FSMO भूमिकाओं को किसी अन्य डोमेन नियंत्रक को स्थानांतरित/जब्त करना

इस लेख में हम इस बात पर विचार करेंगे कि सक्रिय निर्देशिका में FSMO भूमिकाओं वाले डोमेन नियंत्रकों को कैसे खोजा जाए, एक या अधिक FSMO भूमिकाओं को दूसरे (अतिरिक्त/द्वितीयक) डोमेन नियंत्रक में कैसे स्थानांतरित किया जाए और डोमेन की विफलता के मामले में FSMO भूमिकाओं को कैसे जब्त किया जाए। नियंत्रक FSMO भूमिका स्वामी।

सक्रिय निर्देशिका डोमेन में FSMO भूमिकाओं को समझना

FSMO क्या हैं (लचीला सिंगल मास्टर ऑपरेशन ) सक्रिय निर्देशिका डोमेन में भूमिकाएँ? आप किसी भी डोमेन नियंत्रक पर सक्रिय निर्देशिका (जैसे नए उपयोगकर्ता खाते और सुरक्षा समूह बनाना या किसी कंप्यूटर को किसी डोमेन से जोड़ना) में अधिकांश मानक संचालन कर सकते हैं। AD प्रतिकृति सेवा इन परिवर्तनों को AD निर्देशिका में वितरित करने के लिए जिम्मेदार है। विभिन्न विरोधों (उदाहरण के लिए, कई डोमेन नियंत्रकों पर एक उपयोगकर्ता खाते का एक साथ नामकरण) को एक सरल सिद्धांत का उपयोग करके हल किया जाता है - अंतिम सही है। हालांकि, ऐसे कई ऑपरेशन हैं जिनके दौरान एक विरोध अस्वीकार्य है (उदाहरण के लिए, एक नया चाइल्ड डोमेन/फ़ॉरेस्ट बनाते समय, एडी स्कीमा बदलना, आदि)। ऐसे ऑपरेशन करने के लिए जिन्हें विशिष्टता की आवश्यकता होती है, आपको FSMO भूमिकाओं वाले डोमेन नियंत्रकों की आवश्यकता होती है। FSMO भूमिकाओं का मुख्य कार्य ऐसे संघर्षों को रोकना है।

पांच . हो सकते हैं सक्रिय निर्देशिका डोमेन में FSMO भूमिकाएँ।

दो भूमिकाएं AD जंगल . के लिए अद्वितीय हैं :

1. द स्कीमा मास्टर सक्रिय निर्देशिका स्कीमा में परिवर्तन करने के लिए ज़िम्मेदार है (उदाहरण के लिए, adprep /forestprep का उपयोग करके AD स्कीमा का विस्तार करते समय आदेश;
2. द डोमेन नेमिंग मास्टर आपके द्वारा अपने AD फ़ॉरेस्ट में बनाए गए सभी डोमेन और एप्लिकेशन अनुभागों के लिए अद्वितीय नाम प्रदान करता है (इसे प्रबंधित करने के लिए आपको "एंटरप्राइज़ व्यवस्थापक" विशेषाधिकारों की आवश्यकता होती है)।

और तीन हैं प्रत्येक डोमेन . के लिए भूमिकाएं (उन्हें प्रबंधित करने के लिए, आपका खाता "डोमेन व्यवस्थापक" समूह का सदस्य होना चाहिए):

1. पीडीसी एम्यूलेटर आपके विंडोज़ नेटवर्क में मुख्य ब्राउज़र है ( डोमेन मास्टर ब्राउज़र का उपयोग नेटवर्क वातावरण में कंप्यूटर दिखाने के लिए किया जाता है), यह गलत पासवर्ड दर्ज करते समय उपयोगकर्ता लॉकआउट को ट्रैक करता है, यह आपके डोमेन में मुख्य एनटीपी सर्वर है, इसका उपयोग विंडोज 2000/एनटी चलाने वाले क्लाइंट के साथ संगतता प्रदान करने के लिए किया जाता है, इसका उपयोग किया जाता है नाम स्थान की जानकारी अपडेट करने के लिए DFS रूट सर्वर द्वारा;
2. द इन्फ्रास्ट्रक्चर मास्टर क्रॉस-डोमेन ऑब्जेक्ट लिंक को अपडेट करने के लिए जिम्मेदार है; और adprep /domainprep उस पर कमांड चलाया जाता है;
3. द RID Maste r — सर्वर अद्वितीय वस्तु पहचानकर्ता (SIDs) बनाने के लिए अन्य डोमेन नियंत्रकों को RID (500 टुकड़ों के पैक में) वितरित करता है।

किसी डोमेन में FSMO भूमिका स्वामियों को कैसे सूचीबद्ध करें?

आप कैसे पता लगा सकते हैं कि आपके सक्रिय निर्देशिका डोमेन में कौन से डोमेन नियंत्रक FSMO रोल होल्डर हैं?

डोमेन में सभी FSMO भूमिका स्वामियों को खोजने के लिए, कमांड चलाएँ:

netdom query fsmo

Schema master dc01.test.com
Domain naming master dc01.test.com
PDC dc01.test.com
RID pool manager dc01.test.com
Infrastructure master dc01.test.com

आप किसी अन्य डोमेन के लिए FSMO भूमिकाएँ देख सकते हैं:

netdom query fsmo /domain:woshub.com

इस उदाहरण में आप देख सकते हैं कि सभी FSMO रोल DC01 पर स्थित हैं। एक नया AD फ़ॉरेस्ट (डोमेन) परिनियोजित करते समय, सभी FSMO रोल्स को पहले DC में रखा जाता है। आरओडीसी को छोड़कर कोई भी डोमेन नियंत्रक, किसी भी एफएसएमओ भूमिका का धारक हो सकता है। तदनुसार, डोमेन व्यवस्थापक किसी भी FSMO भूमिका को किसी अन्य डोमेन नियंत्रक को स्थानांतरित कर सकता है।

आप Get-ADDomainController cmdlet का उपयोग करके PowerShell के माध्यम से अपने डोमेन में FSMO भूमिकाओं के बारे में जानकारी प्राप्त कर सकते हैं (PowerShell मॉड्यूल के लिए RSAT सक्रिय निर्देशिका स्थापित होनी चाहिए):

Get-ADDomainController -Filter * | Select-Object Name, Domain, Forest, OperationMasterRoles |Where-Object {$_.OperationMasterRoles}

या आप फ़ॉरेस्ट या डोमेन स्तर की FSMO भूमिकाएँ इस प्रकार देख सकते हैं:

Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster

यहाँ डोमेन में FSMO रोल प्लेसमेंट के लिए सामान्य Microsoft अनुशंसाएँ दी गई हैं:

• एक ही समय में वैश्विक कैटलॉग सर्वर रूट डोमेन पर फ़ॉरेस्ट स्तर की भूमिकाएँ (स्कीमा मास्टर और डोमेन नेमिंग मास्टर) रखें;
• उपयुक्त प्रदर्शन के साथ सभी तीन डोमेन FSMO भूमिकाओं को एक डोमेन नियंत्रक पर रखें;
• सभी फ़ॉरेस्ट डीसी ग्लोबल कैटलॉग सर्वर होने चाहिए क्योंकि यह AD विश्वसनीयता और प्रदर्शन में सुधार करता है। फिर इंफ्रास्ट्रक्चर मास्टर की भूमिका वास्तव में आवश्यक नहीं है। यदि आपके पास ग्लोबल कैटलॉग भूमिका के बिना DC है, तो उस पर Infrastructure Master भूमिका रखें।
• एफएसएमओ भूमिकाओं के मालिक डीसी पर कोई अन्य कार्य न करें।

आप कई विधियों का उपयोग करके सक्रिय निर्देशिका में FSMO भूमिकाओं को स्थानांतरित कर सकते हैं:AD MMC ग्राफ़िक स्नैप-इन का उपयोग करके, ntdsutil.exe या PowerShell . FSMO भूमिकाओं को स्थानांतरित करना आपके AD बुनियादी ढांचे को अनुकूलित करते समय प्रासंगिक है, या FSMO भूमिका रखने वाले DC को भयावह हार्डवेयर/सॉफ़्टवेयर विफलता का सामना करना पड़ा है। FSMO भूमिकाओं को स्थानांतरित करने के दो तरीके हैं:स्थानांतरण (जब दोनों DC उपलब्ध हों) या जब्त करना (जब FSMO भूमिका वाला DC उपलब्ध नहीं है या टूट गया है)।

पावरशेल के साथ FSMO भूमिकाओं को कैसे स्थानांतरित करें?

किसी डोमेन में FSMO भूमिकाओं को स्थानांतरित करने का सबसे आसान और तेज़ तरीका Move-ADDirectoryServerOperationMasterRole का उपयोग करना है पावरशेल cmdlet.

आप एक समय में एक या अधिक FSMO भूमिकाएँ निर्दिष्ट DC को स्थानांतरित कर सकते हैं। निम्न आदेश दो भूमिकाओं को DC02 में ले जाएगा:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole PDCEmulator, RIDMaster

OperationMasterRole . में तर्क, आप निम्न तालिका के अनुसार या तो FSMO भूमिका या उसके सूचकांक का नाम निर्दिष्ट कर सकते हैं:

छोटे रूप में पिछला कमांड इस तरह दिखता है:

Move-ADDirectoryServerOperationMasterRole -Identity dc02 -OperationMasterRole 0,1

सभी FSMO भूमिकाओं को एक साथ अतिरिक्त डोमेन नियंत्रक को स्थानांतरित करने के लिए, यह आदेश चलाएँ:

Move-ADDirectoryServerOperationMasterRole -Identity dc03 -OperationMasterRole 0,1,2,3,4

सक्रिय निर्देशिका ग्राफ़िक स्नैप-इन का उपयोग करके FSMO भूमिकाएँ स्थानांतरित करना

FSMO भूमिकाओं को स्थानांतरित करने के लिए, आप मानक सक्रिय निर्देशिका ग्राफ़िक स्नैप-इन का उपयोग कर सकते हैं। ट्रांसफर ऑपरेशन एफएसएमओ भूमिका के साथ डीसी पर अधिमानतः किया जाता है। यदि सर्वर स्थानीय कंसोल उपलब्ध नहीं है, तो डोमेन नियंत्रक बदलें . का उपयोग करें विकल्प और एमएमसी स्नैप-इन में डोमेन नियंत्रक का चयन करें।

RID मास्टर, PDC एम्यूलेटर और इंफ्रास्ट्रक्चर मास्टर रोल कैसे ट्रांसफर करें?

डोमेन-स्तरीय भूमिकाओं (RID, PDC, Infrastructure Master) को स्थानांतरित करने के लिए, सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर (DSA.msc) कंसोल का उपयोग किया जाता है।

1. सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर (ADUC) स्नैप-इन खोलें;
2. अपने डोमेन नाम पर राइट-क्लिक करें और ऑपरेशंस मास्टर चुनें;
   
3. तीन टैब (RID, PDC, Infrastructure) वाली एक विंडो दिखाई देती है। नए FSMO स्वामी को निर्दिष्ट करके और बदलें . क्लिक करके संबंधित भूमिकाओं को स्थानांतरित करने के लिए इन टैब का उपयोग करें बटन।
   

स्कीमा मास्टर रोल कैसे ट्रांसफर करें?

फ़ॉरेस्ट-स्तरीय स्कीमा मास्टर FSMO को स्थानांतरित करने के लिए, सक्रिय निर्देशिका स्कीमा स्नैप-इन का उपयोग किया जाता है।

1. स्नैप-इन प्रारंभ करने से पहले, आपको regsvr32 schmmgmt.dll चलाकर schmmgmt.dll लाइब्रेरी को पंजीकृत करना होगा कमांड प्रॉम्प्ट में;
   
2. MMC कंसोल खोलें, MMC . लिखकर कमांड प्रॉम्प्ट में;
3. फ़ाइल चुनें -> स्नैप-इन जोड़ें/निकालें मेनू से और सक्रिय निर्देशिका स्कीमा जोड़ें कंसोल;
   
4. कंसोल रूट (सक्रिय निर्देशिका स्कीमा) पर राइट-क्लिक करें और ऑपरेशंस मास्टर चुनें;
5. उस डोमेन नियंत्रक का नाम दर्ज करें जिसमें आप स्कीमा मास्टर भूमिका को स्थानांतरित करना चाहते हैं, फिर बदलें क्लिक करें और ठीक है। यदि बटन उपलब्ध नहीं है, तो सुनिश्चित करें कि आपका खाता स्कीमा व्यवस्थापक समूह का सदस्य है।
   

डोमेन नेमिंग मास्टर FSMO कैसे ट्रांसफर करें?

1. डोमेन नेमिंग मास्टर FSMO भूमिका को स्थानांतरित करने के लिए, सक्रिय निर्देशिका डोमेन और ट्रस्ट खोलें कंसोल;
2. अपने डोमेन के नाम पर राइट-क्लिक करें और ऑपरेशंस मास्टर चुनें;
3. बदलें क्लिक करें , डोमेन नियंत्रक का नाम दर्ज करें और ठीक क्लिक करें।
   

कमांड प्रॉम्प्ट से FSMO भूमिकाओं को स्थानांतरित करने के लिए Ntdsutil.exe का उपयोग करना

1. अपने डोमेन नियंत्रक पर कमांड प्रॉम्प्ट चलाएँ और चलाएँ:ntdsutil
2. यह आदेश दर्ज करें:roles
3. फिर:connections
4. तब आपको उस DC से कनेक्ट होना होगा जिसे आप FSMO भूमिकाओं को स्थानांतरित करना चाहते हैं। ऐसा करने के लिए, दर्ज करें:connect to server <servername>
5. टाइप करें q और एंटर दबाएं;
6. किसी FSMO भूमिका को स्थानांतरित करने के लिए, इस आदेश का उपयोग करें:transfer <role> , जहां वह भूमिका है जिसे आप स्थानांतरित करना चाहते हैं। उदाहरण के लिए:transfer schema master , transfer RID , आदि;
   
7. FSMO भूमिका हस्तांतरण की पुष्टि करें;
   
8. जब यह हो जाए, तो q दबाएं और फिर ntdsutil.exe छोड़ने के लिए एंटर करें;
9. डोमेन नियंत्रक को पुनरारंभ करें।

AD FSMO भूमिकाएं जब्त करना

यदि FSMO भूमिकाओं में से एक वाला DC टूट गया है (और पुनर्प्राप्त नहीं किया जा सकता) या लंबे समय से अनुपलब्ध है, तो आप इसकी किसी भी भूमिका को ज़ब्त कर सकते हैं। हालाँकि, यह सुनिश्चित करना बहुत महत्वपूर्ण है कि जिस सर्वर से आप भूमिका को जब्त करते हैं वह नेटवर्क में कभी भी प्रकट नहीं होना चाहिए यदि आप AD के साथ कोई नई समस्या नहीं चाहते हैं (भले ही आप बाद में DC को बैकअप से पुनर्स्थापित करें)। यदि आप टूटे हुए DC को डोमेन में वापस करना चाहते हैं, तो इसका एकमात्र सही तरीका यह है कि इसे AD से कंप्यूटर खाते को हटा दें, एक नए होस्टनाम के साथ एक स्वच्छ विंडोज इंस्टाल करें, ADDS भूमिका स्थापित करें और सर्वर को डोमेन नियंत्रक को बढ़ावा दें।

आप PowerShell या NTDSUtil का उपयोग करके FSMO भूमिकाओं को जब्त कर सकते हैं।

FSMO भूमिका को जब्त करने का सबसे आसान तरीका PowerShell के माध्यम से है। ऐसा करने के लिए, वही Move-ADDirectoryServerOperationMasterRole cmdlet का उपयोग किया जाता है, लेकिन –बल इसमें पैरामीटर जोड़ा जाता है।

उदाहरण के लिए, PDCEmulator भूमिका को जब्त करने के लिए और इसे DC02 में स्थानांतरित करने के लिए, कमांड चलाएँ:

Move-ADDirectoryServerOperationMasterRole -Identity DC2 -OperationMasterRole PDCEmulator –Force

आप ntdsutil.exe का उपयोग करके अपने DC02 सर्वर पर FSMO भूमिकाएँ भी जब्त कर सकते हैं। भूमिका जब्ती आम हस्तांतरण के समान है। निम्न आदेशों का प्रयोग करें:

ntdsutil
roles
connections
connect to server DC02 (जिस सर्वर पर आप भूमिका स्थानांतरित करते हैं)
quit

विभिन्न FSMO भूमिकाओं को जब्त करने के लिए, इन आदेशों का उपयोग करें:

seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit