care sunt rolurile FSMO în Active Directory?

Active Directory permite creații de obiecte, actualizări și ștergeri să fie angajate la orice controler de domeniu autoritate. Acest lucru este posibil deoarece fiecare controler de domeniu Active Directory păstrează o copie scrisă a partiției propriului domeniu – cu excepția, desigur, a controlorilor de domeniu numai pentru citire. După ce o modificare a fost comisă, aceasta este replicată automat la alte controlere de domeniu printr-un proces numit replicare multi-master., Acest comportament permite ca majoritatea operațiunilor să fie procesate în mod fiabil de mai mulți controlori de domeniu și oferă niveluri ridicate de redundanță, disponibilitate și accesibilitate în Active Directory. o excepție de la acest comportament se aplică anumitor operații Active Directory care sunt suficient de sensibile încât execuția lor să fie limitată la un anumit controler de domeniu. Active Directory abordează aceste situații printr-un set special de roluri., Microsoft a început să se refere la aceste roluri ca rolurile Operation Masters, dar acestea sunt mai frecvent menționate de numele lor original, flexibil single-Master Operator („FSMO”) roluri.

care sunt rolurile FSMO?

Active Directory are cinci roluri FSMO (în general pronunțate „FIZZ-mo”), dintre care două sunt la nivel de întreprindere (adică unul pe pădure) și trei dintre acestea sunt la nivel de domeniu (adică unul pe domeniu). Rolurile FSMO la nivel de întreprindere sunt numite Schema Master și Domain Naming Master., Rolurile FSMO la nivel de domeniu sunt numite Emulatorul principal al controlerului de domeniu, Masterul de identificare relativă și Masterul de infrastructură.următoarele comenzi pot fi folosite pentru a identifica proprietarii de roluri FSMO. Linie de comandă:

netdom query fsmo /domain:<DomainName>

PowerShell:

Într-o nouă pădure Active Directory, toate cele cinci roluri FSMO areassigned inițiale controler de domeniu în nou-create pădure rootdomain., când un domeniu nou este adăugat unei păduri existente, doar trei roluri FSMO la nivel de domeniu sunt atribuite controlerului de domeniu inițial din domeniul nou creat; cele două roluri FSMO la nivel de întreprindere există deja în domeniul rădăcină de pădure. rolurile FSMO rămân adesea atribuite controlorilor de domeniu originali, dar pot fi transferate dacă este necesar.,

Cele 5 Roluri FSMO de Active Directory

Schema Master

Schema Master este un nivel de întreprindere rolul FSMO; există doar o singură Schemă de Masterat într-o pădure Active Directory.

proprietarul Rol Master Schema este singurul controllerin domeniu o pădure Active Directory care conține o partiție schemă inscriptibil. Ca urmare, controlorul de domeniu care deține rolul Schema Master FSMO trebuie să fie disponibil pentru a modifica schema pădurii sale., Aceasta include activități cum ar fi raisingthe nivel funcțional de pădure și modernizarea sistemul de operare al adomain controler de la o versiune mai mare decât există în prezent în pădure,din care va introduce actualizări pentru schema Active Directory.

Schema Master rol are pic de regie și pierdere poate fi de așteptat să conducă în nici un pic operaționale imediate impact; unlessschema modificări sunt necesare, aceasta poate rămâne offline pe termen nelimitat withoutnoticeable efect., Rolul Master Schema ar trebui să fie confiscate numai atunci când domaincontroller care deține rolul nu poate fi readus on-line. Aducerea proprietarului rolului master master online după ce rolul a fost confiscat de la acesta poate introduce probleme grave de inconsecvență și integritate a datelor în pădure.

domeniu Naming Master

domeniu Naming Master este un rol la nivel de întreprindere; thereis doar un domeniu Naming Master într-o pădure Active Directory.,

Domain Naming master role owner este singurul domaincontroller dintr-o pădure Active Directory care este capabil să adauge noi domenii și partiții de aplicație în pădure. Disponibilitatea sa este, de asemenea, necesară pentru a eliminadomeniile existente și partițiile de aplicații din pădure.

Domain Naming Master rol are pic de regie și itsloss poate fi de așteptat să conducă în nici un pic impact operațional, ca theaddition și eliminarea de domenii și partiții sunt efectuate rar andare rar operațiunile critice de timp., În consecință, Domain Naming Master roleshould nevoie doar pentru a fi confiscate atunci când controlerul de domeniu care detine rolecannot fi adus înapoi on-line.

RID Master

the Relative Identifier Master („rid Master”) is adomain-level role; există un RID Master în fiecare domeniu într-o pădure ActiveDirectory.

RID rolul de Master proprietarul este responsabil pentru allocatingactive și de așteptare Relative Identifier („SCAPA”) bazine pentru controlerele de domeniu în itsdomain. Piscine RID constau dintr-o gamă unică, contiguă de RIDs., Aceste RIDs sunt utilizate în timpul creării obiectului pentru a genera identificatorul unic de securitate al noului obiect(„Sid”). Stăpânul RID este, de asemenea, responsabil pentru mutarea obiectelor dintr-un domeniula altul într-o pădure.

în domeniile mature, cheltuielile generate de RID master sunt neglijabile. Ca PDC într-un domeniu, de obicei, primește cea mai mare atenție fromadministrators, lăsând acest rol atribuit domeniul PDC ajută ensurereliable disponibilitate., De asemenea, este important să se asigure că existente domaincontrollers și controlerii de domeniu nou promovate, în special cele promovate inremote sau de intermediere site-uri, au de conectivitate de rețea, pentru a SCĂPA de Master și arereliably în măsură să obțină piscine RID activă și așteptare.

pierderea Master RID unui domeniu va duce în cele din urmă la resultin o incapacitate de a crea noi obiecte în domeniu ca bazinele RID domaincontrollers rămase sunt epuizate., În timp ce lipsa de domaincontroller care deține rolul de Master RID poate apărea ca și cum ar causesignificant întreruperile operaționale, volumul relativ scăzut de objectcreation evenimente într-un mediu matur tinde să conducă la impactul suchan eveniment fiind tolerabil pentru o perioadă considerabilă de timp. Aducerea unui RIDMaster înapoi on-line, după ce a confiscat rolul său poate potențial Rids introduceduplicate în domeniu. În consecință, acest rol ar trebui să fie confiscat de la un controlor de domeniu numai dacă controlorul de domeniu care deține rolul nu poate fi readus online.,

Infrastructure Master

Infrastructure Master este un rol la nivel de domeniu; există un master de infrastructură în fiecare domeniu într-o pădure Active Directory.

proprietarul rolului principal de infrastructură este domaincontroller în fiecare domeniu care este responsabil pentru gestionarea obiectelor fantomă.Phantom obiecte sunt utilizate pentru a urmări și de a gestiona persistente trimiteri la deletedobjects și link-atributele care se referă la obiecte într-un alt domainwithin pădure (de exemplu, un local-domeniu de securitate de grup cu un membru de utilizator fromanother domeniu).,

Maestru De Infrastructură poate fi plasat pe orice domaincontroller într-un domeniu cu excepția cazului în pădure Active Directory include domaincontrollers care nu sunt de catalog global gazde. În acest caz, InfrastructureMaster trebuie plasat pe un controler de domeniu care nu este o gazdă globală de catalog.

pierderea controlerului de domeniu care deține rolul InfrastructureMaster este probabil să fie vizibilă doar administratorilor și poate fi depășită pentru o perioadă lungă de timp., În timp ce absența sa va duce la faptul că numele legăturilor de obiecte din domeniul încrucișat nu se rezolvă corect, capacitatea de a utiliza membrii grupului de domenii încrucișate nu va fi afectată.

PDC Emulator

Primary Domain Controller Emulator („PDC Emulator” sau”PDCE”) este un domeniu de nivel rol; există o PDCE în fiecare domeniu într-un ActiveDirectory pădure.

PDCE rol proprietarul este responsabil pentru mai multe crucialoperations:

  • Compatibilitate. PDCE imită comportamentul single-master al unui controler de domeniu primar Windows NT., La adresa de compatibilitate preocupări, PDCE registre ca țintă controler de domeniu pentru aplicații mai vechi care efectuează operațiunile de scriere și anumite instrumente administrative care nu sunt conștienți de multi-master comportamentul controlerele de domeniu Active Directory.
  • sincronizarea timpului. Fiecare PDCE servește ca sursă de timp master în domeniul său. PDCE în domeniul rădăcină pădure servește ca preferat Network Time Protocol („NTP”) server în pădure., De PDCE în orice alt domeniu în pădure sincronizează ceasul de la rădăcina pădurii PDCE, non-PDCE controlere de domeniu sincroniza ceasurile lor la domeniul lor e PDCE, și domeniu s-au alăturat gazdele își sincronizeze ceasurile lor de controler de domeniu preferat.
    Notă: protocolul de autentificare Kerberos include informații timestamp și este un exemplu al importanței sincronizării timpului într-o pădure Active Directory., Autentificarea Kerberos va eșua dacă diferența dintre ceasul unei gazde solicitante și ceasul controlerului de domeniu de autentificare depășește 5 minute (această toleranță este configurabilă, dar recomandarea celor mai bune practici Microsoft este de a menține valoarea implicită de 5 minute pe toleranța maximă pentru setarea sincronizării ceasului computerului). Acest comportament este destinat să contracareze anumite activități rău intenționate, cum ar fi”replay attacks”.
  • procesarea actualizării parolei., Când parolele computerului și ale utilizatorului sunt modificate sau resetate de un controler de domeniu non-PDCE, actualizarea angajată este imediat replicată la PDCE-ul domeniului. Dacă un cont încearcă să se autentifice împotriva unui controler de domeniu care nu a primit încă o modificare recentă a parolei prin replicarea programată, solicitarea este transmisă PDCE de domeniu. PDCE va încerca să proceseze cererea de autentificare și să instruiască controlorul de domeniu solicitant să accepte sau să respingă cererea de autentificare., Acest comportament asigură faptul că parolele pot fi procesate în mod fiabil, chiar dacă modificările recente nu s-au propagat complet prin replicarea programată. De PDCE este, de asemenea, responsabil pentru prelucrarea cont de lock-out, ca tot nu a reușit parola de autentificare sunt transmise prin PDCE.
  • actualizări de politică de grup. Toate actualizările obiectului Politicii de grup („GPO”) sunt angajate în PDCE-ul domeniului. Acest lucru previne potențialele conflicte de versionare care ar putea apărea dacă un GPO a fost modificat pe două controlere de domeniu aproximativ în același timp.
  • sistem de fișiere distribuit., În mod implicit, serverele Root Distributed File System („DFS”) vor solicita periodic informații actualizate despre spațiul de nume DFS de la PDCE. În timp ce acest comportament poate duce la gâtuirea sticlelor de resurse, permițând Dfsutil.parametrul de scalabilitate Root exe va permite serverelor root DFS să solicite actualizări de la cel mai apropiat controler de domeniu (consultați https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(v=ws.10) pentru mai multe informații).

Ca o consecință a responsabilităților sale, de PDCE ar trebui să beplaced pe un foarte accesibil, bine conectat, de înaltă performanță domaincontroller., În plus, emulatorul PDC al domeniului rădăcină de pădure ar trebui să fieconfigurat cu o sursă externă de timp fiabilă.

în Timp ce pierderea de controler de domeniu care detine PDCEmulator rol poate fi de așteptat să aibă o imediată și impact semnificativ onoperations, natura responsabilităților sale rezultate în criză de thePDCE rol având mai puține implicații în domeniu decât confiscarea de otherroles. Confiscarea de PDCE rol este considerat un recomandă cele mai bune practiciîn eveniment un controler de domeniu care detine PDCE rol devine indisponibil asa urmare a unei neprogramate de curent.,după cum am menționat mai devreme în acest post, rolurile FSMO sunt necesarepentru a efectua anumite operații importante și nu sunt redundante. Ca urmare, poate fi fie de dorit, fie necesar să se mute rolurile FSMO de la un controler principal la altul. o metodă de transferare a rolurilor FSMO este retrogradarea controlerului principal care deține rolurile. Când un controler de domeniu este retrogradat, acesta va încerca să transfere orice roluri FSMO pe care le deține controlorilor de domeniu adecvați în același site., Rolurile la nivel de domeniu pot fi transferate numai în domaincontrolere din același domeniu, dar rolurile la nivel de întreprindere pot fi transferatela orice controler de domeniu adecvat din pădure. În timp ce există reguli thatgovern cum controlerul de domeniu fiind retrogradat va decide unde să transferits roluri FSMO, nu există nici o modalitate de a controla direct unde roluri FSMO va betransferred. metoda ideală de mutare a unui rol FSMO este de a transfera activle utilizează fie consola de Management, PowerShell, fie ntdsutil.exe., În timpul transferului amanual, controlerul de domeniu sursă se va sincroniza cu controlerul targetdomain înainte de a transfera rolul.

contul care îndeplinește un rol de master schemă trebuie să fie membru al grupului Administratori de scheme și administratori de întreprinderi. Calitatea de membru în grupul Enterprise Admins este necesară pentru a transfera rolul principal de denumire a domeniului. Rolurile PDCE, RID Master și Infrastructure Master pot fi transferate printr-un cont cu calitatea de membru în grupul administratorilor de domenii din domeniul în care sunt transferate rolurile.,

consola de administrare

transferul rolurilor FSMO folosind consola de administrare poatenecesită utilizarea a până la trei module snap-in diferite.

transferarea rolului Master Schema

rolul Master Schema poate fi transferat folosind snap-in-ul de gestionare a schemei ActiveDirectory.

dacă nu este printre snap-in-urile disponibile ale consolei de administrare, va trebui să fie înregistrată. Pentru a înregistra consola de gestionare a schemei Active Directory, deschideți un prompt de comandă ridicat, tastați regsvr32 schmmgmt.,dll, și apăsați Enter:

Odată ce DLL a fost înregistrată, executați Consola de Management ca un utilizator care este membru al grupul Schema Admins și se adaugă Schema Active Directory snap-in în Consola de Administrare:

click-Dreapta pe Active Directory Schema nod și selectați „Schimbare Controler de Domeniu Active Directory”.,div id=”51e1a53e4d”>

click-Dreapta pe Active Directory Schema nodului din nou și selectați „Operațiunile de Master”:

faceți Clic pe butonul „Change” pentru a începe transferul de Schema Master rolul de a vizat controler de domeniu:

Transferul Domain Naming Master Rol

Domain Naming Master rol pot fi transferate folosind theActive Director Domenii și are Încredere în Consola de Management snap-in.,

Run Consola de Management ca un utilizator care este membru al grupului Enterprise Admins si se adauga Active Directory Domenii și are Încredere snap-in în Consola de Administrare:

click-Dreapta pe Active Directory Domenii și are Încredere în nod și selectați „Schimbare Controler de Domeniu Active Directory”., nodul din nou și selectați „Operațiunile de Master”:

faceți Clic pe butonul „Change” pentru a începe transferul de Domain Naming Master rolul de a vizat controler de domeniu:

Transferul SCĂPA Maestru, Maestru de Infrastructură, sau PDC Emulator Roluri

RID Maestru, Maestru de Infrastructură, și PDC Emulatorroles pot fi transferate folosind Active Directory Users and ComputersManagement Consola de completare snap-in.,

Run Consola de Management ca un utilizator care este un membru al grupului de Administratori de Domeniu în domeniu, în care rolurile FSMO sunt transferate și se adaugă Active Directory Users and Computers snap-in în Consola de Administrare:

click-Dreapta pe oricare Domeniu nod sau Active Directory Users and Computers nod și selectați „Schimbare Controler de Domeniu Active Directory”.,v id=”0c7ce01ed8″>

click-Dreapta pe Active Directory Users and Computers nod și faceți clic pe „Operațiuni de Masterat”:

Selectați fila corespunzătoare și faceți clic pe butonul „Change” pentru a începe transferul de rolul FSMO a vizat controler de domeniu:

PowerShell

Mutare-ADDirectoryServerOperationMasterrole PowerShell cmdlet-ul poate fi folosit pentru transfer de roluri FSMO., Rolurile transferate sunt specificate folosind parametrul-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe este un instrument ușor de linie de comandă care poateefectuați o serie de funcții utile, inclusiv transferul rolurilor FSMO.

rolurile FSMO pot fi transferate folosind următorii pași:

  1. deschideți un prompt de comandă ridicat.
  2. tastați ntdsutil și apăsați Enter. Se va deschide o fereastră nouă.
  3. la promptul ntdsutil, tastați roluri și apăsați Enter.
  4. la promptul de întreținere fsmo, tastați conexiuni și apăsați Enter.,
  5. La conexiuni de server de comandă, tastați conecta la server <DC> (înlocuirea <DC> cu nume de gazdă de controler de domeniu care rolurile FSMO sunt transferate la) și apăsați Enter. Aceasta va lega ntdsutil la controlerul de domeniu țintă.
  6. tastați quit și apăsați Enter.
  7. la promptul de întreținere fsmo, introduceți comenzile corespunzătoare pentru fiecare rol FSMO transferat:
    • Pentru a transfera rolul FSMO Master Schema, tastați transfer schema master și apăsați Enter.,
    • pentru a transfera rolul Master Naming Master FSMO, tastați transfer naming master și apăsați Enter.
    • pentru a transfera rolul RID Master FSMO, tastați transfer rid master și apăsați Enter.
    • pentru a transfera rolul Master Infrastructure FSMO, tastați transfer infrastructure master și apăsați Enter.
    • pentru a transfera rolul emulatorului PDC FSMO, tastați transfer pdc și apăsați Enter.
  8. Pentru a ieși din promptul de întreținere fsmo, tastați quit și apăsați Enter.
  9. pentru a ieși din promptul ntdsutil, tastați quit și apăsați Enter.,

Sechestrarea Roluri FSMO

Transferul de roluri FSMO prevede că atât sursa cât domaincontroller și domeniul țintă controlere fi on-line și funcțional. Dacă adomain operator care deține unul sau mai multe roluri FSMO este pierdut sau va beunavailable pentru o perioadă semnificativă de timp, sale roluri FSMO poate fi „confiscate” de a anotherdomain controller. în cele mai multe cazuri, rolurile FSMO ar trebui confiscate numai dacă proprietarul original al rolului FSMO nu poate fi readus în mediu., Reintroducerea unui proprietar de rol FSMO în urma confiscării rolurilor sale poate provoca daune semnificative domeniului sau pădurii. Acest lucru este valabil mai ales pentru rolul SchemaMaster și RID Master. cmdletul Move-ADDirectoryServerOperationMasterrole permite utilizarea parametrului a-Force care poate fi folosit pentru a profita de rolurile FSMO. Utilizarea parametrului-Force va direcționa cmdletul să încerce un transfer de rol FSMO și apoi să profite de roluri dacă încercarea de transfer eșuează. următoarele instrucțiuni pot fi folosite pentru a profita de rolurile FSMO cu ntdsutil.,utilitate exe:

  1. deschideți un prompt de comandă ridicat.
  2. tastați ntdsutil și apăsați Enter. Se va deschide o fereastră nouă.
  3. la promptul ntdsutil, tastați roluri și apăsați Enter.
  4. la promptul de întreținere fsmo, tastați conexiuni și apăsați Enter.
  5. La conexiuni de server de comandă, tastați conecta la server <DC> (înlocuirea <DC> cu nume de gazdă de controler de domeniu care rolurile FSMO sunt confiscate și să) și apăsați Enter., Aceasta va lega ntdsutil la controlerul de domeniu țintă.
  6. tastați quit și apăsați Enter.
  7. la promptul de întreținere fsmo, introduceți comenzile corespunzătoare pentru fiecare rol FSMO transferat:
    • Pentru a transfera rolul Schema Master FSMO, tastați profite schema master și apăsați Enter.
    • pentru a transfera rolul Master Naming Master FSMO, tastați seize naming master și apăsați Enter.
    • pentru a transfera rolul RID Master FSMO, tastați seize rid master și apăsați Enter.
    • pentru a transfera rolul FSMO Master Infrastructure, tastați seize infrastructure master și apăsați Enter.,
    • pentru a transfera rolul FSMO emulator PDC, tip profite pdc și apăsați Enter.
  8. Pentru a ieși din promptul de întreținere fsmo, tastați quit și apăsați Enter.
  9. pentru a ieși din promptul ntdsutil, tastați quit și apăsați Enter.deoarece fiecare rol există o singură dată într-o pădure sau domeniu, este important să înțelegem nu numai locația fiecărui proprietar de rol FSMO și responsabilitățile fiecărui rol FSMO, ci și impactul operațional introdus de indisponibilitatea unui controler de domeniu care deține roluri FSMO., Astfel de informații valoroase în situațiile în care un controler de domeniu este indisponibil, fie din cauza evenimentelor neprevăzute sau în timp ce programarea și efectuarea de upgrade-uri planificate și întreținere.

Share

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *