Vad är det FSMO-Roller i Active Directory?

Active Directory tillåter objekt skapelser, uppdateringar och raderingar som ska begås till någon auktoritativ domänkontrollant. Detta är möjligt eftersom varje Active Directory domänkontrollant upprätthåller en skrivbar kopia av sin egen domän partition-utom, naturligtvis, skrivskyddade domänkontrollanter. Efter att en ändring har begåtts replikeras den automatiskt till andra domänkontrollanter genom en process som kallas multi-master replikering., Detta beteende gör att de flesta operationer kan behandlas på ett tillförlitligt sätt av flera domänkontrollanter och ger höga nivåer av redundans, tillgänglighet och tillgänglighet inom Active Directory.

ett undantag från detta beteende gäller för vissa Active Directory-operationer som är tillräckligt känsliga för att deras utförande är begränsat till en viss domänkontrollant. Active Directory tar itu med dessa situationer genom en särskild uppsättning roller., Microsoft har börjat hänvisa till dessa roller som Operation Masters roller, men de är mer allmänt kallad av deras ursprungliga namn, flexibla single-Master Operator (”FSMO”) roller.

Vad är FSMO roller?

Active Directory har fem FSMO (allmänt uttalat ”FIZZ-mo”) roller, varav två är företagsnivå (dvs. en per skog) och tre är domännivå (dvs. en per domän). FSMO-rollerna på företagsnivå kallas Schemamästaren och Domännamnsmästaren., FSMO-rollerna på domännivå kallas den primära domänkontrollanten emulatorn, den relativa Identifieringsmästaren och Infrastrukturmästaren.

följande kommandon kan användas för att identifiera FSMO-rollägare. Kommandotolken:

netdom query fsmo /domain:<DomainName>

PowerShell:

i en ny Active Directory forest tilldelas alla fem FSMO-roller till den ursprungliga domänkontrollanten i den nyskapade skogsrotdomänen.,

När en ny domän läggs till i en befintlig skog tilldelas endast tre FSMO-roller på domännivå till den första domänkontrollanten i den nyskapade domänen; de två FSMO-rollerna på företagsnivå finns redan i skogsrotsdomänen.

FSMO-roller förblir ofta tilldelade sina ursprungliga domänkontrollanter, men de kan överföras om det behövs.,

de 5 FSMO rollerna i Active Directory

Schema Master

Schemamästaren är en FSMO-roll på företagsnivå; det finns bara en Schemamästare i en Active Directory-skog.

schemamästarrollägaren är den enda domänkontrolleraren i en Active Directory-skog som innehåller en skrivbar schemapartition. Som ett resultat måste den domänkontrollant som äger schemat Master FSMO roll vara tillgänglig för att ändra dess skogs schema., Detta inkluderar aktiviteter som att höja skogens funktionella nivå och uppgradera operativsystemet för adomain controller till en högre version än vad som för närvarande finns i skogen,varav någon kommer att introducera uppdateringar av Active Directory-schemat.

schemat Master roll har lite overhead och dess förlust kan förväntas resultera i liten eller ingen omedelbar operativ inverkan; unlesschema förändringar är nödvändiga, det kan förbli offline på obestämd tid utan noticeable effekt., Schemamästarrollen ska bara beslagtas när den domaincontroller som äger rollen inte kan föras tillbaka online. Att föra hem rollen som Master role owner på nätet efter att rollen har beslagtagits av den kanintroducera allvarliga datainkonsistens och integritetsproblem i skogen.

domännamngivningshanterare

domännamngivningshanterare är en enterprise-nivå roll. detfinns bara en domännamngivningshanterare i en Active Directory-skogen.,

domännamngivningshanterare ägare är den enda domaincontroller i en Active Directory-skog som kan lägga till nya domäner andapplication partitioner till skogen. Dess tillgänglighet är också nödvändigt att ta bortbefintliga domäner och applikationspartier från skogen.

Domain Naming Master role har lite overhead och dessförlust kan förväntas resultera i liten eller ingen operativ inverkan, eftersom tillägg och borttagning av domäner och partitioner utförs sällan ochär sällan tidskritiska operationer., Följaktligen domännamn Master rolebör bara behöva beslagtas när domänkontrollanten som äger rolecannot kommer tillbaka online.

RID Master

Relative Identifier Master (”RID Master”) är adomain-level role; det finns en RID Master i varje domän i en ActiveDirectory forest.

rid Master role owner är ansvarig för allokeringactive och standby Relative Identifier (”RID”) pooler till domänkontrollanter i itsdomain. Rid pooler består av ett unikt, sammanhängande utbud av RIDs., Dessa Ridsanvänds under objektskapande för att generera det nya objektets unika Säkerhetsidentifierare (”SID”). RID-mästaren är också ansvarig för att flytta föremål från en domäntill en annan inom en skog.

i mogna domäner är overhead som genereras av RID-mastern försumbar. Eftersom PDC i en domän vanligtvis får mest uppmärksamhet frånadministratörer, lämnar denna roll som tilldelats domänen PDC hjälper till att säkerställa entillförlitlig tillgänglighet., Det är också viktigt att se till att befintliga domänkontrollanter och nyutvecklade domänkontrollanter, särskilt de som marknadsförs på avlägsna eller staging-platser, har nätverksanslutning till RID-Mästaren och kan på ett tillförlitligt sätt få aktiva och standby-rid-pooler.

förlusten av en domäns rid-mästare kommer så småningom att leda till en oförmåga att skapa nya objekt inom domänen eftersom de återstående domänkontrollanternas RID-poolerna är utarmade., Även om avsaknaden av den domaincontroller som äger rid Master-rollen kan verka som om den skulle orsaka betydande driftsstörningar, tenderar den relativt låga volymen av objektskapande händelser i en mogen miljö att leda till att effekten av en sådan händelse är acceptabel under lång tid. Att föra en RIDMaster tillbaka online efter att ha tagit sin roll kan potentiellt introduceraduplicera RIDs i domänen. Följaktligen bör denna roll endast beslagtas från en domänkontrollant om den domänkontrollant som äger rollen inte kan föras tillbaka online.,

Infrastrukturmästare

Infrastrukturmästaren är en roll på domännivå; det finns en Infrastrukturmästare i varje domän i en Active Directory-skog.

ägaren av infrastrukturmästarrollen är domaincontroller i varje domän som ansvarar för hantering av fantomobjekt.Fantomobjekt används för att spåra och hantera ihållande referenser till deletedobjects och länkvärderade attribut som hänvisar till objekt i en annan domäninom skogen (t.ex. en lokal domän säkerhetsgrupp med en medlemsanvändare från en annan domän).,

Infrastrukturmästaren kan placeras på någon domänkontrollant i en domän om inte Active Directory forest innehåller domänkontrollanter som inte är globala katalogvärdar. I så fall måste InfrastructureMaster placeras på en domänkontrollant som inte är en global katalogvärd.

förlusten av den domänkontrollant som äger Infrastrukturemaster-rollen kommer sannolikt bara att märkas för administratörer och kan varatolererad under en längre period., Även om dess frånvaro kommer att resultera i namnen på domänobjektlänkar som inte löser sig korrekt, kommer möjligheten att utnyttja domängruppmedlemskap inte att påverkas.

PDC Emulator

den primära domänkontrollanten Emulator (”PDC Emulator” eller”PDCE”) är en domän-nivå roll; det finns en PDCE i varje domän i en ActiveDirectory skog.

PDCE-rollägaren ansvarar för flera korsoperationer:

  • bakåtkompatibilitet. PDCE härmar single-master-beteendet hos en Windows NT-primär domänkontrollant., För att ta itu med problem med bakåtkompatibilitet registrerar PDCE som måldomänkontrollant för äldre applikationer som utför skrivbara operationer och vissa administrativa verktyg som inte är medvetna om multi-master-beteendet hos Active Directory-domänkontrollanter.
  • tidssynkronisering. Varje PDCE fungerar som huvudtidskälla inom sin domän. Den PDCE i skogens rotdomän, fungerar som preferred Network Time Protocol (”NTP”) server i skogen., PDCE i alla andra domäner inom skogen synkroniserar klockan till forest root PDCE, icke-PDCE-domänkontrollanter synkroniserar sina klockor till domänens PDCE och domänförenade värdar synkroniserar sina klockor till sin föredragna domänkontrollant.
    OBS! Kerberos-autentiseringsprotokollet innehåller tidsstämpelinformation och är ett exempel på vikten av tidssynkronisering inom en Active Directory-skog., Kerberos-autentisering misslyckas om skillnaden mellan en begärande värdens klocka och klockan på den autentiserande domänkontrollanten överstiger 5 minuter (denna tolerans är konfigurerbar, men Microsofts rekommendation om bästa praxis är att behålla standardvärdet 5-minuters på maximal tolerans för datorns synkroniseringsinställning). Detta beteende är avsett att motverka vissa skadliga aktiviteter, såsom”Replay-attacker”.
  • Lösenordsuppdatering., När Dator-och användarlösenord ändras eller återställs av en domänkontrollant som inte är PDCE, replikeras den engagerade uppdateringen omedelbart till domänens PDCE. Om ett konto försöker autentisera mot en domänkontrollant som ännu inte har fått en ny lösenordsändring genom schemalagd replikering skickas begäran vidare till domänen PDCE. PDCE kommer att försöka behandla autentiseringsbegäran och instruera den begärande domänkontrollanten att antingen acceptera eller avvisa autentiseringsbegäran., Detta beteende säkerställer att lösenord på ett tillförlitligt sätt kan behandlas även om de senaste ändringarna inte har spridits fullständigt genom schemalagd replikering. PDCE ansvarar också för att hantera kontolåsningar, eftersom alla misslyckade lösenordsautentiseringar skickas vidare till PDCE.
  • Grupprincip uppdateringar. Alla uppdateringar av grupprincipobjekt (”GPO”) är hängivna till domän PDCE. Detta förhindrar potentialen för versionskonflikter som kan uppstå om en GPO ändrades på två domänkontrollanter på ungefär samma gång.
  • distribuerat filsystem., Som standard kommer distribuerade filsystem (”DFS”) rotservrar regelbundet begära uppdaterad DFS namnrymdsinformation från PDCE. Även om detta beteende kan leda till resursflaskhalsning, möjliggör Dfsutil.exe Root Scalability parameter gör det möjligt för DFS-rotservrar att begära uppdateringar från närmaste domänkontrollant(se https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/hh341472(V=ws.10) för mer information).

som en följd av sitt ansvar bör PDCE placeras på en mycket tillgänglig, välansluten, högpresterande domaincontroller., Dessutom bör skogsrotsdomänen PDC-emulatorn varakonfigurerad med en tillförlitlig extern tidskälla.

även om förlusten av den domänkontrollant som äger PDCEmulator roll kan förväntas ha en omedelbar och betydande inverkan på verksamheten, arten av dess ansvar resulterar i beslag av denpdce roll som har färre konsekvenser för domänen än beslag av andra roles. Beslagtagandet av PDCE-rollen anses vara en rekommenderad bästa practicei händelse en domänkontrollant som äger PDCE-rollen blir otillgänglig till följd av ett oplanerat avbrott.,

överför FSMO-roller

som tidigare nämnts i det här inlägget är FSMO-roller nödvändigaatt utföra vissa viktiga operationer och de är inte överflödiga. Som ett resultat kan det vara antingen önskvärt eller nödvändigt att flytta FSMO roller från onedomain controller till en annan.

en metod för att överföra FSMO-roller är att demotera dendomain controller som äger rollerna. När en domänkontrollant degraderas detkommer att försöka överföra alla FSMO-roller som den äger till lämpliga domänkontrollanter på samma webbplats., Roller på domännivå kan endast överföras till domänkontrollanter på samma domän, men roller på företagsnivå kan överföras till någon lämplig domänkontrollant i skogen. Även om det finns regler somhandla om hur domänkontrollanten som degraderas kommer att bestämma var man ska överföra FSMO-roller, finns det inget sätt att direkt kontrollera var dess FSMO-roller kommer att överföras.

den perfekta metoden för att flytta en FSMO-roll är att aktivt överföra dem med antingen hanteringskonsolen, PowerShell eller ntdsutil.exe., Under amanual överföring synkroniseras källdomänkontrollanten med targetdomain-kontrollern innan rollen överförs.

kontot som utför en Schemamästarroll måste vara medlem i Schemaadminerna och Företagsadminsgruppen. Medlemskap i gruppen företagsadministratörer som är nödvändigt för att överföra domännamngivningshanterare. PDCE, rid Master och Infrastructure Master roller kan överföras av ett konto med medlemskap i Domänadministratörsgruppen för domänen där rollerna överförs.,

hanteringskonsol

överföring av FSMO-roller med hjälp av hanteringskonsolen kan kräva användning av upp till tre olika snap-in-moduler.

överföra Schemamästarrollen

Schemamästarrollen kan överföras med hjälp av snapin-modulen hantering av schema för ActiveDirectory.

om snapin-modulen inte finns i den tillgängliga hanteringskonsolen måste den registreras. För att registrera Active Directory-Schema Management Console, öppna en kommandotolk, skriv regsvr32 schmmgmt.,och tryck på Enter:

När DLL-filen har registrerats kör du Managementkonsolen som en användare som är medlem i Schemaadministratörsgruppen och lägger till det aktiva Katalogschemat snap-in i hanteringskonsolen:

högerklicka på Active Directory schemanoden och välj ”Ändra Active Directory domain controller”.,div id=”51e1a53e4d”>

högerklicka på Active Directory Schema-noden igen och välj ”Operations Master”:

klicka på ”Ändra”-knappen för att påbörja överföringen av schemas huvudroll till den riktade domänkontrollant:

överföra domännamngivningens huvudroll

domännamngivningens huvudroll kan överföras med hjälp avaktiva katalogdomäner och trusts Management Console Snap-in.,

kör Management Console som en användare som är medlem i Enterprise Admins group och Lägg till Active Directory-domäner och Trusts snap-in i Management Console:

högerklicka på Active Directory-domäner och Trusts nod och välj ”Ändra Active Directory-domän controller”., node igen och välj ”Operations Master”:

klicka på ”Change”-knappen för att påbörja överföringen av Domännamngivningens huvudroll till den riktade domänkontrollanten:

överför rid Master, infrastructure master eller PDC emulator Roller

rid Master, infrastructure Master och PDC emulatorroles kan alla överföras med hjälp av Active Directory-användare och computersmanagement Console Snap-in.,

kör hanteringskonsolen som en användare som är medlem i Domänadministratörsgruppen i domänen där FSMO-rollerna överförs och Lägg till Active Directory-användare och datorer snap-in i hanteringskonsolen:

högerklicka antingen på domänadministratören eller på domänadministratören.eller Active Directory-användare och datorer nod och välj ”Ändra Active Directory domänkontrollant”.,v id=”0c7ce01ed8″>

högerklicka på Active Directory-användare och datorer nod och klicka på ”Operations Masters”:

Välj lämplig flik och klicka på ”Ändra”-knappen för att starta överföringen av FSMO-rollen till den riktade domänkontrollanten:

PowerShell

move-addirectoryserveroperationmasterrole PowerShell cmdlet kan användas för att överföra FSMO roller., Rollerna som överförs anges med parametern-OperationMasterRole:

Move-ADDirectoryServerOperationMasterRole -Identity TargetDC -OperationMasterRole pdcemulator, ridmaster, infrastructuremaster, schemamaster, domainnamingmaster

ntdsutil.exe

ndtsutil.exe är ett lätt kommandoradsverktyg som kanutföra ett antal användbara funktioner, inklusive överföring av FSMO-roller.

FSMO-roller kan överföras med följande steg:

  1. öppna en förhöjd kommandotolk.
  2. skriv ntdsutil och tryck på Enter. Ett nytt fönster öppnas.
  3. vid ntdsutil-prompten skriver du roller och trycker på Enter.
  4. vid FSMO maintenance prompt skriver du anslutningar och trycker på Enter.,
  5. skriv connect to server<DC> (ersätter<DC> med domänkontrollantens värdnamn som FSMO-rollerna överförs till) och tryck på Enter. Detta kommer att binda ntdsutil till måldomänkontrollanten.
  6. skriv avsluta och tryck på Enter.
  7. vid FSMO-underhållsprompten anger du lämpliga kommandon för varje FSMO-roll som överförs:
    • för att överföra Schemamästaren FSMO-Roll, skriv överföringsschemamästaren och tryck på Enter.,
    • för Att överföra domännamngivningshanterare FSMO roll, typ överföring namngivning master och tryck på Enter.
    • för att överföra RID Master FSMO Roll, skriv transfer rid master och tryck på Enter.
    • för att överföra Infrastruktur Master FSMO Roll, skriv transfer infrastructure master och tryck på Enter.
    • för att överföra PDC-emulatorns FSMO-Roll, skriv överför PDC och tryck på Enter.
  8. för att avsluta FSMO-underhållsprompten skriver du avsluta och trycker på Enter.
  9. Om du vill avsluta ntdsutil-prompten skriver du avsluta och trycker på Enter.,

beslag FSMO roller

överföring FSMO roller kräver att både källan domaincontroller och målet domänkontrollanter vara online och funktionell. Om adomain controller som äger en eller flera FSMO roller förloras eller kommer att vara otillgänglig under en betydande period, kan dess FSMO roller ”beslagtas” till en annandomän controller.

i de flesta fall bör FSMO-roller endast beslagtas om den ursprungliga FSMO-rollägaren inte kan föras tillbaka till miljön., Återinförandet av en FSMO-rollägare efter beslag av sina roller kan orsaka betydande skador på domänen eller skogen. Detta gäller särskilt för Schemetmaster och RID Masterroller.

Move-ADDirectoryServerOperationMasterrole cmdlet tillåter användning av A-Force parameter som kan användas för att gripa FSMO roller. Om du använder parametern-Force kommer cmdlet att leda till att en FSMO-rollöverföringar görs och sedan gripa rollerna om överföringsförsöket misslyckas.

Följande instruktioner kan användas för att gripa FSMO roller med ntdsutil.,exe utility:

  1. öppna en förhöjd kommandotolk.
  2. skriv ntdsutil och tryck på Enter. Ett nytt fönster öppnas.
  3. vid ntdsutil-prompten skriver du roller och trycker på Enter.
  4. vid FSMO maintenance prompt skriver du anslutningar och trycker på Enter.
  5. skriv connect to server<DC> (ersätter<DC> med domänkontrollantens värdnamn som FSMO-rollerna beslagtas till) och tryck på Enter., Detta kommer att binda ntdsutil till måldomänkontrollanten.
  6. skriv avsluta och tryck på Enter.
  7. vid FSMO-underhållsprompten anger du lämpliga kommandon för varje FSMO-roll som överförs:
    • för att överföra Schemamästaren FSMO-rollen, skriv gripe schemamästaren och tryck på Enter.
    • för att överföra domännamnet Master FSMO Roll, skriv gripe naming master och tryck på Enter.
    • för att överföra RID Master FSMO Roll, skriv gripe rid master och tryck på Enter.
    • för att överföra Infrastruktur Master FSMO Roll, typ beslagta Infrastruktur master och tryck på Enter.,
    • för att överföra PDC-emulatorns FSMO-Roll, skriv gripe pdc och tryck på Enter.
  8. för att avsluta FSMO-underhållsprompten skriver du avsluta och trycker på Enter.
  9. Om du vill avsluta ntdsutil-prompten skriver du avsluta och trycker på Enter.

sammanfattning

eftersom varje roll endast existerar en gång i en skog eller domän, är det viktigt att förstå inte bara platsen för varje FSMO rollägare och ansvaret för varje FSMO roll men också den operativa inverkan som införts genom avsaknad av en FSMO rollägande domänkontrollant., Sådan information är värdefull i situationer där en domänkontrollant inte är tillgänglig, vare sig på grund av oförutsedda händelser eller när du schemalägger och utför planerade uppgraderingar och underhåll.

Share

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *