- Remove From My Forums
ntdsutil — Seize domain naming master — Invalid syntax?!?
-
Вопрос
-
I am running NTDSUtil on my Win2008 R2 DC. I connected to the server that I want to transfer the domain naming master to. When I run «seize domain naming master» it gives the error: «Error parsing Input — Invalid Syntax»
All of the other seize commands work fine.
A little history…I lost 2 of the DCs and I have 2 left. I manually deleted the old DCs from the domain, but I’m not sure if this is the issue or not?
Ответы
-
-
Помечено в качестве ответа
29 апреля 2010 г. 11:06
-
Помечено в качестве ответа
Определившись с назначением ролей FSMO рассмотрим варианты передачи ролей другому контроллеру домена, а также принудительное назначение, или «захват» роли в случае недоступности контроллера домена, который ее выполняет.
При создании домена, по умолчанию все роли назначаются первому контроллеру домена в лесу. Переназначение ролей требуется крайне редко. Microsoft рекомендует использовать передачу ролей FSMO в следующих случаях:
• Плановое понижение роли контроллера домена, являющегося обладателем ролей FSMO, например с целью вывода сервера из эксплуатации;
• Временное отключение контроллера домена, например для выполнения профилактических работ. В этом случае его роли должны быть назначены другому, работающему контроллеру домена. Это особенно необходимо при отключении эмулятора PDC. Временное отключение остальных хозяев операций в меньшей степени сказывается на работе AD.
Захват ролей FSMO производится в следующих случаях:
• Если в работе текущего обладателя роли FSMO возникли сбои, препятствующие успешному выполнению функций, присущих данной роли, и не дающие выполнить передачу роли;
• На контролере домена, являвшемся обладателем роли FSMO, переустановлена или не загружается операционная система;
• Роль контроллера домена, являвшегося обладателем роли FSMO, была принудительно понижена с помощью команды dcpromo /forceremoval.
Примечание. Начиная с Windows Server 2003 SP1 при выполнении команды dcpromo /forceremoval осуществляется проверка, имеет ли контроллер домена роль хозяина операций, является DNS-сервером или сервером глобального каталога. Для каждой из этих ролей будет получено уведомление с указаниями по выполнению соответствующих действий.
В том случае, если в домене два или более контроллеров, первым делом нам необходимо выяснить, кто является обладателем каждой из ролей FSMO. Это достаточно просто сделать с помощью команды netdom query fsmo
Ну а теперь приступим к передаче ролей. Есть несколько вариантов действий, рассмотрим их все по порядку. Вариант первый, самый простой и доступный.
Добровольная передача ролей FSMO с помощью оснасток управления Active Directory
Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) используем оснастку Active Directory Пользователи и компьютеры (Users and Computers). Для этого заходим на контроллер домена, которому хотим передать роли, запускаем оснастку и щелкнув правой клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».
В открывшемся окне выбираем нужную нам роль (в нашем примере RID Master) и нажимаем кнопку «Изменить».
Далее подтверждаем перенос роли
И смотрим на результат. Дело сделано, роль передана другому серверу.
Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и доверие (Domains and Trust). Запускаем оснастку, при необходимости подключаемся к нужному контроллеру домена, щелкаем правой клавишей мыши в корне оснастки и выбираем пункт меню «Хозяин операций».
Открывается знакомое окно, в котором надо нажать кнопку «Изменить», а затем подтвердить изменения так же, как и в предыдущем примере.
С ролью Schema Master дела обстоят несколько сложнее. Для передачи этой роли необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory. Делается это с помощью команды regsvr32 schmmgmt.dll, введенной в окне Выполнить (Run).
Затем открываем консоль MMC и добавляем в нее оснастку Схема Active Directory .
Ну а дальше заходим в оснастку и действуем аналогично предыдущим примерам.
Если по каким то причинам не удается передать роли с помощью графических оснасток, а также для любителей командной строки есть второй вариант:
Добровольная передача ролей fsmo при помощи Ntdsutil
ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active Directory. Она представляет из себя мощный инструмент управления, и в число ее возможностей входит передача и захват ролей FSMO.
Для передачи ролей заходим на любой контролер домена, расположенный в том лесу, в котором следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Запускаем командную строку и вводим команды в такой последовательности:
- ntdsutil
- roles
- connections
- connect to server <имя сервера>
- q
После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo maintenance), и можем начать передавать роли :
- transfer domain naming master — передача роли хозяина доменных имен.
- transfer infrastructure master — передача роли хозяина инфраструктуры;
- transfer rid master — передача роли хозяина RID;
- transfer schema master — передача роли хозяина схемы;
- transfer pdc — передача роли эмулятора PDC.
Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.
Примечание. Начиная с Windows Server 2008R2 команда для передачи роли хозяина доменных имен transfer naming master.
В качестве примера передадим роль Infrastructure Master серверу SRV2 и проверим результат.
Ну и третий, самый печальный вариант развития событий:
Принудительное назначение ролей fsmo при помощи Ntdsutil
Принудительное назначение, или захват ролей производятся только в случае полного выхода из строя сервера, с невозможностью его восстановления. Если возможно, лучше восстановить работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO. Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена, которому хотим передать роли и последовательно вводим в командной строке:
- ntdsutil
- roles
- connections
- connect to server <имя сервера>
- q
Для захвата ролей FSMO используется команда seize
- seize domain naming master — захват роли хозяина доменных имен;
- seize infrastructure master — захват роли хозяина инфраструктуры;
- seize rid master — захват роли хозяина RID;
- seize schema master — захват роли хозяина схемы;
- seize pdc — захват роли эмулятора PDC.
Примечание. Начиная с Windows Server 2008R2 команда для захвата роли хозяина доменных имен seize naming master.
В качестве примера отберем у сервера SRV2 переданную ему роль Infrastructure Master и передадим ее серверу DC1. Как видно из примера, сначала предпринимается попытка передачи роли, и только в случае невозможности этого действия осуществляется захват.
И еще несколько важных моментов, которые нужно учесть при передачезахвате ролей FSMO:
• Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) ваша учетная запись должна быть членом группы Администраторы домена (Domain admins), а для передачи ролей уровня леса (Domain Naming Master и Schema Master) — Администраторы предприятия (Enterprise Admins).
• По возможности не назначайте роль Infrastructure Master контроллеру домена, являющемуся сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит частичные реплики всех объектов в лесу.
• В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем случае нельзя возвращать обратно, т.к. при его появлении в сети возникнет конфликт, что может вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active Directory. В Windows Server 2008 и 2008 R2 это можно сделать, просто удалив объект сервера в оснастке Active Directory Пользователи и компьютеры, а в Windows Server 2003 с помощью программы Ntdsutil , используя команду ntdsutil — metadata cleanup. Подробнее об этом можно почитать в техподдержке Microsoft http://support.microsoft.com/kb/216498.
Обновлено 20.01.2019
Добрый день уважаемые читатели и гости блога Pyatilistnik.org, сегодня будет очень жизненная и на сто процентов практическая статья и посвящена она будет, трабшутингу Active Directory. Не так давно я вам рассказывал, как производится правильное удаление неисправного или недоступного контроллера домена, все хорошо, но может получиться ситуация, что именно он является носителем ролей FSMO, и перед его удалением вам нужно будет произвести принудительный захват ролей мастера-операций Active Directory.
Давайте выполним в командной строке вот такую команду:
Нужные мне три нижние роли принадлежат dc10. их и будем забирать. Для этого вы должны быть, как минимум администратором домена.
Вот вам пример реальной ситуации, когда перед удалением контроллера домена, мне нужно было принудительно захватить роли мастеров операций.
Не удается передать роль хозяина операций по следующей причине: Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO.
Это я увидел в оснастке Active Directory — Пользователи и компьютеры, при попытке по правильному передать роль RID.
Если попытаться получить роль PDC эмулятора с недоступных контроллером, то он даст вам это сделать в ADUC, но вы увидите предупреждение.
Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO. Не удается связаться с текущим хозяином операций для передачи этой роли другому компьютеру. В некоторых случаях допускается принудительная передача роли. Вы хотите выполнить?
Говорим «Да»
Все роль PDC получена.
Тоже самое проделаем с мастером инфраструктуры. Выполнив опять запрос в командной строке, кто держит FSMO роли, видим, что это уже для двух нижних ролей, dc7, новый контроллер.
Теперь захватим роль RID, в этом нам поможет утилита ntdsutil. Открываем командную строку для принудительного захвата.
- Вводим ntdsutil, попадем в исполняемую среду.
- Далее пишем roles
- в fsmo maintenance: пишем connections
- в server connections: пишем connect to server имя сервера у меня это dc7
- server connections:
q
- пишем в fsmo maintenance: seize RID master
Вам напишут: Попытка безопасной передачи RID FSMO перед захватом. Ошибка ldap_modify_sW, код ошибки 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).
У вас выскочит окно с подтверждением операции, нажимаем «Да.» В итоге роль все равно передастся, это можно увидеть сразу в ADUC.
Если нужно принудительно захватить с помощью ntdsutil оставшиеся роли, то их ключи для последней команды:
- seize PDC
- seize infrastructure master
- seize domain naming master (Seize naming master )
- seize schema master
Вот так вот по правильному происходит принудительная передача ролей мастер операций в Active Directory, если есть вопросы, то пишите их в комментариях.
Go to sysadmin
r/sysadmin
r/sysadmin
A reddit dedicated to the profession of Computer System Administration.
Members
Online
•
by
shamusmcnasty
Need help transferring the Domain naming master role
I am in the middle of transferring the FSMOs to a new DC. When I type «transfer domain naming master» I get an error stating «Error parsing Input — Invalid Syntax. I should also note that I am transferring the service from a Windows 2003 DC to a Windows 2008 DC if that makes a difference. Please help!
Archived post. New comments cannot be posted and votes cannot be cast.
- Remove From My Forums
ntdsutil — Seize domain naming master — Invalid syntax?!?
-
Question
-
I am running NTDSUtil on my Win2008 R2 DC. I connected to the server that I want to transfer the domain naming master to. When I run «seize domain naming master» it gives the error: «Error parsing Input — Invalid Syntax»
All of the other seize commands work fine.
A little history…I lost 2 of the DCs and I have 2 left. I manually deleted the old DCs from the domain, but I’m not sure if this is the issue or not?
Answers
-
-
Marked as answer by
Thursday, April 29, 2010 11:06 AM
-
Marked as answer by