Просмотр ролей: http://support.microsoft.com/kb/234790/ru
Захват ролей
http://support.microsoft.com/?scid=kb%3Bru%3B255504&x=12&y=9
Получение ролей FSMO
можно воспользоваться командой
netdom query FSMO
или
Для получения ролей FSMO с помощью средства Ntdsutil выполните следующие действия.
1. Войдите в систему на рядовом сервере или контроллере домена под управлением Windows 2000 Server или Windows Server 2003, расположенном в том лесу, в котором следует выполнить получение ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Для получения роли хозяина схемы или хозяина именования домена необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы предприятия». Для получения роли эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы домена».
2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку ОК.
3. Введите строку roles и нажмите клавишу ВВОД.
4. Введите строку connections и нажмите клавишу ВВОД.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
6. В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
7. Введите команду seize роль, где роль — роль, которую требуется получить.
Чтобы определить роли, которые могут быть получены, ознакомьтесь со списком ролей в начале данной статьи или введите команду ? после появления запроса fsmo maintenance и нажмите клавишу ВВОД.
Например, для получения роли хозяина RID введите команду seize rid master. Единственным исключением является получение роли эмулятора PDC — для получения данной роли необходимо использовать команду seize pdc (а не seize pdc emulator).
8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.
Примечания
* В обычной ситуации все пять ролей должны быть назначены действующим контроллерам домена в лесу. Если контроллер домена, которому назначены роли FSMO, отключается до передачи ролей, необходимо выполнить получение этих ролей и назначить их работающим контроллерам домена. Корпорация Майкрософт рекомендует выполнять получение ролей только в тех случаях, когда исходный обладатель ролей больше не будет работать в домене. Если возможно, восстановите работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO. Выберите контроллер домена для каждой роли таким образом, чтобы все роли оказались на одном сервере. Для получения дополнительных сведений о размещении ролей FSMO щелкните следующий номер статьи базы знаний Майкрософт:
223346 (http://support.microsoft.com/kb/223346/ ) Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000
* Если контроллер домена, ранее исполнявший какую-либо роль FSMO, отсутствует в домене, а его роли были получены в соответствии с приведенными в этой статье указаниями, удалите данный контроллер из Active Directory. Для этого выполните процедуру, описанную в следующей статье базы знаний Майкрософт:
216498 (http://support.microsoft.com/kb/216498/ ) Удаление данных из Active Directory после неудачного понижения роли контроллера домена
* При удалении метаданных контроллера домена с помощью команды ntdsutil /metadata cleanup (версия для Windows 2000 или для Windows Server 2003, сборка 3790) роли FSMO, назначенные работающим контроллерам доменов, не передаются другим контроллерам домена. Версия средства Ntdsutil, входящая в состав Windows Server 2003 с пакетом обновления 1 (SP1), автоматизирует выполнение этой задачи и удаляет дополнительные элементы метаданных контроллера домена.
* Некоторые администраторы предпочитают не восстанавливать состояние системы на контроллерах домена, являющихся обладателями ролей FSMO, если соответствующая роль была передана после архивирования состояния системы.
* Не назначайте роль хозяина инфраструктуры контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае хозяин инфраструктуры не будет обновлять сведения об объектах, так как он не содержит ссылки на объекты, которые не хранит. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
Чтобы проверить, является ли контроллер домена сервером глобального каталога, выполните следующие действия.
1. Нажмите кнопку Пуск и выберите последовательно пункты Программы, Администрирование и Active Directory - сайты и службы.
2. Дважды щелкните узел Сайты в левой панели и найдите соответствующий сайт или, если другие сайты отсутствуют, выберите вариант Default-first-site-name.
3. Откройте папку «Серверы» и выделите требуемый контроллер домена.
4. В папке контроллера домена дважды щелкните элемент Параметры NTDS.
5. В меню Действие выберите команду Свойства.
6. Перейдите на вкладку Общие и проверьте, установлен ли флажок Глобальный каталог.
вторник, 20 октября 2009 г.
Удаление данных из Active Directory после неудачного понижения роли контроллера домена или когда контроллер домена больше недоступен
http://support.microsoft.com/kb/216498
Первый метод: только для Windows Server 2003 с пакетом обновлений 1 (SP1)
1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
Error 2094. The DSA Object cannot be deleted0x2094
6. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7. Введите команду select operation target и нажмите клавишу ВВОД.
8. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO.
Ошибка 8419 (0x20E3)
Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера.
17. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
18. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.
Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен.
Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
19. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:
1. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку OК.
2. Разверните контейнер Domain NC.
3. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.
4. Разверните узел CN=System.
5. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
20. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:
1. Запустите оснастку "Active Directory – сайты и службы".
2. Разверните элемент Узлы.
3. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.
4. Разверните элемент Сервер.
5. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.
Первый метод: только для Windows Server 2003 с пакетом обновлений 1 (SP1)
1. Нажмите кнопку Пуск и последовательно выберите пункты Программы, Стандартные и Командная строка.
2. В командной строке введите ntdsutil и нажмите клавишу ВВОД.
3. Введите metadata cleanup и нажмите клавишу ВВОД. Для фактического выполнения удаления необходимо указать дополнительные параметры.
4. Введите команду connections и нажмите клавишу ВВОД. Это меню предназначено для подключения к серверу, на котором происходят изменения. Если текущий пользователь не обладает правами администратора, перед подключением следует указать другую учетную запись. Для этого введите команду set creds имя_доменаимя_пользователяПароль и нажмите клавишу ВВОД. В случае использования пустого пароля введите null.
5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Появится сообщение о подключении к серверу. При возникновении ошибки убедитесь, что доступен контроллер домена, который используется для подключения, а текущая учетная запись обладает правами администратора на сервере.
Примечание. Если выполняется подключение к удаляемому серверу, то при попытке его удаления (действие 15) может появиться следующее сообщение об ошибке:
Error 2094. The DSA Object cannot be deleted0x2094
6. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
7. Введите команду select operation target и нажмите клавишу ВВОД.
8. Введите команду list domains и нажмите клавишу ВВОД. Появится список доменов леса с номерами.
9. Введите команду select domain номер и нажмите клавишу ВВОД, где номер – номер домена, которому принадлежит удаляемый сервер. Выбранный домен используется для проверки того, является ли удаляемый сервер последним контроллером в этом домене.
10. Введите команду list sites и нажмите клавишу ВВОД. Появится список узлов с номерами.
11. Введите команду select site номер и нажмите клавишу ВВОД, где номер – номер узла, которому принадлежит удаляемый сервер. Появится подтверждение выбранного домена и узла.
12. Введите команду list servers in site и нажмите клавишу ВВОД. Появится список серверов узла с номерами.
13. Введите команду select server номер, где номер – номер удаляемого сервера. Появится подтверждение, которое содержит имя выбранного сервера, его DNS-имя и местонахождение учетной записи.
14. Введите команду quit и нажмите клавишу ВВОД. Появится меню Metadata Cleanup.
15. Введите команду remove selected server и нажмите клавишу ВВОД. Должно появиться сообщение об успешном удалении сервера. Появление следующего сообщения об ошибке свидетельствует о том, что объект NTDS Settings был удален из Active Directory ранее другим администратором или в результате репликации успешного удаления объекта после запуска программы DCPROMO.
Ошибка 8419 (0x20E3)
Не удается найти объект DSA
Примечание. Это сообщение об ошибке также может появиться при подключении к удаляемому контроллеру домена. Программа Ntdsutil не должна подключаться к контроллеру домена, который будет удаляться при очистке метаданных.
16. Введите в каждом меню команду quit и нажмите клавишу ВВОД, чтобы завершить работу с программой Ntdsutil. Появится сообщение об отключении от сервера.
17. Удалите запись типа cname в зоне _msdcs.корневой_домен_леса на сервере DNS. Предположим, контроллер домена будет установлен повторно и его роль будет повышена. В этом случае создается новый объект NTDS Settings с новым идентификатором GUID и новой записью типа cname в DNS. Если не удалить старую запись типа cname, то она может быть использована существующими контроллерами домена.
Кроме того, рекомендуется удалять имя компьютера и другие связанные с ним записи DNS. По истечении срока аренды адреса DHCP, выделенного данному серверу, другой компьютер может получить этот IP-адрес.
18. С помощью консоли управления DNS удалите в DNS запись A. Запись А также называют записью узла. Для удаления записи типа А щелкните ее правой кнопкой мыши и выберите команду Удалить. Удалите также запись типа cname в контейнере _msdcs. Для этого разверните контейнер _msdcs, правой кнопкой мыши щелкните запись cname и выберите команду Удалить.
Внимание! Если удаляется сервер DNS, необходимо удалить ссылку на данный контроллер домена на вкладке Серверы имен. Для этого в консоли DNS выберите имя домена в списке Зоны прямого просмотра и удалите сервер на вкладке Серверы имен.
Примечание. Кроме того, сервер необходимо удалить из зон обратного просмотра (если они используются).
19. Если удаленный компьютер был последним контроллером в дочернем домене, который также удаляется, следует с помощью средства ADSIEdit удалить объект trustDomain дочернего домена. Для этого выполните следующие действия:
1. Выберите в меню Пуск пункт Выполнить, введите команду adsiedit.msc и нажмите кнопку OК.
2. Разверните контейнер Domain NC.
3. Разверните DC=имя_домена, DC=COM, PRI, LOCAL, NET.
4. Разверните узел CN=System.
5. Щелкните правой кнопкой мыши объект Trust Domain и выберите команду Удалить.
20. Для удаления контроллера домена с помощью оснастки "Active Directory – cайты и службы" Для этого выполните следующие действия:
1. Запустите оснастку "Active Directory – сайты и службы".
2. Разверните элемент Узлы.
3. Разверните узел сервера. По умолчанию используется узел Default-First-Site-Name.
4. Разверните элемент Сервер.
5. Щелкните правой кнопкой мыши контроллер домена и выберите команду Удалить.
Подписаться на:
Сообщения (Atom)