FSMO Play Management s Ntdsutilem. Správa rolí FSMO pomocí operací služby Ntdsutil Active Directory

FSMO.Or. Flexibilní jednorázové operace (Operace s jedním performerem) jsou operace prováděné řadiči domény Active Directory (AD)které vyžadují povinnou jedinečnost serveru pro každou operaci. V závislosti na typu provozu, jedinečnosti FSMO. Rozumí se v jedné doméně nebo doméně. odlišné typy FSMO. Lze provádět na jedné i několika řadičích domény. Výkon FSMO. Server nazvaný rolle Servery a samotné server - majitelé operací.

Většina operací B. INZERÁT Můžete udělat na libovolném řadiči domény. Služba replikace INZERÁT Zkopírujte změny na zbývající řadiče domény, což zajišťuje identitu základny INZERÁT Na všech regulátorech jedné domény. Odstranění konfliktů dochází následovně - ten správný, který se změnil na druhý.

Existuje však několik akcí (například změna schématu INZERÁT), ve kterých jsou konflikty nepřijatelné. Proto existují servery s rolemi FSMO.. Jejich úkol - neumožňují takové konflikty. Tak, význam rolí FSMO. V následujícím textu - každá role může být provedena pouze na jednom serveru. A v případě potřeby může být přenášen kdykoliv do jiného řadiče domény.

V lese je pět rolí FSMO.Chcete-li začít, dám jim stručný popis :

  • Vlastníkem schématu ( SCHEMA MASTER.) - Je zodpovědný za provedení změn systému Aktivní adresář.. Tam může být jen jeden do celého lesa domén.
  • Domain pojmenování hostitele ( Domain pojmenování Master.) - Zodpovědný za jedinečnost jmen pro složky domén a sekcí aplikací v lese. Tam může být jen jeden do celého lesa domén.
  • Majitel infrastruktury ( Infrastruktura Master.) - Uloží údaje o uživatelích z jiných domén, které jsou součástí místních skupin jejich domény. Možná jeden pro každou doménu v lese.
  • Mistr ZBAVIT (Zbavit se) - je zodpovědný za přidělení unikátních relativních identifikátorů ( ZBAVIT) Požadováno při vytváření doménových účtů. Možná jeden pro každou doménu v lese.
  • Emulátor Pdc. (Emulátor PDC) - Zodpovědný za kompatibilitu s doménou Nt4. a zákazníci dříve Windows 2000.. Možná jeden pro každou doménu v lese.

A teď budou více podrobností pro každou roli a zjistit, jak důležité jsou pro fungování. Aktivní adresář..

SCHEMA MASTER.

SCHEMA MASTER. - zodpovědný za provedení změn systému, kde jsou popisy všech tříd a atributů. Aktivní adresář.. Schéma je modifikována extrémně vzácná, například při změně úrovně domény, instalace Výměna. A někdy i jiné aplikace. Tato role může být umístěna na jakémkoli řadiči domény v lese. S nedostupností SCHEMA MASTER. změnit schéma INZERÁT Bude to nemožné.

Domain pojmenování Master.

Domain pojmenování Master. Zodpovídá za operace související s názvy domén Inzerát,seznam jeho povinností je však poněkud více :

  • Přidání a odstraňování domén v lese. Přidat a mazat domény povoleno pouze pro řízení role Domain pojmenování Master.. To monitoruje přidanou doménu je jedinečná v lese. Netbios.-název. Pokud Pojmenování Master. Nedostupné, přidat nebo odstranit doménu v lese je nemožná.
  • Vytváření a mazání sekcí. Začátek Windows 2003. Byla příležitost vytvořit samostatné sekce - Oddíly adresáře aplikací.slouží k uložení v INZERÁT libovolná data. Jako příklad - ukládání dat pro DNS.-Servery v sekcích Lesdnszones. a Domaindnszones.. Nedostupné sekce Domain pojmenování Master. To je nemožné.
  • Vytváření a odstraňování křížových odkazů. Cross Reference slouží k vyhledávání podle adresáře Pokud je server, ke kterému je klient připojen, neobsahuje požadovanou kopii adresáře a můžete odkazovat na domény mimo les, s výhradou dostupnosti. Křížové odkazy jsou uloženy ( crossref.) V kontejneru Oddíly. sekce Konfigurace., pouze Domain pojmenování Master. Má právo změnit obsah této kontejneru. S nedostupností Domain pojmenování Master. Nebude možné vytvořit nový křížový odkaz nebo odstranit zbytečné.
  • Schválení přejmenování domény. Nástroj se používá k přejmenování domény rendom.exe.To tvoří skript s pokyny, které budou prováděny během procesu přejmenování. Tento skript je umístěn v kontejneru Oddíly. sekce Konfigurace.. Vzhledem k tomu, že právo měnit obsah této kontejneru je pouze v regulátoru s rolí Domain pojmenování Master.Je zodpovědný za kontrolu instrukcí a atributů záznamu.

Může se jednat o tuto roli v libovolném řadiči domény v lese.

Infrastruktura Master.

Pokud server není globální katalog ( GC.), Pak v jeho databázi nejsou údaje o uživatelích z jiných domén. V lokálních skupinách domény však můžeme přidat uživatele z jiných domén. Skupina v databázi INZERÁT Musí fyzicky mít odkazy na všechny uživatele. Tento problém byl vyřešen vytvořením fiktivního objektu - fantom ( přízrak). Fiktivní objekty jsou speciální typ interních databázových objektů a nelze jej zobrazit ADSI. nebo LDAP.. Je to práce s fantomy, které se zabývá mistrem infrastruktury.

Dalším rysem této role je pro správná práce Ve vícerozměrném prostředí by řadič domény provádějící roli vlastník infrastruktury neměl být globálním adresářovým serverem. Je-li vlastník role Infrastruktura Master. Také je server GC.Fiktivní objekty nejsou vytvořeny nebo nejsou aktualizovány na tomto řadiči domény. Je to proto, že globální katalog již obsahuje částečné repliky všechno Objekty B. Aktivní adresářa nepotřebuje fantom .

Zbavit se

Každý účet v doméně (uživatel, počítač, skupina) musí mít jedinečný identifikátor zabezpečení ( Sid), Které jednoznačně identifikuje tento účet a slouží k rozlišení mezi přístupovými právy. Vypadá jako Sid následujícím způsobem:

S-1-5-Y1-Y2-Y3-Y4 kde

  • S-1 - Sid Audit 1. V současné době se používá pouze tato revize.
  • 5 - Označuje, kdo byl vydán SID. 5 znamená Orgán NT.. Takzvané "dobře známé identifikátory" Sid (známý sid) V této části mají 0, 1 a některé další hodnoty.
  • Y1-Y2-Y3 - identifikátor domény, ke kterému Účet. Stejné pro všechny objekty security Principal. v rámci jedné domény.
  • Y4. - relativní identifikátor ( Relativní ID, RID) týkající se konkrétního účtu. Substituovaný od fondu zjištěných identifikátorů domény v době vytvoření účtu.

Řadič domény s rolí Zbavit se zodpovědný za posloupnost jedinečného ZBAVIT Každý řadič domény ve své doméně, stejně jako pro správnost pohybu objektů z jedné domény do druhé. Řadiče domény mají sdílený fond relativních identifikátorů ( Bazén.), ZBAVIT Z kterého regulátor je přidělen částí 500 kusů. Když se jejich číslo končí (stává se méně než 100), řídicí jednotka požaduje novou část. V případě potřeby, počet vydaných ZBAVIT A prahová hodnota dotazu lze změnit.

Další oblastí odpovědnosti Zbavit se - Přesuňte objekty mezi doménami. Přesně tak Zbavit se Je snadné současně přesunout jeden objekt ve dvou různých oblastech. Jinak je situace možná, když budou dva objekty ve dvou oblastech se stejným GUIDJe plný nečekaných důsledků.

Pokud Zbavit se nebude k dispozici, pak po skončení volného ZBAVIT Vytvořit nový účet bude nemožné, a nebude možné migrovat objekty z aktuální domény do druhého.

Emulátor PDC

Původně hlavní úkol Emulátor primárního řadiče domény (PDC)poskytl kompatibilitu s předchozí verze Okna. Ve smíšeném prostředí, ve kterém jsou zákazníci nalezeni Windows nt4.0 /95/98 a řadiče domény Nt4., Emulátor PDC Provádí (pouze pro ně) následující funkce:

  • Zpracování operace "Změnit heslo" pro uživatele a počítače;
  • Replikace aktualizací BDC. (Zálohovací řadič domény);
  • Síťový prohlížeč (vyhledávání síťových zdrojů).

Počínaje úrovně domény Windows 2000. A starší než práce, kterou dodal. Řadič domény s rolí Emulátor PDC Provádí následující funkce:

  • Zodpovídá za změnu hesel a sleduje zámek uživatele při chybám hesla. Heslo upraveno jiným řadičem domény, první věc je replikována Emulátor PDC. Pokud ověřování na jiném řadiči domény nebylo úspěšné, požadavek se opakuje Emulátor PDC. Při úspěšném ověření účtu bezprostředně po neúspěšném pokusu, Emulátor PDC Ona je upozorněna a resetuje čítač neúspěšných pokusů o nulu. Je důležité si všimnout, že v případě nedostupnosti Emulátor PDC Informace o změně hesla se stále rozšiřují přes doménu, bude to prostě stát se poněkud pomaleji.
  • Editor zásady skupiny Výchozí připojení k serveru Emulátor PDCA změny politiky se vyskytují na něm. Pokud Emulátor PDC Nedostupné, budete muset určit editor, ke kterému je připojen řadič domény.
  • Výchozí hodnota Emulátor PDC Jedná se o přesný časový server pro klienty v doméně. Emulátor PDC kořenová doména v lese je výchozí server pro přesný čas Emulátor PDC v dceřiných společnostech.
  • Změny provedené v oboru názvů Distribuovaný souborový systém (DFS.) jsou prováděny v řadiči domény s rolí Emulátor PDC. Kořenové servery DFS. Pravidelně žádost o aktualizované metadata, udržet je v paměti. Nepřístupnost Emulátor PDC Může znamenat nesprávnou práci DFS..
  • V Aktivní adresář. Existuje tzv. Účastník "vestavěný bezpečnostní systém" ( Známé bezpečnostní ředitele). Příklady zahrnují účty Všichni, ověřené uživatele, systém, self a Vlastník tvůrce. Správa všemi řadičem domény s rolí Emulátor PDC. Přesněji, při změně v INZERÁT Emulátor PDC Kontroly a aktualizace obsahu kontejneru " CN \u003d WellKnown Security Principals, CN \u003d Konfigurace, DC \u003d >”.
  • V každé lesní doméně Aktivní adresář. Existuje vlastník správních bezpečnostních deskriptorů - Administers.. Ukládá informace o nastavení zabezpečení pro tzv. Chráněné skupiny ( chráněné skupiny.). S určitou periodicitou tento mechanismus požaduje seznam všech účastníků v těchto skupinách a dává je správně v souladu s jejich seznamem přístupu. Takto Administers. Chrání správní skupiny ze změn. Vystupovat Administers. na řadiči domény s rolí Emulátor PDC.

Doménová služba AD podpora pěti rolí operací Masters:

1 vlastník názvu domény (název pojmenování domény);

2 vlastník schéma (Schéma master);

3 vlastník relativních identifikátorů (relativní identifikační master);

4 vlastník domény infrastruktury (mistr infrastruktury);

5 emulátoru hlavního řadiče domény (emulátor primárního řadiče domény (emulátor PDC)).

Domain pojmenování master.

Úloha je navržena pro přidání a odstranění domén v lese. Pokud je regulátor s touto rolí nedostupný během přidávání nebo odstranění domén v lese, dojde k chybě operace.

Les používá pouze jeden řadič domény s rolí - vlastníkem názvu domény (název pojmenování domény).

Chcete-li zjistit, který z řadičů domény máte roli vlastníke názvu domény, musíte spustit snap Active Directory - Domény a důvěra kliknutí klikněte pravým tlačítkem myši na kořenovém uzlu a zvolte " Vlastník operace"

V řádku názvů doménové jméno se zobrazí, který řadič domény tuto roli provádí.

Majitel schématu (Schéma master).

Regulátor s úlohou majitele systému je zodpovědný za provedení všech změn v systému lesů. Všechny ostatní domény obsahují pouze repliky schémat čtení.

Úloha majitele systému je jedinečná v celém lese a může být stanovena pouze na jednom řadiči domény.

Aby bylo možné sledovat řadič domény, který provádí roli vlastníka schématu, musíte spustit snap Schéma služby Active Directory., Ale aby to udělal, musíte ji zaregistrovat. Pro to spusťte příkazový řádek A zadejte příkaz

rEGSVR32 SCHMMGMT.DLL.

Po kliknutí " Start"Vyberte příkaz" Provést"A představit" mmc."A klikněte" OK". Dále v nabídce klikněte" Soubor"Udělejme tým" Přidat nebo odebrat Snap". Ve skupině Dostupné vybavení Vybrat " Schéma služby Active Directory.", Zmáčknout tlačítko" Přidat"a pak tlačítko" OK".

Klepněte pravým tlačítkem myši na kořenový uzel pro Snap a Select " Vlastník operace".

V souladu se současným vlastníkem schématu (v síti) uvidí název řadiče domény, který tuto roli provádí.

Majitel relativních identifikátorů (relativní identifikační master).

Tato role poskytuje všem uživatelům, počítačům a skupinám jedinečných SIDS (bezpečnostní identfierová struktura proměnná délkakterý identifikuje uživatelský účet, skupina, doménu nebo počítač)

Role průvodce RID je jedinečná v doméně.

Co vidět, který regulátor v doméně provádí roli vlastníka identifikátoru, je nutné spustit snap " Vlastník operace".

Na kartě RID uvidíte název serveru vykonávat roli RID.

Majitel infrastruktury domény (mistr infrastruktury).

Tato role je relevantní při použití více domén v lese. Hlavním úkolem je řízení fantomových objektů. Fantomový objekt je objekt, který je vytvořen v jiné doméně, který poskytuje jakékoli zdroje.

Role domény infrastruktury je jedinečná v doméně.

Co vidět, který regulátor v doméně provádí roli vlastníke domény Infrastructure, musíte spustit Snap " Active Directory - Uživatelé a počítače", Klikněte na pravou doménu a zvolte" Vlastník operace".

V záložce " Infrastruktura"Uvidíte regulátor, který provede tuto roli v doméně.

Primární emulátor řadiče domény (emulátor PDC)) Emulátor.

Úloha PDC emulátoru je několik důležitých funkcí (ne všechny základní) jsou uvedeny zde:

Účastní se replikace aktualizací hesla. Pokaždé, když uživatel změní heslo, tyto informace jsou uloženy v řadiči domény s PDC rolí. Při zadávání nesprávného hesla uživatele je ověřování odesláno do Emulátoru PDC, abyste získali možnost Změnitelné heslo účtu (tedy při zadávání nesprávného hesla, kontrola hesla dochází déle ve srovnání se vstupem správného hesla).

Podílí se na aktualizaci politiky skupiny v doméně. Zejména když se změní politika skupiny na různých řadičích domény zároveň PDC- emulátor působí jako bod zaostřovacího bodu všech změn politiky skupiny. Když je editor otevřen zásadami skupiny, je připojen k řadiči domény provádějící roli emulátoru PDC. Proto jsou všechny změny v zásadách skupiny zadány ve výchozím nastavení v emulátoru PDC.

PDC- emulátor je hlavní zdroj času pro doménu. PDC- emulátory v každé doméně synchronizuje svůj čas s emulátorem PDC kořenové domény lesa. Ostatní regulátory synchronizují svůj čas s emulátoru domény PDC, počítače a servery synchronizovat čas z řadiče domény.

Co vidět, který regulátor v doméně provádí roli emulátoru PDC, je nutné spustit snap " Active Directory - Uživatelé a počítače", klikněte na tlačítko Myš domény a zvolte" Vlastník operace".

V záložce PDC uvidíte regulátor, který provede tuto roli.

Role řadiče domény jsou tvořeny při vytváření nové domény ve výchozím nastavení, všechny role jsou přiřazeny prvním řadiči domény v lese. Převod rolí FSMO je vyžadován ve výjimečných případech. Společnost Microsoft doporučuje v následujících případech přenos rolí:

1. Snižte úlohu řadiče domény pro výstup serveru z provozu;
2. Dočasné odpojení řadiče domény.

Zachycení role FSMO se provádí, pokud:
1. Role byla násilně snížena pomocí příkazu DCPROMO / forceremoval.
2. V řadiči domény, vlastník role FSMO nefunguje OS;
3. Současný vlastník FSMO má problémy ovlivňující výkonnost v této úloze, a nedává převod role;

Stručně si pamatujte základní role operačních mistrů (role FSMO) a zvažte, co se stane, pokud některé role nejsou k dispozici.

Schéma Master - nebudeme schopni upravit režim. Schéma je modifikována izolovanými případy každých několik let: instalace nová verze OS pro domény, instalace výměny, někdy i dalších aplikací.
Domain pojmenování master - nebudeme moci přidat ani odebrat novou doménu.
Majitel RID (RID Master) - Po někom, a co je důležité pro skutečný život, poměrně dlouhá doba nebude schopna učinit nové uživatele a skupiny. Limit života až 500 uživatelů nebo skupin. Existují organizace, kde lidé pracují pouze 100 lidí.
PDC emulátor (PDC emulátor) - Zákazníci do 2000 Windows nebudou moci spadnout do domény plus některé relaxace při zadávání nesprávných hesel uživatelem. Synchronizace času se nezastaví, ale jsou uvedeny chyby v protokolu událostí.
Hostitel infrastruktury (infrastruktura Master) - Pokud máme mnoho domén, v řadičích domény, které nejsou globální katalogy, mohou porušit členství v lokálních skupin domény.

Převod rolí FSMO v Windows Server. 2012 R2, startování s týmem netdom dotaz FSMO.který bude ukázat, kdo je současným vlastníkem rolí FSMO v doméně.

Existují dva typy FSMO rolí v systému Windows Server 2012 R2. Nejprve se jedná o převod rolí FSMO pomocí funkce Snap Active Directory.
Aby bylo možné převést úlohu úrovně domény, například (PDC emulátor, master a mistr infrastruktury), musíte použít nástroj Active Directory "Uživatelé a počítače" nástroj. Jdeme do řadiče domény, který chceme přenášet roli a spustit na snímek a stisknutím pravého tlačítka myši na požadovanou doménu, vyberte položku Operations Operations.

Dále vyberte správnou roli (v příkladu je RID master) a klepněte na tlačítko "Změnit".


Dále nezapomeňte potvrdit přenos role.

Veškerou roli je přenášena. Stejně tak projdeme další dvě role dostupné v Active Directory Control Access (Emulátor PDC, mistr infrastruktury)
Přenos role názvu domény Master je vyroben z domén a důvěryhodnosti služby Active Directory (domény a důvěru).
Snadno komplikovanější s přenosem role hlavního programu schématu. Chcete-li jej přenést, musíte nejprve zaregistrovat knihovnu řízení v systému pomocí schématu služby Active Directory. Chcete-li to provést, zadejte příkaz regsvr32 schmmgmt.dll na příkazovém řádku. Dále otevřete konzolu MMC a přidejte k němu, chcete-li usnout schéma služby Active Directory a působit podobně jako předchozí příklad.


Druhý způsob, jak přenášet Roles FSMO se provádí pomocí nástroje Ntdsutil.
Ntdsutil Jedná se o nástroj příkazového řádku určený k udržení služby Active Directory, také mezi jeho schopnostmi zahrnuje zachycení a přenos rolí FSMO.

Pro přenos, musíte jít do řadiče domény, ke kterému jsou přiřazeny role FSMO. Spusťte příkazový řádek a zadejte příkaz v takové sekvenci:
ntdsutil.
role.
spojení
připojení k serveru<имя сервера>
q.
Po úspěšném připojení k serveru obdržíme výzvu ke správě rolí (údržba FSMO):
Přenos doménové jméno Master - Přeneste roli vlastníke názvů domén.
Přenos infrastruktury Master - převod úlohy vlastníka infrastruktury;
Transfer RID Master - relasing relase hostitel RID.;
Převod Schéma Master - převést úlohu vlastníka systému;
Přenos PDC - PDC emulátor role.
Chcete-li dokončit ntdsutil, zadejte příkaz q a stiskněte vstup.
Poznámka. Počínaje systémem Windows Server 2008R2 příkaz pro přenos doménových názvů mistra pojmenování přenosu.
Jako příklad uveďte roli serveru Master SRV2 Infrastructure SRV2 a zkontrolujte výsledek.

Přiřazení role FSMO pomocí NTDSUTIL:

Nucené zachycení nebo přiřazení FSMO rolí se provádí v případě poruchy serveru a neschopnost jej obnovit. Samotný postup zachycení není zvlášť odlišný od přenosu rolí. Jdeme do řadiče domény, které chceme převést roli a postupně zadejte příkazový řádek:
ntdsutil.
Role.
Spojení
Připojení k serveru<имя сервера>
Q.
FSMO shazování používá převzetí příkazu
chytit doménové jméno mistr - zachytit roli majitele doménových jmen;
chytit infrastrukturu - zachytit úlohu majitele infrastruktury;
chytit RID Master. - zachytit roli majitele RID;
chytit schéma master. - zachytit úlohu vlastníka systému;
chytit PDC. - Zachyťte roli emulátoru PDC.

Poznámka. Počínaje systémem Windows Server 2008 R2, příkaz pro zachycení názvů domén doménových názvů se zabývají názvem názvů.

V kontaktu s

Správa rolí FSMO pomocí standardních zařízení MMC není zcela pohodlný proces, protože musí používat různé údery pro přístup k různým rolím a některé z nich nejsou tak snadné dosáhnout. Snap-in MMC navíc neumožňuje operace pro zachycení operací v případě poruchy řadiče domény, na kterém byly umístěny. Pro tyto účely je mnohem pohodlnější použít nástroj ntdsutil.Co bude projednáno v tomto článku.

Před pokračováním do praktické části, dovolteme si odvolat, co a zvážit, co se přesně stane s aktivedirectory, když je odmítají. Celkem FSMO pět rolí, dva pro les a tři pro doménu.

Úloha úrovní lesů existuje v jedné kopii a navzdory jejich důležitosti nejméně kritické pro fungování reklamy. Co se stane s nedostupností každého z nich:

  • Mistr schématu - Režim není možné změnit. ale tento postup To se provádí jednou několik let při vstupu do síťových regulátorů na novější OS nebo instalovat některé další serverové produkty, jako je výměna. V praxi nelze za roky zaznamenat nedostatek majitele systému.
  • Majitel pojmenovací domény - Nelze přidat ani odebrat doménu. Podobně s vlastníkem systému může být jeho empatie bez povšimnutí po poměrně dlouhou dobu.

Úloha úrovních domény existuje na jednom v každé doméně a jsou kritičtější pro fungující reklamu.

  • Majitel infrastruktury - Pokud existuje několik domén regulátorů, které nejsou globální katalogy Členství v lokálních skupinách domény lze rozbit. Pokud jsou všechny řadiče domény globální katalogy (dnes je to tato konfigurace, která je doporučena Microsoft), pak existence majitele infrastruktury lze bezpečně zapomenuty, stejně jako s jedinou doménou v lese.
  • Hostitel Rid. - Po nějaké době nebude možné vytvořit nový objekt v reklamě, čas závisí na zbývajícím množství svobodných SID, které jsou vydávány balením 500 sochorů. Pokud máte v reklamě malý počet objektů a každý den otočíte nové, nepřítomnost hostitele RID zůstane delší dobu bez povšimnutí.
  • Emulátor PDC - nejkritičtější role. Je-li k dispozici, bude okamžitě nemožné vstoupit do zákaznické domény do systému Windows 2000 (pokud jsou ještě někde ponechána), synchronizace času se zastaví a některé zásady nebudou fungovat při zadávání nesprávných hesel. V praxi bude absence emulátoru PDC vidět, když je čas poprvé na dobu delší než 5 minut, a to se může stát dříve, než můžete předpokládat.

Současně, jak vidíte, není jediná role FSMO odmítá, ke kterému by vedlo k významné ztrátě funkcí reklamy, i když všechny role infrastruktury FSMO mohou pracovat normálně po dobu několika dní, týdnů nebo dokonce měsíců .

Proto, pokud budete chvíli stáhnout řadič, obsahující některé nebo všechny role, od provozu (například k prevenci), pak není nutné je vysílat, vaše reklama bude žít normálně a bez nich.

Přenos rolí je relevantní, pokud plánujete zobrazit tento server v provozu po dlouhou dobu nebo jej přenášet na jinou jednotku (například další web) nebo plánované operace mohou vést k jeho selhání (například upgrade železa).

V případě selhání regulátoru se nepřipíchejte, abyste zachytili role, budete mít vždy čas na to, jinak, když obnovíte a připojujete k serverové síti, která dříve obsahovala roli FSMO, dostanete spoustu nepříjemného Momenty související s. \\ T USN Rollback. a obnovení normálního fungování domény. Pokud byly zachyceny všechny stejné role a pak jste obnovili starý regulátor, pak nejlepší řešení Přeinstalujte systém na něm a znovu zadejte doménu.

Také další nezřetelný okamžik, pokud máte několik domén a ne všechny regulátory jsou globální katalogy nepokládejte majitele infrastruktury na regulátor s globálním katalogem. Je to tantamount jeho nepřítomnosti.

Zjistit, které regulátory mají FSMO role v týmu:

Netdom dotaz FSMO.

Chcete-li spravovat role FSMO, spusťte nástroj ntdsutil. Na jakémkoli řadiči domény:

Ntdsutil.

Pak se obrátíme na řízení rolí:

Dalším krokem by mělo být spojeno s řadičem domény, ke kterému se na to přejdete role, přejděte do připojení k připojení pomocí serverů:

Spojení

a připojte se s požadovaným serverem:

Připojení k serveru ServerName

kde Servername. - název řadiče domény, který potřebujete. Pak vyjdete z podnabídky:

Je třeba mít na paměti, že můžeme spustit nástroj na některém z řadičů domény a připojit se k jinému CD pro odesílání nebo zachycení rolí. V našem příkladu jsme fyzicky na serveru SRV-DC01. Připojen k serveru Win2k8r2-SP1. A snažíme se mu dát nějakou roli.

Přenos role týmu převod. Vzhledem k tomu, že agent je název přenosné role, pro každou roli se používají následující názvy:

  • pojmenování Master. - Hostitel pojmenování domény
  • infrastruktura Master. - vlastník infrastruktury
  • Pdc. - emulátor PDC.
  • Zbavit se - Hostovaná RID.
  • schéma Master. - Mistr schématu

Pozornost! V systémech na systém Windows Server 2008 R2 pro hostitel pojmenování domény Jméno bylo použito domain pojmenování Master..

Například pro převod role Hostitel pojmenování domény Proveďte příkaz:

Převod mistr pojmenování.

Zobrazí se dialogové okno, které nás požádají o potvrzení akce, vždy vám doporučujeme pečlivě studovat jeho obsah.

Po obdržení afirmativní reakce přenese nástroj vybranou roli na jiný server.

Představte si, že server Win2k8r2-SP1. neodvolatelně zlikvidován a musíme zachytit roli Pojmenování hostitele Zadní. Chcete-li zachytit role slouží jako tým chytitkterá má podobnou syntaxi.

Chcete-li zachytit role znovu spustit ntdsutil. A připojením k regulátoru, pro které provedeme zachycení, proveďte příkaz:

Chytit jméno pojmenování

Poté, co potvrdíme zachycení ntdsutil. Pokusí se provádět operaci přenosu a pouze tehdy, pokud není možné vytvořit zachycení.

To se provádí, aby se situaci vyhnout, kdy bude role zachycena pracovním regulátorem a objeví se dvě vlastníci stejné role v síti.

Pamatovat siže poté, co je zajištěno v síti regulátor, ze kterého byla role zachycena to je nemožné!

Jak vidíte, pomocí nástroje ntdsutil. Ne veškeré obtížné a ještě výhodnější než správa rolí s modem snap-in MMC. Kromě příležitosti ntdsutil. Nejsou vyčerpány ovládáním rolí, ale o tom budeme říkat v následujících materiálech.

FSMO-role Emulátor řadiče domény (Emulator PDC) je druhá role (tří) úrovně domény. To znamená, že v jedné doméně by mělo být jeden emulátor PDC, ale v celém reklamním lese může být několik, v závislosti na počtu domén.

Hlavní článek o Active Directory -. Přečtěte si také další články o role vlastníků operací.

Máte-li zájem o téma Windows Server, doporučuji kontaktovat nadpis na mém blogu.

Chcete-li lépe pochopit funkčnost této role FSMO, musíte se nejprve odkazovat na historii jeho vzhledu.

Trochu historie

Úloha emulátoru PDC je zapotřebí především k zajištění kompatibility s verzemi Windows pod rokem 2000. Ve smíšeném prostředí s klienty systému Windows NT, 95, 98 PDC emulátor provádí následující úkoly:

  1. Účastní se procesu změny hesel uživatelských účtů a počítačů;
  2. Replikuje aktualizace regulátorů zálohování domény (řadiče záložní domény);
  3. Provádí úkoly vlastníka prohlížeče domény (hlavní prohlížeč domény).

Pro domény Windows NT 3.51, 4, emulátor primárního regulátoru domény provedl velmi důležitou funkci a když se nezdaří, celá doména se ve skutečnosti přesunuta do režimu "pouze pro čtení":

  • Uživatelé nemohli změnit hesla (chyba by byla vydána "Nelze změnit heslo na tomto účtu. Obraťte se prosím na správce systému »);
  • Při vytváření účtu byste dostali chybu ( "Nelze najít řadič domény pro tuto doménu");
  • Na záložních řadičích domény by byly chybami replikace (vzhledem k tomu, že regulátory zálohování domény replikovány pouze pomocí PDC. Chcete-li provést změny BDC základny, musí být provedeno v primárním řadiči domény).

S vývojem technologie byl kladen důraz na zaměnitelnost a rovnost všech řadičů domény a tak doménu systému Windows 2003 již reprezentovala zcela jinou strukturu, jehož základem bylo replikace s několika hostiteli. Ačkoli "sekundární" (některá podobnost BDC) řadiče domény zůstaly, primárními regulátory jako takové přestaly existovat.

Moderní destinace

Dnes je role emulátoru PDC podle mého názoru méně důležitá, ve srovnání s ostatními majiteli operací, ale stále je nutná pro řadu úkolů, které jedním nebo jiným zjednodušením správy a přidává některé vybavení:

1) Replikace hesla přejde do emulátoru PDC v prioritním režimu. To znamená, že pokud uživatel změnil heslo (a může to udělat na libovolném DC), pak je řadič domény poprvé ovlivněn emulátorem PDC pro hlášení změny hesla. Ostatní DCS, pokud je oprávnění se změněným heslem prochází, nepoužívejte uživateli, neodpovídají uživateli, a otočte se k emulátoru primárního regulátoru domény pro zobrazení možných změn a získání, autorizaci uživatele s novým heslem.

S nedostupností PDC se prostě nebudete moci přihlásit do systému s novým heslem, když autorizujete prostřednictvím jiného řadiče domény a získat zvýšení pokyny o vstupu. Samozřejmě bude tato situace pozorována velmi krátkou dobu, západy nejsou změny replikovány na jiné DCa ve skutečnosti v praxi nevyskytuje vůbec;

Totéž platí pro zámky účtů - první věc, kterou jsou replikovány na emulátor PDC.

2) Zabránit změnám konfliktů ve skupinových politikách, všechny změny v GPO ve skutečnosti se vyskytují na emulátoru PDC A bez ohledu na to, kde přesně pracujete s Snap;

3) Windows Server 2003 obsahuje některé další funkce zabezpečení ve výchozím nastavení. Při aktualizaci infrastruktury windows verze Server 2000 Sam. aktualizace Proces Musíte spustit přímo z emulátoru PDCTakže tyto skupiny a účty se nejprve objevují na něm a později replikovány do jiných regulátorů. Objekty samotné jsou uloženy v kontejneru CN \u003d CN \u003d dobře surovinové principy, CN \u003d konfigurace, DC \u003d ;

4) SDPROP mechanismus (propagátor deskriptor zabezpečení) začíná na emulátoru PDC. Tento mechanismus "má za následek pořadí" Seznamy řízení přístupu (ACL) v objektů Active Directory. Kriticky důležité objekty zabezpečení domény (tyto objekty mají hodnotu atributu vystavená v 1 addCtcount.) Příkladné ACL jsou uloženy ve speciální nádobě s názvem Administydrolder.

Mimochodem, zde je kompletní seznam nejdůležitějších bezpečnostních objektů pro nově vytvořenou doménu:

Samozřejmě, že účet Bissquit je stvořen mnou ručně, budete se lišit;

5) Během instalace prvního servisu řadiče domény Netlogon vytváří SRV záznam DNS _ldap._tcp.pdc._msdcs.dnsdomainname. Tento záznam umožňuje klientům detekovat emulátor PDC. Tento záznam může změnit pouze vlastník této role;

6) Na emulátoru primárního regulátoru domény změny oboru názvů DFS (Distribuovaný souborový systém). Pokud Emulátor PDC není nalezen, bude DFS fungovat nesprávně;

7) Proces zlepšení funkční úrovně domény nebo lesa se provádí na emulátoru PDC.

8) Snad jeden z nejdůležitějších funkcí je doba šíření v celé doméně. Můžete si přečíst více o konfiguraci času v doméně v mém článku.

Nejlepší praktik

Mnohé z nejlepších správních postupů primárního emulátoru domény odpovídají ostatním rolím vlastníků operací:

Správa

Chybí speciální vybavení pro správu práce emulátoru PDC.

Změňte vlastník role, můžete použít snap . Pro tohle:

  1. Otevřete Snap na DC01, klepněte pravým tlačítkem myši na Active Directory - Uživatelé a počítače a vybrat si Změnit řadič domény Active Directory;
  2. Dále vyberte řadič domény, ke kterému chceme přenášet roli (mám DC02, vlastník serveru je ve výchozím nastavení vždy vybrán). Potvrzuji varování;
  3. Klikněte pravým tlačítkem myši na Active Directory - Uživatelé a počítačeAle už si vybrat Mistr operací ...;
  4. zmáčknout tlačítko Změna ....

Po tom musíte výběr potvrdit a získat oznámení o úspěšném převodu role.

V tomto požadavku FSMO-role PDC emulátor dokončil.