You are Here
Articles

jakie są role FSMO w Active Directory?

Active Directory umożliwia tworzenie, aktualizowanie i usuwanie obiektów w dowolnym autorytatywnym kontrolerze domeny. Jest to możliwe, ponieważ każdy kontroler domeny Active Directory utrzymuje zapisywalną kopię partycji własnej domeny-z wyjątkiem oczywiście kontrolerów domeny tylko do odczytu. Po zatwierdzeniu zmiany jest ona automatycznie replikowana do innych kontrolerów domeny za pomocą procesu zwanego replikacją multi-master., Takie zachowanie pozwala na niezawodne przetwarzanie większości operacji przez kontrolery wielu domen i zapewnia wysoki poziom nadmiarowości, dostępności i dostępności w usłudze Active Directory.

wyjątek od tego zachowania dotyczy pewnych operacji Active Directory, które są na tyle wrażliwe, że ich wykonywanie jest ograniczone do określonego kontrolera domeny. Active Directory rozwiązuje te sytuacje za pomocą specjalnego zestawu ról., Microsoft zaczął określać te role jako role Mistrzów operacji, ale są one częściej określane przez ich oryginalną nazwę, elastyczne role operatora pojedynczego mistrza („FSMO”).

czym są role FSMO?

Active Directory ma pięć ról FSMO (Zwykle wymawianych „FIZZ-mo”), z których dwie są na poziomie przedsiębiorstwa (tj. jedna na las), a trzy na poziomie domeny (tj. jedna na domenę). Role FSMO na poziomie przedsiębiorstwa nazywane są wzorcem schematu i wzorcem nazewnictwa domen., Role FSMO na poziomie domeny nazywane są głównym emulatorem kontrolera domeny, względnym wzorcem identyfikatora i wzorcem infrastruktury.

poniższe polecenia mogą być użyte do identyfikacji właścicieli ról FSMO. Wiersz polecenia:

netdom query fsmo /domain:<DomainName>

PowerShell:

w nowym lesie Active Directory wszystkie pięć ról FSMO jest przypisanych do początkowego kontrolera domeny w nowo utworzonej domenie rootdomain lasu.,

gdy nowa domena jest dodawana do istniejącego lasu, tylko trzy role FSMO na poziomie domeny są przypisywane do początkowego kontrolera domeny w nowo utworzonej domenie; dwie role FSMO na poziomie przedsiębiorstwa istnieją już w domenie głównej lasu.

role FSMO często pozostają przypisane do oryginalnych kontrolerów domeny, ale w razie potrzeby można je przenieść.,

5 ról FSMO w usłudze Active Directory

Mistrz schematu

Mistrz schematu jest FSMO na poziomie przedsiębiorstwa rola; jest tylko jeden mistrz schematu w lesie Active Directory.

właściciel roli Schema Master jest jedynym kontrolerem domeny w lesie Active Directory, który zawiera zapisywalną partycję schema. W rezultacie kontroler domeny, który posiada rolę Schema Master FSMO, musi być dostępny, aby zmodyfikować jego schemat forest., Obejmuje to działania takie jak podniesienie poziomu funkcjonalnego lasu i unowocześnienie systemu operacyjnego kontrolera adomain do wyższej wersji niż obecnie istnieje w lesie,z których każda wprowadzi aktualizacje schematu Active Directory.

rola wzorca schematu ma niewielki narzut, a jego utrata może spowodować niewielki lub żaden natychmiastowy wpływ operacyjny; o ile zmiany w schemacie nie są konieczne, może pozostać offline na czas nieokreślony bez zauważalnego efektu., Rola Główna schematu powinna zostać przejęta tylko wtedy, gdy kontroler domaincontroller, który jest właścicielem roli, nie może zostać przywrócony do pracy. Przywrócenie do pracy właściciela roli mistrza Chema po odebraniu roli może doprowadzić do wprowadzenia do lasu poważnych problemów związanych z niespójnością danych i integralnością.

Domain Naming Master

Domain Naming Master to rola na poziomie przedsiębiorstwa; w lesie Active Directory jest tylko jeden Domain Naming Master.,

domain Naming Master role owner jest jedynym kontrolerem domaincontroller w lesie Active Directory, który może dodawać nowe domeny i partycje aplikacji do lasu. Jego dostępność jest również niezbędna do usunięcia istniejących domen i partycji aplikacji z lasu.

rola Główna nazw domen ma niewielki narzut i można się spodziewać, że jej utrata spowoduje niewielki lub żaden wpływ operacyjny, ponieważ modyfikowanie i usuwanie domen i partycji jest wykonywane rzadko i rzadko są operacjami krytycznymi w czasie., W związku z tym domena Master Naming powinna zostać przejęta tylko wtedy, gdy kontroler domeny, który jest właścicielem domeny, nie może zostać ponownie uruchomiony.

rid Master

względny identyfikator Master („rid Master”) jest rolą poziomu adomain; w każdej domenie w lesie ActiveDirectory znajduje się jeden rid Master.

właściciel roli nadrzędnej RID jest odpowiedzialny za przydzielanie basenów Active i standby Relative Identifier („RID”) kontrolerom domeny w itsdomain. RID pools składa się z unikalnej, ciągłej gamy Ridów., Ridy te są używane podczas tworzenia obiektu do generowania unikalnego identyfikatora bezpieczeństwa nowego obiektu („SID”). Mistrz RID jest również odpowiedzialny za przenoszenie obiektów z jednej domeny do drugiej w obrębie lasu.

w dojrzałych domenach napowietrzność generowana przez rid Masteris jest znikoma. Ponieważ PDC w domenie zazwyczaj otrzymuje najwięcej uwagi od administratorów, pozostawienie tej roli przypisanej do domeny PDC pomaga zapewnić niezawodną dostępność., Ważne jest również zapewnienie, że istniejące kontrolery domen i nowo promowane kontrolery domen, zwłaszcza te promowane w witrynach zdalnych lub stagingowych, mają łączność sieciową z nadrzędnym RID i są w stanie uzyskać aktywne i rezerwowe pule RID.

utrata mistrza RID domeny w końcu doprowadzi do niemożności tworzenia nowych obiektów w obrębie domeny, ponieważ pozostałe pule RID kontrolerów domaincontrollerów są wyczerpane., Podczas gdy niedostępność kontrolera domaincontroller, który jest właścicielem roli RID Master, może wydawać się, że spowodowałaby znaczące zakłócenia operacyjne, stosunkowo mała ilość zdarzeń tworzenia obiektów w dojrzałym środowisku powoduje, że wpływ zdarzenia suchan jest tolerowany przez długi czas. Przywrócenie Ridmastera do sieci po przejęciu jego roli może potencjalnie wprowadzić Ridów do domeny. W związku z tym rola ta powinna zostać przejęta od kontrolera domeny tylko wtedy, gdy kontroler domeny, który jest właścicielem tej roli, nie może być ponownie uruchomiony online.,

Infrastructure Master

Infrastructure Master jest rolą na poziomie domeny; w każdej domenie w lesie Active Directory jest jeden Infrastructure Master.

właściciel roli Infrastructure Master jest kontrolerem domen w każdej domenie odpowiedzialnym za zarządzanie obiektami fantomowymi.Obiekty fantomowe są używane do śledzenia trwałych odniesień do usuniętych obiektów i atrybutów o wartości łącza, które odnoszą się do obiektów w innej domenie w lesie (np. grupa zabezpieczeń domeny lokalnej z użytkownikiem członkowskim z innej domeny).,

Master infrastruktury może być umieszczony na dowolnym kontrolerze domaincontroller w domenie, chyba że las Active Directory zawiera kontrolery domaincontroller, które nie są globalnymi hostami katalogów. W takim przypadku InfrastructureMaster musi być umieszczony na kontrolerze domeny, który nie jest globalnym hostem katalogu.

utrata kontrolera domeny, który jest właścicielem roli InfrastructureMaster, może być zauważalna tylko dla administratorów i może trwać dłużej., Chociaż jego brak spowoduje, że nazwy łączy obiektowych cross-domain nie zostaną poprawnie rozwiązane, możliwość korzystania z członkostwa w grupach cross-domain nie zostanie naruszona.

PDC Emulator

Primary Domain Controller Emulator („PDC Emulator” lub”PDCE”) jest rolą na poziomie domeny; w każdej domenie w lesie ActiveDirectory jest po jednym PDCE.

właściciel roli PDCE jest odpowiedzialny za kilka najważniejszych operacji:

  • Kompatybilność wsteczna. PDCE naśladuje zachowanie pojedynczego kontrolera domeny podstawowej Windows NT., Aby rozwiązać problemy związane z kompatybilnością wsteczną, PDCE rejestruje się jako kontroler domeny docelowej dla starszych aplikacji, które wykonują operacje zapisywalne, oraz niektórych narzędzi administracyjnych, które nie są świadome zachowania wielu kontrolerów domeny Active Directory.
  • Synchronizacja czasu. Każdy PDCE służy jako źródło czasu nadrzędnego w swojej domenie. PDCE w domenie głównej lasu służy jako preferowany serwer Network Time Protocol („NTP”) w lesie., PDCE w każdej innej domenie w lesie synchronizuje swój zegar z rdzeniem lasu PDCE, kontrolery domen innych niż PDCE synchronizują swoje zegary z PDCE swojej domeny, a hosty przyłączone do domeny synchronizują swoje zegary z preferowanym kontrolerem domeny.
    Uwaga: protokół uwierzytelniania Kerberos zawiera informacje o znaczniku czasu i jest przykładem znaczenia synchronizacji czasu w lesie Active Directory., Uwierzytelnianie Kerberos nie powiedzie się, jeśli różnica między zegarem hosta żądającego a zegarem kontrolera domeny uwierzytelniającej przekroczy 5 minut (tolerancja ta jest konfigurowalna, ale najlepszą praktyką firmy Microsoft jest utrzymanie domyślnej wartości 5 minut na maksymalnej tolerancji dla ustawienia synchronizacji zegara komputera). Takie zachowanie ma na celu przeciwdziałanie niektórym złośliwym czynnościom, takim jak”ataki powtórkowe”.
  • przetwarzanie aktualizacji hasła., Po zmianie lub zresetowaniu haseł komputera i Użytkownika przez kontroler domeny spoza PDCE zatwierdzona aktualizacja jest natychmiast replikowana do PDCE domeny. Jeśli konto próbuje uwierzytelnić kontroler domeny, który nie otrzymał jeszcze ostatniej zmiany hasła w ramach zaplanowanej replikacji, żądanie jest przekazywane do PDCE domeny. PDCE spróbuje przetworzyć żądanie uwierzytelnienia i poinstruuje kontrolera domeny, aby zaakceptował lub odrzucił żądanie uwierzytelnienia., Takie zachowanie gwarantuje, że hasła mogą być niezawodnie przetwarzane, nawet jeśli ostatnie zmiany nie zostały w pełni propagowane przez zaplanowaną replikację. PDCE jest również odpowiedzialny za przetwarzanie blokad kont, ponieważ wszystkie nieudane uwierzytelnienia hasłem są przekazywane do PDCE.
  • aktualizacje zasad grupy. Wszystkie aktualizacje obiektu zasad grupy („GPO”) są przypisane do domeny PDCE. Zapobiega to potencjalnym konfliktom wersjonowania, które mogłyby wystąpić, gdyby GPO zostało zmodyfikowane na dwóch kontrolerach domeny w przybliżeniu w tym samym czasie.
  • rozproszony System plików., Domyślnie serwery root Distributed File System („DFS”) będą okresowo żądać zaktualizowanych informacji o przestrzeni nazw DFS z PDCE. Podczas gdy to zachowanie może prowadzić do zasób butelki necking, włączenie Dfsutil.parametr skalowalności roota exe pozwoli serwerom root DFS zażądać aktualizacji z najbliższego kontrolera domeny(zobacz https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) więcej informacji).

w konsekwencji swoich obowiązków PDCE powinno być umieszczone na wysoce dostępnym, dobrze podłączonym, wysokowydajnym kontrolerze domenowym., Dodatkowo emulator PDC domeny root forest powinien być skonfigurowany z niezawodnym zewnętrznym źródłem czasu.

chociaż można oczekiwać, że utrata kontrolera domeny, który jest właścicielem roli PDCEmulator, będzie miała natychmiastowy i znaczący wpływ na operacje, charakter jego obowiązków skutkuje zajęciem roli pdce, która ma mniejsze implikacje dla domeny niż zajęcie innych roli. Przejęcie roli PDCE jest uważane za zalecaną najlepszą praktykęw przypadku, gdy kontroler domeny, który jest właścicielem roli PDCE, staje się niedostępny w wyniku nieplanowanej przerwy w dostawie.,

przenoszenie ról FSMO

jak wspomniano wcześniej w tym poście, role FSMO są koniecznewykonywanie pewnych ważnych operacji i nie są zbędne. W rezultacie może być pożądane lub konieczne przeniesienie ról FSMO z kontrolera onedomain na inny.

jedną z metod transferu ról FSMO jest demotowanie kontrolera domain, który jest właścicielem ról. Gdy kontroler domeny zostanie zdegradowany, podejmie próbę przeniesienia wszelkich ról FSMO, które posiada, do odpowiednich kontrolerów domen w tej samej witrynie., Role na poziomie domeny mogą być przenoszone tylko do kontrolerów domen w tej samej domenie, ale role na poziomie przedsiębiorstwa mogą być przenoszone do dowolnego odpowiedniego kontrolera domeny w lesie. Chociaż istnieją reguły, które określają, w jaki sposób zdegradowany kontroler domeny zdecyduje, gdzie przenieść swoje role FSMO, nie ma sposobu, aby bezpośrednio kontrolować, gdzie jego role FSMO będą brane pod uwagę.

idealną metodą przenoszenia roli FSMO jest aktywne przenoszenie ich za pomocą konsoli zarządzania, PowerShell lub ntdsutil.exe., Podczas transferu indywidualnego kontroler domeny źródłowej zsynchronizuje się z kontrolerem targetdomain przed przeniesieniem roli.

konto pełniące rolę mistrza schematu musi być członkiem grupy administratorów schematu i administratorów Enterprise. Członkostwo w grupie administratorów Enterprise jest niezbędne do przeniesienia roli głównej nazwy domeny. Role PDCE, RID Master i Infrastructure Master mogą być przenoszone przez konto z członkostwem w grupie administratorów domeny domeny, w której role są przenoszone.,

Konsola zarządzania

przenoszenie ról FSMO za pomocą konsoli zarządzania może wymagać użycia maksymalnie trzech różnych modułów snap-in.

przeniesienie roli głównej schematu

rolę główną schematu można przenieść za pomocą przystawki zarządzania schematem ActiveDirectory.

Jeśli nie ma go wśród dostępnych przystawek konsoli zarządzania, będzie musiał zostać zarejestrowany. Aby zarejestrować konsolę zarządzania schematem usługi Active Directory, otwórz podwyższony wiersz polecenia, wpisz regsvr32 schmmgmt.,dll i naciśnij Enter:

Po zarejestrowaniu biblioteki DLL uruchom konsolę zarządzania jako użytkownik należący do grupy administratorów schematu i dodaj przystawkę schematu Active Directory do konsola zarządzania:

kliknij prawym przyciskiem myszy węzeł schematu Active Directory i wybierz „Zmień kontroler domeny Active Directory”.,div id=”51e1a53e4d”>

kliknij ponownie prawym przyciskiem myszy węzeł schematu Active Directory i wybierz „Operations Master”:

kliknij przycisk „Zmień”, aby rozpocząć transfer roli głównej schematu do kontrolera docelowej domeny:

przenoszenie roli głównej nazwy domeny

główną rolę nazw domen można przenieść za pomocą przystawki Active Directory domains and trusts management console.,

uruchom konsolę zarządzania jako użytkownik należący do grupy administratorów Enterprise i dodaj przystawkę Active Directory i Ufa do konsoli zarządzania:

Right-kliknij węzeł domeny Active Directory i trusty i wybierz opcję „Zmień kontroler domeny Active Directory”., wybierz ponownie „Operations Master”:

kliknij przycisk „Zmień”, aby rozpocząć transfer roli głównej nazwy domeny do kontrolera docelowej domeny:

iv

przesyłanie ról emulatora rid Master, infrastructure Master lub PDC

wszystkie emulatory rid Master, infrastructure master i PDC mogą być przesyłane za pomocą użytkowników Active Directory i konsoli computersmanagement przystawka.,

uruchom konsolę zarządzania jako użytkownik należący do grupy administratorów domeny w domenie, w której przenoszone są role FSMO, i dodaj przystawkę użytkowników i komputerów Active Directory do konsoli zarządzania:

div>

kliknij prawym przyciskiem myszy węzeł domeny lub węzeł Użytkownicy i komputery Active Directory i wybierz „Zmień kontroler domeny Active Directory”.,v id=”0c7ce01ed8″>

kliknij prawym przyciskiem myszy węzeł Użytkownicy i komputery usługi Active Directory i kliknij „Operations Masters”:

wybierz odpowiednią kartę i kliknij przycisk „Zmień”, aby rozpocząć transfer roli FSMO do kontrolera docelowej domeny:

PowerShell

move-addirectoryserveoperationmasterrole PowerShell cmdlet może być używany do przenoszenia ról FSMO., Przenoszone role są określone za pomocą parametru-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe to lekkie narzędzie wiersza poleceń, które możeformować wiele przydatnych funkcji, w tym przenoszenie ról FSMO.

role FSMO mogą być przenoszone za pomocą następujących kroków:

  1. Otwórz podwyższony wiersz polecenia.
  2. wpisz ntdsutil i naciśnij Enter. Otworzy się nowe okno.
  3. w wierszu polecenia ntdsutil wpisz role i naciśnij Enter.
  4. w monicie obsługi fsmo wpisz connections i naciśnij Enter.,
  5. w monicie połączenia z serwerem wpisz connect to server <DC> (zastępując <DC> nazwą hosta kontrolera domeny, którego role FSMO są przeniesiony do) i naciśnij ENTER. Spowoduje to związanie ntdsutil z kontrolerem domeny docelowej.
  6. wpisz Zakończ i naciśnij Enter.
  7. w monicie obsługi fsmo wprowadź odpowiednie polecenia dla każdej przenoszonej roli FSMO:
    • aby przenieść rolę Master schematu FSMO, wpisz transfer schema master i naciśnij Enter.,
    • aby przenieść rolę Master nazw domen FSMO, wpisz Master nazw domen i naciśnij Enter.
    • aby przenieść rolę RID Master FSMO, wpisz transfer rid master i naciśnij Enter.
    • aby przenieść rolę Master infrastruktury FSMO, wpisz Master infrastruktury i naciśnij Enter.
    • aby przenieść rolę emulatora PDC FSMO, wpisz transfer pdc i naciśnij Enter.
  8. aby wyjść z monitu obsługi fsmo, wpisz quit i naciśnij Enter.
  9. aby zakończyć znak zachęty ntdsutil, wpisz quit i naciśnij Enter.,

przejmowanie ról FSMO

przesyłanie ról FSMO wymaga, aby zarówno kontroler domaincontroller źródłowy, jak i kontroler domeny docelowej były online i funkcjonalne. Jeśli kontroler adomain, który posiada jedną lub więcej ról FSMO, zostanie utracony lub będzie dostępny przez dłuższy czas, jego role FSMO mogą zostać „zajęte” do innego kontrolera domeny.

w większości przypadków role FSMO powinny być zajęte tylko wtedy, gdy właściciel roli FSMO nie może zostać przywrócony do środowiska., Ponowne wprowadzenie roli właściciela FSMO po przejęciu jej roli może spowodować znaczne szkody dla domeny lub lasu. Dotyczy to zwłaszcza ról SchemaMaster i RID Master.

cmdlet Move-Addirectoryserve Operationmasterrole pozwala na użycie parametru a-Force, który może być użyty do przejmowania ról FSMO. Użycie parametru-Force skieruje cmdlet do próby przeniesienia ról FSMO, a następnie do przejęcia ról, jeśli próba przeniesienia nie powiedzie się.

poniższe instrukcje mogą być użyte do przejęcia ról FSMO za pomocą ntdsutil.,narzędzie exe:

  1. Otwórz podwyższony wiersz polecenia.
  2. wpisz ntdsutil i naciśnij Enter. Otworzy się nowe okno.
  3. w wierszu polecenia ntdsutil wpisz role i naciśnij Enter.
  4. w monicie obsługi fsmo wpisz connections i naciśnij Enter.
  5. w monicie połączenia z serwerem wpisz connect to server <DC> (zastępując <DC> nazwą hosta kontrolera domeny, którego role FSMO są do) i naciśnij ENTER., Spowoduje to związanie ntdsutil z kontrolerem domeny docelowej.
  6. wpisz Zakończ i naciśnij Enter.
  7. w monicie obsługi fsmo wprowadź odpowiednie polecenia dla każdej przenoszonej roli FSMO:
    • aby przenieść rolę mistrza schematu FSMO, wpisz seize schema master i naciśnij Enter.
    • aby przenieść rolę domeny Naming Master FSMO, wpisz seize naming master i naciśnij Enter.
    • aby przenieść rolę RID Master FSMO, wpisz seize rid master i naciśnij Enter.
    • aby przenieść rolę mistrza infrastruktury FSMO, wpisz seize infrastructure master i naciśnij Enter.,
    • aby przenieść rolę emulatora PDC FSMO, wpisz seize pdc i naciśnij Enter.
  8. aby wyjść z monitu obsługi fsmo, wpisz quit i naciśnij Enter.
  9. aby zakończyć znak zachęty ntdsutil, wpisz quit i naciśnij Enter.

podsumowanie

ponieważ każda rola istnieje tylko raz w lesie lub domenie, ważne jest, aby zrozumieć nie tylko lokalizację każdego właściciela roli FSMO i obowiązki każdej roli FSMO, ale także wpływ operacyjny wprowadzony przez niedostępność kontrolera domeny FSMO., Takie informacje są cenne w sytuacjach, gdy kontroler domeny jest niedostępny, czy to z powodu nieoczekiwanych zdarzeń, czy podczas planowania i wykonywania planowanych aktualizacji i konserwacji.

Share

Related Posts

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *