Přesun FSMO rolí na doménových řadičích
Nedávno se mi ozvali z jedné společnosti s problémem, kdy po změně hesel uživatelů některé služby neakceptovaly nové heslo uživatele a zároveň poštovní server Exchange neodesílal emaily do internetu.
V první chvíli mě napadlo v jakém stavuje je synchronizace mezi řadiči a co se děje v DSN na řadičích. A opravdu problém byl se synchronizací a s tím také spojené DNS problémy. Na hlavním řadiči došlo místo na svazku, kde byla umístěna Active Directory databáze. Po zvětšení svazku a uvolnění místa se však situace nezměnila a synchronizace již znovu nebylo možné zprovoznit. V organizaci se nacházely tři doménové řadiče.
S podobnými případy havárie doménového serveru jsem se již párkrát setkal. Nikdy se mi však nepodařilo replikaci a řadič nějakým rychlým způsobem znovu oživit, tudíž jsem navrhnul řadič zcela odstavit a připravit zcela nový. Ještě že díky virtualizace to není až takový zásadní problém. Bohužel problémový řadič byl hlavním řadičem domény a tudíž bylo nutné před samotnou dekomisí přenést FSMO role.
Postup pomocí nástroje NTDSUTIL jsem sepsal viz níže. Naším cílem bude přenést FSMO role na řadič DC02.
Tučně jsem zvýraznil příkazy, které zadáme z klávesnice a kurzívou komentář.
C:\WINDOWS>ntdsutil ntdsutil:
Nyní napište roles a stiskněte <Enter>:
ntdsutil: roles
fsmo maintenance:
Nyní napište connections a stiskněte <Enter>:
fsmo maintenance: connections
server connections:
Připojíme se na server na který chceme převzít FSMO role. Napište příkaz connect to server <serverName> where <serverName> je méno řadiče, na kterého chcete přenéet role a stiskněte <Enter>:
server connections: connect to server DC02
Connected to DC02 using credentials of locally logged on user.
server connections:
Na server connections řádku napište q a zmáčkněte <Enter>:
server connections: q
fsmo maintenance:
Nyní napíšeme příkazy pro převzetí rolí viz níže.
Systém vás vyzve k potvrzení.
U každého příkazu vás bude systém informovat, že došlo chybě a nemůže kontaktovat současného držitele role a z toho důvodu provede převzetí role.
seize naming master <Enter>:
seize PDC <Enter>:
seize RID master <Enter>:
seize infrastructure master <Enter>:
seize schema master <Enter>:
Průběžně si můžete v jiném okně příkazového řádku kontrolovat stav rolí příkazem Netdom /query FSMO a nyní jsou role převzaty na DC02
Pak je třeba DC01 odstranit z domény, ručně v konzoli “User and computers” to však nepůjde, opět bude nutné nástrojem NTDSUTIL, ale to zase příště.