доступа к оснастке DNS.
Возможно, я делал не всё верно. Буду благодарен за ваши конструктивные комментарии.
[…] вышедшего из строя контроллера домена и дальнейшей передачи ролей FSMO второму контроллеру домена может возникнуть ошибка доступа к оснастке DNS: […]