Active Directory lar objektet kreasjoner, oppdateringer og slettinger å være forpliktet til noe autoritativt domene kontrolleren. Dette er mulig fordi alle Active Directory-domenekontroller opprettholder en skrivbar kopi av sitt eget domene ‘ s partisjon – bortsett fra, selvfølgelig, Read-Only Domain Controllers. Etter en endring har blitt begått, det er replikert automatisk til andre domenekontrollere gjennom en prosess som kalles multi-master replikering., Denne oppførselen gjør at de fleste operasjoner for å bli behandlet på en pålitelig måte ved flere domenekontrollere og gir for høy grad av redundans, tilgjengelighet og tilgjengelighet innen Active Directory.
Et unntak fra dette gjelder enkelte Active Directory-operasjoner som er følsomme nok til at utførelsen er begrenset til et bestemt domene kontrolleren. Active Directory-adresser disse situasjonene gjennom et spesielt sett av roller., Microsoft har begynt å henvise til disse rollene som Drift Mestere roller, men de er mer ofte referert til av sitt opprinnelige navn, Fleksibel Enkelt-Master Operatøren («FSMO») roller.
Hva er FSMO-Roller?
Active Directory har fem FSMO – (generelt uttales «FIZZ-mo») roller, to som er enterprise-nivå (dvs. én per forest) og tre som er domene-nivå (dvs. én per domene). Den enterprise-nivå FSMO-roller er kalt Skjema Master og Domene Navn Master., Domene-nivå FSMO-roller er kalt den Primære domenekontrolleren Emulator, den Relative Identifikator Master, og den Infrastruktur som er Master.
følgende kommandoer kan brukes til å identifisere FSMO-eiere. Ledeteksten:
netdom query fsmo /domain:<DomainName>
PowerShell:
I en ny Active Directory-skogen, alle fem FSMO-roller areassigned til den opprinnelige domene kontrolleren i det nyopprettede skog rootdomain.,
Når et nytt domene er lagt til en eksisterende skog, bare thethree domene-nivå FSMO-roller som er tilordnet til den første domenekontroller inthe nylig opprettet domenet, de to enterprise-nivå FSMO-roller allerede finnes i skogen root-domene.
FSMO-roller ofte være tilordnet til sin opprinnelige domenekontrollere, men de kan overføres dersom det er nødvendig.,
5 FSMO-Roller av Active Directory
– Skjema Master
Skjema-Master er en enterprise-nivå FSMO; det isonly ett Skjema Master i et Active Directory-skogen.
Skjema Master rolle som eier er den eneste domene controllerin en Active Directory-skogen inneholder en skrivbar skjema partisjon. Som aresult, domenekontrolleren som eier Skjemaet Master FSMO må beavailable til å endre sin forest i skjemaet., Dette omfatter aktiviteter som raisingthe funksjonelt nivå av skogen og oppgradering av operativsystem på adomain kontrolleren til en høyere versjon enn den som i dag finnes i skogen,enten som vil innføre oppdateringer til Active Directory-skjemaet.
Skjema Master rolle har lite overhead og tap canbe forventes å resultere i liten eller ingen umiddelbar operativ betydning; unlessschema endringer er nødvendig, kan det forbli i frakoblet modus på ubestemt tid withoutnoticeable effekt., Skjemaet Master-rollen bør bare benyttes når domaincontroller som eier rolle ikke kan bringes tilbake på nettet. Å bringe theSchema Master rolle eieren tilbake på nett etter den rollen har blitt beslaglagt fra det mayintroduce alvorlig data inkonsekvens og integritet spørsmål i skogen.
Domene Navn Master
Domenet Navngi Master er en enterprise-nivå rolle; thereis bare ett Domene Navn Master i et Active Directory-skogen.,
Domenet Navngi Master rolle som eier er det bare domaincontroller i et Active Directory-skogen som er i stand til å legge til nye domener andapplication partisjoner til skogen. Tilgjengeligheten er også nødvendig å removeexisting domener og programmet partisjoner fra skogen.
Domenet Navngi Master rolle har lite overhead og itsloss kan forventes å resultere i liten eller ingen operativ betydning, som theaddition og fjerning av domener og partisjoner er utført sjelden andare sjelden gang-kritiske operasjoner., Følgelig, Domene-Navn Master roleshould trenger bare å bli beslaglagt når domenekontrolleren som eier rolecannot bli brakt tilbake online.
KVITTE Master
Den Relative Identifikator Master («KVITTE Master») er adomain-nivå rolle; det er en IATA Master i hvert domene i en ActiveDirectory skogen.
RID-Master rolle som eier er ansvarlig for allocatingactive-og standby-Relativ Identifikator («KVITTE») bassengene til domenekontrollere i itsdomain. Bli KVITT bassenger består av et unikt, sammenhengende spekter av RIDs., Disse RIDs areused under objektoppretting å generere nye objektets unike sikkerhetsidentifikatoren(«SIDEN»). RID-Master er også ansvarlig for å flytte objekter fra ett domainto en annen i en skog.
I modne områder, overhead generert av KVITTE Masteris ubetydelig. Som PDC i et domene vanligvis får mest oppmerksomhet fromadministrators, å forlate denne rollen tildelt PDC hjelper ensurereliable tilgjengelighet., Det er også viktig å sikre at eksisterende domaincontrollers og nylig fremmet domenekontrollere, spesielt de fremmet inremote eller midlertidig nettsteder, har nettverkstilkobling til KVITTE Master og arereliably i stand til å skaffe aktive og standby-KVITT bassenger.
tap av et domene er KVITT Master vil til slutt føre til resultin en manglende evne til å opprette nye objekter i domenet som den gjenværende domaincontrollers’ KVITTE bassenger er oppbrukt., Mens utilgjengelighet av domaincontroller som eier KVITT Master rolle, kan det virke som om det ville causesignificant operasjonelle forstyrrelser, den relativt lave volumet av objectcreation hendelser i et voksent miljø har en tendens til å resultere i at virkningen av suchan begivenhet er utholdelig for en betydelig lengre tid. Å bringe en RIDMaster tilbake på nett etter å ha beslaglagt sin rolle kan potensielt introduceduplicate RIDs inn i domenet. Derfor er det i denne rollen bør bare være seizedfrom en domenekontroller hvis domenekontroller som eier rolle kan ikke bebrought tilbake på nettet.,
– Infrastruktur Master
Infrastrukturen Master er et domene-nivå rolle; det isone Infrastruktur Master i hvert domene i et Active Directory-skogen.
hovedinfrastruktur rolle som eier er domaincontroller i hvert domene som er ansvarlig for å administrere phantom objekter.Phantom-objekter brukes til å spore og administrere vedvarende referanser til deletedobjects og link-verdsatte egenskaper som refererer til objekter i en annen domainwithin skogen (f.eks., en lokal-domene security gruppe med et medlem brukeren fromanother domene).,
hovedinfrastruktur kan plasseres på alle domaincontroller i et domene med mindre Active Directory-skogen inneholder domaincontrollers som ikke er globale katalogen, allhers gud. I så fall InfrastructureMaster må være plassert på en domenekontroller som ikke er en global katalog vert.
tap av domenekontrolleren som eier InfrastructureMaster rolle er bare sannsynlig å bli merkbar for administratorer og kan betolerated for en lengre periode., Mens fraværet vil resultere i navn ofcross-domene objekt lenker unnlate å løse riktig, evnen til å utilizecross-domene gruppe medlemskap, vil ikke bli berørt.
PDC-Emulator
Den Primære domenekontrolleren Emulator («PDC-Emulator» eller»PDCE») er et domene-nivå rolle; det er en PDCE i hvert domene i en ActiveDirectory skogen.
PDCE rolle som eier er ansvarlig for flere crucialoperations:
- bakoverkompatibilitet. Den PDCE etterligner enkelt-master oppførsel av en Windows NT primære domenekontrolleren., For å løse bakoverkompatibilitet spørsmål, PDCE registre som mål domenekontroller for eldre programmer som utfører skrivbar drift og visse administrative verktøy som er uvitende om den multi-master oppførsel av Active Directory-domenekontrollere.
- Tids-Synkronisering. Hver PDCE fungerer som mester tid kilde innen sitt domene. Den PDCE i skogen root-domene fungerer som den foretrukne (Network Time Protocol»NTP») server i skogen., Den PDCE i alle andre domene i skogen synkroniserer klokken til skogroten PDCE, ikke-PDCE domenekontrollere synkronisere klokkene domenet er PDCE, og domenet vert synkronisere klokkene til deres foretrukne domenekontroller.
MERK: godkjenningsprotokollen Kerberos inkluderer tidsstrengen og er et eksempel på viktigheten av tid synkronisering innenfor et Active Directory-skogen., Kerberos-godkjenning vil mislykkes hvis forskjellen mellom en ber om verten klokken og klokke av godkjenning domenekontroller overskrider 5 minutter (dette toleranse er konfigurerbar, men Microsoft er beste praksis anbefaling er å opprettholde den standard 5-minutters verdi på Maksimal toleranse for datamaskinen tidssynkronisering innstilling). Dette er ment å motvirke visse skadelige aktiviteter, slik som «angrep». - Oppdatere Passordet Behandling., Når datamaskinen og bruker passord er endret eller reset av en ikke-PDCE domenekontroller, engasjerte oppdateringen er umiddelbart replikert til domenet PDCE. Hvis en konto forsøk på å autentisere mot en domenekontroller som ennå ikke har mottatt en nylig endring av passord gjennom planlagte replikering, på forespørsel er gått gjennom for å domenet PDCE. Den PDCE vil forsøke å behandle godkjenning forespørsel og instruere den som ber om domenekontroller til å enten akseptere eller avslå godkjenning forespørsel., Dette problemet sikrer at passord kan sikkert bli behandlet selv om de siste endringene ikke fullt forplantet seg gjennom planlagte replikering. Den PDCE er også ansvarlig for å behandle kontoen lockout, som alle mislyktes passord pålitelighetskontroller er gått gjennom til PDCE.
- gruppepolicy Oppdateringer. Alle Group Policy Object («GPO») oppdateringer er forpliktet til å domenet PDCE. Dette hindrer at potensialet for versjonskontroll konflikter som kan oppstå hvis en GPO ble endret på to domenekontrollere på omtrent samme tid.
- Distributed File System., Som standard, Distributed File System («DFS») rot-servere vil med jevne mellomrom forespørsel oppdatert DFS-navneområde informasjon fra PDCE. Mens dette kan føre til ressurs flaske-necking, slik at den Dfsutil.exe Rot Skalerbarhet parameteren vil tillate DFS rot-servere for å be om oppdateringer fra nærmeste domene kontrolleren (se https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) for mer informasjon).
Som en konsekvens av sine ansvarsområder, den PDCE bør beplaced på en svært tilgjengelig, godt koblet, høy ytelse domaincontroller., I tillegg, skogroten PDC-Emulator bør beconfigured med en pålitelig ekstern tidskilde.
Mens tap på domenekontrolleren som eier PDCEmulator rolle kan forventes å ha en umiddelbar og betydelig innvirkning onoperations, arten av sitt ansvar resultater i beslag av thePDCE rolle har færre konsekvenser for domene enn anfall av otherroles. Beslaget av PDCE rolle er ansett som en anbefalt beste practicein tilfelle en domenekontroller som eier PDCE rolle blir utilgjengelig asa resultat av et planlagt strømbrudd.,
Overføre FSMO-Roller
Som nevnt tidligere i dette innlegget, FSMO-roller er necessaryto utføre visse viktige operasjoner, og de er ikke overflødig. Som aresult, det kan enten være ønskelig eller nødvendig å flytte FSMO-roller fra onedomain kontrolleren til en annen.
En metode for å overføre FSMO-roller er å rykke ned thedomain kontrolleren som eier roller. Når en domenekontroller er degradert itwill forsøk på å overføre alle FSMO-roller det eier til en passende domene controllersin samme sted., Domene-nivå roller kan bare overføres til domaincontrollers i samme domene, men enterprise-nivå roller kan være transferredto enhver passende domene kontrolleren i skogen. Mens det er regler thatgovern hvordan domenekontrolleren blir degradert vil bestemme hvor du skal transferits FSMO-roller, det er ingen måte å direkte kontrollere hvor FSMO-roller vil betransferred.
Den ideelle metoden for å flytte en FSMO er å aktivt transferthem ved hjelp av enten Management Console, PowerShell, eller ntdsutil.exe., Under amanual transfer, kilden domenekontroller, vil synkronisere med targetdomain kontrolleren før du overfører den rollen.
kontoen utføre et Skjema Master rolle må være medlem av Schema Admins og Enterprise-Administratorer-gruppen. Medlemskap i bedriftsadministratorer gruppe som er nødvendig for å overføre Domenet Navngi Master rolle. Den PDCE, KVITTE Master og Infrastruktur Master roller kan være overført fra en konto med medlemskap i Domain Admins gruppe av domenet hvor rollene blir overført.,
Management Console
Overføre FSMO-roller ved hjelp av Management Console canrequire bruk av opp til tre forskjellige snap-in moduler.
Overføre Skjemaet Master Rolle
Skjema Master rolle kan overføres ved hjelp av ActiveDirectory Skjema Ledelse snap-in.
Hvis den er ikke blant de tilgjengelige Management Console snap-ins, vil det trenger å være registrert. For å registrere Active Directory-Skjemaet Management Console, kan du åpne en ledetekst, skriv inn regsvr32 schmmgmt.,dll-filen, og trykk Enter:
Når DLL-filen har blitt registrert, kan du kjøre Management Console som en bruker som er medlem av Schema Administratorer-gruppen, og legge til Active Directory-Skjemaet snap-in til Management Console:
høyreklikk Active Directory-Skjemaet node og velg «Endre Active Directory Domain Controller».,div id=»51e1a53e4d»>
høyreklikk Active Directory-Skjemaet noden igjen og velg «Operasjoner Master»:
Klikk på «Endre» – knappen for å starte overføringen av Skjema Master rollen til målrettet domenekontroller:
Overføre Domenet Navngi Master Rolle
Domenet Navngi Master rolle kan bli overført ved hjelp av theActive Directory-Domener og-Klareringer Management Console snap-in.,
Kjør Management Console som en bruker som er medlem av bedriftsadministratorer gruppe og legge til Active Directory-Domener og-Klareringer snap-in til Management Console:
høyreklikk Active Directory-Domener og-Klareringer node og velg «Endre Active Directory Domain Controller»., node igjen og velg «Operasjoner Master»:
Klikk på «Endre» – knappen for å starte overføring av Domenet Navngi Master rollen til målrettet domenekontroller:
Overføre KVITT Master, Infrastruktur Master, eller PDC-Emulator Roller
RID-Master, Infrastruktur Master, og PDC Emulatorroles kan alle bli overført ved hjelp av Active Directory-Brukere og ComputersManagement Console snap-in.,
Kjør Management Console som en bruker som er medlem av Domenet Administratorer-gruppen i domenet der FSMO-roller blir overført, og legge til Active Directory-Brukere og-Datamaskiner snap-in til Management Console:
Høyre-klikk enten på Domenet node eller Active Directory-Brukere og-Datamaskiner node og velg «Endre Active Directory Domain Controller».,v id=»0c7ce01ed8″>
høyreklikk Active Directory-Brukere og-Datamaskiner node og klikk «- Operasjoner Masters»:
Velg den aktuelle fanen og klikk på «Endre» – knappen for å starte overføringen av FSMO til målrettet domenekontroller:
PowerShell
Flytt-ADDirectoryServerOperationMasterrole PowerShell-cmdlet-en kan brukes til å overføre FSMO-roller., Rollene blir overført er spesifisert med bruk av den -OperationMasterRole parameter:
Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
ntdsutil.exe
ndtsutil.exe er en lett command-line verktøy som canperform en rekke nyttige funksjoner, inkludert overføring av FSMO-roller.
FSMO-roller kan overføres ved å bruke følgende fremgangsmåte:
- Åpne en hevet ledetekst.
- Skriv inn ntdsutil og trykk på Enter. Et nytt vindu vil åpne seg.
- På ntdsutil ledeteksten, type roller, og trykk på Enter.
- På fsmo-vedlikehold-ledeteksten, type-tilkoblinger, og trykk på Enter.,
- På server tilkoblinger ledeteksten, skriv koble til server <DC> (skifte <DC> med vertsnavn av domenekontroller at FSMO-roller blir overført til), og trykk på Enter. Dette vil binde ntdsutil til målet domenekontroller.
- Skriv avslutt og trykk på Enter.
- På fsmo-vedlikehold-ledeteksten, skriv inn de aktuelle kommandoene for hver FSMO blir overført:
- for Å overføre Skjema Master FSMO, type overføring skjema master og trykk på Enter.,
- for Å overføre Domenet Navngi Master FSMO, type overføring navngi master og trykk på Enter.
- for Å overføre RID Master FSMO, type overføring kvitt master og trykk på Enter.
- for Å overføre Infrastruktur Master FSMO, type overføring infrastruktur master og trykk på Enter.
- for Å overføre PDC-Emulator FSMO, skriver du overfører pdc, og trykk på Enter.
- for Å avslutte fsmo-vedlikehold-ledeteksten skriver du avslutt og trykk på Enter.
- for Å avslutte ntdsutil-ledeteksten skriver du avslutt og trykk på Enter.,
Gripe FSMO-Roller
Overføre FSMO-roller krever at både kilde-domaincontroller og målet domenekontrollere være online og funksjonelle. Hvis adomain kontrolleren som eier en eller flere FSMO-roller er tapt eller vil beunavailable for en betydelig periode, sin FSMO-roller kan være «grep» for å anotherdomain kontrolleren.
I de fleste tilfeller, FSMO-roller bør bare benyttes hvis theoriginal FSMO eieren ikke kan bringes tilbake til miljøet., Den reintroductionof en FSMO eieren etter beslag av sine roller kan føre til significantdamage til domenet eller skogen. Dette er spesielt sant for de SchemaMaster og KVITTE Master roller.
Flytt-ADDirectoryServerOperationMasterrole cmdlet allowsthe bruk av en -Force er en parameter som kan brukes til å gripe FSMO-roller. Bruker-Kraft, vil parameteren direkte cmdleten for å forsøke seg på et FSMO overføre andthen å gripe rollene hvis overføringen mislykkes.
følgende instruksjoner kan brukes til å gripe FSMO-roller med ntdsutil.,exe-verktøyet:
- Åpne en hevet ledetekst.
- Skriv inn ntdsutil og trykk på Enter. Et nytt vindu vil åpne seg.
- På ntdsutil ledeteksten, type roller, og trykk på Enter.
- På fsmo-vedlikehold-ledeteksten, type-tilkoblinger, og trykk på Enter.
- På server tilkoblinger ledeteksten, skriv koble til server <DC> (skifte <DC> med vertsnavn av domenekontroller at FSMO-roller blir beslaglagt til), og trykk på Enter., Dette vil binde ntdsutil til målet domenekontroller.
- Skriv avslutt og trykk på Enter.
- På fsmo-vedlikehold-ledeteksten, skriv inn de aktuelle kommandoene for hver FSMO blir overført:
- for Å overføre Skjema Master FSMO, skriver gripe skjema master og trykk på Enter.
- for Å overføre Domenet Navngi Master FSMO, skriver gripe navngi master og trykk på Enter.
- for Å overføre RID Master FSMO, skriver gripe kvitt master og trykk på Enter.
- for Å overføre Infrastruktur Master FSMO, skriver gripe infrastruktur master og trykk på Enter.,
- for Å overføre PDC-Emulator FSMO, skriver gripe pdc, og trykk på Enter.
- for Å avslutte fsmo-vedlikehold-ledeteksten skriver du avslutt og trykk på Enter.
- for Å avslutte ntdsutil-ledeteksten skriver du avslutt og trykk på Enter.
Oppsummering
Som hver rolle finnes bare én gang i en skog eller domene, er det viktig å forstå ikke bare plasseringen av hver FSMO eier og ansvar hver FSMO men også den operative effekten introdusert av utilgjengelighet av en FSMO-eie domenekontroller., Slik informasjon er nyttig i situasjoner hvor en domenekontroller er utilgjengelig, enten på grunn av uventede hendelser eller under planlegging og utførelse av planlagte oppgraderinger og vedlikehold.