Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

Гибкая Single Master Operations ( FSMO , F иногда плавающая ; произносится Fiz-мо), или просто один основной операции или мастер операции , является особенностью Microsoft «s Active Directory (AD). [1] С 2005 года термин «FSMO» не рекомендуется в пользу «хозяев операций». [ необходима цитата ]

FSMO - это специальный набор задач контроллера домена (DC), который используется там, где стандартные методы передачи и обновления данных неадекватны. AD обычно полагается на несколько равноправных контроллеров домена, каждый из которых имеет копию базы данных AD, синхронизируемую репликацией с несколькими мастерами . Задачи, которые не подходят для репликации с несколькими мастерами и выполнимы только с базой данных с одним мастером, - это FSMO. [2]

Роли FSMO [ править ]

Роли для домена [ править ]

Эти роли применимы на уровне домена (т. Е. Для каждого домена в лесу существует по одной роли):

  • PDC Emulator (Domain Controller Primary) - Эта роль является наиболее используемой из всех ролей FSMO и имеет самый широкий диапазон функций. Контроллер домена, выполняющий роль эмулятора PDC, имеет решающее значение в смешанной среде, где все еще присутствуют BDC Windows NT 4.0. Это связано с тем, что роль эмулятора PDC эмулирует функции PDC Windows NT 4.0. Даже если все контроллеры домена Windows NT 4.0 были перенесены на Windows 2000 или более позднюю версию, контроллер домена, выполняющий роль эмулятора PDC, по-прежнему много делает. Эмулятор PDC является источником домена для синхронизации времени для всех других контроллеров домена; в многодоменном лесу эмулятор основного контроллера домена в каждом домене синхронизируется с эмулятором основного контроллера домена корня леса. Все остальные компьютеры-члены домена синхронизируются с соответствующими контроллерами домена. [3]Критически важно, чтобы часы компьютера были синхронизированы в лесу, потому что чрезмерный сдвиг часов приводит к сбою проверки подлинности Kerberos. Кроме того, все изменения паролей происходят на эмуляторе PDC и получают приоритетную репликацию. [4]
  • RID Master - (Relative ID) Этот владелец роли FSMO является единственным DC отвечает за обработку RID запросов пула от всех контроллеров домена в данной области. Он также отвечает за перемещение объекта из одного домена в другой во время междоменного перемещения объекта. Когда DC создает объект участника безопасности, такой как пользователь или группа, он присоединяет уникальный SID.к объекту. Этот SID состоит из SID домена (одинакового для всех SID, созданных в домене) и относительного идентификатора (RID), который уникален для каждого SID участника безопасности, созданного в домене. Каждому DC в домене выделяется пул RID, который ему разрешено назначать участникам безопасности, которые он создает. Когда выделенный пул RID контроллера домена падает ниже порогового значения, этот контроллер домена выдает запрос на дополнительные идентификаторы RID владельцу роли RID Master FSMO домена, владелец роли RID Master FSMO отвечает на запрос, извлекая идентификаторы RID из нераспределенного пула RID домена и назначает их. в пул запрашивающего DC.
  • Инфраструктура Мастер - Цель этой роли заключается в обеспечении междоменнога ссылка на объекты правильно обработана. Например, если пользователь из одного домена добавляется в группу безопасности из другого домена, хозяин инфраструктуры следит за тем, чтобы это было сделано правильно. Однако, если в развертывании Active Directory используется только один домен, роль хозяина инфраструктуры вообще не работает, и даже в многодоменной среде она редко используется, за исключением случаев, когда выполняются сложные задачи администрирования пользователей. Это относится только к разделу домена (контекст именования по умолчанию). netdom запрашивает fsmo и ntdsutilбудет запрашивать только раздел домена. Однако у каждого раздела приложения, включая доменные зоны DNS на уровне леса и домена, есть собственный хозяин инфраструктуры. Держатель этой роли хранится в fSMORoleOwner атрибуте инфраструктуры объекта в корне раздела, он может быть изменен с ADSIEdit , например , можно изменить fSMORoleOwner атрибут CN = инфраструктура, DC = DomainDnsZones, DC = имя_домен , DC = tld объект в CN = NTDSSettings, CN = Name_of_DC, CN = Servers, CN = DRSite, CN = Sites, CN = Configuration, DC = Yourdomain, DC = TLD . [5]

роли для каждого леса [ править ]

Эти роли уникальны на уровне леса (обе находятся в корневом домене леса):

  • Schema Master - Цель этой роли реплицировать изменения схемы на все контроллеры домена в лесу. Однако, поскольку схема Active Directory редко меняется, роль хозяина схемы редко выполняет какую-либо работу. Эта роль обычно участвует в развертывании Exchange Server и Skype для бизнеса Server, а также контроллеров домена из одной версии в другую, поскольку все эти ситуации включают внесение изменений в схему Active Directory.
  • Naming Master Домен - Другой лес конкретных FSMO роль хозяина именования доменов, и эта роль также находится в корневом домене леса. Роль хозяина именования доменов обрабатывает все изменения в пространстве имен, например, для добавления дочернего домена vancouver.mycompany.com в корневой домен леса mycompany.com требуется, чтобы эта роль была доступна. Неспособность этой роли работать правильно может помешать добавлению нового дочернего домена или нового дерева доменов.

Перемещение ролей FSMO между контроллерами домена [ править ]

По умолчанию AD назначает все роли хозяина операций первому DC, созданному в лесу. Для обеспечения отказоустойчивости в каждом домене леса должно быть несколько контроллеров домена. Если в лесу создаются новые домены, первый контроллер домена в новом домене содержит все роли FSMO всего домена. Это неудовлетворительное положение, если в домене много контроллеров домена. Microsoft рекомендует тщательно разделить роли FSMO, чтобы резервные контроллеры домена были готовы взять на себя каждую роль. Эмулятор PDC и RID мастер должен быть на том же DC, если это возможно. Schema Master и Domain Naming Master также должны быть на том же DC.

Когда роль FSMO передается другому DC, первоначальный держатель FSMO и новый держатель FSMO обмениваются данными, чтобы гарантировать отсутствие потери данных во время передачи. Если у первоначального держателя FSMO произошел неисправимый сбой, можно заставить другой DC захватить потерянные роли; однако существует риск потери данных из-за отсутствия связи. Захват ролей от контроллера домена вместо их передачи не позволяет этому контроллеру домена снова размещать эту роль FSMO, за исключением ролей эмулятора основного контроллера домена и роли хозяина инфраструктуры. Повреждение может произойти в Active Directory. Роли FSMO можно легко перемещать между контроллерами домена с помощью оснастки AD в MMC или с помощью ntdsutilинструмента на основе командной строки. [6]

Роли FSMO и глобальный каталог [ править ]

Некоторые роли FSMO также зависят от того, является ли DC сервером глобального каталога (GC) . При первоначальном создании леса первый контроллер домена по умолчанию является сервером глобального каталога. Глобальный каталог предоставляет несколько функций. GC хранит информацию об объектах, управляет запросами этих объектов данных и их атрибутов, а также предоставляет данные для входа в сеть.

Часто все контроллеры домена также являются серверами глобального каталога. Если это не так, роль хозяина инфраструктуры не должна размещаться на контроллере домена, который также содержит копию глобального каталога в многодоменном лесу, поскольку сочетание этих двух ролей на одном узле приведет к неожиданному ( и потенциально опасное) поведение в многодоменной среде. [7] [8] Однако роль хозяина именования доменов должна быть размещена на контроллере домена, который также является сборщиком мусора.

Ссылки [ править ]

  1. ^ «Понимание ролей FSMO в Active Directory - Петри» . petri.co.il . 8 января 2009 . Проверено 22 июля +2016 . CS1 maint: обескураженный параметр ( ссылка )
  2. ^ «Роли FSMO Active Directory Windows 2000» . Корпорация Майкрософт. 2007-02-23. Чтобы предотвратить конфликтующие обновления в Windows 2000, Active Directory выполняет обновления определенных объектов в режиме единственного мастера. [...] Поскольку роль Active Directory не привязана к одному контроллеру домена, она называется ролью гибкой единой главной операции (FSMO).
  3. ^ «Конфигурация службы времени на контроллере домена с ролью FSMO эмулятора PDC - Статьи TechNet - США (на английском языке) - TechNet Wiki» . microsoft.com . Проверено 22 июля +2016 . CS1 maint: обескураженный параметр ( ссылка )
  4. ^ «[MS-ADTS]: роль FSMO эмулятора PDC» . microsoft.com . Проверено 22 июля +2016 . CS1 maint: обескураженный параметр ( ссылка )
  5. ^ «TechNet: ForestDNSZones и DomainDNSZones имеют неправильную запись роли инфраструктуры» . Архивировано из оригинала на 2018-01-12 . Проверено 12 января 2018 .
  6. ^ «Использование Ntdsutil.exe для передачи или захвата ролей FSMO контроллеру домена» . support.microsoft.com . Проверено 18 января 2017 .
  7. ^ «Призраки, надгробия и хозяин инфраструктуры» . support.microsoft.com . Проверено 18 января 2017 .
  8. ^ «Размещение и оптимизация FSMO на контроллерах домена Active Directory» . support.microsoft.com . Проверено 18 января 2017 .

Внешние ссылки [ править ]

  • «6.1.5.3 Роль главного FSMO RID» . [MS-ADTS]: Техническая спецификация Active Directory . Microsoft .
  • «Как просматривать и переносить роли FSMO в Windows Server 2003» . Поддержка . Microsoft. 11 сентября 2011 г.
  • Таллох, Митч (15 марта 2005 г.). «Как просматривать и переносить роли FSMO в Windows Server 2003» . WindowsNetworking.com . TechGenix.
  • «Перенос ролей FSMO в Windows Server 2008» . TechNetWiki . Microsoft .
  • Арик, Эртугрул (23 декабря 2014 г.). «Как определить держателя роли fsmo (атрибут fsmoRoleOwner)» . Кодирование Active Directory .