Quali sono i ruoli FSMO in Active Directory?

Active Directory consente di eseguire il commit di creazioni, aggiornamenti ed eliminazioni di oggetti su qualsiasi controller di dominio autorevole. Questo è possibile perché ogni controller di dominio Active Directory mantiene una copia scrivibile della partizione del proprio dominio, ad eccezione, ovviamente, dei controller di dominio di sola lettura. Dopo il commit di una modifica, questa viene replicata automaticamente ad altri controller di dominio tramite un processo chiamato replica multi-master., Questo comportamento consente di elaborare la maggior parte delle operazioni in modo affidabile da più controller di dominio e fornisce elevati livelli di ridondanza, disponibilità e accessibilità all’interno di Active Directory.

Un’eccezione a questo comportamento si applica a determinate operazioni di Active Directory che sono abbastanza sensibili da limitare la loro esecuzione a uno specifico controller di dominio. Active Directory affronta queste situazioni attraverso un set speciale di ruoli., Microsoft ha iniziato a fare riferimento a questi ruoli come ruoli Operation Masters, ma sono più comunemente indicati con il loro nome originale, ruoli flessibili Single-Master Operator (“FSMO”).

Quali sono i ruoli FSMO?

Active Directory ha cinque ruoli FSMO (generalmente pronunciati “FIZZ-mo”), due dei quali sono a livello aziendale (cioè uno per foresta) e tre dei quali sono a livello di dominio (cioè uno per dominio). I ruoli FSMO di livello enterprise sono chiamati Schema Master e Domain Naming Master., I ruoli FSMO a livello di dominio sono chiamati Emulatore del controller di dominio primario, Master identificativo relativo e Master infrastruttura.

I seguenti comandi possono essere utilizzati per identificare i proprietari dei ruoli FSMO. Prompt dei comandi:

netdom query fsmo /domain:<DomainName>

PowerShell:

In una nuova foresta di Active Directory, tutti e cinque i ruoli FSMO vengono assegnati al controller di dominio iniziale nel nuovo dominio della foresta.,

Quando un nuovo dominio viene aggiunto a una foresta esistente, solo i tre ruoli FSMO a livello di dominio vengono assegnati al controller di dominio iniziale nel dominio appena creato; i due ruoli FSMO a livello aziendale esistono già nel dominio radice della foresta.

I ruoli FSMO spesso rimangono assegnati ai loro controller di dominio originali, ma possono essere trasferiti se necessario.,

I 5 Ruoli FSMO di Active Directory

Master Schema

Il Master Schema è un’impresa che a livello di ruolo FSMO; ci isonly uno Schema Master in una foresta di Active Directory.

Il proprietario del ruolo master dello schema è l’unico controllore di dominio in una foresta di Active Directory che contiene una partizione dello schema scrivibile. Come risultato, il controller di dominio che possiede il ruolo FSMO Schema Master deve essere disponibile per modificare lo schema della foresta., Ciò include attività come l’innalzamento del livello funzionale della foresta e l’aggiornamento del sistema operativo di adomain controller a una versione superiore a quella attualmente esistente nella foresta,che introdurrà aggiornamenti allo schema di Active Directory.

Il ruolo Principale dello Schema ha un basso sovraccarico e la sua perdita può essere destinata a produrre un impatto operativo minimo o nullo; a meno che non siano necessarie modifiche allo schema, può rimanere offline indefinitamente senza effetti visibili., Il ruolo Schema Master deve essere sequestrato solo quando il domaincontroller che possiede il ruolo non può essere riportato online. Riportare il proprietario del ruolo principale di theSchema online dopo che il ruolo è stato sequestrato da esso può introdurre gravi problemi di incoerenza e integrità dei dati nella foresta.

Domain Naming Master

Il Domain Naming Master è un ruolo di livello enterprise; thereis solo un Domain Naming Master in una foresta di Active Directory.,

Il Domain Naming Master role owner è l’unico domaincontroller in una foresta di Active Directory in grado di aggiungere nuovi domini e partizioni di applicazione alla foresta. La sua disponibilità è anche necessaria per rimuoveredomini esistenti e partizioni dell’applicazione dalla foresta.

Il Domain Naming Master role ha poco overhead e itsloss può essere previsto per provocare poco o nessun impatto operativo, come theaddition e la rimozione di domini e partizioni sono eseguite raramente andare raramente operazioni time-critical., Di conseguenza, il dominio di denominazione Master roleshould solo bisogno di essere sequestrato quando il controller di dominio che possiede il rolecannot essere riportato online.

RID Master

Il relativo Identificatore Master (“RID Master”) è un ruolo a livello principale; c’è un RID Master in ogni dominio in una foresta ActiveDirectory.

Il proprietario del ruolo master RID è responsabile dell’allocazione dei pool di identificatore relativo attivo e standby (“RID”) ai controller di dominio nel suo dominio. Le piscine RID sono costituite da una gamma unica e contigua di RID., Questi RID vengono utilizzati durante la creazione dell’oggetto per generare l’identificatore di sicurezza univoco del nuovo oggetto(“SID”). Il Master RID è anche responsabile dello spostamento di oggetti da un dominio all’altro all’interno di una foresta.

Nei domini maturi, il sovraccarico generato dal Master RID è trascurabile. Poiché il PDC in un dominio riceve in genere la massima attenzione dagli amministratori, lasciare questo ruolo assegnato al dominio PDC aiuta a garantire la disponibilità affidabile., È inoltre importante garantire che i domaincontroller esistenti e i controllori di dominio di nuova promozione, in particolare quelli promossi inremote o nei siti di staging, dispongano di connettività di rete al Master RID e siano in grado di ottenere pool RID attivi e stand-by.

La perdita del Master RID di un dominio alla fine porterà all’impossibilità di creare nuovi oggetti all’interno del dominio man mano che i pool RID dei restanti domaincontrollers sono esauriti., Mentre l’indisponibilità del domaincontroller che possiede il ruolo Master RID può apparire come se causasse un’interruzione operativa significativa, il volume relativamente basso di eventi di creazione di oggetti in un ambiente maturo tende a provocare l’impatto di tale evento essere tollerabile per un considerevole periodo di tempo. Portare un RIDMaster di nuovo in linea dopo aver colto il suo ruolo può potenzialmente introduceduplicate RIDs nel dominio. Di conseguenza, questo ruolo dovrebbe essere sequestrato da un controller di dominio solo se il controller di dominio che possiede il ruolo non può essere ripristinato online.,

Infrastructure Master

Il Infrastructure Master è un ruolo a livello di dominio; esiste un Infrastructure Master in ogni dominio in una foresta di Active Directory.

Il proprietario del ruolo principale dell’infrastruttura è il domaincontroller in ogni dominio responsabile della gestione degli oggetti fantasma.Gli oggetti fantasma vengono utilizzati per tenere traccia e gestire i riferimenti persistenti a deletedobjects e attributi con valore di collegamento che si riferiscono a oggetti in un altro domainwithin della foresta (ad esempio, un gruppo di sicurezza del dominio locale con un utente membro fromanother domain).,

Il Master dell’infrastruttura può essere posizionato su qualsiasi domaincontroller in un dominio a meno che la foresta di Active Directory non includa domaincontroller che non sono host di catalogo globali. In tal caso, InfrastructureMaster deve essere posizionato su un controller di dominio che non sia un host di catalogo globale.

È probabile che la perdita del controller di dominio che possiede il ruolo InfrastructureMaster sia visibile solo agli amministratori e possa essere verificata per un periodo prolungato., Mentre la sua assenza si tradurrà in nomi ofcross-domain object links non riesce a risolvere correttamente, la capacità di utilizecross-domain appartenenze di gruppo non sarà influenzato.

PDC Emulator

L’emulatore del controller di dominio primario (“PDC Emulator” o”PDCE”) è un ruolo a livello di dominio; c’è un PDCE in ogni dominio in una foresta ActiveDirectory.

Il proprietario del ruolo PDCE è responsabile di diverse operazioni cruciali:

  • Compatibilità con le versioni precedenti. Il PDCE imita il comportamento single-master di un controller di dominio primario di Windows NT., Per risolvere i problemi di compatibilità con le versioni precedenti, il PDCE registra come controller di dominio di destinazione per le applicazioni legacy che eseguono operazioni scrivibili e alcuni strumenti di amministrazione che non sono a conoscenza del comportamento multi-master dei controller di dominio Active Directory.
  • Sincronizzazione dell’ora. Ogni PDCE funge da sorgente temporale principale all’interno del suo dominio. Il PDCE nel dominio radice della foresta funge da server NTP (Network Time Protocol) preferito nella foresta., Il PDCE in ogni altro dominio all’interno della foresta sincronizza il suo orologio al PDCE radice della foresta, controller di dominio non PDCE sincronizzare i loro orologi al PDCE del loro dominio, e host di dominio uniti sincronizzare i loro orologi al loro controller di dominio preferito.
    NOTA: Il protocollo di autenticazione Kerberos include le informazioni relative al timestamp ed è un esempio dell’importanza della sincronizzazione dell’ora all’interno di una foresta di Active Directory., L’autenticazione Kerberos fallirà se la differenza tra l’orologio di un host richiedente e l’orologio del controller di dominio di autenticazione supera i 5 minuti (questa tolleranza è configurabile, ma la migliore raccomandazione di Microsoft è di mantenere il valore predefinito di 5 minuti sulla tolleranza massima per l’impostazione di sincronizzazione dell’orologio del computer). Questo comportamento ha lo scopo di contrastare determinate attività dannose, come gli “attacchi replay”.
  • Elaborazione aggiornamento password., Quando le password del computer e dell’utente vengono modificate o reimpostate da un controller di dominio non PDCE, l’aggiornamento eseguito viene immediatamente replicato nel PDCE del dominio. Se un account tenta di autenticarsi su un controller di dominio che non ha ancora ricevuto una modifica recente della password tramite la replica pianificata, la richiesta viene passata al PDCE del dominio. Il PDCE tenterà di elaborare la richiesta di autenticazione e istruirà il controller di dominio richiedente ad accettare o rifiutare la richiesta di autenticazione., Questo comportamento garantisce che le password possano essere elaborate in modo affidabile anche se le modifiche recenti non sono state completamente propagate attraverso la replica pianificata. Il PDCE è anche responsabile dell’elaborazione dei blocchi degli account, poiché tutte le autenticazioni delle password non riuscite vengono passate al PDCE.
  • Aggiornamenti dei criteri di gruppo. Tutti gli aggiornamenti dell’oggetto Criteri di gruppo (“GPO”) sono impegnati nel dominio PDCE. Ciò impedisce il potenziale di conflitti di controllo delle versioni che potrebbero verificarsi se un GPO è stato modificato su due controller di dominio all’incirca nello stesso momento.
  • File system distribuito., Per impostazione predefinita, i server root Distributed File System (“DFS”) richiederanno periodicamente informazioni aggiornate sullo spazio dei nomi DFS dal PDCE. Mentre questo comportamento può portare alla bottiglia di risorse-necking, abilitando il Dfsutil.il parametro di scalabilità root exe consentirà ai server root DFS di richiedere aggiornamenti dal controller di dominio più vicino (vedere https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) per maggiori informazioni).

Come conseguenza delle sue responsabilità, il PDCE dovrebbe essere collocato su un domaincontroller altamente accessibile, ben collegato e ad alte prestazioni., Inoltre, l’emulatore PDC del dominio radice della foresta dovrebbe essereconfigurato con una fonte di tempo esterna affidabile.

Mentre ci si può aspettare che la perdita del controller di dominio che possiede il ruolo PDCEmulator abbia un impatto immediato e significativo sulle operazioni, la natura delle sue responsabilità si traduce nel sequestro del ruolo PDCE con minori implicazioni per il dominio rispetto al sequestro di altri ruoli. Il sequestro del ruolo PDCE è considerato una best practice raccomandata nel caso in cui un controller di dominio che possiede il ruolo PDCE non sia disponibile a seguito di un’interruzione non programmata.,

Trasferimento dei ruoli FSMO

Come accennato in precedenza in questo post, i ruoli FSMO sono necessariper eseguire determinate operazioni importanti e non sono ridondanti. Come risultato, può essere desiderabile o necessario spostare i ruoli FSMO da un controller principale a un altro.

Un metodo per trasferire i ruoli FSMO consiste nel declassare il controller domain che possiede i ruoli. Quando un controller di dominio è retrocesso, tenterà di trasferire tutti i ruoli FSMO che possiede ai controllori di dominio adatti nello stesso sito., I ruoli a livello di dominio possono essere trasferiti solo a domaincontroller nello stesso dominio, ma i ruoli a livello aziendale possono essere trasferiti a qualsiasi controller di dominio adatto nella foresta. Mentre ci sono regole thatgovern come il controllore di dominio che è retrocesso deciderà dove transferits ruoli di FSMO, non c’è nessun modo di controllare direttamente dove i suoi ruoli di FSMO betransferred.

Il metodo ideale per spostare un ruolo FSMO consiste nel trasferirli attivamente utilizzando la console di gestione, PowerShell o ntdsutil.exe., Durante un trasferimento manuale, il controller di dominio di origine si sincronizzerà con il controller targetdomain prima di trasferire il ruolo.

L’account che esegue un ruolo Schema Master deve essere un membro del gruppo Schema Admins e Enterprise Admins. L’appartenenza al gruppo Enterprise Admins è necessaria per trasferire il ruolo Master di denominazione del dominio. I ruoli PDCE, RID Master e Infrastructure Master possono essere trasferiti da un account con appartenenza al gruppo Domain Admins del dominio in cui vengono trasferiti i ruoli.,

Console di gestione

Il trasferimento dei ruoli FSMO tramite la console di gestione può richiedere l’utilizzo di fino a tre diversi moduli snap-in.

Trasferimento del ruolo Schema Master

Il ruolo Schema Master può essere trasferito utilizzando lo snap-in di gestione schema ActiveDirectory.

Se l ‘ non è tra gli snap-in della Console di gestione disponibili, dovrà essere registrato. Per registrare la console di gestione dello schema di Active Directory, aprire un prompt dei comandi elevato, digitare regsvr32 schmmgmt.,dll, e premere Invio:

una Volta che la DLL è stata registrata, eseguire la Console di Gestione come un utente che è un membro dello Schema Admins e aggiungere lo Schema di Active Directory snap-in per la Console di Gestione:

fare clic con il nodo Schema di Active Directory e selezionare “Change Controller di Dominio Active Directory”.,div id=”51e1a53e4d”>

fare clic con il nodo Schema di Active Directory e selezionare “Master Operazioni”:

fare Clic sul pulsante “Modifica” per iniziare il trasferimento del ruolo di Master Schema per il controller di dominio di destinazione:

Trasferire il Ruolo Domain Naming Master

Il Master dei nomi di Dominio di ruolo possono essere trasferiti utilizzando theActive Directory Domini e Trust di Console snap-in.,

Eseguire la Console di Gestione come un utente che è un membro del gruppo Enterprise Admins e aggiungere Active Directory Domini e Trust di snap-in per la Console di Gestione:

fare clic con Active Directory Domini e Trust di nodo e selezionare “Change Controller di Dominio Active Directory”., nodo di nuovo e selezionare “Master Operazioni”:

fare Clic sul pulsante “Modifica” per iniziare il trasferimento del Master dei nomi di Dominio ruolo di controller di dominio di destinazione:

Trasferimento RID Master, Master Infrastrutture, o Emulatore PDC Ruoli

Il Master RID, Master Infrastrutture e PDC Emulatorroles possono essere trasferiti utilizzando Active Directory Utenti e ComputersManagement Console snap-in.,

Eseguire la Console di Gestione come un utente che è un membro del gruppo Domain Admins nel dominio in cui i ruoli FSMO sono in fase di trasferimento e aggiungere Active Directory Users e snap-in Computer alla Console di Gestione:

fare clic con il nodo di Dominio o Active Directory Utenti e Computer di nodo e selezionare “Change Controller di Dominio Active Directory”.,v id=”0c7ce01ed8”>

fare clic con Active Directory Utenti e Computer di nodo e fare clic su “Operazioni Maestri”:

Selezionare la scheda appropriata e fare clic sul pulsante “Modifica” per iniziare il trasferimento del ruolo FSMO per il controller di dominio di destinazione:

PowerShell

Sposta in ADDirectoryServerOperationMasterrole cmdlet di PowerShell può essere utilizzato per trasferire i ruoli FSMO., I ruoli trasferiti vengono specificati utilizzando il parametro-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe è uno strumento da riga di comando leggero che puòeseguire una serie di funzioni utili, incluso il trasferimento di ruoli FSMO.

I ruoli FSMO possono essere trasferiti utilizzando i seguenti passaggi:

  1. Aprire un prompt dei comandi elevato.
  2. Digitare ntdsutil e premere Invio. Si aprirà una nuova finestra.
  3. Al prompt ntdsutil, digitare ruoli e premere Invio.
  4. Alla richiesta di manutenzione fsmo, digitare connessioni e premere Invio.,
  5. Al prompt delle connessioni del server, digitare connect to server <DC> (sostituendo <DC> con il nome host del controller di dominio che i ruoli FSMO vengono trasferiti a) e premere Invio. Questo legherà ntdsutil al controller di dominio di destinazione.
  6. Digitare esci e premere Invio.
  7. Al prompt di manutenzione FSMO, immettere i comandi appropriati per ogni ruolo FSMO trasferito:
    • Per trasferire il ruolo FSMO Schema Master, digitare transfer schema master e premere Invio.,
    • Per trasferire il ruolo FSMO Domain Naming Master, digitare transfer naming master e premere Invio.
    • Per trasferire il ruolo RID Master FSMO, digitare transfer rid master e premere Invio.
    • Per trasferire il ruolo FSMO Infrastructure Master, digitare transfer infrastructure master e premere Invio.
    • Per trasferire il ruolo FSMO dell’emulatore PDC, digitare transfer pdc e premere Invio.
  8. Per uscire dal prompt di manutenzione fsmo, digitare quit e premere Invio.
  9. Per uscire dal prompt ntdsutil, digitare quit e premere Invio.,

L’acquisizione dei ruoli FSMO

Il trasferimento dei ruoli FSMO richiede che sia il domaincontroller di origine che i controller di dominio di destinazione siano online e funzionali. Se un controller di dominio che possiede uno o più ruoli FSMO viene perso o sarà disponibile per un periodo significativo, i suoi ruoli FSMO possono essere “sequestrati” a un altro controller di dominio.

Nella maggior parte dei casi, i ruoli FSMO dovrebbero essere sequestrati solo se il proprietario del ruolo FSMO originale non può essere riportato nell’ambiente., La reintroduzione di un proprietario di ruolo FSMO dopo il sequestro dei suoi ruoli può causare danni significativi al dominio o alla foresta. Ciò è particolarmente vero per i ruoli SchemaMaster e RID Master.

Il cmdlet Move-ADDirectoryServerOperationMasterRole consente l’uso del parametro a-Force che può essere utilizzato per cogliere i ruoli FSMO. L’utilizzo del parametro-Force indirizzerà il cmdlet a tentare un trasferimento di ruolo FSMO e quindi a cogliere i ruoli se il tentativo di trasferimento fallisce.

Le seguenti istruzioni possono essere utilizzate per cogliere i ruoli FSMO con ntdsutil.,utility exe:

  1. Aprire un prompt dei comandi elevato.
  2. Digitare ntdsutil e premere Invio. Si aprirà una nuova finestra.
  3. Al prompt ntdsutil, digitare ruoli e premere Invio.
  4. Alla richiesta di manutenzione fsmo, digitare connessioni e premere Invio.
  5. Al prompt delle connessioni del server, digitare connetti al server <DC> (sostituendo <DC> con il nome host del controller di dominio che i ruoli FSMO vengono sequestrati a) e premere Invio., Questo legherà ntdsutil al controller di dominio di destinazione.
  6. Digitare esci e premere Invio.
  7. Al prompt di manutenzione FSMO, immettere i comandi appropriati per ogni ruolo FSMO trasferito:
    • Per trasferire il ruolo FSMO Schema Master, digitare seize schema master e premere Invio.
    • Per trasferire il ruolo Domain Naming Master FSMO, digitare seize naming master e premere Invio.
    • Per trasferire il ruolo FSMO RID Master, digitare seize rid master e premere Invio.
    • Per trasferire il ruolo FSMO Infrastructure Master, digitare seize infrastructure master e premere Invio.,
    • Per trasferire il ruolo FSMO dell’emulatore PDC, digitare seize pdc e premere Invio.
  8. Per uscire dal prompt di manutenzione fsmo, digitare quit e premere Invio.
  9. Per uscire dal prompt ntdsutil, digitare quit e premere Invio.

Riepilogo

Poiché ogni ruolo esiste una sola volta in una foresta o in un dominio, è importante comprendere non solo la posizione di ciascun proprietario di ruolo FSMO e le responsabilità di ciascun ruolo FSMO, ma anche l’impatto operativo introdotto dall’indisponibilità di un controller di dominio proprietario di ruolo FSMO., Tali informazioni sono utili in situazioni in cui un controller di dominio non è disponibile, sia a causa di eventi imprevisti o durante la pianificazione e l’esecuzione di aggiornamenti e manutenzione pianificati.

Share

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *