Гибкая работа с одним мастером
Гибкие операции с одним главным мастером ( FSMO , F иногда «плавающий»; произносится как Fiz-mo), или просто одиночная основная операция или мастер операций , является функцией Microsoft ( Active Directory AD). [1] С 2005 года термин FSMO устарел в пользу мастеров операций. [ нужна ссылка ] [2]
FSMO — это специализированный контроллера домена набор задач (DC), используемый там, где стандартные методы передачи и обновления данных не подходят. AD обычно использует несколько равноправных контроллеров домена, каждый из которых имеет копию базы данных AD, синхронизируемую с помощью репликации с несколькими хозяевами . Задачи, которые не подходят для репликации с несколькими хозяевами и осуществимы только с базой данных с одним главным сервером, — это FSMO. [3]
Роли ФСМО
[ редактировать ]Роли для каждого домена
[ редактировать ]Эти роли применимы на уровне домена (т. е. для каждого домена в лесу существует по одной роли):
- Эмулятор PDC (основной контроллер домена). Эта роль является наиболее часто используемой из всех ролей FSMO и имеет самый широкий набор функций. Контроллер домена, который выполняет роль эмулятора PDC, имеет решающее значение в смешанной среде, где все еще присутствуют BDC Windows NT 4.0. Это связано с тем, что роль эмулятора основного контроллера домена эмулирует функции основного контроллера домена Windows NT 4.0. Даже если все контроллеры домена Windows NT 4.0 были перенесены на Windows 2000 или более позднюю версию, контроллер домена, выполняющий роль эмулятора PDC, по-прежнему многое делает. Эмулятор PDC — это источник домена для синхронизации времени для всех остальных контроллеров домена; в многодоменном лесу эмулятор PDC в каждом домене синхронизируется с корневым эмулятором PDC леса. Все остальные компьютеры-члены домена синхронизируются со своими соответствующими контроллерами домена. [4] Крайне важно, чтобы часы компьютеров были синхронизированы по всему лесу, поскольку чрезмерный сдвиг часов приводит Kerberos к сбою проверки подлинности . Кроме того, все изменения паролей происходят на эмуляторе PDC и получают приоритет репликации. [5]
- Мастер RID — (относительный идентификатор). Этот владелец роли FSMO является единственным контроллером домена, ответственным за обработку запросов пула RID от всех контроллеров домена в данном домене. Он также отвечает за перемещение объекта из одного домена в другой во время междоменного перемещения объекта. Когда контроллер домена создает объект участника безопасности, например пользователя или группу, он присваивает уникальный SID этому объекту . Этот SID состоит из SID домена (одинакового для всех SID, созданных в домене) и относительного идентификатора (RID), который уникален для каждого SID субъекта безопасности, созданного в домене. Каждому контроллеру домена в домене выделяется пул идентификаторов RID, которые можно назначать создаваемым им участникам безопасности. Когда выделенный пул RID контроллера домена падает ниже порогового значения, этот DC выдает запрос на дополнительные RID владельцу роли RID Master FSMO домена, владелец роли RID Master FSMO отвечает на запрос, получая RID из нераспределенного пула RID домена и назначает их. в пул запрашивающего DC.
- Мастер инфраструктуры . Цель этой роли — обеспечить правильную обработку междоменных ссылок на объекты. Например, если пользователь из одного домена добавляется в группу безопасности из другого домена, хозяин инфраструктуры следит за тем, чтобы все было сделано правильно. Однако если в развертывании Active Directory имеется только один домен, роль хозяина инфраструктуры вообще не работает, и даже в многодоменной среде она используется редко, за исключением случаев, когда выполняются сложные задачи администрирования пользователей. Это относится только к разделу домена (контекст именования по умолчанию).
netdom query fsmo
иntdsutil
будет запрашивать только раздел домена. Однако каждый раздел приложения, включая доменные зоны DNS на уровне леса и домена, имеет своего собственного хозяина инфраструктуры. Обладатель этой роли хранится вfSMORoleOwner
атрибутInfrastructure
объект в корне раздела, его можно изменить с помощьюADSIEdit
, например, можно изменитьfSMORoleOwner
атрибутCN=Infrastructure,DC=DomainDnsZones,DC=yourdomain,DC=tld
возражать противCN=NTDSSettings,CN=Name_of_DC,CN=Servers,CN=DRSite,CN=Sites,CN=Configuration,DC=Yourdomain,DC=TLD
. [6]
Роли для каждого леса
[ редактировать ]Эти роли уникальны на уровне леса (обе расположены в корневом домене леса):
- Хозяин схемы . Целью этой роли является репликация изменений схемы на все остальные контроллеры домена в лесу. Однако, поскольку схема Active Directory редко меняется, роль хозяина схемы редко выполняет какую-либо работу. Эта роль обычно участвует в развертывании Exchange Server и Skype для бизнеса Server, а также контроллеров домена от одной версии к другой, поскольку все эти ситуации предполагают внесение изменений в схему Active Directory.
- Мастер именования доменов . Другая роль FSMO, специфичная для леса, — это мастер именования доменов, и эта роль также находится в корневом домене леса. Роль хозяина именования доменов обрабатывает все изменения в пространстве имен, например, добавление дочернего домена vancouver.mycompany.com в корневой домен леса mycompany.com требует, чтобы эта роль была доступна. Неправильная работа этой роли может помешать добавлению нового дочернего домена или нового дерева доменов.
Перемещение ролей FSMO между контроллерами домена
[ редактировать ]По умолчанию AD назначает все роли хозяина операций первому DC, созданному в лесу. Чтобы обеспечить отказоустойчивость, в каждом домене леса должно быть несколько контроллеров домена. Если в лесу создаются новые домены, первый контроллер домена в новом домене содержит все роли FSMO на уровне домена. Это неудовлетворительное положение, если в домене имеется большое количество контроллеров домена. Microsoft рекомендует тщательно разделить роли FSMO, при этом резервные контроллеры домена готовы взять на себя каждую роль. Эмулятор основного контроллера домена и главный контроллер RID по возможности должны находиться на одном контроллере домена. Хозяин схемы и мастер именования доменов также должны находиться на одном контроллере домена.
Когда роль FSMO переносится на другой контроллер домена, исходный владелец FSMO и новый владелец FSMO обмениваются данными, чтобы гарантировать, что данные не будут потеряны во время передачи. Если у первоначального владельца FSMO произошел неисправимый сбой, можно заставить другой DC «захватить» потерянные роли; однако существует риск потери данных из-за отсутствия связи. Захват ролей у контроллера домена вместо его передачи не позволяет этому контроллеру домена снова размещать эту роль FSMO, за исключением ролей PDC Emulator и Infrastructure Master Operation. Повреждение может произойти в Active Directory. Роли FSMO можно легко перемещать между контроллерами домена с помощью оснасток AD для MMC или с помощью ntdsutil
, который представляет собой инструмент на основе командной строки. [7]
Роли FSMO и глобальный каталог
[ редактировать ]Некоторые роли FSMO зависят от того, является ли контроллер домена сервером глобального каталога (GC) . При первоначальном создании леса первым контроллером домена по умолчанию является сервер глобального каталога. Глобальный каталог предоставляет несколько функций. GC хранит информацию об объектах, управляет запросами этих объектов данных и их атрибутов, а также предоставляет данные для входа в сеть.
Часто все контроллеры домена также являются серверами глобального каталога. В противном случае роль хозяина инфраструктуры не должна размещаться на контроллере домена, на котором также находится копия глобального каталога в многодоменном лесу, поскольку сочетание этих двух ролей на одном хосте приведет к непредвиденным последствиям ( и потенциально вредное) поведение в многодоменной среде. [8] [9] Однако роль хозяина именования доменов должна быть размещена на контроллере домена, который также является сборщиком мусора.
Ссылки
[ редактировать ]- ^ «Понимание ролей FSMO в Active Directory — Петри» . petri.co.il . 8 января 2009 года. Архивировано из оригинала 20 августа 2011 года . Проверено 22 июля 2016 г.
- ^ «Передача или захват ролей хозяина операций в доменных службах Active Directory» . 15 июня 2023 г.
- ^
«Роли FSMO Active Directory в Windows 2000» . Корпорация Майкрософт. 23 февраля 2007 г.
Чтобы предотвратить конфликтующие обновления в Windows 2000, Active Directory выполняет обновления определенных объектов в режиме одного мастера. [...] Поскольку роль Active Directory не привязана к одному контроллеру домена, она называется ролью Flexible Single Master Operation (FSMO).
- ^ «Конфигурация службы времени на контроллере домена с ролью эмулятора PDC FSMO — Статьи TechNet — США (английский) — TechNet Wiki» . microsoft.com . Проверено 22 июля 2016 г.
- ^ «[MS-ADTS]: роль FSMO эмулятора PDC» . microsoft.com . Проверено 22 июля 2016 г.
- ^ «TechNet: ForestDNSZones и DomainDNSZones имеют неправильную запись роли инфраструктуры» . Архивировано из оригинала 12 января 2018 г. Проверено 12 января 2018 г.
- ^ «Использование Ntdsutil.exe для передачи или захвата ролей FSMO на контроллер домена» . support.microsoft.com . Проверено 18 января 2017 г.
- ^ «Фантомы, надгробия и хозяин инфраструктуры» . support.microsoft.com . Проверено 18 января 2017 г.
- ^ «Размещение и оптимизация FSMO на контроллерах домена Active Directory» . support.microsoft.com . Проверено 18 января 2017 г.
Внешние ссылки
[ редактировать ]- «6.1.5.3 Роль главного FSMO RID» . [MS-ADTS]: Техническая спецификация Active Directory . Майкрософт . 30 марта 2020 г.
- «Как просмотреть и перенести роли FSMO в Windows Server 2003» . Поддерживать . Майкрософт. 11 сентября 2011 г.
- Таллок, Митч (15 марта 2005 г.). «Как просмотреть и перенести роли FSMO в Windows Server 2003» . WindowsNetworking.com . ТехГеникс.
- «Перенос ролей FSMO в Windows Server 2008» . ТехНетВики . Майкрософт .
- Арик, Эртугрул (23 декабря 2014 г.). «Как определить владельца роли fsmo (атрибут fsmoRoleOwner)» . Кодирование Active Directory .