Hvad er FSMO roller i Active Directory?

Active Directory tillader objektoprettelser, opdateringer og sletninger at være forpligtet til enhver autoritativ domænecontroller. Dette er muligt, fordi hver Active Directory-domænecontroller opretholder en skrivbar kopi af sit eget domænes partition – undtagen selvfølgelig skrivebeskyttede domænecontrollere. Efter at en ændring er begået, replikeres den automatisk til andre domænecontrollere gennem en proces kaldet multi-master replication., Denne adfærd gør det muligt for de fleste operationer at blive behandlet pålideligt af flere domænecontrollere og giver mulighed for høje niveauer af redundans, tilgængelighed og tilgængelighed inden for Active Directory.

en undtagelse fra denne adfærd gælder for visse Active Directory-operationer, der er følsomme nok til, at deres udførelse er begrænset til en bestemt domænecontroller. Active Directory adresserer disse situationer gennem et specielt sæt roller., Microsoft er begyndt at henvise til disse roller som Operation Masters roller, men de er mere almindeligt omtalt af deres oprindelige navn, fleksible Single-Master Operator (“FSMO”) roller.

Hvad er FSMO roller?

Active Directory har fem FSMO (generelt udtalt “Fi..-mo”) roller, hvoraf to er virksomhedsniveau (dvs. en pr. FSMO-rollerne på virksomhedsniveau kaldes Schema Master og Domain Naming Master., Den domæne-niveau FSMO-roller kaldes den Primære Domæne-Controller Emulator, den Relative Identifikator Master og Infrastructure Master.

følgende kommandoer kan bruges til at identificere FSMO-rolleejere. Kommandoprompten:

netdom query fsmo /domain:<DomainName>

PowerShell:

I en ny Active Directory-skov, alle fem FSMO-roller areassigned til det oprindelige domæne-controller i det nyoprettede skov rootdomain.,

Når et nyt domæne føjes til en eksisterende skov, tildeles kun de tre FSMO-roller på domæneniveau til den oprindelige domænecontroller i det nyoprettede Domæne; de to FSMO-roller på virksomhedsniveau findes allerede i Forest root-domænet.

FSMO-roller forbliver ofte tildelt deres originale domænecontrollere, men de kan overføres om nødvendigt.,

Den 5 FSMO-Roller af Active Directory

Schema Master

Schema Master er en enterprise-plan FSMO-rolle; der isonly en Schema Master i et Active Directory-skov.

skemaserver ejeren er den eneste domæne controllerin en Active Directory-skov, der indeholder en skrivbar skema partition. Som følge heraf skal domænecontrolleren, der ejer Schema Master FSMO-rollen, være tilgængelig for at ændre skovens skema., Dette omfatter aktiviteter som hæveskovets funktionelle niveau og opgradering af operativsystemet til adomain controller til en højere version end i øjeblikket findes i skoven,hvoraf begge vil introducere opdateringer til Active Directory schema.

Schema Master rolle har lidt overhead og dens tab canbe forventes at resultere i lidt at ingen umiddelbar operationel effekt; unlessschema ændringer er nødvendige, kan det forblive offline på ubestemt tid udennoticeable effekt., Schema Master-rollen bør kun beslaglægges, når domaincontroller, der ejer rollen, ikke kan bringes tilbage online. At bringe theSchema Master rolle ejer tilbage online efter rollen er blevet beslaglagt fra det kan indføre alvorlige data uoverensstemmelse og integritet spørgsmål i skoven.

Domain Naming Master

Domain Naming Master er en virksomhed-niveau rolle; thereis kun Domainn Domain Naming Master i en Active Directory skov.,

domænenavngivningsserver rolle ejer, er det kun domaincontroller i et Active Directory-skov, som er i stand til at tilføje nye domæner andapplication partitioner til skoven. Dens tilgængelighed er også nødvendig for at fjerneeksisterende domæner og applikationspartitioner fra skoven.

hovedrollen for Domænenavngivning har ringe overhead, og det kan forventes at resultere i ringe eller ingen operationel indvirkning, da Tilføjelse og fjernelse af domæner og partitioner udføres sjældent og sjældent tidskritiske operationer., Derfor domænenavn Master roleshould kun behøver at blive beslaglagt, når domænecontrolleren, der ejer rolecannot blive bragt tilbage online.

RID Master

Den Relative Identifikator Master (“RID Master”) er adomain-niveau rolle; der er en, RID Master i hvert domæne i en ActiveDirectory skov.

RID Master rolle ejer er ansvarlig for, allocatingactive og standby i Forhold Identifikator (“SLIPPE”) puljer til domænecontrollere i itsdomain. RID pools består af en unik, sammenhængende række RIDs., Disse RIDs areused under objektoprettelse til at generere det nye objekts unikke Sikkerhedsidentifikator (“SID”). RID Master er også ansvarlig for at flytte objekter fra et domænetil en anden inden for en skov.

i modne domæner er overhead genereret af RID Masteris ubetydelig. Da PDC i et domæne typisk får mest opmærksomhed fraadministratorer, forlader denne rolle tildelt domænet PDC hjælper med at garantere tilgængelighed., Det er også vigtigt at sikre, at de eksisterende domaincontrollers og netop forfremmet domænecontrollere, især dem, der fremmes inremote eller iscenesættelse steder, har netværksforbindelse til RID Master og arereliably i stand til at opnå en aktiv og standby SLIPPE swimmingpools.

tabet af et domænes RID Master vil i sidste ende føre til resultin en manglende evne til at oprette nye objekter inden for domænet, da de resterende domaincontrollers’ RID-puljer er udtømt., Mens den manglende adgang til de domaincontroller, der ejer RID Master rolle kan se ud, som om det ville causesignificant driftsmæssige forstyrrelser, den relativt lille mængde af objectcreation begivenheder i en moden miljøet har tendens til at resultere i, at effekten af suchan tilfælde være acceptabel for en betydelig længere tid. At bringe en RIDMaster tilbage online efter at have beslaglagt sin rolle kan potentielt introduceduplicate RIDs i domænet. Derfor bør denne rolle kun beslaglægges fra en domænecontroller, hvis den domænecontroller, der ejer rollen, ikke kan bringes tilbage online.,

Infrastruktur Master

Infrastruktur Master er et domæne-niveau rolle; der isone Infrastruktur Master i hvert domæne i et Active Directory-skov.

ejeren af Infrastrukturmasterens rolle er domaincontroller i hvert domæne, der er ansvarlig for styring af fantomobjekter.Phantom objects bruges til at spore og administrere vedvarende referencer til deletedobjects og link-værdsatte attributter, der henviser til objekter i en anden domaininithin skoven (f.en lokal-domæne sikkerhedsgruppe med et medlem bruger fromanother domain)., Infrastrukturmasteren kan placeres på enhver domaincontroller i et domæne, medmindre Active Directory forest indeholder domaincontrollere, der ikke er globale katalogværter. I så fald skal InfrastructureMaster placeres på en domænecontroller, der ikke er en global katalog vært.

tabet af den domænecontroller, der ejer InfrastructureMaster-rollen, kan kun ses for administratorer og kan tolereres i en længere periode., Mens dens fravær vil resultere i navnene påcross-domain object links undlader at løse korrekt, evnen til at utili .ecross-domain gruppe medlemskaber vil ikke blive påvirket.

PDC Emulator

Den Primære Domæne-Controller Emulator (“PDC Emulator” eller”PDCE”) er et domæne-niveau rolle; der er en PDCE i hvert domæne i en ActiveDirectory skov.

PDCE-rolleejeren er ansvarlig for flere crucialoperations:

  • bagudkompatibilitet. PDCE efterligner single-master opførsel af en primaryindo .s NT primær domænecontroller., For at løse problemer med bagudkompatibilitet registrerer PDCE sig som måldomænecontroller for ældre applikationer, der udfører skrivbare operationer og visse administrative værktøjer, der ikke er opmærksomme på Active Directory-domænecontrollers multi-master-opførsel.
  • tidssynkronisering. Hver PDCE fungerer som master time kilde inden for sit domæne. PDCE i forest root domain fungerer som den foretrukne net serverork Time Protocol (“NTP”) server i skoven., Den PDCE i alle andre domæne i skoven synkroniserer sit ur til roden PDCE, ikke-PDCE domænecontrollere synkronisere deres ure til deres domæne PDCE, og domæne-sluttede værter synkronisere deres ure til deres foretrukne domæne controller.
    Bemærk: Kerberos-godkendelsesprotokollen indeholder tidsstempeloplysninger og er et eksempel på vigtigheden af tidssynkronisering i en Active Directory-skov., Kerberos-godkendelse mislykkes, hvis forskellen mellem en anmodende vært ur, og uret af den godkendende domænecontroller overstiger 5 minutter (denne tolerance er konfigurerbar, men Microsoft ‘ s best practice anbefaling er at opretholde den standard 5-minutters værdi på den Maksimale tolerance for computerens ur indstilling for synkronisering). Denne opførsel er beregnet til at imødegå visse ondsindede aktiviteter, såsom “replay-angreb”.
  • behandling af Adgangskodeopdatering., Når computer-og brugeradgangskoder ændres eller nulstilles af en ikke-PDCE-domænecontroller, replikeres den engagerede opdatering straks til domænets PDCE. Hvis en konto forsøger at godkende mod en domænecontroller, der endnu ikke har modtaget en nylig adgangskodeændring gennem planlagt replikering, sendes anmodningen til domænet PDCE. PDCE vil forsøge at behandle godkendelsesanmodningen og instruere den anmodende domænecontroller til enten at acceptere eller afvise godkendelsesanmodningen., Denne opførsel sikrer, at adgangskoder pålideligt kan behandles, selvom de seneste ændringer ikke er fuldt ud forplantet gennem planlagt replikation. PDCE er også ansvarlig for behandling af kontolås, da alle mislykkede adgangskodeautentifikationer overføres til PDCE.
  • Group Policy opdateringer. Alle Group Policy Object (“GPO”) opdateringer er forpligtet til domænet PDCE. Dette forhindrer potentialet for versionskonflikter, der kan opstå, hvis en GPO blev ændret på to domænecontrollere på omtrent samme tid.
  • distribueret filsystem., Som standard distribueret filsystem (“DFS”) root-servere vil med jævne mellemrum anmode om opdateret DFS namespace oplysninger fra PDCE. Mens denne adfærd kan føre til ressource flaske-necking, aktivering af Dfsutil.e .e Root-skalerbarhedsparameter giver DFS-rodservere mulighed for at anmode om opdateringer fra den nærmeste domænecontroller (se https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(V=.s.10) for mere information).

som følge af sit ansvar bør PDCE placeres på en meget tilgængelig, godt forbundet, højtydende domaincontroller., Derudover skal forest root domain PDC emulatoren værekonfigureret med en pålidelig ekstern tidskilde.

mens tabet af domænecontrolleren, der ejer PDCEmulator-rollen, kan forventes at have en øjeblikkelig og betydelig indvirkning påoperationer, resulterer arten af dets ansvar i beslaglæggelsen af thePDCE-rollen med færre konsekvenser for domænet end beslaglæggelsen af andre roller. Beslaglæggelsen af PDCE-rollen betragtes som en anbefalet bedste praksisi tilfælde af, at en domænecontroller, der ejer PDCE-rollen, bliver utilgængelig som følge af et uplanlagt udfald.,

overførsel af FSMO-roller

som tidligere nævnt i dette indlæg er FSMO-roller nødvendigeat udføre visse vigtige operationer, og de er ikke overflødige. Som aresultat kan det være enten ønskeligt eller nødvendigt at flytte FSMO roller fra onedomain controller til en anden.

en metode til overførsel af FSMO roller er at degradere thedomain controller, der ejer rollerne. Når en domænecontroller degraderes, vil IT attemptill forsøge at overføre eventuelle FSMO-roller, den ejer, til egnede domænecontrollere på samme sted., Domæne-niveau Roller kan kun overføres til domaincontrollers i samme domæne, men enterprise-niveau Roller kan overføres til enhver egnet domænecontroller i skoven. Mens der er regler thatgovern hvordan domænecontrolleren bliver degraderet vil beslutte, hvor at transferdets FSMO roller, der er ingen måde at direkte kontrol, hvor dens FSMO roller vil betransferred.

Den ideelle metode til at flytte en FSMO rolle er at aktivt transferthem ved hjælp af enten Management Console, PowerShell, eller ntdsutil.e .e., Under amanual transfer synkroniseres kildedomænecontrolleren med targetdomain-controlleren, før rollen overføres.

den konto, der udfører en Schema Master-rolle, skal være medlem af Schema Admins og Enterprise Admins-gruppen. Medlemskab i Enterprise Admins-gruppen er nødvendigt for at overføre hovedrollen for Domænenavngivning. PDCE, RID Master og Infrastructure Master rollerne kan overføres af en konto med medlemskab i Domæneadmins-gruppen af det domæne, hvor rollerne overføres.,

Management Console

Overførsel af FSMO-roller ved hjælp af Management Console canrequire brug af op til tre forskellige snap-in-moduler.

overførsel af Schema Master-rollen

Schema Master-rollen kan overføres ved hjælp af snap-in til ActiveDirectory Schema Management.

hvis ikke er blandt de tilgængelige Snap-ins til administrationskonsollen, skal den registreres. For at registrere Active Directory Schema Management Console skal du åbne en forhøjet kommandoprompt, skriv regsvr32 schmmgmt.,dll, og tryk på Enter:

Når DLL er blevet registreret, skal du køre Management Console som en bruger, der er medlem af Skemaet Admins gruppen og føje den til Active Directory-Skema, snap-in-programmet til Management Console:

Højre-klik på Active Directory-Skema, node og vælg “Ændre Active Directory-Domænecontroller”.,div id=”51e1a53e4d”>

Højre-klik på Active Directory-Skema node igen, og vælg “Operations Master”:

Klik på knappen “rediger” for at begynde overførslen af skemaserver til målrettet domænecontroller:

Overførsel af Rollen domænenavngivningsserver

domænenavngivningsserver rolle kan overføres ved hjælp af theActive Directory-Domæner og Tillid Management Console-snap-in.,

Kør Management Console som en bruger, der er medlem af virksomhedsadministratorer gruppe og tilføje Active Directory-Domæner, og Stoler på, snap-in-programmet til Management Console:

Højre-klik på Active Directory-Domæner, og Stoler på, node og vælg “Ændre Active Directory-Domænecontroller”., node igen, og vælg “Operations Master”:

Klik på knappen “rediger” for at begynde overførslen af domænenavngivningsserver rolle, at den målrettede domænecontroller:

Overførsel af RID Master, Infrastruktur Master, eller PDC-Emulator Roller

RID Master, Infrastruktur Master, og PDC Emulatorroles kan alle overføres ved hjælp af Active Directory-Brugere og ComputersManagement Konsol-snap-in.,

Kør Management Console som en bruger, der er medlem af Domain Admins gruppen i det domæne, hvor FSMO-roller bliver overført, og tilføje den til Active Directory-Brugere og-Computere snap-in Management Console:

Højre-klik på enten Domænet node eller Active Directory-Brugere og-Computere node og vælg “Ændre Active Directory-Domænecontroller”.,v id=”0c7ce01ed8″>

Højre-klik på Active Directory-Brugere og-Computere node, og klik på “Operations Masters”:

Vælg den relevante fane, og klik på knappen “rediger” for at begynde overførslen af FSMO rolle, at den målrettede domænecontroller:

PowerShell

Flyt-ADDirectoryServerOperationMasterrole PowerShell-cmdlet kan bruges til at overføre FSMO-roller., De roller, der overføres, angives ved hjælp af parameteren-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.e .e

ndtsutil.e .e er et let kommandolinjeværktøj, der kanudføre en række nyttige funktioner, herunder overførsel af FSMO roller.

FSMO-Roller kan overføres ved hjælp af følgende trin:

  1. Åbn en forhøjet kommandoprompt.
  2. skriv ntdsutil, og tryk på Enter. Et nyt vindue åbnes.
  3. skriv roller i ntdsutil-prompten, og tryk på Enter.
  4. skriv tilslutninger på FSMO-vedligeholdelsesprompten, og tryk på Enter.,
  5. I server-forbindelser prompten skriver du forbindelse til serveren <DC> (udskift <DC> med værtsnavn, domæne-controller, der FSMO-roller bliver overført til), og tryk på Enter. Dette binder ntdsutil til måldomænecontrolleren.
  6. skriv Afslut, og tryk på Enter.
  7. ved FSMO maintenance prompt skal du indtaste de relevante kommandoer for hver FSMO-rolle, der overføres:
    • for at overføre Schema Master FSMO-rollen skal du skrive transfer schema master og trykke på Enter.,
    • for at overføre rollen som domænenavn Master FSMO skal du skrive transfer naming master og trykke på Enter.
    • for at overføre RID Master FSMO-rollen skal du skrive transfer rid master og trykke på Enter.
    • for at overføre Infrastructure Master FSMO-rollen skal du skrive transfer infrastructure master og trykke på Enter.
    • for at overføre PDC-Emulator FSMO-rollen skal du skrive transfer PDC og trykke på Enter.
  8. for at afslutte FSMO-vedligeholdelsesprompten skal du skrive quituit og trykke på Enter.
  9. for at afslutte ntdsutil-prompten skal du skrive Afslut og trykke på Enter.,

Beslaglæggelse FSMO-Roller

Overførsel af FSMO-roller kræver, at både kilde domaincontroller, og det mål, domæne controllere være online og funktionelle. Hvis adomain-controller, der ejer en eller flere FSMO-roller, går tabt eller vil være tilgængelig i en betydelig periode, kan dens FSMO-roller “beslaglægges” til en andendomain-controller.

i de fleste tilfælde bør FSMO-roller kun beslaglægges, hvis den oprindelige FSMO-rolleejer ikke kan bringes tilbage i miljøet., Genindførelsen af en FSMO-rolleejer efter beslaglæggelsen af dens roller kan medføre betydelige skader på domænet eller skoven. Dette gælder især for SchemaMaster og RID Master roller.

Move-ADDirectoryServerOperationMasterrole cmdlet tilladerbrugen af en-Kraftparameter, der kan bruges til at gribe FSMO-roller. Brug af-Force-parameteren dirigerer cmdlet til at forsøge en FSMO-rolleoverførsel og derefter gribe rollerne, hvis overførselsforsøget mislykkes.

følgende instruktioner kan bruges til at gribe FSMO-roller med ntdsutil.,e .e-værktøj:

  1. Åbn en forhøjet kommandoprompt.
  2. skriv ntdsutil, og tryk på Enter. Et nyt vindue åbnes.
  3. skriv roller i ntdsutil-prompten, og tryk på Enter.
  4. skriv tilslutninger på FSMO-vedligeholdelsesprompten, og tryk på Enter.
  5. I server-forbindelser prompten skriver du forbindelse til serveren <DC> (udskift <DC> med værtsnavn, domæne-controller, der FSMO-roller bliver beslaglagt til), og tryk på Enter., Dette binder ntdsutil til måldomænecontrolleren.
  6. skriv Afslut, og tryk på Enter.
  7. I fsmo vedligeholdelse prompt, indtast de relevante kommandoer for hver FSMO rolle bliver overført:
    • for At overføre Schema Master FSMO rolle, type gribe schema master, og tryk på Enter.
    • for at overføre domænenavn Master FSMO rolle, skriv beslaglægge navngivning master og tryk på Enter.
    • for at overføre RID Master FSMO-rollen skal du skrive Grib rid master og trykke på Enter.
    • for at overføre Infrastructure Master FSMO-rollen skal du skrive Grib infrastructure master og trykke på Enter.,
    • for at overføre PDC-Emulator FSMO-rollen skal du indtaste Grib PDC og trykke på Enter.
  8. for at afslutte FSMO-vedligeholdelsesprompten skal du skrive quituit og trykke på Enter.
  9. for at afslutte ntdsutil-prompten skal du skrive Afslut og trykke på Enter.

Oversigt

Som hver rolle eksisterer kun én gang i en skov eller et domæne, er det vigtigt at forstå, ikke kun placeringen af hver FSMO rolle ejer og ansvar hver FSMO-rolle, men også de operationelle konsekvenser indført ved fraværet af FSMO-rolle-eje-domænecontroller., Sådanne oplysninger er værdifulde i situationer, hvor en domænecontroller ikke er tilgængelig, hvad enten det skyldes uventede begivenheder eller under planlægning og udførelse af planlagte opgraderinger og vedligeholdelse.

Share

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *