Product SiteDocumentation Site

42.2.2. Инструмент samba-tool

42.2.2.1. Просмотр текущих владельцев

Операция просмотра списка владельцев ролей FSMO доступна всем пользователям.
Просмотр текущего состояния (команда выполняется на контроллере домена): 
# samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt

42.2.2.2. Передача роли

Операция передачи роли FSMO доступна пользователям со следующими полномочиями:
  • передача ролей уровня леса — администраторы леса (члены группы Enterprise Admins);
  • передача ролей уровня домена — администраторы домена (члены группы Domain Admins);
  • передача роли владельца схемы каталога — администраторы схемы (члены группы Schema Admins).
Для штатной передачи роли необходимо на контроллере домена, который должен стать новым владельцем роли, выполнить команду: 
# samba-tool fsmo transfer --role=<роль>
Список возможных ролей:
  • rid — хозяин RID (RidAllocationMasterRole);
  • pdc — эмулятор PDC (PdcEmulationMasterRole);
  • infrastructure — хозяин инфраструктуры (InfrastructureMasterRole);
  • schema — хозяин схемы (SchemaMasterRole);
  • naming — хозяин именования доменов (DomainNamingMasterRole);
  • domaindns — хозяин зоны DNS домена (DomainDnsZonesMasterRole);
  • forestdns — хозяин зоны DNS домена (ForestDnsZonesMasterRole);
  • all — все роли.
Пример штатной передачи роли (команда выполняется на DC2): 
# samba-tool fsmo transfer --role=infrastructure
FSMO transfer of 'infrastructure' role successful
Проверка: 
# samba-tool fsmo show
SchemaMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
InfrastructureMasterRole owner: CN=NTDS Settings,CN=DC2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
RidAllocationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
PdcEmulationMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
DomainNamingMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
DomainDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt
ForestDnsZonesMasterRole owner: CN=NTDS Settings,CN=DC1,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=alt

42.2.2.3. Захват роли FSMO

Операция захвата роли FSMO доступна пользователям со следующими полномочиями:
  • захват ролей уровня леса — администраторы леса (члены группы Enterprise Admins);
  • захват ролей уровня домена — администраторы домена (члены группы Domain Admins);
  • захват роли владельца схемы каталога — администраторы схемы (члены группы Schema Admins).
Для принудительной передачи роли (если контроллер домена вышел из строя) необходимо на контроллере домена, который должен стать новым владельцем роли, выполнить команду: 
# samba-tool fsmo seize --role=<роль>
Список возможных ролей:
  • rid — хозяин RID (RidAllocationMasterRole);
  • pdc — эмулятор PDC (PdcEmulationMasterRole);
  • infrastructure — хозяин инфраструктуры (InfrastructureMasterRole);
  • schema — хозяин схемы (SchemaMasterRole);
  • naming — хозяин именования доменов (DomainNamingMasterRole);
  • domaindns — хозяин зоны DNS домена (DomainDnsZonesMasterRole);
  • forestdns — хозяин зоны DNS домена (ForestDnsZonesMasterRole);
  • all — все роли.

Важно

Если роль была передана принудительно, старый контроллер домена больше никогда не должен подключаться к сети!

Примечание

При передаче ролей domaindns и forestdns необходимо предоставить аутентификацию.

Примечание

В ранних версиях samba-tool была ошибка, не позволявшая захватить роль naming: 
# samba-tool fsmo seize --role=naming
ERROR (ldb): uncaught exception — Failed FSMO transfer: WERR_BADFILE
В этом случае необходимо использовать «ещё более принудительную передачу»: 
# samba-tool fsmo seize --force --role=naming