Здравствуйте, меня зовут Дэвид. Я главный инженер в компании Dell.
В этом видео я расскажу о передаче и захвате ролей Active Directory FSMO в PowerShell. Если вы работаете с Active Directory уже какое-то время, вы, скорее всего, знаете, как передавать и получать роли FSMO с помощью инструментов «AD GUI» или старого метода «ntdsutil».
Но PowerShell позволяет сэкономить время и усилия в некоторых ситуациях, и я надеюсь сейчас это показать. Итак, у меня открыта простая среда с двумя контроллерами домена, которые работают под управлением ОС 2019 Datacenter.
Если выполнить команду «netdom query dc», можно увидеть их названия: «DC1» и «NEWDC». Если выполнить команду «netdom query fsmo», можно увидеть, что все пять ролей в настоящее время находятся в «DC1».
Команда для передачи ролей FSMO в PowerShell довольно длинная. Вот она: «Move-ADDirectoryServerOperationMasterRole». Вот так. Как видите, здесь вам поможет заполнение команды при нажатии клавиши Tab, как это часто бывает в PowerShell.
Для выполнения команды требуется несколько параметров. Параметр «Identity» используется для назначения целевого контроллера домена. Это тот, на который нужно переместить роль, здесь мы укажем «newdc».
Затем, конечно, необходимо указать, какую роль или роли мы хотим переместить. И мы просто переключаемся по этим ролям, чтобы увидеть, как они указаны в PowerShell.
Это «DomainNamingMaster», «InfrastructureMaster», «PDCEmulator», «RIDMaster» и «SchemaMaster». Предположим, мы хотим перенести «RIDMaster» в «newdc».
Вернемся к этой роли и нажмем «Enter», появится запрос на подтверждение. Ответим «Yes» и процесс завершится практически мгновенно. Мы можем подтвердить, что все сработало, повторно выполнив «netdom query fsmo».
Теперь мы видим, что «RIDMaster» находится в «newdc». Все остальные четыре роли все еще находятся в DC1. Быстро вернемся назад. Просто измените пункт назначения и подтвердите еще раз.
Что делать, если мы хотим переместить несколько ролей? Допустим, мы хотим переместить все пять ролей в один ЦОД. Здесь PowerShell позволяет сэкономить много времени и усилий.
Вернемся и изменим место назначения на «newdc» еще раз, можно ввести все имена ролей, если нужно, или можно использовать более быстрый способ. На самом деле, для всех пяти ролей существуют цифровые обозначения.
0 обозначает PDC Emulator. 1 обозначает RID Master. 2 обозначает Infrastructure Master. 3 обозначает Schema Master. И 4 обозначает Domain Naming Master.
Если нужно перенести все пять ролей, просто введем «0,1,2,3,4» и отобразятся запросы для каждой из них. Вы можете сказать «Да» всем, если не хотите отвечать на каждый из них.
Но я покажу вам все пять запросов. Просто ответим «Yes» на каждый. Вот и все. Еще раз проверим с помощью команды «netdom query fsmo», и теперь вы видите, что все пять ролей находятся в «newdc».
Таким образом выполняется передача ролей FSMO в PowerShell. Процесс получения ролей довольно похожий. Чтобы продемонстрировать его, я выключу «newdc». Вы не сможете увидеть это, но будьте уверены, я его окончательно выключаю. Готово.
Он не просто выключен, его больше нет. Даже если выполнить «ping newdc», ответа не будет. Конечно, отсутствие ответа на ping-запрос ни о чем не говорит. Но я обещаю вам, что newdc - это просто дымящаяся дыра в земле на данный момент.
Поскольку в нем были все наши роли FSMO, нам необходимо вернуть их. Чтобы получить их в PowerShell, мы используем ту же команду, но с небольшим дополнением.
Это снова «Move-ADDirectoryServerOperationMasterRole», но мы изменим место назначения, поскольку мы будем получать роли в DC1. Чтобы указать, что мы их получаем, необходимо добавить параметр «force» в конце, и снова отобразится запрос для всех пяти ролей.
Вы можете сказать «Да» всем, но, повторюсь, я просто хотел показать вам все подсказки. Но вот чего я вам не покажу, так это сколько времени займет процесс. Если вы уже получали роли с помощью другого метода, то знаете, что для этого требуется немного больше времени, чем для передачи, поскольку сначала происходит попытка выполнить простую передачу с обращением к исходному владельцу роли.
И если этот держатель роли не отвечает, он ждет тайм-аута, прежде чем решить, что эта вещь действительно должна исчезнуть. Этот период ожидания, по-видимому, составляет около полутора минут.
Я не знаю точно, но по моему опыту именно так. Вы же не хотите сидеть здесь пять раз по полторы минуты, просто наблюдая за процессом.
Поэтому я немного перемотаю вперед. Помните, что обычно процесс получения занимает немного больше времени, чем в этом видео. Вот второй запрос для «RIDMaster». Снова примерно через полторы минуты.
Третий запрос для «InfrastructureMaster», «SchemaMaster», и, наконец, «DomainNamingMaster». Все готово. Если выполнить «netdom query fsmo», можно убедиться, что роли снова находятся на DC1.
Вот так выполняется передача и получение ролей FSMO в PowerShell. Напоминаю, меня зовут Дэвид, и благодарю за просмотр.