🔍 Wstęp
Active Directory (AD) to serce każdej domeny Windows – kontroluje użytkowników, komputery, polityki grupowe i wiele innych elementów infrastruktury IT.
W środowisku z wieloma kontrolerami domeny (DC) każda instancja replikuje dane katalogowe, jednak niektóre operacje muszą być wykonywane wyłącznie przez jeden, specjalny serwer.
Właśnie do tego służą role FSMO (ang. Flexible Single Master Operations).
🧭 Czym są role FSMO?
W każdej domenie AD istnieje pięć ról FSMO, które są kluczowe dla prawidłowego działania całej infrastruktury:
| Rola FSMO | Zakres działania | Opis |
|---|---|---|
| Schema Master | Las | Odpowiada za modyfikacje schematu Active Directory (np. przy instalacji Exchange lub rozszerzeniach AD). |
| Domain Naming Master | Las | Zarządza dodawaniem i usuwaniem domen w lesie AD. |
| PDC Emulator (Primary Domain Controller) | Domena | Synchronizuje czas, odpowiada za hasła, blokady kont i kompatybilność z systemami starszymi (NT4). |
| RID Master | Domena | Przydziela pule identyfikatorów RID dla tworzenia nowych obiektów w domenie (kont, grup, komputerów). |
| Infrastructure Master | Domena | Aktualizuje odniesienia do obiektów międzydomenowych (np. grupy z innej domeny). |
⚠️ Kiedy należy przejąć role FSMO?
Zazwyczaj role FSMO są rozdzielone automatycznie między kontrolery domeny.
Problem pojawia się, gdy serwer pełniący te role ulegnie awarii – przestaje być osiągalny, nie działa replikacja, nie można tworzyć nowych użytkowników lub grup.
W takiej sytuacji, jeśli serwer nie wróci do życia, należy ręcznie przejąć role FSMO (tzw. „seizure”) na inny działający kontroler domeny.
🧰 Jak sprawdzić, który serwer ma role FSMO?
W PowerShell wystarczy użyć:
netdom query fsmo
Lub w GUI – narzędzie Active Directory Users and Computers → prawym na domenę → Operations Masters.
⚙️ Jak przejąć role FSMO – krok po kroku
W naszym przypadku, główny serwer domenowy WIN2016 uległ awarii i nie było możliwości nawiązania z nim połączenia.
Drugi kontroler domeny AD.bianco.local przejął jego obowiązki po wymuszeniu seize ról FSMO.
1️⃣ Uruchamiamy ntdsutil
ntdsutil
2️⃣ Wchodzimy do trybu zarządzania FSMO:
roles
3️⃣ Nawiązujemy połączenie z działającym DC:
connections
connect to server ad.local.ad
quit
4️⃣ Przejmujemy role (seizure), jedna po drugiej:
seize schema master
seize naming master
seize PDC
seize RID master
seize infrastructure master
Każde polecenie wymusi przejęcie danej roli na nowy kontroler, nawet jeśli poprzedni jest nieosiągalny.
🧩 W naszym przypadku (realne wdrożenie DSERVE)
W środowisku ad.local.ad pierwotny serwer WIN2016 przestał odpowiadać, przez co przestały działać niektóre funkcje Active Directory, w tym przydzielanie nowych identyfikatorów RID oraz synchronizacja PDC.
Podczas diagnostyki:
dcdiag /test:ridmanager /v
zwracał błędy w module RID, a repadmin /syncall /AdeP wskazywał brak łączności z WIN2016.
W tej sytuacji, wykonaliśmy przejęcie ról FSMO (FSMO seize), przypisując je na drugi kontroler domeny AD.bianco.local.
Po tej operacji:
- Role RID, PDC oraz Schema Master zostały przeniesione na nowy DC,
- Replikacja w domenie została zsynchronizowana,
- Użytkownicy mogli ponownie logować się i korzystać z zasobów domenowych,
- Środowisko odzyskało stabilność.
✅ Jak zweryfikować wynik?
Po zakończeniu operacji można sprawdzić aktualne przypisanie ról:
netdom query fsmo
lub
Get-ADForest | Select-Object SchemaMaster, DomainNamingMaster
Get-ADDomain | Select-Object PDCEmulator, RIDMaster, InfrastructureMaster
💬 Podsumowanie
Przejęcie ról FSMO to czynność awaryjna, ale często ratująca całą domenę przed paraliżem.
Jeśli główny kontroler domeny nie działa, nie wystarczy uruchomić drugiego DC – trzeba upewnić się, że wszystkie kluczowe role FSMO są aktywne na działającym serwerze.
W praktyce warto:
- Mieć co najmniej dwa kontrolery domeny,
- Regularnie wykonywać kopie zapasowe system state,
- Sprawdzać stan replikacji (
repadmin /replsummary), - Dokumentować aktualnych właścicieli ról FSMO.
W DSERVE takie działania wykonujemy rutynowo, zapewniając naszym klientom ciągłość działania środowisk AD, serwerów i systemów bezpieczeństwa.
🛠️ Podsumowanie techniczne
| Komenda | Cel |
|---|---|
netdom query fsmo | Sprawdzenie aktualnych ról FSMO |
ntdsutil → roles → seize <rola> | Przejęcie danej roli FSMO |
dcdiag /test:ridmanager /v | Diagnostyka RID Mastera |
repadmin /syncall /AdeP | Wymuszenie synchronizacji między DC |
Get-ADDomain / Get-ADForest | Weryfikacja nowych właścicieli FSMO |
🧠 Wnioski
Active Directory potrafi działać nawet przy awarii jednego z kontrolerów, ale utrata serwera FSMO bez przejęcia jego ról może spowodować poważne problemy w całej domenie – od niemożności tworzenia użytkowników po błędy w logowaniu.
Dlatego procedura FSMO seize powinna być znana każdemu administratorowi.
📌 DSERVE – zarządzamy, monitorujemy i przywracamy środowiska Active Directory, gdy inni dopiero szukają przycisku „Start”.
Masz problem z AD, kontrolerem domeny lub replikacją?
👉 Skontaktuj się z nami – pomożemy odzyskać kontrolę nad infrastrukturą IT.