как узнать какой контроллер домена главный
Как узнать какой контроллер домена главный
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В данной статье, я хочу рассказать, как определить какой контроллер домена вас аутентифицировал. Иногда бывают ситуации, что нужно понять, данную информацию, для поиска проблем. Приведу простой пример, на пользователя была применена политика, которую я отключил на одном из контроллеров, через какое-то время, пользователь обратился, все стем же вопросом, выяснилось, что на другом DC, бала та же политика, отключив ее, все решилось, и в этом помогла информации, о том, кто его аутентифицировал.
И видим, очень информативную выборку.
Как определить какой контроллер домена вас аутентифицировал
Или без лишней воды
Вот такая простоя, но очень полезная команда, и у нее еще очень много полезных функций. С вами был Иван Семин, автор и создатель IT блога pyatilistnik.org.
Популярные Похожие записи:
5 Responses to Как определить какой контроллер домена вас аутентифицировал
данную информацию украли как понять
Это автоматическая ссылка, которая показывает кто и откуда без спроса автора взял его контент.
Кстати, Иван, почитав статейку «Как узнать версию windows, за минуту», я обнаружил еще один способ: в cmd ввести команду systeminfo, в выведенной информации найти строку «Сервер входа в сеть:»
Хочу поблагодарить тебя за твой сайт, очень полезный. Смело его можно рекомендовать к изучению Windows Server.
set logon, set, echo %logonserver% — это все команды, берущие информацию с одной точки — переменной окружения. Можно еще задать set logonserver, берет с той же точки, и показывает за какой DC прицепился при логоне пользователь. А вот nltest /dsgetdc показывает за какой DC зацепился при логоне компьютер. Они могут различаться. И если есть проблемы при общении компа с доменом, то можно проверить их сопряжением командой powershell Test-ComputerSecurityChannel (набрать в окне пошика Test-Co и нажать табуляцию, он сам допишет). Если выдаст False, значит компьютер не может общаться со DC, за который зацепился. Причин может быть много, одна из них — проблемы на стороне DC.
Как узнать какой контроллер домена главный
В этой статье хочу описать роли контроллера домена или FSMO (Flexible single-master operations- операции с одним исполнителем). Эта статья позволит вам понять сколько существует ролей, зачем нужна каждая из них и каким образом посмотреть какой сервер, какую роль выполняет. Особенно пригодится тем у кого большой домен с несколькими контроллерами домена, сайтами.
Не понимание сути ролей может привести вас к непониманию тех или иных ошибок в Active Directory и как следствие к невозможности их решить.
Доменные службы AD поддерживают пять ролей мастеров операций:
1 Владелец доменных имён (Domain Naming Master);
2 Владелец схемы (Schema Master);
3 Владелец относительных идентификаторов (Relative ID Master);
4 Владелец инфраструктуры домена (Infrastructure Master);
5 Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Владелец доменных имён (Domain Naming Master).
Роль предназначена для добавления и удаления доменов в лесу. Если контроллер с этой ролью недоступен во время добавления или удаления доменов в лесу возникнет ошибка операции.
В строке Хозяин именования доменов вы увидите какой контроллер домена выполняет эту роль.
Владелец схемы (Schema Master).
Контроллер с ролью владелец схемы отвечает за внесение всех изменений в схему леса. Все остальные домены содержат реплики схемы только для чтения.
Роль Владелец схемы уникальна во всем лесу и может быть определена только на одном контроллере домена.
Для того, что бы посмотреть контроллер домена выполняющий роль владельца схемы необходимо запустить оснастку Схема Active Directory, но для того что бы это сделать необходимо зарегистрировать эту оснастку. Для этого запускаем командную строку и вводим команду
regsvr32 schmmgmt.dll
После этого нажимаем «Пуск» выбераем команду «Выполнить» и вводим «mmc» и нажмите кнопку «ОК«. Далее в меню нажимаем «Файл» выбаем команду «Добавить или удалить оснастку«. В группе Доступные оснастки выбираем «Схема Active Directory«, нажимаем кнопку «Добавить«, а затем кнопку «ОК«.
Щелкните правой кнопкой мыши корневой узел оснастки и выберите «Хозяин операции«.
В строке Текущий хозяин схемы (в сети) увидите имя контроллера домена выполняющую эту роль.
Владелец относительных идентификаторов (Relative ID Master).
Эта роль обеспечивает всех пользователей, компьютеров и групп уникальными SID (Security Identifier- структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера)
Роль мастера RID уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца идентификатора, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликните на домене правой кнопкой мыши и выберите «Хозяин операции«.
Во вкладке RID увидите имя сервера выполняющую роль RID
Владелец инфраструктуры домена (Infrastructure Master).
Роль инфраструктуры домена уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца инфраструктуры домена, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликнуть на домене правой кнопкой мыши и выберать «Хозяин операции«.
Во вкладке «Инфраструктура» увидите контроллер выполняющий эту роль в домене.
Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Роль PDC- эмулятора несколько важных функций (здесь указаны не все- только основные):
— Участвует в репликации обновления паролей. Каждый раз когда пользователь меняет пароль эта информация сохраняется на контроллере домена с ролью PDC. При вводе пользователя неправильного пароля проверка подлинности направляется на PDC- эмулятор для получения возможно изменившегося пароля учетной записи (поэтому при вводе не правильного пароля вход проверка пароля происходит дольше в сравнении с вводом правильного пароля).
— Участвует в обновлении групповой политики в домене. В частности когда изменяется групповая политика на разных контроллерах домена в одно время PDC- эмулятор действует как точка фокуса всех изменений групповой политики. При открытии редактора управлениями групповыми политиками она привязывается к контроллеру домена, выполняющую роль PDC- эмулятора. Поэтому все изменения групповых политик по умолчанию вносятся в PDC- эмулятор.
— PDC- эмулятор является главным источником времени для домена. PDC- эмуляторы в каждом домене синхронизирует свое время с PDC эмулятором корневого домена леса. Другие контролеры синхронизируют свое время с PDC- эмулятором домена, компьютеры и сервера синхронизируют время с контролера домена.
Что бы увидеть какой контролер в домене выполняет роль PDC- эмулятора, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликните на домене правой кнопкой мыши и выберите «Хозяин операции«.
Во вкладке PDC увидите контроллер выполняющий эту роль.
Как узнать какой контроллер домена главный
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
// Что значит выбирает случайным образом? Механизм какой?
Андрей, будьте внимательны. Автор спрашивает, и я ему отвечаю, что контроллер домена выбирается случайным образом. Автору, по всей видимости, не интересно, как именно обнаруживается контроллер!
Все ответы
Не правильно. Любой из контроллеров домена несет смысловую нагрузку и отвечает по меньшей мере за аутентификацию пользователей.
По теме: клиент определяет какой из контроллеров домена использовать при помощи SRV записей в DNS.
Для чего вы хотите освободить один из них? Использование 2-ух контроллеров в пределах одного сайта нормальная практика.
Компьютер под управлением Windows XP выбирает контроллер случайным образом из тех, что принадлежат к сайту, в котором размещен компьютер, и домену, в котором компьютер определен. Системы под управлением Windows Vista / Windows 7 также выбирают контроллер тем же случайным образом, но с делают это более интеллектуально, у них NLA усовершенствована.
Не мешайте процесс обнаружения работоспособного и ближайшего «своего» контроллера домена и процессы, связанные с регистрацией в системе и другими взаимодействиями с контроллерами домена.
Тагир, Ваша «задача» противоречит штатной модели функционирования доменных служб Active Directory.
Что значит выбирает случайным образом? Механизм какой?
Рабочая станция, которая входит на домен под управлением Windows, запрашивает у DNS-сервера SRV-записи в следующем формате:
В ОС Windows NT 4.0 и более ранних версиях «обнаружение» – это процесс поиска контроллера домена для проверки подлинности в основном домене или в доверенном домене.
Видите где-то надпись про случайность? Да и причем она здесь? Если КД > 1 нужен механизм определения единственного из них это да.
Передача/захват ролей FSMO на другой контроллер домена Active Directory
В этой статье мы рассмотрим, как определить контроллеры домена с ролями FSMO в Active Directory, способы передачи одной или нескольких FSMO ролей другому контроллеру домена (дополнительному), а также способ принудительного захвата FSMO ролей в случае выхода из строя контроллера домена, которой является владельцем роли.
Для чего нужны FSMO роли в домене Active Directory?
Кратко попытаюсь напомнить для чего нужный роли FSMO (Flexible Single Master Operation, операции с одним исполнителем) в домене Active Directory.
Не секрет, что в Active Directory большинство стандартных операций (таких как заведение новых учетных записей пользователей, групп безопасности, добавление компьютера в домен) можно выполнять на любом контроллере домена. За распространение этих изменений по всему каталогу AD отвечает служба репликации AD. Различные конфликты (например, одновременное переименование пользователя на нескольких контроллерах домена) разрешаются по простому принципу — кто последний тот и прав. Однако есть ряд операций, при выполнении которых недопустимо наличие конфликта (например, при создании нового дочернего домена/леса, изменении схемы AD и т.д). Для выполнения операций, требующих обязательной уникальности нужны контроллеры домена с ролями FSMO. Основная задача ролей FSMO – не допустить конфликты такого рода
Всего в домене Active Directory может быть пять ролей FSMO.
Две уникальные роли для леса AD:
И три роли для каждого домена (для управления этими ролями ваша учетная запись должна состоять в группе “Domain Admins”):
Просмотр владельцев FSMO ролей в домене
Как определить какой контролер домена является хозяином/владельцем конкретной FSMO роли?
Чтобы найти всех владельцев FSMO ролей в домене AD, выполните команду:
Можно просмотреть FSMO роли для другого домена:
netdom query fsmo /domain:contoso.com
В этом примере видно, что все FSMO роли расположены на контроллере домена DC01. При развертывании нового леса AD (домена), все FSMO роли помещаются на первый DC. Любой контроллер домена кроме RODC может быть хозяином любой FSMO роли. Соответственно, администратора домена может передать любую FSMO роль на любой другой контроллер домен.
Можно получить информацию о FSMO ролях в домене через PowerShell с помощью Get-ADDomainController (должен быть установлен модуль Active Directory для PowerShell из состава RSAT):
Или можно получить FSMO роли уровня леса и уровня домена так:
Get-ADDomain | Select-Object InfrastructureMaster, RIDMaster, PDCEmulator
Get-ADForest | Select-Object DomainNamingMaster, SchemaMaster
Общие рекомендации Microsoft по размещении FSMO ролей на контроллерах домена:
В Active Directory вы можете передать FSMO роли несколькими способами: с помощью графических mmc оснасток AD, с помощью утилиты ntdsutil.exe или через PowerShell. О переносе ролей FSMO обычно задумываются при оптимизации инфраструктуры AD, при выводе из эксплуатации или поломке контроллера домена с ролью FSMO. Есть два способа передачи FSMO ролей: добровольный (когда оба DC доступны) или принудительный (когда DC с ролью FSMO недоступен/вышел из строя)
Передача FSMO ролей с помощью PowerShell
Самый простой и быстрый способ передачи FSMO ролей в домене – PowerShell командлет Move-ADDirectoryServerOperationMasterRole.
Вы можете передать на указанный DC одну или несколько FSMO ролей за раз. Следующая команда выполнит передачу двух ролей на DC02:
В аргументе OperationMasterRole можно указать как имя FSMO роли, так и ее индекс в соответствии с таблицей:
| PDCEmulator | 0 |
| RIDMaster | 1 |
| InfrastructureMaster | 2 |
| SchemaMaster | 3 |
| DomainNamingMaster | 4 |
Предыдущая команда в более коротком виде выглядит так:
А чтобы передать сразу все FSMO роли на дополнительный контроллер домена, выполните:
Передача FSMO ролей из графических оснасток Active Directory
Для переноса FSMO ролей можно использовать стандартные графические оснастки Active Directory. Операцию переноса желательно выполнять на DC с FSMO ролью. Если же консоль сервера не доступна, необходимо выполнить команду Change Domain Controller и выбрать контроллер домена в mmc-оснастке.
Передача ролей RID Master, PDC Emulator и Infrastructure Master
Для передачи ролей уровня домена (RID, PDC, Infrastructure Master) используется стандартная консоль Active Directory Users and Computers (DSA.msc)
Передача роли Schema Master
Для переноса FSMO уровня леса Schema Master используется оснастка Active Directory Schema.
Передача FSMO роли Domain naming master
Передача FSMO ролей из командной строки с помощью утилиты ntdsutil
Принудительный захват FSMO ролей Active Directory
Если DC с одной из FSMO ролью вышел из строя (и его не возможно восстановить), или недоступен длительное время, вы можете принудительно перехватить у него любую из FSMO ролей. Но при этом крайне важно убедиться, что сервер, у которого забрали FSMO роль никогда не должен появится в сети, если вы не хотите новых проблем с AD (даже если вы позднее восстановите DC из резервной копии). Если вы захотите вернуть потерянный сервер в домен, единственный правильный способ – удаление его из AD, чистая переустановка Windows под новым именем, установка роли ADDS и повышение сервера до контроллера домена
Вы можете принудительно захватить FSMO роли с помощью PowerShell или утилиты NTDSUtil.
Проще всего захватить FSMO роль через PowerShell. Для этого используется тот-же самый командлет Move-ADDirectoryServerOperationMasterRole, что и для переноса роли, но добавляется параметр –Force.
Например, чтобы захватить роль PDCEmulator и принудительно передать ее на DC02, выполните:
Также вы можете перенести роли FSMO на сервер DC02 с помощью утилиты ntdsutil. Процедура захвата роли через ntdsutil похожа на обычную передачу. Используйте следующие команды:
ntdsutil
roles
connections
connect to server DC02 (на этот сервер вы перенесете роль)
quit
Для захвата различных ролей FSMO используйте команды:
seize schema master
seize naming master
seize rid master
seize pdc
seize infrastructure master
quit
Найти имя контроллера домена Active Directory
Как я могу узнать имя / IP-адрес контроллера домена AD в моей сети?
На любом компьютере с DNS-сервером, настроенным для использования DNS-сервера AD, выполните:
Для компьютера, который является членом домена, переменная среды LOGONSERVER содержит имя контроллера домена, который аутентифицировал текущего пользователя. Очевидно, что это не все DC в среде с несколькими DC, но если все, что вам нужно, это быстрый способ найти имя контроллера домена, то из командной оболочки:
Вернет все переменные окружения, которые начинаются с «L», включая имя DC.
Просто замените «доменное имя» на ваш домен
Вы также можете запустить некоторые другие опции, чтобы узнать больше:
/dcname:domainname получает имя PDC для домена, /dsgetdc:domainname имеет флаги для другой информации
Попробуйте nltest /? в своем запросе, чтобы получить больше вариантов! 🙂
Это вернет ваш ближайший контроллер домена в Powershell:
DNS и DHCP являются наилучшим способом проверки, поскольку в сети могут находиться компьютеры Unix / Linux, управляемые контроллером домена AD или выполняющие роль контроллера домена.
Затем с помощью dns проверьте записи _kerberos._tcp, _kpasswd._tcp, _LDAP._TCP.dc._msdcs и _ldap._tcp SRV:
Это разбито на три области, две из которых являются поддерживаемыми протоколом записями DNS-SD:
Сырая CMD
Просто найдите имена DC
Сохранить как GetDcNames.cmd :
(Примечание: конечная точка в «% userdnsdomain%.» Предназначена специально. Она не позволяет вашему локальному nslookup использовать любые строки пути поиска DNS.)
Найти больше доменов DNS, связанных с AD
Я создал быстрый и грязный пакетный файл, чтобы мне не приходилось запоминать доменные имена DNS и / или вводить их все. (Список может быть неполным.)
Работает с подключенных к домену машин. Если ваша машина не подключена к домену, вы должны вручную установить для USERDNSDOMAIN то, что вам нужно.