WinServer2025 – P16 How to Transfer FSMO Roles After PDC Failure

Khi Primary Domain Controller (PDC) gặp sự cố đột ngột, toàn bộ hệ thống Active Directory có thể rơi vào trạng thái nghiêm trọng.

PDC nắm giữ 5 FSMO Roles (Flexible Single Master Operations) — các vai trò đặc biệt chỉ cho phép một máy chủ duy nhất đảm nhiệm tại một thời điểm. Nếu Domain Controller này không thể khôi phục, bạn bắt buộc phải gán FSMO Roles (seize) sang một Domain Controller khác để đảm bảo hệ thống tiếp tục hoạt động ổn định.

Trong tình huống thực tế này:

• DC-01 (PDC) bị lỗi hoàn toàn

• DC-02 (ADC) vẫn hoạt động bình thường

• Cần chuyển toàn bộ FSMO Roles sang DC-02

Quá trình này được thực hiện bằng công cụ dòng lệnh ntdsutil.

🚨 Tổng quan sự cố

Máy chủ bị lỗi:

• DC-01 (Primary Domain Controller)

5 FSMO Roles trong Active Directory gồm:

1. Schema Master

2. Domain Naming Master

3. RID Master

4. PDC Emulator

5. Infrastructure Master

Vì DC-01 không thể phục hồi, chúng ta sẽ tiến hành seize toàn bộ FSMO Roles trên DC-02.

⚙️ Step 1 – Mở Command Prompt trên DC-02

Đăng nhập vào:

• DC-02 (Additional Domain Controller)

Mở Command Prompt (CMD) với quyền Administrator.

Chúng ta sẽ sử dụng công cụ ntdsutil để thực hiện gán FSMO Roles.

⚙️ Step 2 – Khởi động NTDSUTIL

Tại CMD, nhập:

Sau đó nhập:

Tiếp theo nhập:

Lúc này bạn đang ở chế độ kết nối server.

⚙️ Step 3 – Kết nối tới DC-02

Tại dấu nhắc server connection, nhập:

(Sử dụng đầy đủ FQDN của Additional Domain Controller.)

Sau khi kết nối thành công, nhập:

Bạn sẽ quay lại chế độ FSMO maintenance.

⚙️ Step 4 – Gán FSMO Roles (Seize)

Tiến hành gán từng FSMO Role một.

Nhập:

Tiếp theo:

Sau đó:

⚠️ Lưu ý: RID phải viết hoa

Khi được hỏi xác nhận:

Gõ Yes và chờ khoảng 30 giây.

Tiếp tục nhập:

⚠️ Lưu ý: PDC phải viết hoa

Tại dòng fsmo maintenance, nhập:

Sau khi hoàn tất, thoát khỏi công cụ bằng lệnh:

Quá trình gán FSMO Roles đã hoàn tất. DC-02 hiện giữ toàn bộ 5 vai trò FSMO.

🔎 Điều gì xảy ra sau khi gán FSMO Roles?

Sau khi hoàn tất:

• DC-02 trở thành FSMO role holder

• DC-02 thay thế hoàn toàn DC-01

• Các chức năng single-master được khôi phục

Hệ thống Active Directory lấy lại khả năng:

• Xử lý thay đổi mật khẩu

• Đồng bộ thời gian (Time Sync Authority)

• Cấp phát RID cho đối tượng mới

• Thay đổi Schema

• Quản lý Domain Naming

Domain được phục hồi đầy đủ chức năng.

🔐 Lưu ý quan trọng

Seize FSMO Roles là thao tác khẩn cấp và chỉ thực hiện khi:

• PDC không thể phục hồi

• Hỏng phần cứng nghiêm trọng

• Không thể restore từ backup

Nếu DC-01 quay trở lại mạng mà chưa được xử lý đúng cách, có thể gây:

• Xung đột replication

• Lỗi nghiêm trọng trong AD database

• Corruption hệ thống

Best practice sau khi gán FSMO Roles:

• Không đưa DC cũ vào lại hệ thống

• Thực hiện demote hoặc rebuild hoàn toàn

🏗 Vì sao cần gán FSMO Roles nhanh chóng?

Nếu FSMO Roles không khả dụng:

• Không thể tạo user mới (vấn đề RID)

• Thay đổi mật khẩu có thể lỗi

• Đồng bộ thời gian bị gián đoạn

• Không thể thay đổi schema

• Domain trust có thể gặp lỗi

Trong môi trường production, điều này dẫn đến downtime và gián đoạn xác thực.

Hiểu rõ cách gán FSMO Roles giúp bạn xử lý sự cố nhanh chóng và chuyên nghiệp.

✅ Kiểm tra lại sau khi hoàn tất (Khuyến nghị)

Sau khi hoàn tất quá trình, kiểm tra lại FSMO role holder bằng lệnh:

Kết quả phải hiển thị DC-02 giữ cả 5 FSMO Roles.

Điều này xác nhận việc gán FSMO Roles đã thành công.

🏁 Kết luận

Sự cố PDC là một tình huống nghiêm trọng trong môi trường Active Directory. Tuy nhiên, nếu thực hiện đúng quy trình gán FSMO Roles bằng ntdsutil, hệ thống có thể được khôi phục nhanh chóng.

Quy trình bao gồm:

• Kết nối tới DC-02

• Truy cập FSMO maintenance

• Seize toàn bộ 5 FSMO Roles

• Kiểm tra xác nhận

Nắm vững kỹ thuật gán FSMO Roles là kỹ năng bắt buộc đối với quản trị viên Windows Server 2025.

Trong các tình huống khẩn cấp, khả năng xử lý FSMO đúng cách sẽ giúp hệ thống domain duy trì hoạt động ổn định và hạn chế tối đa downtime.