Vì có một số bạn hỏi về trường hợp ADC dead nên tôi chia sẻ nhanh luôn, không lab dài dòng như hồi nhỏ ^^!
Nói sơ về lý thuyết một chút: Trên môi trường Windows Server Active Directory domains sử dụng Single Operation Master gọi là FSMO (Flexible Single Master Operation),
Có 05 FSMO roles:
- Schema master – Forest-wide and one per forest.
- Domain naming master – Forest-wide and one per forest.
- RID master – Domain-specific and one for each domain.
- PDC – PDC Emulator is domain-specific and one for each domain.
- Infrastructure master – Domain-specific and one for each domain.
| FSMO Role | Number of DCs holding this role | Original DC holding the FSMO role |
| Schema | One per forest | The first DC in the first domain in the forest (i.e. the Forest Root Domain) |
| Domain Naming | One per forest | |
| RID | One per domain | The first DC in a domain (any domain, including the Forest Root Domain, any Tree Root Domain, or any Child Domain) |
| PDC Emulator | One per domain | |
| Infrastructure | One per domain |
C:\>netdom query fsmo
Dùng giao diện (GUI):
| FSMO Role | Which snap-in should I use? |
| Schema | Schema snap-in |
| Domain Naming | AD Domains and Trusts snap-in |
| RID | AD Users and Computers snap-in |
| PDC Emulator | |
| Infrastructure |
------------------------------------- Trường hợp thực tế 1 --------------------------
Công ty tui có 02 Window Server 2012 R2:
- Primary Domain Controller: dc01.vnsysadmin.local
- Additional domain controller: dc02.vnsysadmin.local
Một ngày đẹp trời, DC01 lăn đùng ra ngủm, chết không rõ nguyên nhân. Tất cả mọi hoạt động chứng thực Users, Join domain, Policy...đề không hoạt động.
Giải quyết:
==> cưỡng chế 05 FSMO từ DC01 qua DC02
Kiểm tra trước khi cưỡng chế:
Trên DC02
C:\>netdom query fsmo
Schema master DC01.vnsysadmin.local
Domain naming master DC01.vnsysadmin.local
PDC DC01.vnsysadmin.local
RID pool manager DC01.vnsysadmin.local
Infrastructure master DC01.vnsysadmin.local
The command completed successfully.
Thực hiện cưỡng chế:
C:\>ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connect to server dc02.vnsysadmin.local
Binding to dc02.vnsysadmin.local ...
Connected to dc02.vnsysadmin.local using credentials of locally logged on user.
server connections: quit
fsmo maintenance: seize schema master
fsmo maintenance: seize naming master ----> Nếu là Windows 2000/2003: seize domain naming master
fsmo maintenance: seize RID master
fsmo maintenance: seize PDC
fsmo maintenance: seize infrastructure master
Kiểm tra sau khi cưỡng chế:
C:\>netdom query fsmo
Schema master DC02.vnsysadmin.local
Domain naming master DC02.vnsysadmin.local
PDC DC02.vnsysadmin.local
RID pool manager DC02.vnsysadmin.local
Infrastructure master DC02.vnsysadmin.local
The command completed successfully.
Xong! 05 FSMO roles đã được DC02 cưỡng đoạt thành công!
Bước tiếp theo là xóa DC01 (đã chết) khỏi hệ thống sử dụng lệnh hoặc ntdsutil /metadata cleanup hoặc dùng GUI (xem ở trên).
------------------------------------- Trường hợp thực tế 2 --------------------------
Thiết lập thêm một ADC khác để bảo đảm an toàn cho hệ thống.
- Cài đặt một con Server 2016 đặt tên là SVR01-DC
- Join domain: SVR01-DC.lottemart.local
- Nâng cấp SVR01-Dc.vnsysadmin.local làm Additional domain controller
- Vì SVR01-DC.lottemart.local có cấu hình mạnh nên cần chuyển đổi 05 FSMO roles qua cho nó.
Các bước thực hiện thì cũng như việc cưỡng chế ở trên, nhưng ở trường hợp này là tự nguyện giao quyền chứ không có cưỡng đoạt!
Khác nhau về lệnh:
.....
server connections: connect to server svr01-dc.vnsysadmin.local
fsmo maintenance: transfer schema master
fsmo maintenance: transfer naming master
fsmo maintenance: transfer rid master
fsmo maintenance: transfer pdc
fsmo maintenance: transfer infrastructure master
..............
Kiểm tra sau khi transfer FSMO roles:
C:\>netdom query fsmo
Schema master SVR01-DC.vnsysadmin.local
Domain naming master SVR01-DC.vnsysadmin.local
PDC SVR01-DC.vnsysadmin.local
RID pool manager SVR01-DC.vnsysadmin.local
Infrastructure master SVR01-DC.vnsysadmin.local
The command completed successfully.
Cơm thêm: để tránh ảnh hưởng đến các Users đang sử dụng DNS trỏ về IP của dc01.vnsysadmin.local (đã chết) thì các bạn nên kiểm tra DNS và trỏ các record của IP đó về SVR01-DC.lottemart.local
Áp dụng trường hợp cần nâng cấp Active Directory lên các phiên bản hệ điều hành cao hơn như từ 2003/2008/2012/2016
Chúc may mắn! :)
http://blog.vnsysadmin.com/2017/06/transfer-FSMO-roles-from-dead-DC-to-another-server.html
Để bắt đầu tham gia Giao dịch tài chính:
like anh Cường
ReplyDeleteCảm ơn bài viết của Anh. Rất hữu ích ạ
ReplyDeletethank you mr cuong
ReplyDeletegood
ReplyDeleteBài viết khá hữu ích. cám ơn anh rất nhiều
ReplyDeletemình không hiêu lắm đoạn:
ReplyDeleteCài đặt một con Server 2016 đặt tên là SVR01-DC
- Join domain: SVR01-DC.lottemart.local
- Nâng cấp SVR01-Dc.vnsysadmin.local làm Additional domain controller
Rõ ràng là 2 tên miền khác nhau sao lại đồng bộ được hả bạn