jaké jsou role FSMO v Active Directory?

Active Directory umožňuje objekt výtvory, aktualizace a odstranění, aby se zavázala k nějaké autoritativní řadič domény. To je možné, protože každý řadič domény Active Directory udržuje zapisovatelnou kopii oddílu své vlastní domény-s výjimkou samozřejmě řadičů domény pouze pro čtení. Po provedení změny se automaticky replikuje na jiné řadiče domény prostřednictvím procesu zvaného multi-master replikace., Toto chování umožňuje, aby většina operací byla spolehlivě zpracována více řadiči domény a poskytuje vysokou úroveň redundance, dostupnosti a dostupnosti v rámci Active Directory.

výjimka z tohoto chování platí pro určité operace Active Directory, které jsou natolik citlivé, že jejich provedení je omezeno na konkrétní řadič domény. Active Directory řeší tyto situace prostřednictvím speciální sady rolí., Microsoft začal o těchto rolích mluvit jako o rolích Operation Masters, ale častěji se o nich mluví svým původním názvem, flexibilními rolemi pro jednoho operátora („FSMO“).

jaké jsou role FSMO?

Active Directory má pět FSMO (obecně vyslovováno „FIZZ-mo“) rolí, z nichž dvě jsou na podnikové úrovni (tj. jedna na les) a tři jsou na úrovni domény (tj. jedna na doménu). Role FSMO na podnikové úrovni se nazývají Schema Master a Domain Naming Master., Role FSMO na úrovni domény se nazývají emulátor primárního řadiče domény, Master relativního identifikátoru a Master infrastruktury.

následující příkazy lze použít k identifikaci vlastníků rolí FSMO. Příkazový Řádek:

netdom query fsmo /domain:<DomainName>

PowerShell:

V nové doménové struktuře služby Active Directory, všech pět rolí FSMO areassigned na původní řadič domény v nově vytvořené lesní rootdomain.,

Když nové domény je přidán do existujícího lesa, pouze tři na úrovni domény FSMO jsou přiřazeny k původní řadič domény v nově vytvořené domény, dvě podnikové úrovni rolí FSMO již existují ve forest root domain.

role FSMO často zůstávají přiřazeny původním řadičům domény, ale v případě potřeby je lze přenést.,

5 FSMO Role služby Active Directory

hlavní server Schémat

hlavní server Schémat je podnik na úrovni role FSMO; tam má pouze jeden hlavní server Schémat v doménové struktuře Active Directory.

vlastník hlavní role schématu je jediným ovladačem doménv lese Active Directory, který obsahuje zapisovatelný oddíl schématu. V důsledku toho řadič domény vlastníkem role FSMO musí také změnit svůj lesa schématu., To zahrnuje činnosti, jako je zvedání hodnoty funkční úroveň lesa a modernizace operačního systému domény řadič na vyšší verzi, než v současné době existuje v lese,buď na které představí aktualizace schématu služby Active Directory.

hlavní role schématu má malou režii a její ztráta může mít za následek malý až žádný okamžitý provozní dopad; změny unlessschema jsou nezbytné, mohou zůstat offline neomezeně bezvšimnutelný efekt., Hlavní role schématu by měla být zabavena pouze tehdy, když domaincontroller, který vlastní roli, nemůže být přiveden zpět online. Přivedení hlavního vlastníka role zpět online Poté, co byla role zabavena, může způsobit vážné problémy s nekonzistencí a integritou dat do lesa.

doménové pojmenování Master

doménové pojmenování Master je role na podnikové úrovni; v lese Active Directory je pouze jeden doménový pojmenování Master.,

vlastník hlavní role pojmenování domény je jediný domaincontroller v lese Active Directory, který je schopen přidávat nové domény a aplikační oddíly do lesa. Jeho dostupnost je také nutná k odstraněníexistující domény a aplikační oddíly z lesa.

hlavní role pojmenování domény má jen malou režii a lze očekávat, že bude mít za následek malý až žádný provozní dopad, protože přidání a odstranění domén a oddílů se provádí zřídka ajsou zřídka časově kritické operace., V důsledku toho hlavního serveru pro Pojmenování Domén roleshould jen je třeba, aby se chytil, když řadič domény, který vlastní rolecannot být přivedeni zpět on-line.

RID

Relativní Identifikátor Master („RID“), je domény-level roli, je tam jeden hlavní server RID v každé doméně v active directory forest.

vlastník hlavní role RID je zodpovědný za přidělování jednotek active a standby Relative Identifier („RID“) do řadičů domén ve své hlavní roli. RID bazény se skládají z jedinečného, souvislý rozsah RIDs., Tyto rid jsou použity při vytváření objektů pro generování jedinečného identifikátoru zabezpečení nového objektu („SID“). RID Master je také zodpovědný za pohyb objektů z jednoho domainto jiný v lese.

ve vyspělých doménách je režie generovaná rid Masteris zanedbatelná. Vzhledem k tomu, že PDC v doméně obvykle dostává největší pozornostadministrátorů, ponechání této role přiřazené do domény PDC pomáhá zajistit dostupnost., Je také důležité, aby se zajistilo, že stávající řadiče a nově řadiče domény povýšen, zejména těch, podporován inremote nebo pracovní místa, mít síťové připojení k serveru RID a arereliably schopni získat aktivní a pohotovostní ZBAVIT bazény.

ztráta domény hlavního serveru RID nakonec povede k pro neschopnost vytvořit nové objekty v rámci domény jako zbývající řadiče se ZBAVIT bazény jsou vyčerpány., Zatímco nedostupnost řadič domény, který je vlastníkem role hlavního serveru RID může vypadat, jako by to by causesignificant přerušení provozu, relativně nízký objem objectcreation události v přirozeném prostředí mívá za následek dopad suchan případě, že přijatelné pro značnou délku času. Přivedení Ridmastera zpět online Poté, co se chopil jeho role, může potenciálně zavést do domény rid. V důsledku toho by tato role měla být zabavenaz řadiče domény, pokud řadič domény, který vlastní roli, nemůže býtpřinést zpět online.,

Infrastructure Master

the Infrastructure Master is a domain-level role; there isone Infrastructure Master in each domain in a Active Directory forest.

vlastník hlavní role infrastruktury je domaincontroller v každé doméně, který je zodpovědný za správu fantomových objektů.Phantom objects slouží ke sledování a správě trvalých odkazů na deletedobjects a atributů s hodnotou odkazů, které odkazují na objekty v jiném domainwithin the forest(např.,

hlavní server Infrastruktury může být umístěn na libovolný řadič domény v doméně, pokud doménové struktuře služby Active Directory obsahuje řadiče, které nejsou globálního katalogu hostí. V takovém případě musí být infrastruktura umístěna na řadiči domény, který není globálním hostitelem katalogu.

ztráta řadiče domény, který vlastní roli InfrastructureMaster, bude pravděpodobně patrná pouze pro administrátory a může být betolerována po delší dobu., I když jeho nepřítomnost bude mít za následek, že názvy odkazů objektů Cross-domain nebudou správně vyřešeny,nebude ovlivněna možnost členství ve skupině utilizecross-domain.

emulátor PDC

emulátor primárního řadiče domény („emulátor PDC“nebo“ PDCE“) je role na úrovni domény; v každé doméně je v aktivnímadresním lese jedna PDCE.

vlastník role pdce je zodpovědný za několik klíčových operací:

  • zpětná kompatibilita. PDCE napodobuje jednomístné chování primárního řadiče domény Windows NT., K řešení zpětné kompatibility týká, PDCE registruje jako cílový řadič domény pro starší aplikace, které provádějí zápis operací a některé administrativní nástroje, které nejsou vědomi multi-master chování řadiče domény Active Directory.
  • synchronizace času. Každá PDCE slouží jako hlavní zdroj času ve své doméně. PDCE v doméně forest root slouží jako preferovaný server Network Time Protocol („NTP“) v lese., PDCE v každé jiné domény v lese synchronizuje hodiny do lesa root PDCE, non-PDCE řadiče domény synchronizovat své hodiny, aby jejich domény PDCE, a doméně hostitelem synchronizovat své hodiny, aby jejich preferovaný řadič domény.
    POZNÁMKA: ověřovací protokol Kerberos zahrnuje časové razítko informace a je příkladem význam synchronizace času v doménové struktuře služby Active Directory., Ověřování pomocí protokolu Kerberos se nezdaří, pokud rozdíl mezi vyžádání hostitele je hodiny a hodiny na řadič domény než 5 minut (tato tolerance je konfigurovatelné, ale Microsoft je nejlepší praxe doporučení je zachovat výchozí 5 minut hodnoty na Maximální tolerance synchronizace hodin počítače nastavení). Toto chování je určeno k potlačení určitých škodlivých aktivit, jako jsou“replay útoky“.
  • zpracování aktualizace hesla., Pokud jsou počítačová a uživatelská hesla změněna nebo resetována řadičem domény bez pdce, je odevzdaná aktualizace okamžitě replikována do PDCE domény. Pokud se účet pokusí ověřit proti řadiči domény, který dosud neobdržel nedávnou změnu hesla prostřednictvím plánované replikace, požadavek je předán do domény PDCE. PDCE se pokusí proces ověřování požadavek a pokyn, žádající řadič domény, aby buď přijmout, nebo odmítnout požadavek na ověření., Toto chování zajišťuje, že hesla mohou být spolehlivě zpracované, i když nedávné změny nejsou plně šířeny prostřednictvím naplánované replikace. Pdce je také zodpovědný za zpracování výluk účtu, protože všechny neúspěšné ověření hesla jsou předávány do PDCE.
  • aktualizace zásad skupiny. Všechny aktualizace objektů zásad skupiny („GPO“) jsou zavázány k doméně PDCE. Tím se zabrání potenciálu pro verzování konfliktů, které by mohly nastat v případě, že GPO byl upraven na dvou řadičích domény přibližně ve stejnou dobu.
  • distribuovaný souborový systém., Ve výchozím nastavení budou kořenové servery Distributed File System („DFS“) pravidelně požadovat aktualizované informace o jmenném prostoru DFS z PDCE. I když toto chování může vést ke zdroji láhev krku, umožňující Dfsutil.parametr škálovatelnosti root exe umožní kořenovým serverům DFS požadovat aktualizace z nejbližšího řadiče domény (viz https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) Pro více informací).

v důsledku jeho odpovědnosti, PDCE by beplaced na vysoce dostupné, dobře-připojen, high-výkon řadiče domény., Navíc by měl být emulátor PDC forest root Domainkonfigurován se spolehlivým externím zdrojem času.

Zatímco ztráta řadič domény, který vlastní PDCEmulator úlohu lze očekávat, že mít okamžitý a výrazný dopad onoperations, povaha jeho povinností následek zabavení thePDCE roli s menšími dopady do domény, než zabavení otherroles. Zabavení PDCE role je považována za doporučenou nejlepší practicein případě řadič domény, který vlastní PDCE roli není k dispozici asa důsledku neplánované odstávky.,

přenos rolí FSMO

jak již bylo zmíněno v tomto příspěvku, role FSMO jsou nutnéprovádět určité důležité operace a nejsou nadbytečné. Jako výsledek může být buď žádoucí, nebo nutné přesunout role FSMO z jednoho řadiče do druhého.

jednou z metod přenosu rolí FSMO je demotedomain controller, který vlastní role. Pokud je řadič domény degradován, pokusí se převést všechny role FSMO, které vlastní, na vhodné ovladače domén na stejném webu., Role na úrovni domény lze přenést pouze na domaincontrollers ve stejné doméně, ale role na úrovni podniku lze přenést na jakýkoli vhodný řadič domény v lese. I když existují pravidla, která určují, jak bude degradovaný řadič domény rozhodovat o tom, kam převést role FSMO, neexistuje způsob, jak přímo kontrolovat, kde budou jeho role FSMO přeneseny.

ideální metodou přesunu role FSMO je aktivní přenosje to buď pomocí konzoly pro správu, PowerShell nebo ntdsutil.exe., Během amanuálního přenosu se zdrojový řadič domény před přenosem role synchronizuje s řadičem targetdomain.

účet vykonávající hlavní roli schématu musí být členem skupiny administrátorů schématu a podnikových administrátorů. Členství ve skupině Enterprise Admins je nezbytné k převodu hlavní role pojmenování domény. Hlavní role PDCE, rid Master a Infrastructure mohou být převedeny účtem s členstvím ve skupině doménových administrátorů domény, kde jsou role převáděny.,

konzola pro správu

přenos rolí FSMO pomocí konzoly pro správu můževyžadují použití až tří různých modulů snap-in.

přenos hlavní Role schématu

hlavní roli schématu lze přenést pomocí modulu snap-in pro správu schématu ActiveDirectory.

Pokud není mezi dostupnými snap-iny konzoly pro správu, bude třeba ji zaregistrovat. Chcete-li zaregistrovat konzolu pro správu schématu Active Directory, otevřete zvýšený příkazový řádek a zadejte regsvr32 schmmgmt.,dll, a stiskněte klávesu Enter:

Jakmile DLL byla zaregistrována, spusťte Konzole pro Správu jako uživatel, který je členem skupiny Schema Admins a přidat Schématu služby Active Directory snap-in Konzoly pro Správu:

klepněte Pravým tlačítkem myši Schéma služby Active Directory uzel a vyberte „Změnit Řadič Domény služby Active Directory“.,div id=“51e1a53e4d“>

klepněte Pravým tlačítkem myši Schéma služby Active Directory uzel znovu a vyberte „Operace Master“:

Klepněte na „Změnit“ tlačítko pro zahájení přenosu role hlavního serveru Schémat na cílový řadič domény:

Přenos Domain Naming Master Role

Domain Naming Master role může být převedena pomocí theActive Directory Domény a vztahy Důvěryhodnosti snap-in Management Console.,

Spustit Správcovské Konzole jako uživatel, který je členem skupiny Enterprise Admins a přidat Active Directory Domény a vztahy Důvěryhodnosti snap-in Konzoly pro Správu:

klepněte Pravým tlačítkem myši Active Directory Domény a vztahy Důvěryhodnosti uzel a vyberte „Změnit Řadič Domény služby Active Directory“., uzel znovu a vyberte „Operace Master“:

Klepněte na „Změnit“ tlačítko pro zahájení přenosu Domain Naming Master role na cílový řadič domény:

Přenos hlavní server RID, hlavní server Infrastruktury, nebo Emulátoru primárního ŘADIČE domény Role

hlavní server RID, hlavní server Infrastruktury a PDC Emulatorroles vše může být převedena pomocí Active Directory Uživatelé a ComputersManagement Konzoly snap-in.,

Spustit Správcovské Konzole jako uživatel, který je členem skupiny Domain Admins v doméně, kde FSMO role přeneseny a přidat Active Directory Uživatelé a Počítače snap-in Konzoly pro Správu:

klepněte Pravým tlačítkem myši na uzel Domény nebo Active Directory Uživatelé a Počítače uzel a vyberte „Změnit Řadič Domény služby Active Directory“.,v id=“0c7ce01ed8″>

klepněte Pravým tlačítkem myši Active Directory Uživatelé a Počítače uzel a klepněte na tlačítko „Operace Mistrů“:

Vyberte příslušnou kartu a klikněte na „Změnit“ tlačítko pro zahájení přenosu role FSMO na cílový řadič domény:

PowerShell

Přesunout-ADDirectoryServerOperationMasterrole PowerShell lze použít k přenosu role FSMO., Přenesené role jsou specifikovány pomocí parametru-Operacemasterrole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe je lehký nástroj příkazového řádku, který můžeprovádět řadu užitečných funkcí, včetně přenosu rolí FSMO.

role FSMO lze přenést pomocí následujících kroků:

  1. otevřete zvýšený příkazový řádek.
  2. zadejte ntdsutil a stiskněte klávesu Enter. Otevře se nové okno.
  3. na řádku ntdsutil zadejte role a stiskněte klávesu Enter.
  4. na řádku údržby FSMO zadejte připojení a stiskněte klávesu Enter.,
  5. do příkazového řádku server connections zadejte připojit k serveru <DC> (nahrazení <DC> s hostname řadič domény FSMO role jsou předávány k) a stiskněte tlačítko Enter. To bude vázat ntdsutil na řadič cílové domény.
  6. zadejte quit a stiskněte Enter.
  7. Na řádku fsmo maintenance zadejte příslušné příkazy pro každý FSMO role přeneseny:
    • převést role FSMO hlavního serveru Schémat, typ převod schématu master a stiskněte klávesu Enter.,
    • Chcete-li přenést doménové pojmenování Master FSMO role, zadejte převod pojmenování master a stiskněte klávesu Enter.
    • Chcete-li přenést roli rid Master FSMO, zadejte transfer rid master a stiskněte klávesu Enter.
    • Chcete-li přenést hlavní roli FSMO infrastruktury, zadejte master transfer infrastructure a stiskněte klávesu Enter.
    • Chcete-li přenést roli emulátoru PDC FSMO, zadejte přenos pdc a stiskněte klávesu Enter.
  8. Chcete-li ukončit výzvu k údržbě fsmo, zadejte příkaz quit a stiskněte klávesu Enter.
  9. Chcete-li ukončit výzvu ntdsutil, zadejte příkaz quit a stiskněte klávesu Enter.,

Zadření FSMO Role

Přenos FSMO role vyžaduje, aby zdrojový řadič domény a cílové řadiče domény online a funkční. Pokud řadič domény, který vlastní jednu nebo více rolí FSMO je ztracena nebo bude beunavailable pro významné období, jeho role FSMO může být „chytil“ anotherdomain správce.

ve většině případů by role FSMO měly být zabaveny pouze v případě, že teoretický vlastník role FSMO nemůže být přiveden zpět do životního prostředí., Znovuzavedení vlastníka role FSMO po zabavení jeho rolí může způsobit významnépoškození domény nebo lesa. To platí zejména o Schématemaster a RID hlavní role.

Move-ADDirectoryServerOperationMasterrole cmdlet umožňujepoužití parametru a-Force, který lze použít k uchopení rolí FSMO. Použití parametru-Force nasměruje cmdlet k pokusu o přenos role FSMO apak se chopit rolí, pokud pokus o přenos selže.

následující pokyny lze použít k zabavení rolí FSMO s ntdsutil.,nástroj exe:

  1. otevřete zvýšený příkazový řádek.
  2. zadejte ntdsutil a stiskněte klávesu Enter. Otevře se nové okno.
  3. na řádku ntdsutil zadejte role a stiskněte klávesu Enter.
  4. na řádku údržby FSMO zadejte připojení a stiskněte klávesu Enter.
  5. do příkazového řádku server connections zadejte připojit k serveru <DC> (nahrazení <DC> s hostname řadič domény FSMO role jsou obsazovány) a stiskněte tlačítko Enter., To bude vázat ntdsutil na řadič cílové domény.
  6. zadejte quit a stiskněte Enter.
  7. Na řádku fsmo maintenance zadejte příslušné příkazy pro každý FSMO role přeneseny:
    • převést role FSMO hlavního serveru Schémat, zadejte převzetí hlavního serveru schémat a stiskněte klávesu Enter.
    • Chcete-li přenést doménové pojmenování Master FSMO role, zadejte příkaz chopit pojmenování master a stiskněte klávesu Enter.
    • Chcete-li přenést roli rid Master FSMO, zadejte chytit rid master a stiskněte klávesu Enter.
    • Chcete-li přenést hlavní roli infrastruktury FSMO, zadejte příkaz chopit se infrastruktury master a stiskněte klávesu Enter.,
    • Chcete-li přenést roli emulátoru PDC FSMO, zadejte chopit pdc a stiskněte klávesu Enter.
  8. Chcete-li ukončit výzvu k údržbě fsmo, zadejte příkaz quit a stiskněte klávesu Enter.
  9. Chcete-li ukončit výzvu ntdsutil, zadejte příkaz quit a stiskněte klávesu Enter.

Shrnutí

Jako každé úloze existuje pouze jednou v lese nebo domény, je důležité rozumět nejen umístění jednotlivých FSMO role vlastníka a odpovědnosti každé role FSMO, ale také provozní dopad zavedené nedostupnost FSMO role-vlastní řadič domény., Tyto informace jsou cenné v situacích, kdy řadič domény není k dispozici, ať už kvůli neočekávaným událostem nebo při plánování a provádění plánovaných upgradů a údržby.

Share

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *