Определившись с назначением ролей 

FSMO рассмотрим варианты передачи ролей другому

контроллеру домена, а также принудительное назначение, или «захват» роли в случае
недоступности контроллера домена, который ее выполняет.

При создании домена, по умолчанию все роли назначаются первому контроллеру домена в
лесу. Переназначение ролей требуется крайне редко. Microsoft рекомендует использовать
передачу ролей FSMO в следующих случаях:

• Плановое понижение роли контроллера домена, являющегося обладателем ролей FSMO,

например с целью вывода сервера из эксплуатации;
• Временное отключение контроллера домена, например для выполнения профилактических
работ. В этом случае его роли должны быть назначены другому, работающему контроллеру
домена. Это особенно необходимо при отключении эмулятора PDC. Временное отключение
остальных хозяев операций в меньшей степени сказывается на работе AD.

Захват ролей FSMO производится в следующих случаях:

• Если в работе текущего обладателя роли FSMO возникли сбои, препятствующие успешному

выполнению функций, присущих данной роли, и не дающие выполнить передачу роли;
• На контролере домена, являвшемся обладателем роли FSMO, переустановлена или не
загружается операционная система;
• Роль контроллера домена, являвшегося обладателем роли FSMO, была принудительно
понижена с помощью команды dcpromo /forceremoval.

Примечание. Начиная с  Windows Server 2003 SP1 при выполнении команды dcpromo

/forceremovalосуществляется проверка, имеет ли контроллер домена роль хозяина операций,
является DNS-сервером или сервером глобального каталога.  Для каждой из этих ролей будет
получено уведомление с указаниями по выполнению соответствующих действий.

В том случае, если в домене два или более контроллеров, первым делом нам необходимо
выяснить, кто является обладателем каждой из ролей FSMO. Это достаточно просто сделать с
помощью команды netdom query fsmo

Ну а теперь приступим к передаче ролей. Есть несколько вариантов действий, рассмотрим их все
по порядку. Вариант первый, самый простой и доступный.

Добровольная передача ролей FSMO с помощью оснасток управления Active Directory

Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) используем
оснастку Active Directory Пользователи и компьютеры (Users and Computers). Для этого заходим
на контроллер домена, которому хотим передать роли, запускаем оснастку и щелкнув правой
клавишей мыши на нужном домене, выбираем пункт «Хозяева операций».
 

В открывшемся окне выбираем нужную нам роль  (в нашем примере RID Master) и нажимаем
кнопку «Изменить».

Далее подтверждаем перенос роли

 

И смотрим на результат. Дело сделано, роль передана другому серверу.

Перенос роли Domain Naming Master осуществляется из оснастки Active Directory Домены и

доверие(Domains and Trust). Запускаем оснастку, при необходимости подключаемся к нужному
контроллеру домена, щелкаем правой клавишей мыши в корне оснастки и выбираем пункт меню
«Хозяин операций».
 

Открывается знакомое окно, в котором надо нажать кнопку «Изменить», а затем подтвердить
изменения так же, как и в предыдущем примере.

С ролью Schema Master дела обстоят несколько сложнее. Для передачи этой роли необходимо

предварительно зарегистрировать в системе библиотеку управления схемой Active Directory.
Делается это с помощью команды regsvr32 schmmgmt.dll, введенной в окне Выполнить (Run).
 

Затем открываем консоль MMC и добавляем в нее оснастку Схема Active Directory .

Ну а дальше заходим в оснастку и действуем аналогично предыдущим примерам.

 

Если по каким то причинам не удается передать роли с помощью графических оснасток, а также
для любителей командной строки есть второй вариант:

Добровольная передача ролей fsmo при помощи Ntdsutil

ntdsutil.exe – утилита командной строки, предназначенная для обслуживания каталога Active

Directory. Она представляет из себя мощный инструмент управления, и в число ее возможностей
входит передача и захват ролей FSMO.

Для передачи ролей заходим на любой контролер домена, расположенный в том лесу, в котором
следует выполнить передачу ролей FSMO. Рекомендуется войти в систему на контроллере
домена, которому назначаются роли FSMO. Запускаем командную строку и вводим команды в
такой последовательности:

 ntdsutil

 roles

 connections

 connect to server <имя сервера>

 q

После успешного подключения к серверу мы получаем приглашение к управлению ролями (fsmo

maintenance), и можем начать передавать роли :

 transfer domain naming master — передача роли хозяина доменных имен.

  transfer infrastructure master — передача роли хозяина инфраструктуры;

   transfer rid master — передача роли хозяина RID;

  transfer schema master — передача роли хозяина схемы;

  transfer pdc — передача роли эмулятора PDC.

Для завершения работы Ntdsutil вводим команду q и нажимаем Ввод.

Примечание. Начиная с  Windows Server 2008R2 команда для передачи роли хозяина доменных

именtransfer naming master.

В качестве примера передадим роль Infrastructure Master серверу SRV2 и проверим результат.

Ну и третий, самый печальный вариант развития событий:

Принудительное назначение ролей fsmo при помощи Ntdsutil

Принудительное назначение, или захват ролей производятся только в случае полного выхода из
строя сервера, с невозможностью его восстановления. Если возможно, лучше восстановить
работоспособность вышедшего из строя контроллера домена, которому назначены роли FSMO.
Сама процедура захвата не особо отличается от передачи ролей. Заходим на контроллер домена,
которому хотим передать роли и последовательно вводим в командной строке:

 ntdsutil

 roles

 connections

 connect to server <имя сервера>

 q

Для захвата ролей FSMO используется команда seize

 seize domain naming master — захват роли хозяина доменных имен;

 seize infrastructure master — захват роли хозяина инфраструктуры;

  seize rid master — захват роли хозяина RID;

 seize schema master — захват роли хозяина схемы;

 seize pdc — захват роли эмулятора PDC.

Примечание. Начиная с  Windows Server 2008R2 команда для захвата роли хозяина доменных

имен seize naming master.

В качестве примера отберем у сервера SRV2 переданную ему роль Infrastructure Master и

передадим ее серверу DC1. Как видно из примера, сначала предпринимается попытка передачи
роли, и только в случае невозможности этого действия осуществляется захват.

И еще несколько важных моментов, которые нужно учесть при передаче\захвате ролей FSMO:

• Для передачи ролей уровня домена (RID Master, PDC Emulator и Infrastructure Master) ваша

учетная запись должна быть членом группы Администраторы домена (Domain admins), а для
передачи ролей уровня леса (Domain Naming Master и Schema Master) — Администраторы
предприятия (Enterprise Admins).
• По возможности не назначайте роль Infrastructure Master контроллеру домена, являющемуся
сервером глобального каталога, поскольку в этом случае он не будет обновлять сведения об
объектах. Причина такого поведения заключается в том, что сервер глобального каталога хранит
частичные реплики всех объектов в лесу.
• В случае захвата ролей FSMO контроллер домена, ранее исполнявший эти роли, ни в коем
случае нельзя возвращать обратно, т.к.  при его появлении в сети возникнет конфликт, что может
вызвать проблемы в работе домена. Кроме того, его необходимо удалить из Active
Directory.  В Windows Server 2008 и 2008 R2это можно сделать, просто удалив объект сервера в
оснастке  Active Directory Пользователи и компьютеры, а в Windows Server 2003 с
помощью программы Ntdsutil , используя команду ntdsutil — metadata cleanup. Подробнее об
этом можно почитать в техподдержке Microsoft  http://support.microsoft.com/kb/216498.