Usluga Microsoft Windows Active Directory direktorija je centralno spremište za sve objekte preduzeća i njihove odgovarajuće atribute. Ova baza podataka ima hijerarhijsku strukturu, sposobna je podržati više glavnih čvorova i pohraniti milijune objekata. Podrška za više mastera omogućava da se promene baze podataka izvrše sa bilo kog kontrolera domena unutar preduzeća, bez obzira na status njegove mrežne povezanosti.

Windows 2000 Multiple Master Support Model

Multi-master baza podataka (kao što je Active Directory) prihvata promene sa bilo kog kontrolera domena unutar preduzeća, potencijalno izazivajući sukobe kada se podaci repliciraju na druge računare. Jedna od metoda za eliminisanje konfliktnih ažuriranja u Windowsu 2000 je algoritam "posljednji napisan-prvi" koji prihvata vrijednost podataka iz kontrolera domene koji je posljednji modificiran i odbacuje vrijednosti na preostalim kontrolerima domene. Međutim, neki sukobi su toliko složeni da se ne mogu riješiti na ovaj način. Lakše ih je spriječiti nego eliminirati nakon činjenice.

Nekim tipovima promjena u Windows 2000 se rukuje korištenjem metoda koje sprječavaju sukobe ažuriranja Active Directory.

Windows 2000 Single Master Support Model

Kako bi spriječio pojavljivanje konfliktnih ažuriranja, Active Directory izvršava ažuriranja na određenim objektima koristeći model s jednim glavnim. Prema ovom modelu, samo jedan kontroler domene u cijelom direktoriju ima pravo na ažuriranje. Ovaj proces slično ulozi koja je dodijeljena primarnom kontroleru domene (PDC) na početku Windows verzije(na primjer, u Microsoft Windows NT 3.51 i 4.0), gdje je PDC odgovoran za obradu svih ažuriranja u određenom domenu.

Windows 2000 Active Directory proširuje model jednog gospodara koji se koristio u ranijim verzijama Windowsa kako bi uključio podršku za više uloga i mogućnost delegiranja uloga na druge kontrolere unutar poduzeća. Budući da uloga Active Directory nije striktno vezana za jedan kontroler domene, naziva se uloga fleksibilne jedne glavne operacije (FSMO). Postoji pet FSMO uloga u Windows 2000:

• gospodar kola
• master imenovanja domena
• vlasnik RID
• PDC emulator
• infrastrukturni demon

FSMO uloga “Majstor šeme”

Kontroler domene, koji djeluje kao master sheme, odgovoran je za ažuriranje sheme direktorija (tj. konteksta imenovanja sheme ili LDAP://cn=schema,cn=configuration,dc= ). Samo ovaj kontroler domene može napraviti promjene u šemi direktorija. Nakon što je shema ažurirana, ona se replicira sa mastera sheme na druge kontrolere domene u direktoriju. U direktoriju može postojati samo jedan master sheme.

FSMO uloga “Master imenovanja domena”

Kontroler domene, koji djeluje kao master imenovanja domene, odgovoran je za promjenu imenskog prostora imenika domene unutar šume (tj. particije\konfiguracijski kontekst imenovanja ili LDAP://CN=Partitions, CN=configuration, DC= ). Samo ovaj kontroler ima pravo uklanjanja i dodavanja domena u direktorij. Osim toga, dodaje i uklanja unakrsne reference na domene u vanjskim direktorijima.

FSMO uloga “RID Master”

Kontroler domene, koji djeluje kao RID master, odgovoran je za obradu zahtjeva RID spremišta od drugih kontrolera unutar određene domene i uklanjanje objekata iz domene i njihovo postavljanje u drugu domenu.

Kada kontroler domene kreira primarni objekt sigurnosti (kao što je korisnik ili grupa), on mu dodjeljuje sigurnosni identifikator (SID). Ovaj identifikator se sastoji od domenskog SID-a (jedinstvenog za sve sigurnosne identifikatore kreirane u istoj domeni) i relativnog identifikatora (RID) (jedinstvenog za svakog sigurnosnog principala kreiranog u istoj domeni).

Svaki Windows 2000 kontroler domene u domeni ima skup relativnih identifikatora (RID) koje može dodijeliti sigurnosnim principalima koje kreira. Kada broj RID-ova u grupi kontrolera domene padne ispod praga, on zahtijeva nove ID-ove od RID mastera. RID master preuzima identifikatore iz nedodijeljenog spremišta domene i dodjeljuje ih spremištu kontrolera domene koji je tražio. Postoji samo jedan RID master u svakoj domeni direktorija.

FSMO uloga "PDC emulator"

PDC emulator je neophodan za vremensku sinhronizaciju u celom preduzeću. Windows 2000 uključuje vremensku uslugu W32Time (Windows Time) koju koristi Kerberos protokol za autentifikaciju. Svi kompjuteri su ispod Windows kontrola 2000 u okviru jednog preduzeća koristi ukupno vrijeme. Da bi se osigurala ispravna vremenska sinhronizacija, Windows Time usluga mora koristiti hijerarhijsku strukturu odnosa koja kontrolira dozvole i sprječava petlje u upravljanju.

PDC emulator domene djeluje kao glavni emulator domene. PDC emulator u korijenu šume postaje glavni emulator unutar poduzeća. Trebalo bi biti konfigurirano da prima vrijednost vremena iz internog izvora. Nosioci uloge PDC emulatora FSMO slijede hijerarhiju domene kada biraju izvor vremena.

U Windows 2000 domeni, nosilac uloge PDC emulatora zadržava sljedeće funkcije: Promjene lozinke koje su izvršili drugi kontroleri domene prvo se repliciraju na PDC emulator.

Promjene lozinke koje su izvršili drugi kontroleri domene prvo se repliciraju na PDC emulator.

Prije nego što korisnik primi odgovarajuću poruku o grešci, poruke o neuspjehu autentifikacije na određenom kontroleru domene uzrokovane neispravnom lozinkom šalju se PDC emulatoru.

Slučajevi blokiranja naloga se obrađuju na PDC emulatoru.

PDC emulator obavlja sve funkcije emulatora PDC servera za Microsoft Windows NT 4.0, prethodne verzije emulatori uključeni Windows baziran NT 4.0 ili stariji klijenti.

Nema potrebe za korištenjem ovog dijela uloge PDC emulatora ako su sve radne stanice, serveri i kontroleri domena koji koriste Windows NT 4.0 ili stariji nadograđeni na Windows 2000. PDC emulator obavlja sve iste funkcije kao u Windows 2000 okruženju.

Sljedeće opisuje promjene koje se dešavaju tokom procesa nadogradnje: Windows 2000 klijenti (radne stanice, serveri) i stariji klijenti koji imaju instaliran Distributed Services Client Pack ne daju prednost kontroleru domene prilikom upisivanja u direktorij (kao što su promjene lozinke), koji je sebe proglasio PDC-om i za to koristi bilo koji kontroler domene.

Nakon nadogradnje na Windows 2000, rezervni kontroleri (BDC) u domenima niži nivo PDC emulator prestaje primati zahtjeve za replikaciju s niže razine.

Windows 2000 klijenti (radne stanice, serveri) i stariji klijenti koji imaju instaliran Distributed Services Client Pack koriste Active Directory za lociranje mrežnih resursa. Ne zahtevaju uslugu Windows NT pretraživača.

Uloga FSMO "Infrastruktura"

Referenca na objekt iz jedne domene unutar objekta iz druge domene određena je GUID-om, SID-om (za principale sigurnosti) i razlikovnim imenom (DN) objekta. Kontroler domene, koji djeluje kao infrastrukturni master, odgovoran je za ažuriranje sigurnosnih identifikatora i razlikovnih imena objekata u referencama objekata na više domena.

Bilješka.

Ulogu Infrastructure Master (IM) ne bi trebao držati kontrolor domene koji je poslužitelj globalnog kataloga. Inače, master infrastrukture neće ažurirati informacije o objektu jer ne sadrži reference na objekte koje ne pohranjuje. Razlog za ovakvo ponašanje je taj što poslužitelj globalnog kataloga održava djelomične replike svih objekata u šumi. Kao rezultat toga, veze između objekata između domena u ovoj domeni neće biti ažurirane, a odgovarajuće upozorenje će se pojaviti u dnevniku događaja ovog kontrolera domene.

Ako kontroleri u jednoj domeni također pohranjuju globalni katalog, svi kontroleri domene će imati najnovije informacije, bez obzira koji kontroler domene ima ulogu glavnog infrastrukturnog upravljanja.

Nema sličnih postova...

Prebacujemo FSMO. Cilj našeg događaja je prebaciti FSMO sa jednog domenskog kontrolera na drugi. Za svaki slučaj, razmotrit ću nekoliko načina za prijenos uloga, uključujući slučaj kada je trenutni vlasnik FSMO-a nedostupan.

Prvo, malo teorije:
FSMO (Fleksibilne single-master operacije - “operacije s jednim izvršiocem”) – vrste koje izvode kontrolori domain Active Operacije direktorija koje zahtijevaju obaveznu jedinstvenost poslužitelja koji ih izvodi.

Odnosno, svi kontroleri domena su jednaki, ali je jedan (ili nekoliko) jednakiji od drugih, utoliko što te iste operacije obavljaju sa jednim izvršiocem. U zavisnosti od tipa operacije, FSMO jedinstvenost se podrazumeva ili unutar šume domena ili domena.

Ukupno, mala-soft korporacija nam je dala 5 uloga:

• Vlasnik sheme (Schema master) je jedan poslužitelj sa ovom ulogom za cijelu šumu. Uloga je potrebna za proširenje šeme šume Aktivne Direktorij, ova operacija se obično izvodi naredbom adprep /forestprep
• Vlasnik imena domena (Domain naming master) je jedan za cijelu šumu. Server s ovom ulogom mora osigurati jedinstvena imena za sve kreirane domene i particije aplikacije u AD šumi.
• Vlasnik relativnih identifikatora (PDC emulator) je jedan server po domeni. Obavlja nekoliko funkcija: je glavni pretraživač u Windows mreža, prati zaključavanje korisnika kada su lozinke unesene pogrešno, glavni je NTP server u domeni, dizajniran da podrži klijente sa operativnim sistemima prije Windows 2000.
• Emulator glavnog domenskog kontrolera (Infrastructure Master) - jedan server po domeni. Poslužitelj s ovom ulogom je neophodan da uspješno izvrši naredbu adprep /domainprep. Odgovoran za ažuriranje sigurnosnih identifikatora (GUID-ova, SID-ova) i razlikovnih imena objekata u referencama objekata na više domena.
• Vlasnik infrastrukture domene (RID Master) - jedan server po domeni. Server distribuira RID-ove (500 svaki) drugim kontrolerima domena kako bi kreirali jedinstvene SID-ove.

Da biste upravljali ulogom glavnog šeme, morate biti u grupi „Administratori sheme“.
Da biste upravljali glavnom ulogom za imenovanje domena, morate biti član Enterprise administratorske grupe.
Da biste upravljali ulogama PDC emulatora, Infrastructure Master i RID Master, morate imati prava administratora domene.

Potreba za prijenosom uloga može se pojaviti iz različitih razloga, uključujući velike mreže ove uloge mogu obavljati različiti serveri, iako u našem slučaju sve uloge obavlja jedan server. Važno je da se svaka uloga izvršava u vašoj domeni; ako bilo koja uloga nije dodijeljena nekom serveru, onda vas može čekati mnoga neugodna iznenađenja, kako odmah tako i tokom dužeg vremenskog perioda, ovisno o AD strukturi.

Kada kreirate domenu, po defaultu su sve uloge dodijeljene prvom kontroleru domene u šumi. Promjena uloge je rijetko potrebna. Microsoft preporučuje korištenje FSMO prijenosa uloga u sljedećim slučajevima:

• Planirani downgrade kontrolera domena koji ima FSMO uloge, na primjer, radi dekomisije servera (to je upravo moj slučaj);
• Privremeno onemogućavanje kontrolera domene, na primjer za obavljanje preventivni rad. Ovo je posebno važno kada se deaktivira PDC emulator. Privremeno onemogućavanje drugih mastera operacija ima manji utjecaj na AD operacije.

Hvatanje FSMO uloga će se morati obaviti u sljedećim slučajevima:

• Ako trenutni nosilac FSMO uloge doživi poremećaj koji sprečava uspješno obavljanje funkcija povezanih s ulogom i sprječava prijenos uloge;
• Na kontroleru domena koji je imao FSMO ulogu, operativni sistem je ponovo instaliran ili se nije pokrenuo;
• Kontroler domene koji je imao FSMO ulogu je prisilno degradiran pomoću naredbe dcpromo /forceremoval.

Dakle, prva stvar koju trebamo je da saznamo koji server je domaćin FSMO-a. Najlakši način da to učinite je korištenje uslužnog programa netdom. Upisivanjem u konzolu:

> netdom upit fsmo

Dobit ćemo listu svih pet uloga sa FQDN-om vlasnika. Možete koristiti isti uslužni program nakon prijenosa uloga kako biste osigurali uspjeh operacije.

Sada možete nastaviti direktno na prijenos FSMO:

Prva metoda je najjednostavnija i meni se najviše sviđa - prijenos FSMO uloga pomoću uslužnog programa ntdsutil:

ntdsutil.exe je uslužni program komandne linije dizajniran za održavanje direktorija Active Directory. Pruža mnoge mogućnosti upravljanja AD, uključujući prijenos i preuzimanje FSMO uloga.
Da biste prenijeli uloge, idite na bilo koji kontrolor domena (ovo ne mora biti trenutni ili budući vlasnik FSMO-a), koji se nalazi u šumi u koju bi uloge trebale biti prenijete. Preporučuje se da se prijavite na kontroler domene kojem su dodijeljene FSMO uloge. Pokrenite konzolu i unesite:
>ntdsutil
Nakon toga se uslužni program pokreće u interaktivnom načinu rada i može prihvatiti komande. Naša prva komanda ukazuje da želimo da radimo sa FSMO
>uloge
Kao odgovor, prompt će se promijeniti u fsmo održavanje: Zatim da biste pozvali vezu „meni“, unesite
>veze
I prompt se mijenja na serverske veze: Sada možemo odrediti na koji server želimo da se povežemo (<Имя_сервера>- naziv kontrolora domena na koji želite da prenesete FSMO ulogu.)
>povezivanje na server<Имя_сервера>
da biste izašli iz menija veze, unesite
>q
i pritisnite Enter. Sada, nakon što smo ponovo primili fsmo održavanje: možemo početi s prijenosom uloga. Komanda prijenosa je dizajnirana za ovo:
>transfer<имя_роли>
As<имя_роли>morate navesti ulogu koju želite prenijeti:

• naming master - prenos uloge vlasnika naziva domena;
• gospodar infrastrukture - prijenos uloge gospodara infrastrukture;
• RID master - prijenos uloge RID mastera;
• schema master - prijenos uloge mastera sheme;
• PDC - prijenos uloge PDC emulatora.

U verzijama Windowsa prije Windows Servera 2008R2, master imenovanja domena naziva se master imenovanja domena. Kao što je uobičajeno u Windows sistemima, velika i mala slova nisu bitna.

Nakon unosa svake naredbe za prijenos, pojavljuje se dijaloški okvir u kojem se traži potvrda (potvrdu možete tražiti i u konzoli, inače se ispostavi da "nije u konzoli"), svaki put kliknite na "OK", osim ako, naravno, niste upisali sve prethodne komande slučajno. :)
Da biste isključili Ntdsutil, unesite naredbu q i pritisnite Enter.

Forsiranje fsmo uloga koristeći Ntdsutil

Ali šta da radimo ako je vlasnik uloge nedostupan, oštećen i nema nade da ćemo je vratiti u službu u bliskoj budućnosti? I ovdje će nam opet pomoći ntdsutil.exe:
Prisilna dodjela (oduzimanje) uloga vrši se samo u slučaju potpunog kvara servera, uz nemogućnost njegovog oporavka. Ako je moguće, bolje je vratiti funkcionalnost neuspjelog FSMO hosta. Sama procedura hvatanja je slična onoj gore opisanoj. Idemo na kontroler domene na koji želimo da prenesemo uloge i radimo isto kao što je napisano u prethodnom pasusu unosom:
>ntdsutil
>uloge
>veze
>povezivanje na server<имя_сервера>
>q
Jedina razlika je u tome što se umjesto naredbe prijenosa koristi naredba za prisilno preuzimanje uloge uhvatiti
>seize<имя_роли>
Gdje<имя_роли>kao prije

• naziv master - master imena domena (pre Windows Server 2008R2 - master imenovanja domena);
• master infrastrukture - master infrastrukture;
• rid master - vlasnik RID-a;
• schema master - master sheme;
• pdc - PDC emulator.

Ne zaboravite da pokušate prenijeti ulogu koristeći naredbu transfer prije preuzimanja uloge i koristite seize samo ako ne uspije.

Ako je moguće, nemojte dodijeliti ulogu Infrastructure Master kontroloru domene koji je poslužitelj globalnog kataloga jer neće ažurirati informacije o objektu. Razlog za ovakvo ponašanje je taj što poslužitelj globalnog kataloga održava djelomične replike svih objekata u šumi.

Ni pod kojim okolnostima ne biste se trebali vratiti na servis kontroleru domene koji je prethodno obavljao FSMO uloge ako su uloge koje je obavljao zaplijenjene naredbom seize jer kada se pojavi na mreži, doći će do sukoba, što može dovesti do velikih problema. Mora se ukloniti iz Active Directory. U operativnom sistemu Windows Server 2008 i starijim, ovo se može uraditi jednostavnim brisanjem serverskog objekta u dodatku Active Directory Korisnici i računari, a u Windows Server 2003 pomoću programa Ntdsutil pomoću komande ntdsutil - metadata cleanup.

Druga opcija je Dobrovoljni prijenos FSMO uloga korištenjem Active Directory upravljačkih snap-ova, čudno i nezgodno, ali ovo je samo moje subjektivno mišljenje, sama metoda odlično funkcionira.

Možete prenijeti uloge na nivou domene (RID Master, PDC Emulator i Infrastructure Master) pomoću dodatka Active Directory Users and Computers. Da biste to učinili, idite na kontroler domene na koji želimo prenijeti uloge, pokrenite snap-in i kliknite desni ključ miša na željenoj domeni, odaberite “Operation Masters”.

U prozoru koji se otvori odaberite ulogu koja nam je potrebna i kliknite na dugme "Promijeni". Zatim potvrđujemo prijenos uloge i gledamo rezultat. Ime vlasnika operacije treba promijeniti u ime trenutnog servera.

Da biste migrirali ulogu Domain Naming Master, trebat će vam dodatak Active Directory Domains and Trust. Pokrećemo snap-in, ako je potrebno, povezujemo se sa željenim kontrolerom domene, desnom tipkom miša kliknemo na korijen snap-ina i odabiremo stavku izbornika "Operations Master".

Otvara se prozor u kojem morate kliknuti na dugme „Promeni“ i zatim potvrditi promene na isti način kao u prethodnom slučaju.

Da biste prenijeli ulogu Schema Master, morat ćete izvesti nešto složenije manipulacije. Prvo morate registrirati biblioteku upravljanja shemama Active Directory u sistemu. Ovo se može uraditi sa timom
> regsvr32 schmmgmt.dll

Zatim otvorite MMC konzolu i dodajte joj dodatak Active Directory Schema.

Sada možete ući u dodatak i promijeniti vlasnika uloge Schema Master, kao u prethodnim primjerima, desnim klikom na shemu i odabirom “Operations Master...”.

Ura! Sve uloge su prebačene. Još jednom, nikada ne napuštajte svoju domenu bez dodijeljenih FSMO mastera uloga. Nikad! :)

• Nazad

Komentari

Novi članci:

• Otkrivanje mreže se ne uključuje u Windows 7/8/2008/2012

  Suština problema je u tome što se korisnikov Windows 7 sistem ne uključuje otkrivanje mreže u mrežnim postavkama. Tačnije, pali se, ali ako ga zatvorite i...

• Greška: Ova aplikacija nije uspjela da se pokrene jer nije mogla pronaći ili učitati dodatak Qt platforme "windows".

  Dakle, nakon instalacije direktnim kopiranjem aplikacije napisane na C++ koristeći Qt biblioteku, dobijamo sljedeću grešku: Ova aplikacija nije uspjela da se pokrene...

hb860 25. novembar 2011. u 14:02

Sve što ste željeli znati o majstorima operacija, ali ste se bojali pitati

• Administracija sistema

Većina sistemskih administratora u svom korporativno okruženje Da bi obezbedila sistem za identifikaciju i pristup svojih korisnika resursima, preduzeća koriste domen Aktivne usluge Imenik, koji se sa sigurnošću može nazvati srcem cjelokupne poslovne infrastrukture. Kao što mnogi od vas znaju, struktura domenskih usluga u organizacijama može uključivati ​​ili jednu ili više šuma (skup domena koji uključuje opis mrežne konfiguracije i jednu instancu direktorija), ovisno o faktorima kao što su ograničenja opsega odnose poverenja, potpuno odvajanje mrežnih podataka, dobijanje administrativne izolacije. Zauzvrat, svaka velika šuma treba biti podijeljena na domene kako bi se pojednostavila administracija i replikacija podataka. U svakoj domeni za upravljanje uslugama domene i obavljanje zadataka kao što su autentifikacija, pokretanje servisa "Kerberos Key Distribution Center" a kontrola pristupa koristi kontrolere domena. I za kontrolu mrežni promet Web stranice se razvijaju između ureda.
Sve informacije o šumama, domenima i lokacijama, naravno, moraju biti koordinirane tokom dizajniranja domenskih usluga Active Directory, u skladu sa takvim korporativnim zahtjevima kao što su: poslovni zahtjevi, funkcionalni zahtjevi, pravni, sigurnosni zahtjevi, kao i ograničenja dizajna u dokumentaciji . Često se sve ove tačke prije implementacije domenskih usluga pažljivo isplaniraju od strane IT odjela same kompanije ili projektnog tima uključenog u infrastrukturu preduzeća i upisuju se u poseban ugovor o nivou usluge koji određuje očekivani nivo performansi i kvaliteta usluge. pružena usluga.
Informacije dobijene nakon dizajna ili, češće, nakon implementacije Active Directory domenskih usluga treba pažljivo dokumentovati. Takva dokumentacija bi trebala uključivati ​​informacije o logičkoj i fizičkoj strukturi samih usluga domene, administrativnim modelima, infrastrukturi za razlučivanje imena, svim planiranim promjenama u okruženju organizacije, kao i dodatne komponente infrastrukture kao što je implementacija servera za poštu Microsoft Exchange, System Center serveri i još mnogo toga. U većini slučajeva, IT osoblje organizacije ignoriše proces dokumentacije i kada se menja IT osoblje, može biti potrebno neko vreme da novi administratori u potpunosti razumeju trenutnu infrastrukturu organizacije.
Također morate razumjeti da su u servisu direktorija gotovo svi kontrolori domena jednaki (u ovom kontekstu ne uzimamo u obzir kontrolere domene samo za čitanje, RODC), odnosno svi kontrolori domena imaju pravo upisivanja u bazu podataka i može replicirati ove podatke na druge kontrolore. Ova topologija savršeno upravlja većinom trivijalnih Active Directory operacija i zove se multi-peer replikacija(Multimaster). Ali, ipak, postoje neke operacije koje se moraju izvesti na ovlaštenom serveru posebno određenom za takve operacije. Drugim riječima, kontroleri domena koji izvode određene operacije ili uloge u svojoj domeni nazivaju se glavnim operacijama (ili masters). Neophodno je poznavati i razumjeti svrhu svih uloga gospodara operacija, jer u slučaju oporavak od katastrofe, nadogradnje ili migracije, kontroleri domena koji djeluju kao gospodari operacija mogu igrati jednu od najvažnijih uloga. U skladu s tim, u ovom članku će biti riječi o majstorima operacija.
Iz ovog članka ćete naučiti:

• O tome šta bi se dogodilo da nema majstora operacija;
• O ulogama gospodara operacija na nivou šuma;
• O ulogama gospodara operacija na nivou domena;
• Kako odrediti koji kontroler ima FSMO ulogu;
• O oduzimanju i prenosu uloga rukovodilaca operacija;
• O ispravnom postavljanju mastera operacija na kontrolerima domena.

• Planirajte i dokumentirajte kontrolere domena s ulogama glavnog operatera. Ovo je posebna tema koja uključuje razumijevanje nijansi planiranja za Active Directory domenske usluge i izvan je okvira ovog članka;
• Globalni kataloški serveri. Mnogi sistemski administratori izjednačavaju globalne kataloške servere sa ulogama glavnih operacija. U stvari, ovo je lažna tvrdnja. Globalni katalog je distribuirano spremište podataka koje pohranjuje informacije o svakom objektu i omogućava korisnicima i aplikacijama da pronađu objekte u bilo kojoj domeni trenutne šume tražeći atribute uključene u globalni katalog, koji su identificirani u shemi kao privatni skup atributi. Sam globalni katalog se nalazi na kontrolerima domena koji su označeni kao serveri globalnog kataloga i zauzvrat se replicira kroz Multimaster replikaciju. Iako globalni katalog sadrži puna lista od svih objekata u šumi, a serveri globalnog kataloga mogu odgovoriti na sve zahtjeve bez potrebe da upućuju na druge kontrolere domene, globalni katalog nije uloga gospodara operacija. Možete pročitati sljedeći članak o serverima globalnog kataloga: “Serveri globalnog kataloga”;
• Kako čarobnjaci za operacije komuniciraju sa kontrolerima domena samo za čitanje. Kontrolori domena samo za čitanje su relativno posebni novi tip kontrolere domena, koje je preporučljivo postaviti u ogranke organizacije koje nemaju adekvatan nivo sigurnosti i kvalifikovano IT osoblje. Kao i kod mastera operacija planiranja i servera globalnog kataloga, kontroleri domena samo za čitanje su sama po sebi velika tema koju nema smisla obrađivati ​​u ovom članku. Ali vrijedi odmah obratiti pažnju na činjenicu da kontroleri domene samo za čitanje ne mogu djelovati kao kontrolor domene s ulogom gospodara operacija;
• Rješavanje problema i grešaka u vezi sa čarobnjacima za rad. Zanimljiva i prilično obimna tema o kojoj se neće raspravljati zbog činjenice da se u ovom članku raspravlja o općim konceptima uloga majstora operacija.

Šta bi se dogodilo da nema majstora operacija?

• Lightweight Directory Access Protocol (LDAP);
• SMTP.

Glavne uloge u operacijama na nivou šuma

• Schema Master;
• Čarobnjak za imenovanje domena

Glavna uloga sheme

Uloga majstora imenovanja domena

• Dodavanje i uklanjanje domena. Prilikom obavljanja operacije kao što je dodavanje ili brisanje podređene domene pomoću čarobnjaka za instalaciju Active Directory ili uslužnog programa za komandnu liniju, čarobnjak za instalaciju kontaktira Čarobnjak za imenovanje domena i traži pravo da doda ili, shodno tome, izbriše potonjeg. Master imenovanja domena je također odgovoran za osiguravanje da domeni u šumi imaju jedinstvena NETBIOS imena u cijeloj šumi. Naravno, iz očiglednih razloga, ako Čarobnjak za imenovanje domena nije dostupan, nećete moći dodati ili ukloniti domene u šumi;
• Dodavanje i uklanjanje unakrsnih referenci. Kao što već znate, kada kreirate prvi kontroler domene u šumi, u njemu se kreiraju šema, konfiguracija i particije direktorija domene. U ovom trenutku, za svaku particiju direktorija u kontejneru Particije konfiguracijskog odjeljka (CN=particije,CN=konfiguracija,DC=forestRootDomain) kreiran je objekt unakrsne reference (crossRef klasa). Objekt unakrsne reference specificira ime i lokaciju poslužitelja koji pohranjuju svaku particiju direktorija u šumi. Kada se kreira svaka sljedeća particija direktorija domene ili aplikacije, kreiranje objekta unakrsne reference se pokreće u spremniku Particije.
• Dodavanje i uklanjanje particija direktorija aplikacija. Particije direktorija aplikacije su posebne particije koje možete kreirati na Windows Server 2003, Windows Server 2008 ili Windows Server 2008 R2 domenskim kontrolerima kako biste osigurali skladište za dinamičke podatke LDAP aplikacije. Ako vaša šuma radi za Windows nivo Server 2000, tada su u takvoj šumi svi podaci koji nisu u domeni ograničeni na podatke o konfiguraciji i šemi, koji se repliciraju na sve kontrolere domena u šumi. U šumi Windows Server 2003/2008 i 2008R2, particije direktorija aplikacije pružaju skladištenje podataka specifičnih za aplikaciju na kontroleru domene koji se mogu replicirati na bilo koji kontroler domene u šumi.
• Potvrda instrukcija za preimenovanje domena. Posljednja radnja koju izvodi čarobnjak za imenovanje domena je potvrda instrukcija za preimenovanje domena. Obično se domene preimenuju pomoću posebnog uslužnog programa za naredbene linije. Dakle, kada koristite uslužni program Rendom.exe, koji je dizajniran za preimenovanje domena, da bi preimenovao domenu, uslužni program mora imati pristup čarobnjaku za imenovanje domena. Pored gore navedenih funkcija, Čarobnjak za imenovanje domena je također odgovoran za potvrđivanje instrukcija za preimenovanje domena. Kada pokrenete navedeni alat na kontroleru domene sa ulogom Čarobnjaka za imenovanje domena, XML skripta koja sadrži upute za preimenovanje domena upisuje se u atribut msDS-UpdateScript objekta spremnika Partitions (CN=partitions,CN=configuration,DC=forestRootDomain ) odjeljka Konfiguracijski direktorij. Vrijedno je zapamtiti da se kontejner Particije može ažurirati samo na kontroleru domene koji sadrži ulogu Domain Naming Master. Pored vrijednosti atributa msDS-UpdateScript, Rendom.exe upisuje novo DNS ime svake preimenovane domene u atribut msDS-DnsRootAlias ​​objekta crossRef koji odgovara toj domeni. Opet, budući da je objekt unakrsnih referenci pohranjen u spremniku Partitrions, ovaj objekt se može ažurirati samo na kontroleru domene s ulogom Domain Naming Master. Promijenjeni podaci o atributima msDS-UpdateScript i msDS-DnsRootAlias ​​repliciraju se na sve kontrolere domena u šumi.

Glavne uloge operacija na nivou domene

• Relativni RID čarobnjak
• PDC Master Domain Controller Emulator
• Infrastruktura Master

RID Master

PDC emulator

• Učestvujte u replikaciji ažuriranja lozinke za domenu. Kada se korisnička lozinka promijeni ili resetuje, kontroler domene koji vrši promjenu replicira promjenu u PDC emulator putem flash replikacije. Ova replikacija osigurava da kontrolori domene brzo prepoznaju promijenjenu lozinku. U slučaju da se korisnik pokuša prijaviti odmah nakon promjene lozinke, kontrolor domene koji odgovara na ovaj zahtjev možda još ne zna Nova šifra. Prije nego što odbije pokušaj prijave, ovaj kontroler domene šalje zahtjev za provjeru autentičnosti PDC emulatoru, koji potvrđuje da je nova lozinka ispravna i daje instrukcije kontroloru domene da prihvati zahtjev za prijavu. To znači da svaki put kada korisnik unese neispravnu lozinku, provjera autentičnosti se šalje PDC emulatoru za konačni zaključak;
• Upravljanje ažuriranjima grupnih politika u domeni. Kao što znate, grupne politike se koriste za kontrolu većine postavki u konfiguraciji računara i korisnika u vašoj organizaciji. Ako se GPO modificira na dva domenska kontrolera u približno isto vrijeme, mogu naknadno nastati sukobi između dvije verzije koji se ne rješavaju kada se GPO-ovi repliciraju. Da bi se izbjegli takvi sukobi, PDC emulator radi na sljedeći način: prilikom otvaranja GPO-a, dodatak uređivača upravljanja grupnim politikama je vezan za kontroler domene koji obavlja ulogu PDC-a i sve promjene GPO-a se po defaultu vrše na PDC emulatoru;
• Služi kao centralni pretraživač za domenu. Klijenti koriste Active Directory za otkrivanje mrežnih resursa. Prilikom otvaranja prozora "Net" Operativni sistem prikazuje listu radnih grupa i domena. Nakon što korisnik otvori navedeni radna grupa ili domenu, on će moći da vidi listu računara. Ove liste se generišu preko usluge pretraživača, a na svakom segmentu mreže, pretraživač host kreira listu za pretraživanje sa radnim grupama, domenima i serverima tog segmenta. Centralni pretraživač zatim agregira liste svih vodećih pretraživača tako da klijentske mašine mogu vidjeti cijelu listu pregledavanja. Mislim da od svih funkcija PDC emulatora, možda imate pitanja vezana direktno za pretraživač centralne domene, stoga će se ova tema detaljno raspravljati u posebnom članku;
• Pružanje glavnog izvora vremena domene. Budući da Active Directory, Kerberos, DFS-R i FRS File Replication Service koriste vremenske oznake, potrebna je vremenska sinhronizacija u svim sistemima domene. PDC emulator u korijenskoj domeni šume služi kao glavni izvor vremena za cijelu šumu. Preostali kontroleri domene sinhronizuju vreme sa PDC emulatorom, a klijentski računari sinhronizuju vreme sa svojim kontrolerima domena. Garanciju za usklađenost vremena pruža usluga hijerarhijske sinhronizacije koja je implementirana u servisu Win32Time.

Infrastruktura Master

Kako mogu odrediti koji kontroler domene ima FSMO ulogu?

Određivanje nosilaca uloga Operations Master koristeći GUI

Određivanje nositelja uloga glavne operacije pomoću komandne linije

Rice. 6. Definiranje FSMO uloga korištenjem uslužnog programa Dcdiag

Hvatanje i prijenos uloga gospodara operacija

1. Otvori komandna linija i u njemu idite na uslužni program ntdsutil;
2. Idite na upravljanje NTDS ulogama koristeći naredbu uloge;
3. Morate uspostaviti vezu s kontrolerom domene, koji će u budućnosti djelovati kao vlasnik mastera operacija. Da biste to učinili, pokrenite naredbu veze;
4. U redu "serverske veze" enter povežite se na server i navedite potreban kontroler domene;
5. Vrati se na fsmo management koristeći naredbu quit;
6. Sada u redu fsmo management navedite naredbu uhvatiti i kliknite na Enter;
7. U ovom posljednjem koraku, trebate odabrati FSMO ulogu koja će biti zaplijenjena od neaktivnog kontrolera domene.

1. Fizički isključite takav kontroler domene iz mreže;
2. Degradirajte kontrolor domene na server člana koristeći naredbu Dcpromo/forceremoval;
3. Obrišite metapodatke za trenutni kontroler domene. Pomoću uslužnog programa možete očistiti metapodatke Ntdsutil sa timom Čišćenje metapodataka;
4. Nakon uklanjanja metapodataka, potrebno je da dovedete server na mrežu, pridružite ga domeni, a zatim promovirate server u kontrolora domena;
5. U posljednjem koraku jednostavno prenesite ulogu na ovaj kontroler domene.

Hosting Operation Masters na kontrolerima domena

• Postavite uloge RID Master i PDC emulatora na isti kontroler domene. Kolokacija ovih glavnih uloga operacija je radi balansiranja opterećenja. Budući da su ove uloge direktni partneri za replikaciju, postavljanjem ovih uloga na odvojene kontrolere domene, morat ćete uspostaviti brzu vezu za odgovarajuća dva sistema i kreirati eksplicitne objekte za njih u Active Directory. Osim toga, ako imate servere u vašoj organizaciji koji igraju ulogu mastera operacija rezervnih kopija, na takvim serverima te uloge također moraju biti direktni partneri;
• Postavite glavne uloge sheme i naziva domene na isti kontroler domene. Kao opće pravilo, preporučuje se da se uloge Master sheme i Domain Naming Master postave na isti kontroler domene koji služi kao server globalnog kataloga. Uloga Master imenovanja domena također mora biti server globalnog kataloga jer prilikom dodavanja nove domene, master mora osigurati da u šumi nema objekta s istim imenom kao nova domena koja se dodaje. Ako kontroler domene sa ulogom Domain Naming Master nije server globalnog kataloga, operacije kao što je kreiranje podređenih domena mogu biti neuspjele. Budući da se ove uloge najmanje koriste, trebali biste osigurati da je kontroler domene koji njima upravlja što sigurniji;
• Uloga Infrastructure Master mora biti smještena na kontroleru domene koji ne služi kao poslužitelj globalnog kataloga. Tipično, čarobnjak za infrastrukturu treba da bude raspoređen na kontroleru domene koji ne služi kao server globalnog kataloga, ali ima objekat direktnu vezu u jedan od globalnih direktorija u šumi. Budući da poslužitelj globalnog kataloga pohranjuje djelomične replike svih objekata u šumi, glavni infrastrukturni server koji se nalazi na poslužitelju globalnog kataloga neće izvršiti ažuriranja jer ne sadrži reference na objekte koje ne pohranjuje.

Umjesto zaključka