В данной статье предлагаю поговорить о методиках передачи ролей FSMO между доменными контроллерами в среде Active Directory. Кратко попытаюсь напомнить что же такое роли FSMO (Flexible Single Master Operation, дословный перевод операции с одним исполнителем) в домене Active Directory. Не секрет, что в Active Directory большинство типовых операций (таких как заведение учеток, групп) можно выполнять на любом контроллере домена. За распространение данных изменений по всему каталогу отвечает служба репликации AD, а всевозможные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу – кто последний тот и прав. Однако существует ряд операций, при выполнении которых недопустимо наличие конфликта (например, создание нового дочернего домена/леса и т.д). Именно поэтому и существуют контроллеры домена с ролями FSMO, основная задача которых – недопустить конфликты такого рода. Роли FSMO можно в любой момент передать другому контроллеру домена.
В Windows Server 2008 существует пять ролей FSMO:

1. Хозяин схемы (Schema master) – один сервер с этой ролью на весь лес. Роль нужна для расширения схемы леса Active Directory, обычно эта операция выполняется командой adprep /forestprep
2. Хозяин именования домена (Domain naming master) – один на весь лес. Сервер с данной ролью должен обеспечить уникальность имен для всех создаваемых доменов и разделов приложений в лесу AD.
3. Эмулятор PDC (PDC emulator) – один сервер на каждый домен. Выполняет несколько функций: является основным обозревателем в сети Windows, отслеживает блокировки пользователей при неправильно введенном пароле, является главным NTP сервером в домене, предназначен для поддержки клиентов с ОС предшествующим Windows 2000.
4. Хозяин инфраструктуры (Infrastructure Master) – один сервер на каждый домен. Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Отвечает за обновление идентификаторов защиты (GUID, SID)и различающихся имен объектов в междоменных объектных ссылках.
5. Хозяин RID (RID Master) - один сервер на каждый домен. Сервер раздает другим контроллерам домена идентификаторы RID (по 500 штук) для создания уникальных SID.

• Для управления ролью Schema master необходимо быть в группе «Schema admins».
• Для управления ролью Domain naming master необходимо состоять в группе «Enterprise admins».
• Для управления ролями PDC emulator, Infrastructure Master и RID Master необходимо иметь права администратора домена «Domain Admins»

Необходимость переноса FSMO ролей между контроллерами домена обычно возникает при вывода из эксплуатации сервера, на котором установлен контроллера домена с ролью FSMO, или по неким другим причинам. Процесс переноса роли выполняется вручную.
Передать FSMO роль можно из командной строки с помощью утилиты ntdsutil.exe или же из графического интерфейса MMC оснасток. Нас интересуют следующие оснасти Active Directory (как установить оснастки Active Directory в Windows 7)

• Active Directory Schema (для переноса роли Schema master)
• Active Directory Domains and Trusts (для переноса роли Domain Naming)
• Active Directory Users and Computers (для переноса роли RID, PDC, Infrastructure)

Примечание: Все работы необходимо выполнять на контроллере с ролью, которую планируется перенести. Если же консоль сервера не доступна, то необходимо выполнить команду Connect to Domain Controller и выбрать контроллер домена в оснастке mmc.

Передача роли Schema Master

1. Зарегистрируйте библиотеку schmmgmt.dll , выполнив в командной строке команду:

regsvr32 schmmgmt.dll.

2. Откройте консоль MMC, набрав MMC в командной строке.
3. В меню выберите пункт Add/Remove snap-in и добавьте консоль Active Directory Schema.
4. Правой кнопкой щелкните по корню консоли (Active Directory Schema) и выберите пункт Operations Master.
5. Нажмите кнопку Change, введите имя контроллера, которому передается роль хозяина схемы и нажмите OK.

Передача роли Domain naming master

1. Откройте консоль управления доменами и доверием Active Directory Domains and Trusts.
2. Правой кнопкой щелкните по имени вашего домена и выберите опцию Operations Master.
3. Нажмите кнопку Change, укажите имяконтроллера и OK.

Передача ролей RID Master, PDC Emulator и Infrastructure Master

1. Откройте консоль the Active Directory Users and Computers.
2. Правой кнопкой мыши щелкните по имени вашего домена и выберите пункт Operations Master.
3. Перед вами появится окно с тремя вкладками (RID, PDC, Infrastructure), на каждой из которых можно передать соответствующую роль, нажав кнопку Change.

Передача ролей FSMO из командной строки с помощью утилиты ntdsutil

Внимание: Использовать утилиту ntdsutil необходимо с осторожностью, четко понимая что вы делаете, иначе можно просто уложить ваш домен Active Directory!
1. На контроллере домена откройте командную строку и введите команду

ntdsutil

2. Наберите команду

roles

3. Затем

connections

4. Затем нужно подключиться к серверу, на который вы хотите передать роль, для этого наберите:

connect to <servername>

, где <servername> имя контроллера домена, на который вы хотите перенести роль FSMO.

5. Введите q и нажмите Enter.

6. Команда:

transfer role

, где <role> это роль которую вы хотите передать. Например: transfer schema master, transfer RID и т.д.

7. После переноса ролей нажмите q и Enter, чтобы завершить работу с ntdsutil.exe.
8. Перезагрузите сервер.

Источник http://winitpro.ru/index.php/2012/03/06/peredacha-rolej-fsmo/