Active Directory-objektin avulla luomuksia, päivitykset ja poistot olla sitoutunut mihinkään arvovaltainen domain controller. Tämä on mahdollista, koska jokainen Active Directory domain controller ylläpitää kirjoitettavissa kopioi sen oman verkkotunnuksen osio – paitsi tietenkin, Vain luku-Toimialueen Ohjauskoneet. Sen jälkeen, kun muutos on tehty, se kopioidaan automaattisesti muihin toimialueen ohjauskoneisiin läpi prosessia kutsutaan multi-master replikointi., Tämän käyttäytymisen avulla useimmat toiminnot voidaan käsitellä luotettavasti useiden verkkotunnuksen ohjaimet ja tarjoaa korkean tason redundanssi, saatavuus, ja saavutettavuus Active Directory.
poikkeusta tähän käyttäytymiseen sovelletaan tiettyihin Active Directory-toimintoihin, jotka ovat niin herkkiä, että niiden toteutus rajoittuu tiettyyn verkkotunnuksen ohjaimeen. Active Directory käsittelee näitä tilanteita erityisen roolisarjan kautta., Microsoft on alkanut viitata näihin rooleihin Operation Masters-rooleina, mutta niihin viitataan yleisemmin niiden alkuperäisellä nimellä, joustavalla yhden Master-operaattorilla (”FSMO”).
mitkä ovat FSMO-roolit?
Active Directory on viisi FSMO (yleensä lausutaan ”FIZZ-mo”) rooleja, joista kaksi on enterprise-tason (eli yksi per metsä) ja kolme, jotka ovat domain-tasolle (eli yksi per domain). Yritystason FSMO-rooleja kutsutaan skeema-mestariksi ja verkkotunnuksen Nimeämismestariksi., Domain-tason FSMO-roolit ovat nimeltään Primary Domain Controller Emulator, Relative Identifier Master ja Infrastructure Master.
seuraavia komentoja voidaan käyttää FSMO-roolien omistajien tunnistamiseen. Komentorivi:
netdom query fsmo /domain:<DomainName>
PowerShell:
uuden Active Directory forest, kaikki viisi FSMO-rooleja osoitetaan alkuperäisen domain controller luotuun forest rootdomain.,
kun uusi verkkotunnus lisätään olemassa olevaan metsään, vain kolme verkkotunnuksen tason FSMO-roolia annetaan uudelle verkkotunnukselle; kaksi yritystason FSMO-roolia on jo olemassa forest root-alueella.
FSMO-roolit jäävät usein alkuperäisille domain-ohjaimilleen, mutta ne voidaan tarvittaessa siirtää.,
5 FSMO-Roolit Active Directory
Schema Master
Schema Master on enterprise-tason FSMO-rooli, siellä on vain yksi Schema Master Active Directory-metsä.
skeeman pääroolin omistaja on ainoa verkkotunnuksen valvoja Active Directory-metsä, joka sisältää kirjoitettavan skeema-osion. Schema Master FSMO-roolin omistavan domain Controllerin on oltava käytettävissä muokkaamaan metsänsä skeemaa., Tämä sisältää toimintoja, kuten raisingthe toiminnallinen taso, metsä ja päivittäminen käyttöjärjestelmän adomain ohjainta uudempi versio kuin tällä hetkellä on olemassa metsässä,joko, joka esittelee päivitykset Active Directory schema.
skeeman pääroolissa on vain vähän ylimenoa, ja sen menetyksen voidaan olettaa johtavan vain vähän tai ei lainkaan välittömiin operatiivisiin vaikutuksiin., Skeema – päärooliin pitäisi tarttua vasta, kun roolin omistavaa domaincontrolleria ei voi tuoda takaisin verkkoon. Thescheman pääroolin omistajan tuominen takaisin verkkoon sen jälkeen, kun rooli on otettu siitä haltuun, voi tuoda vakavia tietojen epäjohdonmukaisuutta ja eheyttä koskevia kysymyksiä metsään.
Domain Naming Master
Domain Naming Master on enterprise-tason rooli; nykyisin vain yksi Domain Naming Master Active Directory-metsä.,
Domain Naming Master-roolin omistaja on ainoa domaincontroller Active Directory-metsä, joka pystyy lisäämällä uusia verkkotunnuksia noudatettu osiot metsään. Sen saatavuus on myös tarpeen poistaa nykyiset verkkotunnukset ja sovellus osiot metsästä.
Domain Naming Master-rooli on hieman yläpuolella ja itsloss voidaan olettaa johtavan juurikaan ole käytännön vaikutuksia, kuten theaddition ja poistaminen verkkotunnukset ja osiot suoritetaan harvoin jaovat harvoin aika-kriittisiä toimintoja., Näin ollen Domain Naming Master roleshould tarvitsee takavarikoida vain, kun rolecannot-verkkotunnuksen omistava domain controller tuodaan takaisin verkkoon.
EROON Mestari
Relative Identifier Master (”RID Master”) on adomain-tason rooli, on yksi RID Master kunkin toimialue ActiveDirectory metsä.
RID Master-aseman omistaja on vastuussa allocatingactive ja valmiustilassa Suhteellinen Tunniste (”RID”) – allasta toimialueen ohjauskoneet itsdomain. Rid altaat koostuvat ainutlaatuinen, yhtenäinen valikoima RIDs., Näitä Ridejä käytetään objektin luomisen aikana tuottamaan uuden objektin yksilöllinen Tietoturvatunniste (”SID”). RID Master vastaa myös esineiden siirtämisestä domaintosta toiseen metsän sisällä.
kypsillä aloilla, yläpuolella syntyy EROON Masteris vähäinen. Koska PDC verkkotunnuksen tyypillisesti saa eniten huomiota hallintoneuvostot, jättäen tämän roolin annetaan verkkotunnuksen PDC auttaa ensurereliable saatavuus., Se on myös tärkeää varmistaa, että olemassa olevia domaincontrollers ja vasta edistänyt toimialueen ohjauskoneet, erityisesti niille, edistää inremote tai lavastus sivustot on verkossa yhteyden RID Master ja arereliably voi saada active-ja standby-EROON-altaat.
menetys domain RID Master lopulta johtaa sellaisten kyvyttömyys luoda uusia esineitä toimialueessa kuin loput domaincontrollers’ RID-altaat ovat uhanalaisia., Kun ei ole saatavilla domaincontroller, joka omistaa RID Master-rooli voi näkyä ikään kuin se olisi causesignificant toiminnallisia häiriöitä, suhteellisen alhainen määrä objectcreation tapahtumia kypsä ympäristö on yleensä seurauksena vaikutus tällainen tapahtuma on siedettävä huomattavan pitkäksi aikaa. Tuominen RIDMaster takaisin verkossa otettuaan sen rooli voi mahdollisesti esitellä rids verkkotunnuksen. Näin ollen, tämä rooli pitäisi olla vain seizedfrom toimialueen ohjain, jos toimialueen ohjauskone, joka omistaa rooli ei voitaisiin saattaa takaisin verkossa.,
Infrastruktuuri-Mestari
Infrastructure Master on domain-tason rooli, on yksi Infrastructure Master kunkin toimialueen Active Directory-metsä.
infrastruktuurin pääroolin omistaja on kullakin alueella domaincontroller, joka vastaa phantom-kohteiden hallinnoinnista.Phantom esineitä käytetään seurata ja hallita jatkuva viittauksia deletedobjects ja linkki-arvostettuja attribuutteja, jotka viittaavat objekteihin toinen domainwithin metsä (esim. local-toimialueen turvallisuus ryhmä, jonka jäsen käyttäjä fromanother domain).,
Infrastructure Master voidaan sijoittaa mille tahansa domaincontroller toimialueella, ellei Active Directory-metsä sisältää domaincontrollers, jotka eivät ole global catalog-palvelimet. Tällöin Infrastruktuurimestari on sijoitettava verkkotunnuksen ohjaimeen, joka ei ole maailmanlaajuinen luetteloisäntä.
menetys domain controller, joka omistaa InfrastructureMaster rooli on vain todennäköisesti havaittavissa ylläpitäjät ja voi betolerated pitkäksi., Kun taas sen puuttuminen johtaa nimet, rajat verkkotunnuksen objekti linkkejä ei ratkaista oikein, kyky utilizecross-domain-ryhmän jäsenyyksiä ei vaikuta.
PDC-Emulaattori
Primary Domain Controller Emulator (”PDC-Emulaattori” tai”PDCE”) on domain-tason rooli, on yksi PDCE kunkin toimialue ActiveDirectory metsä.
PDCE rooli omistaja on vastuussa useita crucialoperations:
- Taaksepäin Yhteensopivuus. PDCE jäljittelee Windows NT primary domain Controllerin yhden master-käyttäytymistä., Osoite taaksepäin yhteensopivuus koskee, PDCE rekisterit kuten target domain controller for legacy-sovelluksia, jotka suorittaa kirjoitettavissa toimintaa ja tiettyjä hallinnollisia työkaluja, jotka eivät tunne multi-master käyttäytymistä Active Directory-toimialueen ohjauskoneet.
- Ajan Synkronointi. Jokainen PDCE toimii alansa keskeisenä aikalähteenä. Forest root-verkkotunnuksen PDCE toimii ensisijaisena verkkoaikaprotokollana (”NTP”) palvelimena metsässä., Se PDCE kaikissa muissa toimialueen sisällä metsä synkronoi sen kellon forest root PDCE, ei-PDCE toimialueen ohjauskoneet synkronoida kellonsa niiden verkkotunnuksen PDCE, ja domain-yhdistetyt isännät synkronoida kellonsa heidän ensisijainen domain controller.
huomautus: Kerberos authentication protocol sisältää aikaleimatiedot ja on esimerkki ajan synkronoinnin tärkeydestä Active Directory-metsässä., Kerberos-todennus epäonnistuu, jos ero pyytää host on kello ja kellon todentavan toimialueen ohjauskoneen ylittää 5 minuuttia (tämä suvaitsevaisuus on konfiguroitavissa, mutta Microsoft on paras käytäntö suositus on säilyttää oletuksena 5 minuutin arvo Suurin sallittu poikkeama tietokoneen kellon synkronointi-asetus). Tämän käyttäytymisen tarkoituksena on torjua tiettyjä ilkivaltaisia toimintoja, kuten”replay attacks”. - Salasanapäivityksen käsittely., Kun tietokoneen ja käyttäjän salasanoja muuttaa tai nollaa ei-PDCE-verkkotunnuksen ohjain, sitoutunut päivitys toistetaan välittömästi verkkotunnuksen PDCE. Jos tili yrittää todentaa vastaan toimialueen ohjain, joka ei ole vielä saanut viime salasanan muutos läpi aikataulun replikointi, pyyntö välitetään toimialueen PDCE. Se PDCE yrittää käsitellä autentikointi pyynnön ja ohjeistaa pyytää domain controller joko hyväksyä tai hylätä authentication request., Tämä käyttäytyminen varmistaa, että salasanat voidaan luotettavasti käsitellä, vaikka viimeaikaiset muutokset eivät ole täysin levittävät läpi aikataulun replikointi. PDCE vastaa myös tilisulkujen käsittelystä, sillä kaikki epäonnistuneet salasanojen todennukset kulkevat PDCE: n kautta.
- Ryhmäkäytäntöpäivitykset. Kaikki Ryhmäkäytäntöobjektin (”GPO”) päivitykset ovat sitoutuneet verkkotunnuksen PDCE. Tämä estää mahdollisten versiointi konflikteja, joita voi esiintyä, jos GPO oli muutettu kaksi toimialueen ohjauskoneet suunnilleen samaan aikaan.
- Hajautettu tiedostojärjestelmä., Oletusarvoisesti hajautetun tiedostojärjestelmän (”DFS”) juuripalvelimet pyytävät ajoittain päivitettyjä DFS-nimiavaruustietoja PDF-tiedostosta. Vaikka tämä käyttäytyminen voi johtaa resurssien pullonkaulaan, mahdollistaen Dfsutilin.exe Juuri Skaalautuvuus parametrin avulla DFS root-palvelimet pyytää päivityksiä lähinnä domain controller (ks. https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) lisätietoja).
seurauksena sen vastuut, PDCE olisi beplaced on erittäin helposti, hyvin kytketty, korkean suorituskyvyn domaincontroller., Lisäksi Forest root domain PDC-emulaattori olisi muokattava luotettavalla ulkoisella aikalähteellä.
Vaikka tappio domain controller, joka omistaa PDCEmulator rooli voi olla odotetaan on välitön ja merkittävä vaikutus onoperations, luonne vastuunsa johtaa takavarikointi thePDCE rooli on vähemmän vaikutuksia toimialueen kuin takavarikointi otherroles. Takavarikointi PDCE rooli on pitää suositella paras käytäntö tapahtuma toimialueen ohjain, joka omistaa PDCE rooli ei ole käytettävissä asa: n tulos suunnittelematon seisokki.,
FSMO-roolien siirtäminen
kuten tässä tehtävässä aiemmin mainittiin, FSMO-roolit ovat välttämättömiä tiettyjen tärkeiden operaatioiden suorittamiseksi, eivätkä ne ole tarpeettomia. Näin, se voi olla joko toivottavaa tai välttämätöntä siirtää FSMO-roolit päässä onedomain ohjain toiseen.
yksi tapa siirtää FSMO-rooleja on demoteuttaa roolit omistava thedomain controller. Kun verkkotunnuksen ohjain alennetaan se yrittää siirtää kaikki FSMO rooleja se omistaa sopiville verkkotunnuksen valvojia samalla sivustolla., Domain-tason tehtävät voidaan siirtää vain domaincontrollers sama verkkotunnus, mutta enterprise-tason rooleja voi olla välitti mitä tahansa sopivaa domain controller metsässä. Vaikka on olemassa sääntöjä, jotkavertavat, miten verkkotunnuksen ohjain alennetaan päättää, mistä siirtää FSMO rooleja, ei ole mitään keinoa suoraan valvoa, missä sen FSMO roolit siirretään.
ihanteellinen tapa siirtää FSMO-roolia on siirtää sitä aktiivisesti joko hallintakonsolilla, Powershellilla tai ntdsutililla.exe., Amanual Transferin aikana lähdekoodiohjain synkronoituu targetdomain-ohjaimen kanssa ennen roolin siirtämistä.
skeema-pääroolin suorittavan tilin tulee olla skeema Admins and Enterprise Admins-ryhmän jäsen. Jäsenyys Enterprise Admins-ryhmässä on tarpeen verkkotunnuksen nimeämisen pääroolin siirtämiseksi. Se PDCE, RID Master ja Infrastructure Master roolit voidaan siirtää tilin jäsenyys Toimialueen Järjestelmänvalvojat-ryhmän verkkotunnuksen, jossa tehtävät siirretään.,
hallintakonsoli
FSMO-roolien siirtäminen hallintakonsolin avulla voi edellyttää jopa kolmen eri laajennusmoduulin käyttöä.
siirretään Schema Master Rooli
Schema Master-rooli voidaan siirtää käyttämällä ActiveDirectory Schema Management snap-in.
Jos se ei ole saatavilla olevien hallintakonsolin laajennusten joukossa, se on rekisteröitävä. Voit rekisteröidä Active Directory Schema Management Console, avaa komentokehote, kirjoita regsvr32 schmmgmt.,dll, ja paina Enter:
Kun DLL on rekisteröity, suorita Management Console käyttäjänä, joka kuuluu Schema Admins-ryhmän ja lisää Active Directory Schema snap-in Management Console:
napsauta hiiren kakkospainikkeella Active Directory-Rakenteen solmu ja valitse ”Change Active Directory Domain Controller”.,div id=”51e1a53e4d”>
napsauta hiiren kakkospainikkeella Active Directory-Rakenteen solmu uudelleen ja valitse ”Toimintojen Mestari”:
Napsauta ”Change” – painiketta aloittaa siirron Schema Master rooli kohdennettuja domain controller:
Siirtäminen Domain Naming Master Role
Domain Naming Master-roolin voidaan siirtää käyttämällä theActive Directory-Toimialueet ja-Luottamussuhteet-Hallinta-Konsolin snap-in.,
Suorita Management Console kuin käyttäjälle, joka on jäsen Yrityksen Järjestelmänvalvojat-ryhmä ja lisää Active Directory-Toimialueet ja-Luottamussuhteet snap-in Management Console:
napsauta hiiren kakkospainikkeella Active Directory-Toimialueet ja-Luottamussuhteet-solmu ja valitse ”Change Active Directory Domain Controller”., solmu uudelleen ja valitse ”Toimintojen Mestari”:
Napsauta ”Change” – painiketta alkaa siirtää Domain Naming Master-roolin suunnattu domain controller:
Siirtämällä RID-Master Infrastructure Master-tai PDC-Emulaattori Roolit
RID-Master Infrastructure Master, ja PDC Emulatorroles voidaan kaikki siirtää käyttämällä Active Directoryn Käyttäjät ja ComputersManagement Konsolin snap-in.,
Suorita Management Console kuin käyttäjälle, joka on jäsen Toimialueen Järjestelmänvalvojat-ryhmän toimialueella, jossa FSMO-roolit siirretään ja lisää Active Directoryn Käyttäjät ja Tietokoneet snap-in Management Console:
Oikea-klikkaa joko Domain-solmu tai Active Directoryn Käyttäjät ja Tietokoneet-solmu ja valitse ”Change Active Directory Domain Controller”.,v id=”0c7ce01ed8″>
napsauta hiiren kakkospainikkeella Active Directoryn Käyttäjät ja Tietokoneet-solmu ja valitse ”Operations Masters”:
Valitse sopiva välilehti ja klikkaa ”Change” – painiketta alkaa siirtää FSMO-rooli kohdennettuja domain controller:
PowerShell
Siirrä-ADDirectoryServerOperationMasterrole PowerShell-cmdlet-komentoa voidaan käyttää, siirtää FSMO-roolit., Roolit siirretään on määritetty käyttäen-OperationMasterRole parametri:
Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
ntdsutil.exe
ndtsutil.exe on kevyt komentorivi työkalu, joka voitehdä useita hyödyllisiä toimintoja, kuten siirtää FSMO-roolit.
FSMO-roolit voidaan siirtää käyttämällä seuraavia ohjeita:
- Avaa komentokehotteessa.
- Kirjoita Ntdsutil ja paina Enter. Uusi ikkuna aukeaa.
- Ntdsutil-kehotuksessa, Kirjoita roolit ja paina Enter.
- FSMO-huoltokehotteessa, Kirjoita yhteydet ja paina Enter.,
- Klo server connections-kehotteeseen kirjoita connect to server <DC> (korvaa <DC> hostname, domain controller, että FSMO-roolit siirretään) ja paina Enter-näppäintä. Tämä sitoo ntdsutilin kohdealueohjaimeen.
- Type quit and press Enter.
- Klo fsmo maintenance-kehotteeseen, anna tarvittavat komennot kunkin FSMO-rooli siirretään:
- siirtää Schema Master FSMO-rooli, tyyppi siirto schema master ja paina Enter-näppäintä.,
- siirtää verkkotunnuksen nimeäminen Master FSMO rooli, tyyppi siirto nimeäminen master ja paina Enter.
- siirtää RID-Master FSMO-rooli, tyyppi siirto rid master ja paina Enter-näppäintä.
- siirtääkseen infrastruktuurin Master FSMO-roolin, tyypin transfer infrastructure master ja press Enter.
- siirtää PDC-Emulaattori FSMO-rooli, tyyppi siirto pdc ja paina Enter-näppäintä.
- poistuaksesi FSMO-huoltokehotteesta, Kirjoita lopeta ja paina Enter-näppäintä.
- poistuaksesi Ntdsutil-kehotteesta, Kirjoita quit ja paina Enter.,
Takavarikoi FSMO-Roolit
Siirtää FSMO-roolit edellyttää, että sekä lähde domaincontroller ja kohde toimialueen ohjauskoneet olla verkossa ja toimiva. Jos adomain ohjain, joka omistaa yhden tai useamman FSMO-roolit on menettänyt tai tulee beunavailable merkittävän ajan, sen FSMO-roolit voivat olla ”takavarikoitu”, jotta anotherdomain ohjain.
useimmissa tapauksissa FSMO: n tehtävät olisi takavarikoitava vain, jos alkuperäistä FSMO: n roolinomistajaa ei voida saattaa takaisin ympäristöön., Se reintroductionof on FSMO-rooli omistajan seuraavat takavarikointi sen rooleja voi aiheuttaa significantdamage toimialueen tai metsän. Tämä koskee erityisesti SchemaMaster-ja RID-Mestarirooleja.
Move-Additoryseroperationmasterrole cmdlet mahdollistaa A-Force-parametrin käytön, jota voidaan käyttää FSMO-roolien takavarikoimiseen. Käyttämällä-Force-parametri ohjaa cmdlet-komento yrittää FSMO-roolin siirto jasitten tarttumaan rooleja, jos siirto epäonnistuu.
seuraavia ohjeita voidaan käyttää FSMO-roolien takavarikoimiseen ntdsutilin avulla.,exe utility:
- avaa kohonnut komentorivi.
- Kirjoita Ntdsutil ja paina Enter. Uusi ikkuna aukeaa.
- Ntdsutil-kehotuksessa, Kirjoita roolit ja paina Enter.
- FSMO-huoltokehotteessa, Kirjoita yhteydet ja paina Enter.
- Klo server connections-kehotteeseen kirjoita connect to server <DC> (korvaa <DC> hostname, domain controller, että FSMO-roolit ovat takavarikoitu) ja paina Enter-näppäintä., Tämä sitoo ntdsutilin kohdealueohjaimeen.
- Type quit and press Enter.
- Klo fsmo maintenance-kehotteeseen, anna tarvittavat komennot kunkin FSMO-rooli siirretään:
- siirtää Schema Master FSMO-rooli, tyyppi tarttua schema master ja paina Enter-näppäintä.
- siirtää verkkotunnuksen nimeäminen Master FSMO rooli, tyyppi takavarikoida nimeäminen master ja paina Enter.
- siirtää rid Master FSMO-roolin, Kirjoita seize rid master ja paina Enter.
- siirtääksesi infrastruktuurin päällikön FSMO-roolin, Kirjoita seize infrastructure master ja paina Enter.,
- siirtää PDC emulaattori FSMO rooli, Kirjoita takavarikoida pdc ja paina Enter.
- poistuaksesi FSMO-huoltokehotteesta, Kirjoita lopeta ja paina Enter-näppäintä.
- poistuaksesi Ntdsutil-kehotteesta, Kirjoita quit ja paina Enter.
Tiivistelmä
Kuten jokainen rooli on olemassa vain kerran metsän tai toimialueen, se on tärkeää ymmärtää, ei vain sijainti kunkin FSMO-roolin omistaja ja vastuut kunkin FSMO-rooli, mutta myös käytännön vaikutuksia, käyttöön ei ollut saatavilla FSMO-rooli-omistaa domain controller., Tällaiset tiedot ovat arvokkaita tilanteissa, joissa verkkotunnuksen rekisterinpitäjä ei ole käytettävissä joko ennakoimattomien tapahtumien vuoksi tai suunnitellun päivittämisen ja ylläpidon aikana.