roluri FSMO sau operare gazdă
FSMO-rol, sau, așa cum sunt numite, master Active Directory - aceasta controlere de domeniu, înzestrat cu puteri specifice.
Ruslan V. Karmanov.
În viața fiecărui administrator de sistem vine un moment când el trebuie să încerce cu disperare să-și amintească ce rol în ceea ce controler de domeniu este implementat, și cel mai important, ceea ce este responsabil pentru ce. De obicei, această actualizare scenariu, migrația sau dezastru de recuperare.
Deci Știm cu toții că rolurile FSMO (Flexible Single Master Operation) în Active Directory se întâlnește la cinci bucăți. Acestea sunt:
- Schema de master
- Domeniul de Master Naming
- Infrastructura de master
- Masterat RID
- PDC Emulator
Fiecare dintre acestea vor fi luate în considerare acum mai detaliat. Să mergem!
Schema de master
În fiecare pădure Active Directory nu are mai mult de un maestru schemă (Schema master). Acesta este responsabil pentru a face modificări la schema secțiunii, în cazul în care există descrieri ale tuturor claselor și atributelor Active Directory.
Partea bună, simplă și necesară.
Domeniul de Master Naming
Următoarea parte a nivelului forestier - maestru de domeniu de denumire. După cum reiese din definiția termenului „pădure“, omul acesta în pădure și nu mai mult de unul.
Domeniul Naming Master este responsabil pentru operațiunile legate de numele de domeniu Active Directory. Dar nu numai. Domeniile de responsabilitate el are patru:
- Adăugarea și ștergerea domenii din cadrul lemnului
- Crea și șterge partiții (partiții director de aplicație)
- Crearea si eliminarea referințe încrucișate (CrossRef)
- Aprobarea redenumirea domeniului
Mers pe jos în fiecare detaliu.
Adăugarea și ștergerea domeniilor
Adăugați și eliminați domenii permise numai controler de la rolul de domeniu de Master Naming. Acest controler vigilent ochi pentru a adăuga domeniu are unic în pădure NetBIOS-nume. Dacă Naming Master este disponibilă, crucea poate fi pus pe încercarea de a schimba numărul de domenii în pădure.
Trebuie remarcat faptul că a verifica unicitatea FQDN-nume pentru noul domeniu la un controler dedicat, nu are sens, este mai ușor să solicite informații de la DNS.
Crearea și ștergerea partiții
Crearea și îndepărtarea trimiteri încrucișate
Evident, lipsa accesului la controler cu administratorul Grieve rolul master domeniu Naming care vrea să creeze o nouă trimitere, sau șterge inutile.
Aprobarea redenumirea domeniului
În timpul utilitatea principală a acestei acțiuni (rendom.exe) domeniu script redenumire de instrucțiuni care vor fi executate în procesul de redenumire. Toate instrucțiunile sunt verificate, după care script-ul este plasat în atributul FDS UpdateScript Partițiile Configurare secțiune a containerului. În plus, valoarea FDS DnsRootAlias atribut pentru fiecare clasă de obiect CrossRef stabilit în conformitate cu noul model de domeniu de denumire. Având în vedere că dreptul de a modifica conținutul crossRefContainer numai controller la rolul de denumiri de domeniu master, este evident că instrucțiunile de testare și scris-o execută atribute.
Dacă sunt detectate erori de script de verificare și o nouă pădure va fi non-kosher, sau pentru a identifica numele de intersecția dintre vechea și noua pădure domeniu, întregul proces de redenumire va fi oprit.
Poate, Domain Naming Master - singurul rol, fără de care o poate trăi ani de zile fără consecințe grave. Dar, desigur, este mai bine atunci când totul funcționează.
Infrastructura de master
Mai mult decât atât, nu contează este o chestiune de domenii diferite în aceeași pădure, sau o pădure diferită. Este posibil ca domeniul în pădure singur, dar el are o relație de încredere cu un alt domeniu. Și în acest caz, există de lucru pentru master de infrastructură.
Rolul AI monitorizează schimbările în pădure curentă. Ai încredere între domeniile, pădurile și alte obiecte conexe - nu aria sa de responsabilitate.
Masterat RID
SID: S-1-5-Y1-Y2-Y3-Y4. aici:
Acesta indică cine a fost eliberat SID. 5 este Autoritatea NT. Cu toate acestea, așa-numitele AIN bine-cunoscute sunt în această parte au 0, 1, și o altă valoare pentru a indica sale „bine-known'osti“.
Identifier relativă (ID relativă, RID), legat de un anumit cont. Înlocuit otnostitelno piscina de identificare (RID Pool), domeniu în momentul în care contul.
Deci Controlerul de domeniu cu rol de Master RID este responsabil pentru alocarea unei secvențe unice RID'ov fiecare controler de domeniu într-un domeniu, precum și pentru exactitatea obiectelor de la un domeniu la altul în mișcare. controlere de domeniu au un fond comun de identificatori relative de la care fiecare controler este alocat un pachet de „aproximativ“ 500 de piese. În cazul în care numărul controlerului selectat RID'ov apropie de sfârșit (devine mai mică de 100), acesta solicită un nou teanc. Desigur, numărul de prag de interogare emis și RID pot fi modificate după cum se dorește.
Să nu uităm despre mutarea obiectelor între domenii. Acesta RID master asigură că, în orice moment dat, fiecare obiect se mișcă în doar un singur domeniu. În caz contrar, este posibil situație extrem de nesănătoase în cazul în care cele două domenii vor avea două obiecte cu aceeași GUID. remediezi această situație riscă să nu mai puțin interesant decât prinderea duplicat SID.
În cazul în care Maestrul RID nu va fi disponibil, apoi creați un cont nou, după epuizarea liber RID (utilizator, calculator, grup, TDO *) va fi imposibil. Și, în același timp, să nu fie în măsură să migreze obiecte din domeniul curent la altul.
* TDO - Trusted Domeniul obiect. Acesta este creat atunci când configurați o relație de încredere.
PDC Emulator
Al treilea și ultimul rol domeniul de nivel-FSMO - Primar Domain Controller (PDC) Emulator. Poate cel mai încărcat cu responsabilități.
Domeniu Active Directory
Server cu rol PDC Emulator este marea problema de compatibilitate cu versiunile anterioare de Windows. Dar nu numai, și, în ultimul timp, nu atât de mult. Ar trebui să începem să ne amintim ce a făcut PDC în Windows NT 4.0 și 3.51:
Operațiunile de prelucrare „schimba parola“ pentru utilizatori și calculatoare
actualizări de replicare pe BDC (Backup Domain Controller)
Rețeaua Browser (Domain master Browser)
Clienții schimba parolele folosind primul controler de domeniu disponibil
Cererile de replicare de la BDC nu mai avea nevoie de timp pentru a finaliza din cauza absenței sale
Clienții caută resurse de rețea în AD, și nu depind de un browser de rețea (oh, cum totul este bine în TechNet)
Parola a fost modificată la orice alt controler de domeniu este trimis la PDC Emulator o replicare de mare
Dacă autentificarea la orice alt controler de domeniu nu a avut succes cu semnul „parolă incorectă“, cererea se repetă pe emulator PDC. Este clar că, în cazul în care a avut loc schimba doar parola, astfel încât o solicitare va fi de succes
După autentificarea cu succes cont imediat după o încercare eșuată, PDC emulator este notificat cu privire la aceasta și resetează contorul la zero încercări nereușite. Cine este pozitiv pentru utilizator, de multe ori uitat parola
Este important de remarcat faptul că, chiar și în caz de indisponibilitate a PDC Emulator, parola informațiile de resetare încă raspolzetsya de domeniu. Da, pot exista unele dificultăți, în timp ce există o replicare, dar, în principiu, nimic teribil.
DIRECTORII DE SECURITATE Binecunoscut
Urmatoarea dorit caracteristica - AdminSDHolder, proprietarul descriptorul de securitate administrativă. AdminSDHolder protejează grupurile administrative privind modificările. În cazul în care descriptorul de securitate în oricare din contul administrativ nu este în concordanță cu conceptul AdminSDHolder'a, acest descriptor va fi actualizat în conformitate cu conceptele sale (AdminSDHolder'a). De exemplu, dacă excludem utilizatorul de administrator al bine-cunoscut grup de builtin \ administratori, AdminSDHolder-l întoarcă la locul său.
Da, AdminSDHolder, după cum știm, este realizată pe un controler de domeniu cu rol PDC emulator.
Numai pentru PDC Emulator în DNS înregistrează-SRV înregistrare de tip _ldap._tcp.pdc._msdcs.DnsDomainName, permite clienților să găsească rapid server de emulare PDC.
Modificări ale numelor spațiului Distributed File System (DFS), sunt realizate pe rolul controler de domeniu PDC Emulator. Serverele rădăcină DFS solicită periodic metadatele actualizate PDC emulator, stocarea lor în memoria sa. Evident, lipsa de acces la emulator PDC implică lucrarea greșită DFS.
Da, este serverul implicit este PDC Emulator pentru serverul de clienți timp în domeniu. Un emulator PDC în domeniul rădăcină de pădure este serverul de timp implicit pentru emulator PDC în domeniile copil.