Az Active Directory lehetővé teszi, hogy az objektumok alkotásai, frissítései és törlései bármilyen hiteles tartományvezérlő számára elkötelezettek legyenek. Ez azért lehetséges, mert minden Active Directory domain controller fenntartja a saját domain partíciójának írható másolatát-kivéve természetesen a Csak olvasható tartományvezérlőket. Miután a változás történt, akkor automatikusan replikálódik más tartományvezérlők egy folyamat az úgynevezett multi-master replikáció., Ez a viselkedés lehetővé teszi, hogy a legtöbb műveletet több tartományvezérlő megbízhatóan dolgozza fel, és magas szintű redundanciát, rendelkezésre állást és hozzáférhetőséget biztosít az Active Directory-ban.
e viselkedés alóli kivétel vonatkozik bizonyos Active Directory műveletekre, amelyek elég érzékenyek ahhoz, hogy végrehajtásuk egy adott tartományvezérlőre korlátozódjon. Az Active Directory ezeket a helyzeteket speciális szerepkörökkel kezeli., A Microsoft elkezdte ezeket a szerepeket Operation Masters szerepeknek nevezni, de ezeket általában az eredeti nevük, a rugalmas single-Master Operator (“FSMO”) szerepek nevezik.
mik azok az FSMO szerepek?
Az Active Directory öt FSMO (általában “FIZZ-mo”) szerepkörrel rendelkezik, amelyek közül kettő vállalati szintű (azaz erdőnként egy), három pedig domain szintű (azaz tartományonként egy). A vállalati szintű FSMO szerepeket séma Mesternek, a Domain névadó mesternek nevezik., A tartományszintű FSMO szerepeket elsődleges tartományvezérlő emulátornak, a relatív Azonosító mesternek, valamint az infrastruktúra mesternek nevezzük.
a következő parancsok használhatók az FSMO szereptulajdonosok azonosítására. Parancssor:
netdom query fsmo /domain:<DomainName>
PowerShell:
egy új Active Directory erdőben mind az öt FSMO szerepkört hozzárendelik az újonnan létrehozott forest rootdomain kezdeti tartományvezérlőjéhez.,
Ha egy meglévő erdőhöz új domain kerül hozzáadásra, az újonnan létrehozott domainben csak a három tartományszintű FSMO szerepkör van hozzárendelve a kezdeti tartományvezérlőhöz; a két vállalati szintű FSMO szerep már létezikaz erdő gyökértartományában.
az FSMO szerepkörök gyakran az eredeti tartományvezérlőkhöz vannak hozzárendelve, de szükség esetén átvihetők.,
az 5 FSMO szerepek Active Directory
Schema Master
a séma mester egy vállalati szintű FSMO szerep; vancsak egy séma mester egy Active Directory erdőben.
a séma mester szerepe tulajdonos az egyetlen domain controllerin egy Active Directory erdőben, amely egy írható séma partíció. Ennek eredményeként a séma mester FSMO szerepét birtokló tartományvezérlőnek rendelkezésre kell állnia az erdő sémájának módosításához., Ez magában foglalja az olyan tevékenységeket is,mint az erdő funkcionális szintjének emelése, valamint az adomain controller operációs rendszerének a jelenleginél magasabb verzióra történő frissítése az erdőben, amelyek közül bármelyik frissíti az Active Directory sémát.
A séma fő szerepének kevés a rezsi, és vesztesége várhatóan alig vagy egyáltalán nem eredményez azonnali működési hatást; nincs szükség a változásokra, határozatlan ideig offline maradhat, anélkül, hogy lehetséges hatása lenne., A séma mester szerepét csak akkor szabad megragadni, ha a szerepet birtokló domaincontroller nem hozható vissza az interneten. Az, hogy a szerepkör tulajdonosát a szerep lefoglalása után visszakapcsolják az internetre, komoly adathiányt és integritási problémákat okozhat az erdőben.
Domain Naming Master
A Domain Naming Master egy vállalati szintű szerepet; thereis csak egy Domain névadó mester egy Active Directory forest.,
A Domain Naming Master role tulajdonos az egyetlen domaincontroller egy Active Directory erdőben, amely képes új domaineket ésalkalmazás partíciókat az erdőbe. Rendelkezésre állása is szükséges, hogy eltávolítsukmeglévő domainek és alkalmazási partíciók az erdőből.
A Domain Naming Master szerepét, kis rezsi, valamint itsloss várható eredmény a kicsit, hogy nincs működési hatása, mint theaddition, illetve eltávolítása a tartományok pedig partíciók végzett ritkán csak ritkán idő-kritikus műveletek., Következésképpen a domain névadó mester rolescsak akkor kell lefoglalni, ha a rolecannot birtokló domain vezérlőt online vissza kell hozni.
rid Master
a relatív Azonosító mester (“RID Master”) adomain szintű szerep; minden doménben van egy rid mester egy ActiveDirectory erdőben.
a rid Master szerepkör tulajdonosa felelős azért, hogy az itsdomainben lévő tartományvezérlőkhöz aktív és készenléti relatív azonosítót (“RID”) rendeljen. RID medencék állnak egy egyedi, összefüggő tartomány rid., Ezeket a rid-eket az objektum létrehozása során használják az új objektum egyedi biztonsági azonosítójának(“SID”) létrehozásához. A RID mester felelős azért is, hogy tárgyakat mozgatjon az egyik domainbőlegy másikhoz egy erdőben.
Érett tartományokban a rid Master által generált rezsi elhanyagolható. Mivel egy domain PDC-je általában a legnagyobb figyelmet kapja az adminisztrátoroktól, így ez a szerep a tartományhoz van rendelve PDC segít biztosítani a rendelkezésre állást., Fontos továbbá annak biztosítása érdekében, hogy a meglévő domaincontrollers, illetve újonnan kinevezett tartományvezérlők, különösen azok, elő inremote vagy felvonulási területek, hálózati kapcsolatok, a RID-főkiszolgáló, valamint arereliably képes megszerezni aktív készenléti RID medencék.
a domain RID mesterének elvesztése végül azt eredményezi, hogy a domainen belül nem lehet új objektumokat létrehozni, mivel a fennmaradó domaincontrollerek RID-medencéi kimerültek., Míg a RID Master szerepet birtokló domaincontroller elérhetetlensége úgy tűnhet, mintha ez jelentős működési zavarokat okozna, az érett környezetben viszonylag alacsony objektkreációs események mennyisége általában azt eredményezi, hogy a suchan esemény hatása jelentős ideig elviselhető. A RIDMaster újbóli online létrehozása, miután megragadta a szerepét, potenciálisan bevezethetiuplicate rid-ek a domainbe. Következésképpen ezt a szerepet csak akkor szabad lefoglalni egy domain vezérlőtől, ha a szerepet birtokló domain vezérlőt nem lehet online visszavezetni.,
Infrastructure Master
az Infrastructure Master egy domain szintű szerepkör; az Active Directory forest minden tartományában van egy infrastruktúra-mester.
az Infrastructure Master role tulajdonos a domaincontroller minden olyan tartományban, amely felelős a phantom objektumok kezeléséért.Fantom objektumok nyomon követésére használják, rendezése állandó utalások deletedobjects link, illetve többértékű attribútumok, hogy lásd, hogy objektumok egy másik domainwithin az erdő (pl. helyi-domain biztonsági csoport egy tagja felhasználó fromanother domain).,
az Infrastructure Master bármely domaincontrollerre elhelyezhető egy domainben, kivéve, ha az Active Directory forest olyan domaincontrollereket tartalmaz, amelyek nem globális katalógustárak. Ebben az esetben az Infrastrukturemaster-t olyan tartományvezérlőre kell helyezni, amely nem globális katalógus gazdagép.
az InfrastructureMaster szerepet birtokló tartományvezérlő elvesztése csak a rendszergazdák számára lesz észrevehető, és hosszabb ideig is használható., Bár a hiánya azt eredményezi, hogy a nevek ofcross-domain objektum linkek nem oldja meg helyesen, a képesség, hogy hasznosítaniecross-domain csoport tagság nem érinti.
PDC emulátor
az elsődleges tartományvezérlő emulátor (“PDC emulátor”vagy” PDCE”) egy domain-szintű szerep; van egy Pdce minden tartományban egy ActiveDirectory erdőben.
a pdce szerep tulajdonosa felelős több alapvető műveletért:
- visszafelé kompatibilitás. A Pdce utánozza a Windows NT elsődleges tartományvezérlő egykezes viselkedését., Cím visszafelé kompatibilitás vonatkozik, a PDCE nyilvántartások, mint a cél domain controller for legacy alkalmazások végre írható műveletek bizonyos adminisztratív eszközök, amelyek nincsenek tisztában a multi-master viselkedését Active Directory tartományvezérlőt.
- időszinkronizálás. Minden PDCE szolgál a mester időforrás belül a domain. A pdce forest root domain szolgál a Preferált hálózati idő protokoll (“NTP”) szerver az erdőben., A PDCE minden más domain belül az erdő szinkronizálja az óra, hogy az erdő root PDCE, nem PDCE tartományvezérlők szinkronizálja az órák, hogy a tartomány PDCE, illetve domain-csatlakozott házigazdák szinkronizálja az órák, hogy a kívánt domain controller.
Megjegyzés: A Kerberos hitelesítési protokoll időbélyeg-információkat tartalmaz, és példa az időszinkronizálás fontosságára egy Active Directory erdőben., A Kerberos hitelesítés sikertelen lesz, ha a megkereső gazda órája és a hitelesítő tartományvezérlő órája közötti különbség meghaladja az 5 percet (ez a tolerancia konfigurálható, de a Microsoft legjobb gyakorlati ajánlása az alapértelmezett 5 perces érték fenntartása a számítógépes Óraszinkronizálás beállításának maximális toleranciáján). Ez a viselkedés bizonyos rosszindulatú tevékenységek, például a “replay attacks”ellen irányul. - jelszó frissítés feldolgozása., Ha a számítógép és a felhasználói jelszavakat egy nem pdce tartományvezérlő megváltoztatja vagy visszaállítja, az elkövetett frissítés azonnal lemásolódik a tartomány PDCE-jére. Ha egy fiók megkísérel hitelesíteni egy olyan tartományvezérlővel szemben, amely még nem kapott friss jelszóváltást az ütemezett replikáció révén, akkor a kérés továbbításra kerül a pdce tartományba. A PDCE megpróbálja feldolgozni a hitelesítési kérelmet, és utasítja a megkereső tartományvezérlőt, hogy fogadja el vagy utasítsa el a hitelesítési kérelmet., Ez a viselkedés biztosítja, hogy a jelszavak megbízhatóan feldolgozhatók legyenek, még akkor is, ha a legutóbbi változások nem terjedtek el teljes mértékben az ütemezett replikációval. A pdce felelős a fiókzárolások feldolgozásáért is, mivel az összes sikertelen jelszó-hitelesítés átkerül a PDCE-hez.
- Csoportházirend-frissítések. Minden csoportházirend objektum (“GPO”) frissítés elkötelezett a tartomány pdce. Ez megakadályozza az ütközések verziójának lehetőségét, amelyek akkor fordulhatnak elő, ha egy GPO-t körülbelül ugyanabban az időben módosítottak két tartományvezérlőn.
- elosztott fájlrendszer., Alapértelmezés szerint az Elosztott fájlrendszer (“DFS”) gyökérkiszolgálók rendszeresen frissített DFS névtér-információkat kérnek a PDF-től. Bár ez a viselkedés vezethet erőforrás palack nyakkendő, amely lehetővé teszi a Dfsutil.az exe Root Scalability paraméter lehetővé teszi a DFS gyökérkiszolgálók számára, hogy frissítéseket kérjenek a legközelebbi tartományvezérlőtől (lásd https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472 (v=ws.10) További információ).
feladatainak következményeként a PDCE-t egy jól hozzáférhető, jól összekapcsolt, nagy teljesítményű domainkontrollerre kell helyezni., Ezenkívül a forest root domain PDC emulátornak kell lenniekonfigurálva megbízható külső időforrással.
míg a pdcemulator szerepet birtokló tartományvezérlő elvesztése várhatóan azonnali és jelentős hatással lesz a működésre, feladatainak jellege azt eredményezi, hogy a pdce szerepe kevesebb hatással van a domainre, mint más területek lefoglalása. A pdce szerep lefoglalása ajánlott legjobb gyakorlatnak számít abban az esetben, ha a pdce szerepet birtokló domain vezérlő nem érhető el nem tervezett kimaradás következtében.,
FSMO szerepek átvitele
amint azt korábban említettük ebben a bejegyzésben, az FSMO szerepek szükségesekbizonyos fontos műveletek végrehajtásához, és nem feleslegesek. Ennek eredményeként kívánatos vagy szükséges lehet az FSMO szerepek áthelyezése az onedomain vezérlőből a másikba.
az FSMO szerepkörök átvitelének egyik módja a szerepköröket birtokló thedomain vezérlő lefokozása. Ha egy tartományvezérlőt lefokoznak, akkormegpróbálja átadni az általa birtokolt FSMO szerepeket a megfelelő tartományvezérlőknekugyanazon a webhelyen., A domainszintű szerepkörök csak az azonos domainkontrollerekre továbbíthatók, de a vállalati szintű szerepkörök az erdő bármely megfelelő tartományvezérlőjére átvihetők. Bár vannak olyan szabályok, amelyekhogy a lefokozott tartományvezérlő eldönti, hogy hova kell átruházniaz FSMO szerepeket, nincs mód közvetlenül ellenőrizni, hogy az FSMO szerepei hol lesznek betransferred.
az FSMO szerepkör mozgatásának ideális módja az, hogy aktívan átvihesse őket a kezelőkonzol, a PowerShell vagy az ntdsutil segítségével.exe., Az amanual átvitel során a forrás tartományvezérlő szinkronizálódik a targetdomain vezérlővel, mielőtt átadná a szerepet.
a Sémamesteri szerepet betöltő fióknak a Schema adminok és az Enterprise adminok csoport tagjának kell lennie. Az Enterprise Admins csoportba való tagság szükséges a Domain névadó mester szerep átviteléhez. A PDCE, RID-főkiszolgáló Infrastruktúra Mester szerepek át lehet vinni egy fiókot tagság a Domain Adminok csoport a tartomány, ahol a szerepek átadott.,
kezelőkonzol
az FSMO szerepek átvitele a Kezelőkonzolon keresztül legfeljebb három különböző beépülő modul használatát igényelheti.
A séma mester szerepének átvitele
a séma fő szerepe átvihető az ActiveDirectory séma menedzsment beépülő modul segítségével.
Ha az nem tartozik a rendelkezésre álló felügyeleti konzol beépülő moduljai közé, akkor regisztrálnia kell. Az Active Directory séma kezelőkonzol regisztrálásához nyisson meg egy megemelt parancssort, írja be a regsvr32 schmmgmt parancsot.,dll, majd nyomja meg az Enter billentyűt:
Ha a DLL már regisztrált, futtassa a Management Console mint felhasználó, aki tagja a Séma a Rendszergazdák csoport, majd adjuk hozzá az Active Directory-Séma snap-in, hogy a Menedzsment Konzol:
kattintson a Jobb gombbal az Active Directory-Séma csomópont, majd válassza ki a “Change Active Directory tartományvezérlő”.,div id=”51e1a53e4d”>
kattintson a Jobb gombbal az Active Directory-Séma csomópont újra, majd válassza ki a “Műveleti főkiszolgáló”:
Kattintson a “Módosítás” gombot, hogy elkezdjük az átruházás a Séma-főkiszolgáló szerepkör, hogy a célzott tartományvezérlő:
Átadása a Domain Naming Master Szerepét
A Domain Naming Master szerepét is át, használja theActive Directory tartományt, majd Bízik Management Console snap-in.,
futtassa a kezelőkonzolt olyan felhasználóként, aki az Enterprise Admins csoport tagja, és adja hozzá az Active Directory domaineket és bízik a beépülő modulban a Kezelőkonzolhoz:
jobb-kattintson az Active Directory domains and trusts csomópontra, majd válassza az “Active Directory Domain Controller módosítása”lehetőséget., node újra, majd válassza ki a “Műveleti főkiszolgáló”:
Kattintson a “Change” gombra kezdeni a Domain átruházása a Névadó Mester szerepe, hogy a célzott tartományvezérlő:
Át a RID-főkiszolgáló, Infrastruktúra Mester, vagy PDC Emulátor Szerepek
A RID-főkiszolgáló, Infrastruktúra Mester, PDC Emulatorroles összes továbbítható segítségével az Active Directory-Felhasználók ComputersManagement Konzol snap-in.,
Fut a Management Console mint felhasználó, aki tagja a Domain Adminok csoport a tartományban van, ahol az FSMO szerepkörök átadott majd adjuk hozzá az Active Directory Users and Computers snap-in, hogy a Menedzsment Konzol:
kattintson Jobb gombbal vagy a Domain csomópont vagy az Active Directory Users and Computers csomópont, majd válassza ki a “Change Active Directory tartományvezérlő”.,v id=”0c7ce01ed8″>
kattintson a Jobb gombbal az Active Directory Users and Computers csomópontot, majd kattintson a “Műveletek Mesterek”:
Válassza ki a megfelelő fülre, majd kattintson a “Módosítás” gombot, hogy elkezdjük az átruházás a FSMO szerepkör, hogy a célzott tartományvezérlő:
PowerShell
A Mozgás-ADDirectoryServerOperationMasterrole PowerShell parancsmagot használható át FSMO szerepkörök., Az átvitt szerepek a-OperationMasterRole paraméterrel vannak megadva:
Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
ntdsutil.exe
ndtsutil.az exe egy könnyű parancssori eszköz, amely képesszámos hasznos funkciót hajt végre, beleértve az FSMO szerepek átadását is.
az FSMO szerepek a következő lépésekkel továbbíthatók:
- megnyit egy emelt parancssort.
- írja be az ntdsutil parancsot, majd nyomja meg az Enter billentyűt. Megnyílik egy új ablak.
- az ntdsutil parancssorában írja be a szerepeket, majd nyomja meg az Enter billentyűt.
- az fsmo karbantartási parancssorában írja be a connections parancsot, majd nyomja meg az Enter billentyűt.,
- a szerver kapcsolat parancssorba írja be a connect to server <DC> (cseréje <DC> a hostname a tartományvezérlő, hogy az FSMO szerepkörök, hogy át), majd nyomja meg az Enter billentyűt. Ez köti ntdsutil a cél domain vezérlő.
- írja be a kilépést, majd nyomja meg az Enter billentyűt.
- az fsmo karbantartási prompt, adja meg a megfelelő parancsokat minden FSMO szerepet át:
- a séma mester FSMO szerepet, írja átviteli séma mester, majd nyomja meg az Enter.,
- A Domain Naming Master FSMO szerepkör átviteléhez írja be a transfer naming master parancsot, majd nyomja meg az Enter billentyűt.
- a RID Master FSMO szerep átviteléhez írja be a transfer rid master parancsot, majd nyomja meg az Enter billentyűt.
- az infrastruktúra mester FSMO szerepének átviteléhez írja be a transfer infrastructure master parancsot, majd nyomja meg az Enter billentyűt.
- a PDC emulátor FSMO szerepének átviteléhez írja be a transfer pdc parancsot, majd nyomja meg az Enter billentyűt.
- az fsmo karbantartási parancsból való kilépéshez írja be a quit parancsot, majd nyomja meg az Enter billentyűt.
- az ntdsutil parancssorból való kilépéshez írja be a quit parancsot, majd nyomja meg az Enter billentyűt.,
FSMO szerepek
az FSMO szerepek átvitele megköveteli, hogy mind a forrás domainkontroller, mind a cél domainvezérlő online legyen, és funkcionális. Ha egy vagy több FSMO szerepkört birtokló adomain controller elveszik, vagy jelentős ideig nem lesz elérhető, FSMO szerepei “lefoglalhatók” egy másiknakdomain controller.
a legtöbb esetben az FSMO szerepeket csak akkor szabad lefoglalni, ha az FSMO szereptulajdonos nem hozható vissza a környezetbe., Az FSMO szerepvállalásának újbóli bevezetése a szerepek lefoglalását követően jelentős károkat okozhat a tartománynak vagy az erdőnek. Ez különösen igaz a SchemaMaster és RID mester szerepekre.
A Move-ADDirectoryServerOperationMasterrole cmdlet lehetővé tesziaz FSMO szerepek megragadására használható a-Force paraméter használata. A-Force paraméter segítségével a parancsmag megkísérli az FSMO szerepátvitelét, majd megragadja a szerepeket, ha az átviteli kísérlet sikertelen.
a következő utasítások használhatók az FSMO szerepek megragadására az ntdsutil segítségével.,exe segédprogram:
- nyisson meg egy emelt parancssort.
- írja be az ntdsutil parancsot, majd nyomja meg az Enter billentyűt. Megnyílik egy új ablak.
- az ntdsutil parancssorában írja be a szerepeket, majd nyomja meg az Enter billentyűt.
- az fsmo karbantartási parancssorában írja be a connections parancsot, majd nyomja meg az Enter billentyűt.
- a szervercsatlakozások parancssorában írja be a connect to server <DC> (<DC> a tartományvezérlő hosztnevével, hogy az FSMO szerepek betöltődnek lefoglalt) és nyomja meg az ENTER billentyűt., Ez köti ntdsutil a cél domain vezérlő.
- írja be a kilépést, majd nyomja meg az Enter billentyűt.
- az fsmo karbantartási prompt, adja meg a megfelelő parancsokat minden FSMO szerepet át:
- átviteléhez a séma mester FSMO szerepet, írja megragadja séma mester és nyomja meg az Enter.
- A Domain Naming Master FSMO szerepkör átviteléhez írja be a shave naming master parancsot, majd nyomja meg az Enter billentyűt.
- a RID Master FSMO szerep átviteléhez írja be a rid master parancsot, majd nyomja meg az Enter billentyűt.
- az Infrastructure Master FSMO szerep átviteléhez írja be az ENTER billentyűt.,
- a PDC emulátor FSMO szerepének átviteléhez írja be a ragadja meg a pdc-t, majd nyomja meg az Enter billentyűt.
- az fsmo karbantartási parancsból való kilépéshez írja be a quit parancsot, majd nyomja meg az Enter billentyűt.
- az ntdsutil parancssorból való kilépéshez írja be a quit parancsot, majd nyomja meg az Enter billentyűt.
összefoglaló
mivel minden szerepkör csak egyszer létezik egy erdőben vagy domainben, fontos megérteni nemcsak az egyes FSMO-szerepkör-tulajdonosok helyét és az egyes FSMO-szerepkörök felelősségét, hanem az FSMO-szerepkör-birtokló tartományvezérlő elérhetetlensége által bevezetett működési hatást is., Ezek az információk értékesek olyan helyzetekben, amikor egy tartományvezérlő nem érhető el, akár váratlan események miatt, akár tervezett frissítések és karbantartás ütemezése és végrehajtása közben.