Active Directory kunnen objectcreaties, updates en verwijderingen worden vastgelegd op elke gezaghebbende domeincontroller. Dit is mogelijk omdat elke Active Directory-domeincontroller een beschrijfbare kopie van de partitie van zijn eigen domein bijhoudt – behalve natuurlijk alleen-lezen domeincontrollers. Nadat een wijziging is vastgelegd, wordt deze automatisch gerepliceerd naar andere domeincontrollers via een proces dat multi-masterreplicatie wordt genoemd., Dankzij dit gedrag kunnen de meeste bewerkingen op betrouwbare wijze worden verwerkt door meerdere domeincontrollers en is er een hoog niveau van redundantie, beschikbaarheid en toegankelijkheid binnen Active Directory.
een uitzondering op dit gedrag is van toepassing op bepaalde Active Directory-bewerkingen die gevoelig genoeg zijn om de uitvoering ervan te beperken tot een specifieke domeincontroller. Active Directory pakt deze situaties aan via een speciale reeks rollen., Microsoft is begonnen met het verwijzen naar deze rollen als de Operation Masters rollen, maar ze worden vaker aangeduid met hun oorspronkelijke naam, flexibele Single-Master Operator (“FSMO”) rollen.
Wat zijn FSMO-rollen?
Active Directory heeft vijf FSMO-rollen (meestal uitgesproken als “FIZZ-mo”), waarvan twee op ondernemingsniveau (d.w.z. één per forest) en drie op domeinniveau (d.w.z. één per domein). De FSMO-rollen op ondernemingsniveau worden de Schema-Master en de Domain Naming Master genoemd., De FSMO-rollen op domeinniveau worden de primaire Domeincontrolleremulator, de Relative Identifier Master en de Infrastructure Master genoemd.
de volgende commando ‘ s kunnen worden gebruikt om FSMO-roleigenaren te identificeren. Opdrachtprompt:
netdom query fsmo /domain:<DomainName>
PowerShell:
In een nieuw Active Directory-forest worden alle vijf FSMO-rollen toegewezen aan de initiële domeincontroller in het nieuw aangemaakte forest-rootdomain.,
wanneer een nieuw domein aan een bestaand forest wordt toegevoegd, worden alleen de drie FSMO-rollen op domeinniveau toegewezen aan de initiële domeincontroller in het nieuw gecreëerde domein; de twee FSMO-rollen op ondernemingsniveau bestaan al in het forest-hoofddomein.
FSMO rollen blijven vaak toegewezen aan hun oorspronkelijke domeincontrollers, maar ze kunnen worden overgedragen indien nodig.,
de 5 FSMO-rollen van Active Directory
Schema-Master
De Schema-Master is een FSMO-rol op ondernemingsniveau; er is alleen Eén schemamaster in een Active Directory-forest.
de eigenaar van de rol van de Schema-Master is de enige domeincontroller in een Active Directory-forest die een beschrijfbare schema-partitie bevat. Als gevolg hiervan moet de domeincontroller die eigenaar is van de FSMO-rol van Schema Master beschikbaar zijn om het schema van zijn forest te wijzigen., Dit omvat activiteiten zoals het verhogen van het functionaliteitsniveau van het forest en het upgraden van het besturingssysteem van de adomain-controller naar een hogere versie dan momenteel in het forest bestaat,waarbij beide updates voor Active Directory-schema introduceren.
De rol van de Schema-Master heeft weinig overhead en het verlies ervan zal naar verwachting weinig tot geen onmiddellijke operationele impact hebben; unless-schemawijzigingen zijn noodzakelijk, het kan voor onbepaalde tijd offline blijven zonder waarneembaar effect., De Schema Master rol mag alleen worden aangegrepen als de domaincontroller die eigenaar is van de rol niet terug online kan worden gebracht. Het opnieuw online brengen van de masterroleigenaar nadat de rol ervan in beslag is genomen, kan ernstige gegevensinconsistentie en integriteitsproblemen in het bos veroorzaken.
Domeinnaammaster
De Domeinnaammaster is een rol op ondernemingsniveau; er is slechts één Domeinnaammaster in een Active Directory-forest.,
de eigenaar van de Domain Naming Master-rol is de enige domaincontroller in een Active Directory-forest die in staat is nieuwe domeinen en toepassingspartities aan het forest toe te voegen. De beschikbaarheid ervan is ook noodzakelijk om bestaande domeinen en toepassingspartities uit het forest te verwijderen.
De Domain Naming Master rol heeft weinig overhead en het verlies zal naar verwachting weinig tot geen operationele impact hebben, omdat de toevoeging en verwijdering van domeinen en partities zelden worden uitgevoerd en zelden tijdkritische bewerkingen zijn., Bijgevolg hoeft de domeinnaam Master role alleen te worden aangegrepen wanneer de domeincontroller die eigenaar is van de rolecannot online worden gebracht.
RID Master
De relatieve Identifier Master (“RID Master”) is adomain-Level rol; er is één RID Master in elk domein in een ActiveDirectory forest.
de eigenaar van de rid-masterrol is verantwoordelijk voor het toewijzen van actieve en standby Relative Identifier (“RID”) – pools aan domeincontrollers in zijn domein. RID zwembaden bestaan uit een unieke, aaneengesloten scala van RIDs., Deze RIDs worden gebruikt tijdens het maken van een object om de unieke Security Identifier(“SID”) van het nieuwe object te genereren. De RID-Master is ook verantwoordelijk voor het verplaatsen van objecten van het ene domein naar het andere binnen een bos.
In Rijpe domeinen is de overhead die door de RID-master wordt gegenereerd verwaarloosbaar. Aangezien de PDC in een domein doorgaans de meeste aandacht krijgt van administrators, helpt het verlaten van deze rol toegewezen aan het domein PDC om een betrouwbare beschikbaarheid te garanderen., Het is ook belangrijk om ervoor te zorgen dat bestaande domeincontrollers en nieuw gepromoot domeincontrollers, vooral die gepromoot in remote of staging sites, netwerkconnectiviteit hebben met de RID-Master en betrouwbaar in staat zijn om actieve en stand-by rid-pools te verkrijgen.
het verlies van de RID-Master van een domein zal uiteindelijk leiden tot een onvermogen om nieuwe objecten aan te maken binnen het domein omdat de RID-pools van de resterende domaincontrollers uitgeput zijn., Hoewel de onbeschikbaarheid van de domeincontroller die eigenaar is van de rid-masterrol kan lijken alsof dit een aanzienlijke operationele ontwrichting zou veroorzaken, leidt het relatief lage volume van objectcreatiegebeurtenissen in een volwassen omgeving ertoe dat de impact van een dergelijke gebeurtenis gedurende een aanzienlijke tijd aanvaardbaar is. Een RIDMaster weer online zetten nadat hij zijn rol heeft aangegrepen, kan mogelijk duplicate RIDs in het domein introduceren. Bijgevolg mag deze rol alleen van een domeincontroller worden afgenomen als de domeincontroller die de rol bezit niet online kan worden teruggezet.,
infrastructuurmaster
de infrastructuurmaster is een rol op domeinniveau; er is één infrastructuurmaster in elk domein in een Active Directory-forest.
de eigenaar van de Infrastructuurmasterrol is de domaincontroller in elk domein die verantwoordelijk is voor het beheren van fantoomobjecten.Phantom-objecten worden gebruikt voor het bijhouden en beheren van permanente verwijzingen naar verwijderde objecten en attributen met link-waarde die verwijzen naar objecten in een ander domein binnen het forest (bijvoorbeeld een lokale domeinbeveiligingsgroep met een lidgebruiker uit een ander domein).,
de infrastructuurmaster kan op elke domaincontroller in een domein worden geplaatst, tenzij het Active Directory-forest domaincontrollers bevat die geen globale catalogushost zijn. In dat geval moet de InfrastructureMaster worden geplaatst op een domeincontroller die geen globale catalogus host is.
het verlies van de domeincontroller die eigenaar is van de InfrastructureMaster rol is waarschijnlijk alleen merkbaar voor beheerders en kan gedurende een langere periode worden verholpen., Hoewel de afwezigheid ervan zal resulteren in de namen van cross-domain object links niet correct op te lossen, de mogelijkheid om gebruik te maken vanecross-domain groep lidmaatschappen zal niet worden beïnvloed.
PDC Emulator
De primaire domein Controller Emulator (“PDC Emulator” of”PDCE”) is een domein-niveau rol; er is één PDCE in elk domein in een ActiveDirectory forest.
de eigenaar van de pdce-rol is verantwoordelijk voor verschillende cruciale operaties:
- achterwaartse compatibiliteit. De PDCE bootst het single-master gedrag van een Windows NT primaire domeincontroller na., Om achterwaartse compatibiliteitsproblemen aan te pakken, wordt de PDCE geregistreerd als de doeldomeincontroller voor oudere toepassingen die beschrijfbare bewerkingen uitvoeren en bepaalde beheerprogramma ‘ s die zich niet bewust zijn van het multi-mastergedrag van Active Directory-domeincontrollers.
- Tijdssynchronisatie. Elke PDCE dient als de master tijd bron binnen zijn domein. Het pdce in het forest-hoofddomein dient als de voorkeursserver (“NTP”) van het Network Time Protocol (Network Time Protocol) in het forest., De PDCE in elk ander domein binnen het forest synchroniseert zijn klok met de forest root PDCE, niet-pdce domeincontrollers synchroniseren hun klokken met de PDCE van hun domein, en domein-joined hosts synchroniseren hun klokken met hun voorkeur domeincontroller.
opmerking: het Kerberos-authenticatieprotocol bevat informatie over tijdstempels en is een voorbeeld van het belang van tijdssynchronisatie in een Active Directory-forest., Kerberos-verificatie zal mislukken als het verschil tussen de klok van een host die een verzoek indient en de klok van de domeincontroller die de verificatie uitvoert, meer dan 5 minuten bedraagt (deze tolerantie is configureerbaar, maar Microsoft ‘ s Best practice recommendation is om de standaardwaarde van 5 minuten te handhaven op de maximale tolerantie voor de synchronisatie van computerklokken). Dit gedrag is bedoeld om bepaalde kwaadaardige activiteiten tegen te gaan, zoals “replay attacks”. - verwerking van Wachtwoordupdates., Wanneer computer-en gebruikerswachtwoorden worden gewijzigd of gereset door een niet-PDCE-domeincontroller, wordt de gecommitteerde update onmiddellijk gerepliceerd naar de pdce van het domein. Als een account probeert te verifiëren bij een domeincontroller die nog geen recente wachtwoordwijziging heeft ontvangen via geplande replicatie, wordt de aanvraag doorgegeven aan de domein-PDCE. De PDCE zal proberen de verificatieaanvraag te verwerken en de aanvragende domeincontroller opdracht geven de verificatieaanvraag te accepteren of af te wijzen., Dit gedrag zorgt ervoor dat wachtwoorden betrouwbaar kunnen worden verwerkt, zelfs als recente wijzigingen niet volledig zijn doorgegeven via geplande replicatie. De PDCE is ook verantwoordelijk voor het verwerken van Account lockouts, omdat alle mislukte wachtwoordverificatie wordt doorgegeven aan de PDCE.
- Groepsbeleidsupdates. Alle updates van groepsbeleidsobjecten (“GPO”) worden vastgelegd in het domein PDCE. Dit voorkomt de mogelijkheid van versieconflicten die zouden kunnen optreden als een groepsbeleidsobject op twee domeincontrollers op ongeveer hetzelfde moment werd gewijzigd.
- gedistribueerd bestandssysteem., Standaard zullen de”DFS” – rootservers (Distributed File System) periodiek bijgewerkte DFS-naamruimte-informatie opvragen bij de PDCE. Hoewel dit gedrag kan leiden tot resource-fles-necking, waardoor de Dfsutil.exe Root Scalability parameter staat DFS root servers toe om updates aan te vragen van de dichtstbijzijnde domeincontroller (zie https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) voor meer informatie).
als gevolg van zijn verantwoordelijkheden moet de PDCE worden geplaatst op een zeer toegankelijke, goed verbonden, krachtige domeincontroller., Bovendien moet de PDC-Emulator van het forest-rootdomein geconfigureerd worden met een betrouwbare externe tijdbron.
hoewel het verlies van de domeincontroller die de rol van de PDCEmulator bezit naar verwachting een onmiddellijke en significante impact op de operaties zal hebben, leidt de aard van zijn verantwoordelijkheden ertoe dat de inbeslagname van de pdce-rol minder gevolgen heeft voor het domein dan de inbeslagname van andere rollen. De inbeslagname van de pdce-rol wordt beschouwd als een aanbevolen beste praktijkin het geval dat een domeincontroller die eigenaar is van de pdce-rol niet beschikbaar is als gevolg van een ongeplande uitval.,
overdracht van FSMO-rollen
zoals eerder in deze post vermeld, zijn FSMO-rollen noodzakelijk om bepaalde belangrijke bewerkingen uit te voeren en ze zijn niet overbodig. Als gevolg hiervan kan het wenselijk of noodzakelijk zijn om FSMO-rollen van eengedomeincontroller naar een andere te verplaatsen.
een methode om FSMO-rollen over te dragen is om de domain-controller die de rollen bezit te degraderen. Wanneer een domeincontroller wordt gedegradeerd zal het proberen om alle FSMO rollen die het bezit over te dragen aan geschikte domeincontrollers in dezelfde site., Rollen op domeinniveau kunnen alleen worden overgedragen aan domaincontrollers in hetzelfde domein, maar rollen op ondernemingsniveau kunnen worden overgedragen aan elke geschikte domeincontroller in het forest. Hoewel er regels zijn datgovern hoe de domeincontroller wordt gedegradeerd zal beslissen waar te transferits FSMO rollen, is er geen manier om direct te controleren waar de FSMO rollen worden overgedragen.
de ideale methode om een FSMO-rol te verplaatsen is om deze actief over te dragen met behulp van de Management Console, PowerShell of ntdsutil.executable., Tijdens amanual transfer, de bron domeincontroller zal synchroniseren met de targetdomain controller voordat de overdracht van de rol.
het account dat een Schema-masterfunctie uitvoert, moet lid zijn van de groep Schema-en Ondernemingsadministrators. Lidmaatschap van de groep Ondernemingsadministrators is noodzakelijk om de Domeinnaamgevingsmasterrol over te dragen. De pdce -, RID-Master-en Infrastructuurmasterrollen kunnen worden overgedragen door een account met lidmaatschap in de groep Domeinadministrators van het domein waar de rollen worden overgedragen.,
beheerconsole
Het overzetten van FSMO-rollen met behulp van de beheerconsole kan het gebruik van maximaal drie verschillende modules vereisen.
de rol van Schema-Master overdragen
De rol van Schema-Master kan worden overgedragen met behulp van de module ActiveDirectory Schemabeheer.
als de module niet beschikbaar is voor de beheerconsole, moet deze worden geregistreerd. Als u de Active Directory Schema Management Console wilt registreren, opent u een opdrachtprompt met verhoogde bevoegdheid en typt u regsvr32 schmmgmt.,dll, en druk op Enter:
als het DLL-bestand is geregistreerd, voert u de Management Console als een gebruiker die lid is van de Schema Admins groep en voeg de module Active Directory-Schema in de Management Console:
met de Rechtermuisknop op Active Directory-Schema knooppunt en selecteer “Change Active Directory Domain Controller”.,div id=”51e1a53e4d”>
met de Rechtermuisknop op Active Directory-Schema knooppunt opnieuw en kies “Operations-Master”:
Klik op de knop “Wijzigen” om te beginnen met de overdracht van de Schema-Master aan de doeldomeincontroller:
het Overbrengen van de Rol van domeinnaamgevingsmaster
De rol van domeinnaamgevingsmaster kan worden overgedragen met behulp van theActive Directory-Domeinen en Vertrouwensrelaties Management Console.,
Voer de Management Console als een gebruiker die lid zijn van de groep Ondernemingsadministrators en voeg de Active Directory-Domeinen en Vertrouwensrelaties in de Management Console:
met de Rechtermuisknop op Active Directory-Domeinen en Vertrouwensrelaties knooppunt en selecteer “Change Active Directory Domain Controller”., knooppunt opnieuw en kies “Operations-Master”:
Klik op de knop “Wijzigen” om te beginnen met de overdracht van de rol van domeinnaamgevingsmaster de doeldomeincontroller:
het Overbrengen van de RID-Master, Infrastructuur-Master-of PDC-Emulator Rollen
De RID-Master, Infrastructuur-Master, en PDC Emulatorroles kan worden overgebracht met behulp van de Active Directory: Gebruikers en ComputersManagement Console.,
Voer de Management Console als een gebruiker die lid zijn van de groep Domeinadministrators in het domein waarin de FSMO-functies worden overgebracht en voeg de module Active Directory: Gebruikers en Computers met de snap-in de Management Console:
met de Rechtermuisknop op het domeinknooppunt of de Active Directory: Gebruikers en Computers knooppunt en selecteer “Change Active Directory Domain Controller”.,v id=”0c7ce01ed8″>
met de Rechtermuisknop op Active Directory: Gebruikers en Computers knooppunt en klik op “Operations-Masters”:
Selecteer het gewenste tabblad en klik op de knop “Wijzigen” om te beginnen met de overdracht van de FSMO-rol van de doeldomeincontroller:
PowerShell
Het Verplaatsen van ADDirectoryServerOperationMasterrole PowerShell-cmdlet kan worden gebruikt voor het overbrengen van FSMO-rollen., De rollen die worden overgedragen worden gespecificeerd met behulp van de parameter-OperationMasterRole:
Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster
ntdsutil.exe
ndtsutil.exe is een lichtgewicht command-line tool die een aantal nuttige functies kan uitvoeren, waaronder de overdracht van FSMO-rollen.
FSMO-rollen kunnen met de volgende stappen worden overgedragen:
- Open een opdrachtprompt met verhoogde bevoegdheid.
- typ ntdsutil en druk op Enter. Er wordt een nieuw venster geopend.
- typ rollen op de ntdsutil prompt en druk op Enter.
- typ verbindingen op de FSMO-onderhoudsprompt en druk op Enter.,
- typ connect to server <DC> (vervang <DC> met de hostnaam van de domeincontroller waarnaar de FSMO-rollen worden overgedragen) en druk op Enter. Dit zal ntdsutil binden aan de doeldomeincontroller.
- typ quit en druk op Enter.
- voer bij de FSMO-onderhoudsprompt de juiste commando ‘ s in voor elke FSMO-rol die wordt overgedragen:
- om de FSMO-rol van Schema Master over te dragen, typt u transfer schema master en drukt u op Enter.,
- om de FSMO-rol van Domain Naming Master over te dragen, typt u transfer naming master en drukt u op Enter.
- om de RID Master FSMO rol over te dragen, typt u transfer rid master en drukt u op Enter.
- om de FSMO-rol van Infrastructure Master over te dragen, typt u transfer infrastructure master en drukt u op Enter.
- om de PDC Emulator FSMO rol over te dragen, typt u transfer pdc en drukt u op Enter.
- om de FSMO-onderhoudprompt te verlaten, typt u quit en drukt u op Enter.
- om de Ntdsutil prompt te verlaten, typt u quit en drukt u op Enter.,
FSMO-rollen overnemen
FSMO-rollen overdragen vereist dat zowel de brondomeincontroller als de doeldomeincontroller online en functioneel zijn. Als adomain-controller die een of meer FSMO-rollen bezit, verloren gaat of gedurende een significante periode niet beschikbaar is, kunnen de FSMO-rollen worden “in beslag genomen” naar een andere domain-controller.
in de meeste gevallen moeten FSMO-rollen alleen worden aangegrepen als de oorspronkelijke FSMO-roleigenaar niet terug in de omgeving kan worden gebracht., De herintroductie van een FSMO-roleigenaar na de inbeslagname van zijn rollen kan aanzienlijke schade aan het domein of het bos veroorzaken. Dit geldt vooral voor de SchemaMaster en RID Master rollen.
De Move-Addressoryserveroperationmasterrol cmdlet maakt het gebruik van A-Force parameter mogelijk die kan worden gebruikt om FSMO rollen te grijpen. Met behulp van de parameter-Force zal de cmdlet om te proberen een FSMO rol overdracht en dan om de rollen te grijpen als de overdracht poging mislukt.
de volgende instructies kunnen worden gebruikt om FSMO-rollen met ntdsutil te grijpen.,exe utility:
- Open een opdrachtprompt met verhoogde bevoegdheid.
- typ ntdsutil en druk op Enter. Er wordt een nieuw venster geopend.
- typ rollen op de ntdsutil prompt en druk op Enter.
- typ verbindingen op de FSMO-onderhoudsprompt en druk op Enter.
- typ connect to server <DC> (vervang <DC> met de hostnaam van de domeincontroller waarnaar de FSMO-rollen in beslag worden genomen) en druk op Enter., Dit zal ntdsutil binden aan de doeldomeincontroller.
- typ quit en druk op Enter.
- voer bij de FSMO-onderhoudsprompt de juiste commando ‘ s in voor elke FSMO-rol die wordt overgedragen:
- om de FSMO-rol van schemamaster over te dragen, typt u seize schema master en drukt u op Enter.
- om de FSMO-rol van Domain Naming Master over te dragen, typt u seize naming master en drukt u op Enter.
- om de RID Master FSMO rol over te dragen, typ seize rid master en druk op Enter.
- om de FSMO-rol van Infrastructure Master over te dragen, typt u seize infrastructure master en drukt u op Enter.,
- om de PDC Emulator FSMO rol over te dragen, typ seize pdc en druk op Enter.
- om de FSMO-onderhoudprompt te verlaten, typt u quit en drukt u op Enter.
- om de Ntdsutil prompt te verlaten, typt u quit en drukt u op Enter.
samenvatting
aangezien elke rol slechts eenmaal bestaat in een forest of domein, is het belangrijk om niet alleen de locatie van elke FSMO-roleigenaar en de verantwoordelijkheden van elke FSMO-rol te begrijpen, maar ook de operationele impact die wordt veroorzaakt door het niet beschikbaar zijn van een FSMO-roleigenaar domeincontroller., Dergelijke informatie is waardevol in situaties waarin een domeincontroller niet beschikbaar is, hetzij als gevolg van onverwachte gebeurtenissen of tijdens het plannen en uitvoeren van geplande upgrades en onderhoud.