مدیریت نقش های FSMO با Ntdsutil. نقش های اکتیو دایرکتوری FSMO

01.05.2019 بررسی ها

مدیریت نقش‌های FSMO با استفاده از اسنپ‌این‌های استاندارد MMC، فرآیند چندان مناسبی نیست، زیرا برای دسترسی به نقش‌های مختلف باید از اسنپ‌ن‌های مختلفی استفاده کنید و دسترسی به برخی از آنها چندان آسان نیست. علاوه بر این، Snap-in های MMC اجازه عملیات ضبط نقش را در صورت خرابی کنترل کننده دامنه ای که در آن قرار داشتند را نمی دهد. استفاده از ابزار برای این اهداف بسیار راحت تر است. ntdsutilدر مورد چی و به آن پرداخته خواهد شددر این مقاله.

قبل از اینکه به بخش عملی بپردازیم، بیایید به یاد بیاوریم که آنها چه هستند و در نظر بگیریم که در صورت شکست ActiveDirectory دقیقاً چه اتفاقی می افتد. در کل پنج نقش FSMO وجود دارد، دو نقش برای جنگل و سه نقش برای دامنه.

نقش‌های سطح جنگل در یک نمونه وجود دارند و علیرغم اهمیتشان، کمترین اهمیت را برای عملکرد AD دارند. اگر هر یک از آنها در دسترس نباشد چه اتفاقی می افتد:

استاد طرحواره- تغییر طرح واره غیرممکن است. با این حال این رویههر چند سال یک بار در هنگام معرفی کنترلرهای سیستم عامل جدیدتر به شبکه یا نصب برخی محصولات سرور دیگر مانند Exchange برگزار می شود. در عمل، غیبت صاحب این طرح را می توان برای سال ها نادیده گرفت.
استاد نام گذاری دامنه- افزودن یا حذف دامنه غیرممکن است. به طور مشابه در مورد استاد طرح، غیبت او می تواند برای مدت طولانی مورد توجه قرار نگیرد.

نقش‌های سطح دامنه در هر دامنه یک نقش دارند و برای عملکرد AD حیاتی‌تر هستند.

میزبان زیرساخت- اگر چندین دامنه روی کنترلرها وجود داشته باشد که نیستند دایرکتوری های جهانیعضویت در گروه های محلی دامنه ممکن است نقض شود. اگر همه کنترل‌کننده‌های دامنه، کاتالوگ‌های جهانی هستند (امروزه این پیکربندی توصیه‌شده توسط مایکروسافت است)، وجود زیرساخت اصلی را می‌توان با خیال راحت فراموش کرد، درست مانند یک دامنه منفرد در جنگل.
میزبان RID- پس از مدتی ایجاد یک شی جدید در AD غیرممکن خواهد بود، زمان بستگی به تعداد باقیمانده SID های رایگان دارد که در دسته های 500 خالی صادر می شوند. اگر AD شما تعداد اشیاء کمی داشته باشد و هر روز موارد جدیدی ایجاد نکنید، غیبت استاد RID برای مدت طولانی مورد توجه قرار نخواهد گرفت.
شبیه ساز PDC- حساس ترین نقش. اگر در دسترس نباشد، بلافاصله تبدیل می شود ورودی غیر ممکندر یک دامنه مشتری پیش از ویندوز 2000 (اگر هنوز وجود داشته باشد)، همگام سازی زمان متوقف می شود و اگر رمز عبور اشتباه وارد شود، برخی از خط مشی ها اعمال نمی شوند. در عمل، عدم وجود شبیه ساز PDC در دفعه اول بیش از 5 دقیقه از همگام سازی خارج می شود و این ممکن است زودتر از آنچه فکر می کنید اتفاق بیفتد.

در عین حال، همانطور که می بینید، یک نقش FSMO وجود ندارد که شکست آن منجر به از دست دادن قابل توجه عملکرد AD شود، حتی اگر همه نقش های FSMO از کار بیفتند، زیرساخت می تواند به طور معمول برای چندین روز، هفته یا حتی ماه کار کند.

بنابراین، اگر قصد دارید یک کنترلر حاوی برخی یا همه نقش ها را برای مدتی (مثلاً برای تعمیر و نگهداری) از کار بیندازید، دیگر نیازی به انتقال آنها نیست، AD شما بدون آنها به خوبی زندگی می کند.

اگر قصد عقب نشینی دارید، انتقال نقش ها مناسب است سرور داده شدهبرای مدت طولانی از سرویس خارج شده یا آن را به بخش دیگری منتقل کنید (مثلاً به سایت دیگری)، یا عملیات برنامه ریزی شده ممکن است منجر به شکست آن شود (به عنوان مثال، ارتقاء سخت افزار).

در صورت خرابی کنترلر، برای تصاحب نقش ها عجله نکنید، همیشه برای انجام این کار وقت خواهید داشت، در غیر این صورت، هنگام بازیابی و اتصال به شبکه سروری که قبلاً حاوی نقش های FSMO بود، لحظات ناخوشایندی را به همراه خواهید داشت. با بازگشت مجدد USNو بازیابی عملکرد طبیعی دامنه. اگر همه یکسان باشند، نقش ها گرفته شده اند، و سپس کنترل کننده قدیمی را بازیابی کرده اید، پس بهترین راه حلسیستم را مجدداً روی آن نصب می کند و دوباره وارد دامنه می شود.

همچنین یک نکته غیر واضح دیگر اگر چندین دامنه دارید و همه کنترلرها کاتالوگ جهانی نیستند اصلی زیرساخت را روی یک کنترلر با کاتالوگ جهانی میزبانی نکنید. مساوی است با غیبت او.

با دستور زیر می توانید بفهمید کدام کنترلرها نقش های FSMO دارند:

پرس و جوی netdom fsmo

برای مدیریت نقش های FSMO، ابزار را اجرا کنید ntdsutilدر هر کنترل کننده دامنه:

Ntdsutil

سپس به سراغ نقش های مدیریتی برویم:

مرحله بعدی اتصال به کنترل کننده دامنه است که قرار است نقش ها را به آن منتقل کنیم، برای این کار به زیر منوی اتصال سرور می رویم:

اتصالات

و به سرور مورد نظر متصل شوید:

به سرور SERVERNAME متصل شوید

جایی که نام ارائهکننده- نام کنترل کننده دامنه مورد نیاز ما. سپس از منوی فرعی خارج شوید:

در عین حال، باید به خاطر داشت که می‌توانیم ابزار را روی هر یک از کنترل‌کننده‌های دامنه اجرا کنیم و به هر DC دیگری برای انتقال یا گرفتن نقش‌ها ملحق شویم. در مثال ما، ما از نظر فیزیکی روی سرور قرار داریم SRV-DC01به سرور متصل است WIN2K8R2-SP1و سعی کنید به او نوعی نقش بدهید.

دستور برای انتقال نقش ها استفاده می شود. انتقالکه آرگومان آن نام نقش منتقل شده است، برای هر یک از نقش ها از نام های زیر استفاده می شود:

نامگذاری استاد- استاد نامگذاری دامنه
استاد زیرساخت- مدیر زیرساخت
PDC- شبیه ساز PDC
استاد RID- استاد RID
استاد طرحواره- مالک طرحواره

توجه! در سیستم های قبل از ویندوز سرور 2008 R2، برای استاد نامگذاری دامنهنام استفاده شد استاد نامگذاری دامنه.

مثلا برای انتقال نقش استاد نامگذاری دامنهبیایید دستور را اجرا کنیم:

انتقال نام استاد

یک کادر محاوره ای ظاهر می شود که از ما می خواهد عمل را تأیید کنیم، به شما توصیه می کنیم همیشه محتوای آن را با دقت مطالعه کنید.

پس از دریافت پاسخ مثبت، ابزار نقش انتخاب شده را به سرور دیگری منتقل می کند.

حال تصور کنید که سرور WIN2K8R2-SP1به طور غیرقابل برگشتی از میدان خارج شده و باید نقش را به عهده بگیریم نامگذاری استادبازگشت. دستور گرفتن نقش ها است تصاحب کردن، که نحوی مشابه دارد.

برای گرفتن نقش، دوباره اجرا کنید ntdsutilو با اتصال به کنترل کننده ای که برای آن عکس می گیریم، دستور را اجرا می کنیم:

استاد نامگذاری را به دست بگیرید

بعد از اینکه ضبط را تایید کردیم ntdsutilبرای انتقال نقش تلاش خواهد کرد و تنها در صورت غیرممکن بودن آن را به عهده می گیرد.

این کار برای جلوگیری از موقعیتی انجام می شود که نقش از یک کنترلر سالم گرفته شود و دو صاحب یک نقش در شبکه ظاهر شوند.

یاد آوردن، که پس از ضبط، کنترل کننده ای که نقش از آن گرفته شده است را در شبکه قرار دهید ممنوع است!

همانطور که می بینید، با استفاده از ابزار ntdsutilبه هیچ وجه دشوار و حتی راحت تر از مدیریت نقش ها با استفاده از اسنپ-این های MMC نیست. علاوه بر این، امکانات ntdsutilبه مدیریت نقش محدود نمی شود، بلکه در مطالب زیر در مورد آن صحبت خواهیم کرد.

چندین موقعیت وجود دارد که شما باید نقش ها را به خاطر بسپارید FSMO- این بازیابی فاجعه پس از شکست، مهاجرت، و همچنین جستجوی شغل است (معمولاً مصاحبه‌کنندگان علاقه زیادی به پرسیدن سؤالاتی مانند «نقش‌ها در چیست» دارند. آگهیبرای کنترل کننده دامنه، چرا آنها مورد نیاز هستند؟"). و اگرچه این موقعیت ها بسیار نادر هستند، برای درک عمومیکار کردن آگهیدرک هدف نقش ها بسیار مفید است FSMO.

FSMO، یا عملیات تک استاد انعطاف پذیر(عملیات تک مجری) عملیاتی هستند که توسط کنترل کننده های دامنه انجام می شود اکتیو دایرکتوری(آگهی)، که نیاز دارند سرور برای هر عملیات منحصر به فرد باشد. بسته به نوع عملیات، منحصر به فرد بودن FSMOضمنی در یک دامنه یا جنگل دامنه ها. انواع مختلف FSMOمی تواند بر روی یک یا چند کنترل کننده دامنه اجرا شود. کارایی FSMOسرور نامیده می شود نقشسرورها و سرورها خود استاد عملیات هستند.

اکثر معاملات در آگهیروی هر دامنه کنترلی قابل انجام است. سرویس تکرار آگهیتغییرات را به بقیه کنترلرهای دامنه کپی می کند و از هویت پایه اطمینان می یابد آگهیروی همه کنترلرهای یک دامنه از بین بردن درگیری ها به شرح زیر رخ می دهد - کسی که تغییرات را دوام آورده حق دارد.

با این حال، چندین عمل وجود دارد (به عنوان مثال، تغییر طرح آگهی) که درگیری برای آنها مجاز نیست. بنابراین، سرورهایی با نقش وجود دارد FSMO. وظیفه آنهاست — اجتناب از چنین درگیری ها بنابراین معنای نقش ها FSMOدر نقش بعدی، هر نقش تنها می تواند در یک سرور در یک زمان اجرا شود. و در صورت لزوم، می توان آن را در هر زمان به کنترل کننده دامنه دیگری منتقل کرد.

در مجموع پنج نقش در جنگل وجود دارد FSMO.برای شروع به توضیح مختصری از آنها می پردازم. :

استاد طرحواره ( استاد طرحواره ) - مسئول ایجاد تغییرات در طرحواره است اکتیو دایرکتوری. برای کل جنگل دامنه ها فقط یک می تواند وجود داشته باشد.
مستر نامگذاری دامنه ( استاد نامگذاری دامنه) - مسئول منحصر به فرد بودن نام ها برای دامنه های ایجاد شده و پارتیشن های برنامه در جنگل است. برای کل جنگل دامنه ها فقط یک می تواند وجود داشته باشد.
میزبان زیرساخت ( استاد زیرساخت) - داده های مربوط به کاربران دامنه های دیگر را که اعضای گروه های محلی دامنه آنها هستند ذخیره می کند. ممکن است یک دامنه برای هر دامنه در جنگل وجود داشته باشد.
استاد خلاص شدن از شر (استاد RID) - مسئول تخصیص شناسه های نسبی منحصر به فرد است ( خلاص شدن از شر) هنگام ایجاد حساب های دامنه مورد نیاز است. ممکن است یک دامنه برای هر دامنه در جنگل وجود داشته باشد.
شبیه ساز PDC (شبیه ساز PDC) - مسئول سازگاری با دامنه NT4و مشتریان به ویندوز 2000. ممکن است یک دامنه برای هر دامنه در جنگل وجود داشته باشد.

حالا بیایید هر نقش را با جزئیات بیشتری مرور کنیم و دریابیم که چقدر برای عملکرد مهم هستند. اکتیو دایرکتوری.

استاد طرحواره

استاد طرحواره- مسئول ایجاد تغییرات در طرحواره است، جایی که توضیحات همه کلاس ها و ویژگی ها در آن قرار دارد اکتیو دایرکتوری. این طرح به ندرت اصلاح می شود، به عنوان مثال، هنگام تغییر سطح دامنه، نصب تبادلو گاهی برنامه های دیگر. این نقش را می توان بر روی هر کنترل کننده دامنه در جنگل قرار داد. زمانی که در دسترس نیست استاد طرحوارهتغییر طرحواره آگهیغیر ممکن خواهد بود.

استاد نامگذاری دامنه

استاد نامگذاری دامنهمسئول عملیات مربوط به نام دامنه است آگهی،با این حال، فهرست وظایف او تا حدودی طولانی تر است :

افزودن و حذف دامنه ها در یک جنگل. افزودن و حذف دامنه فقط به کنترلر دارای نقش مجاز است استاد نامگذاری دامنه. این اطمینان حاصل می کند که دامنه اضافه شده در جنگل منحصر به فرد است NETBIOS-نام. اگر نامگذاری استاددر دسترس نیست، نمی توانید دامنه ای را در جنگل اضافه یا حذف کنید.
ایجاد و حذف پارتیشن. شروع با ویندوز 2003ایجاد بخش های جداگانه امکان پذیر شد - پارتیشن های دایرکتوری برنامه ها، که برای ذخیره سازی استفاده می شود آگهیداده های دلخواه به عنوان مثال، ذخیره داده ها برای DNS-سرورها در بخش ها ForestDnsZonesو DomainDnsZones. مدیریت پارتیشن در صورت در دسترس نبودن استاد نامگذاری دامنهغیر ممکن
ایجاد و حذف ارجاعات متقابل. هنگامی که سروری که کلاینت به آن متصل است حاوی کپی صحیح دایرکتوری نباشد، از ارجاع متقابل برای جستجوی دایرکتوری استفاده می شود و همچنین می توانید به دامنه های خارج از جنگل، به شرط در دسترس بودن، مراجعه کنید. ارجاعات متقابل ذخیره می شوند ( crossRef) در یک ظرف پارتیشن هابخش پیکربندی، اما تنها استاد نامگذاری دامنهحق تغییر محتویات این ظرف را دارد. زمانی که در دسترس نیست استاد نامگذاری دامنهایجاد یک مرجع متقابل جدید یا حذف یک مرجع غیر ضروری امکان پذیر نخواهد بود.
تایید تغییر نام دامنه برای تغییر نام دامنه، از ابزار کمکی استفاده کنید random.exe.او یک اسکریپت با دستورالعمل هایی می نویسد که باید در طول فرآیند تغییر نام اجرا شوند. این اسکریپت در یک ظرف قرار می گیرد پارتیشن هابخش پیکربندی. از آنجایی که فقط کنترلر با نقش استاد نامگذاری دامنه، سپس این اوست که مسئول بررسی دستورالعمل ها و نوشتن صفات است.

این نقش را می توان بر روی هر کنترل کننده دامنه در جنگل قرار داد.

استاد زیرساخت

اگر سرور یک کاتالوگ جهانی نباشد ( GC، سپس پایگاه داده آن حاوی داده هایی در مورد کاربران دامنه های دیگر نیست. با این حال، می‌توانیم کاربران دامنه‌های دیگر را به گروه‌های محلی دامنه اضافه کنیم. گروهی در پایگاه آگهیباید به صورت فیزیکی به همه کاربران پیوند داشته باشد. این مشکل با ایجاد یک شی ساختگی - یک فانتوم ( فانتوم). اشیاء فانتوم نوع خاصی از اشیاء پایگاه داده داخلی هستند و قابل مشاهده نیستند ADSIیا LDAP. این کار با فانتوم است که استاد زیرساخت به آن مشغول است.

یکی دیگر از ویژگی های این نقش است عملکرد صحیحدر یک محیط چند دامنه ای، کنترل کننده دامنه که به عنوان اصلی زیرساخت عمل می کند، نباید یک سرور کاتالوگ جهانی باشد. اگر صاحب نقش استاد زیرساختسرور هم هست GC، اشیاء ساختگی در این کنترل کننده دامنه ایجاد یا به روز نمی شوند. این به این دلیل است که کاتالوگ جهانی از قبل حاوی نمونه های جزئی است همهاشیاء در اکتیو دایرکتوری،و او نیازی به فانتوم ندارد .

استاد RID

هر حساب در دامنه (کاربر، رایانه، گروه) باید یک شناسه امنیتی منحصر به فرد داشته باشد ( SID) که به طور منحصر به فرد این حساب را شناسایی می کند و در خدمت تمایز حقوق دسترسی است. به نظر می رسد SIDبه روش زیر:

S-1-5-Y1-Y2-Y3-Y4، جایی که

S-1 — SIDویرایش 1. فقط این ویرایش در حال حاضر در حال استفاده است.
5 - نشان می دهد که چه کسی SID را صادر کرده است. 5 یعنی مرجع NT. با این حال، به اصطلاح "شناسه های شناخته شده" SID (SID معروف) ممکن است 0، 1 و مقادیر دیگری در این قسمت داشته باشد.
Y1-Y2-Y3- شناسه دامنه ای که حساب به آن تعلق دارد. برای همه اشیا یکسان است اصلی امنیتیدر همان دامنه
Y4- شناسه نسبی ( شناسه نسبی، RID) مرتبط با یک حساب خاص. از مجموعه شناسه های دامنه نسبی در زمان ایجاد حساب جایگزین شده است.

کنترل کننده دامنه نقش استاد RIDمسئول استخراج یک دنباله از منحصر به فرد است خلاص شدن از شربه هر کنترل کننده دامنه در دامنه خود و همچنین برای صحت حرکت اشیا از یک دامنه به دامنه دیگر. کنترل کننده های دامنه دارای یک مجموعه مشترک از هویت های نسبی هستند ( استخر RID), خلاص شدن از شرکه از آن هر کنترلر در قسمت های 500 قطعه ای اختصاص داده شده است. هنگامی که تعداد آنها به پایان می رسد (کمتر از 100 می شود)، کنترل کننده یک بخش جدید را درخواست می کند. در صورت لزوم تعداد صادر شده خلاص شدن از شرو آستانه درخواست قابل تغییر است.

یکی دیگر از حوزه های مسئولیت استاد RID- حرکت اجسام بین دامنه ها. دقیقا استاد RIDاطمینان حاصل می کند که نمی توانید یک شی را همزمان به دو دامنه مختلف منتقل کنید. در غیر این صورت، زمانی ممکن است که دو دامنه شامل دو شی با یکسان باشند GUIDکه مملو از غیر منتظره ترین عواقب است.

اگر استاد RIDدر دسترس نخواهد بود، پس از پایان رایگان خلاص شدن از شرایجاد یک حساب کاربری جدید غیرممکن خواهد شد و همچنین امکان انتقال اشیاء از دامنه فعلی به دامنه دیگر وجود نخواهد داشت.

شبیه ساز PDC

در ابتدا، وظیفه اصلی شبیه ساز کنترل کننده دامنه اولیه (PDC).برای اطمینان از سازگاری با نسخه های قبلی بود پنجره ها. در یک محیط مختلط که در آن مشتریان ملاقات می کنند ویندوز NT4.0/ 95/98 و کنترل کننده های دامنه NT4, شبیه ساز PDC(فقط برای آنها) عملکردهای زیر را انجام می دهد:

پردازش عملیات "تغییر رمز عبور" برای کاربران و رایانه ها؛
تکرار به روز رسانی به بی دی سی (پشتیبان گیری از کنترل کننده دامنه);
Network Explorer (جستجو منابع شبکه).

از سطح دامنه شروع می شود ویندوز 2000و کارهای قدیمی تر او اضافه کرد. کنترل کننده دامنه نقش شبیه ساز PDCتوابع زیر را انجام می دهد:

مسئول تغییر رمز عبور و نظارت بر قفل کاربر برای خطاهای رمز عبور. رمز عبوری که توسط هر کنترل کننده دامنه دیگری تغییر داده شده است ابتدا روی آن تکرار می شود شبیه ساز PDC. اگر احراز هویت روی هر کنترل کننده دامنه دیگری موفقیت آمیز نبود، درخواست دوباره تکرار می شود شبیه ساز PDC. اگر حساب بلافاصله پس از تلاش ناموفق با موفقیت احراز هویت شود، شبیه ساز PDCاطلاع داده می شود و شمارنده را ریست می کند تلاش های ناموفقبه صفر توجه به این نکته ضروری است که در صورت در دسترس نبودن شبیه ساز PDCاطلاعات مربوط به تغییر رمز عبور همچنان در سراسر دامنه پخش می شود، فقط کمی کندتر اتفاق می افتد.
Group Policy Editor به طور پیش فرض به سرور متصل می شود شبیه ساز PDCو تغییرات خط مشی روی آن رخ می دهد. اگر شبیه ساز PDCدر دسترس نیست، باید به ویرایشگر بگویید که به کدام دامین کنترلر متصل شود.
به طور پیش فرض است شبیه ساز PDCیک سرور زمان برای مشتریان در دامنه است. شبیه ساز PDCدامنه ریشه در جنگل سرور زمان پیش فرض برای است شبیه ساز PDCدر حوزه های فرزند
تغییر فضای نام سیستم فایل توزیع شده (DFS) روی یک کنترلر دامنه با نقش ساخته می شوند شبیه ساز PDC. سرورهای ریشه DFSبه طور دوره ای متادیتای به روز شده را از آن درخواست کنید و آنها را در حافظه خود نگه دارید. عدم دسترسی شبیه ساز PDCممکن است منجر به عملکرد نادرست شود. DFS.
که در اکتیو دایرکتوریبه اصطلاح "شرکت کنندگان سیستم امنیتی داخلی" وجود دارد ( اصول معروف امنیتی). حساب ها نمونه هستند. همه، کاربران تایید شده، سیستم، خودو مالک خالق. همه آنها توسط یک کنترل کننده دامنه با نقش مدیریت می شوند شبیه ساز PDC. به طور دقیق تر، با تغییراتی در آگهی شبیه ساز PDCمحتویات ظرف را بررسی و به روز می کند " CN=اصول امنیت شناخته شده، CN=پیکربندی، DC= >”.

در هر دامنه جنگل اکتیو دایرکتورییک مالک توصیفگرهای امنیتی اداری وجود دارد - AdminSDHolder. اطلاعات مربوط به تنظیمات امنیتی را برای گروه های به اصطلاح محافظت شده ذخیره می کند ( گروه های حفاظت شده). با فرکانس مشخصی، این مکانیسم فهرستی از تمام اعضای این گروه ها را درخواست می کند و آنها را مطابق با لیست کنترل دسترسی خود در معرض حقوق قرار می دهد. بدین ترتیب AdminSDHolderگروه های اداری را از تغییرات محافظت می کند. انجام AdminSDHolderروی یک کنترل کننده دامنه با یک نقش شبیه ساز PDC.

احتمالاً همین است. امیدوارم توانسته باشم با نقش ها کمی شرایط را روشن کنم FSMO. و دفعه بعد به گزینه‌هایی برای انتقال نقش‌ها به کنترل‌کننده دامنه دیگر و همچنین اجبار (گرفتن) نقش در صورت در دسترس نبودن کنترل‌کننده دامنه که آن را انجام می‌دهد، نگاه خواهیم کرد.

Microsoft Windows Active Directory مخزن مرکزی برای تمام اشیاء سازمانی و ویژگی های مربوط به آنها است. این پایگاه داده سلسله مراتبی است و قادر به پشتیبانی از میزبان های متعدد و نگهداری میلیون ها شیء است. پشتیبانی از چند رهبر به شما این امکان را می دهد که پایگاه داده را از هر کنترل کننده دامنه در سازمان، بدون توجه به وضعیت اتصال شبکه آن تغییر دهید.

مدل پشتیبانی Multi-Master در ویندوز 2000

یک پایگاه داده چند اصلی (مانند اکتیو دایرکتوری) تغییرات را از هر کنترل‌کننده دامنه درون سازمانی می‌پذیرد، که به طور بالقوه منجر به تداخل در هنگام تکرار داده‌ها در رایانه‌های دیگر می‌شود. یکی از روش‌های مقابله با به‌روزرسانی‌های متناقض در ویندوز 2000، الگوریتم «Last Write Precedence» است که مقدار داده‌ها را از کنترل‌کننده دامنه اخیراً اصلاح شده می‌پذیرد و مقادیر سایر کنترل‌کننده‌های دامنه را کنار می‌گذارد. با این حال، برخی از درگیری ها به قدری پیچیده هستند که نمی توان آنها را از این طریق حل کرد. پیشگیری از آنها آسان تر از از بین بردن آنها است.

برخی از انواع تغییرات در ویندوز 2000 به گونه ای انجام می شود که از تداخل به روز رسانی اکتیو دایرکتوری جلوگیری می کند.

مدل پشتیبانی از یک هاست در ویندوز 2000

برای جلوگیری از بروز به‌روزرسانی‌های متضاد، اکتیو دایرکتوری اشیاء خاصی را با استفاده از یک مدل منفرد به‌روزرسانی می‌کند. تحت این مدل، تنها یک کنترل کننده دامنه در کل فهرست مجاز به به روز رسانی است. این فرآیندمشابه نقشی که در ابتدا به کنترل کننده دامنه اولیه (PDC) اختصاص داده شد نسخه های ویندوز(به عنوان مثال، در Microsoft Windows NT 3.51 و 4.0) که PDC مسئول رسیدگی به تمام به روز رسانی ها در یک دامنه خاص است.

Windows 2000 Active Directory مدل تک اصلی مورد استفاده در نسخه‌های قبلی ویندوز را گسترش می‌دهد تا شامل پشتیبانی از نقش‌های متعدد و توانایی انتقال نقش‌ها به کنترل‌کننده‌های دیگر در سازمان باشد. از آنجایی که نقش Active Directory به یک کنترل کننده دامنه متصل نیست، به آن نقش FSMO (Flexible Single Master Operation) می گویند. پنج نقش FSMO در ویندوز 2000 وجود دارد:

استاد طرحواره

استاد نامگذاری دامنه

میزبان RID

شبیه ساز PDC

دیمون زیرساخت

نقش استاد طرحواره FSMO

کنترل کننده دامنه اصلی طرحواره مسئول به روز رسانی طرح دایرکتوری است (یعنی زمینه نامگذاری طرحواره یا LDAP://cn=schema,cn=configuration,dc= ). فقط این کنترل کننده دامنه می تواند تغییراتی در طرح دایرکتوری ایجاد کند. پس از به روز رسانی طرحواره، از schema master به کنترل کننده های دامنه دیگر در دایرکتوری کپی می شود. در هر دایرکتوری فقط یک schema master می تواند وجود داشته باشد.

نقش FSMO "Domain Naming Master"

کنترل‌کننده دامنه که به‌عنوان استاد نام‌گذاری دامنه عمل می‌کند، مسئول تغییر فضای نام دامنه دایرکتوری در جنگل است (به عنوان مثال، پارتیشن‌ها\ پیکربندی نام‌گذاری زمینه یا LDAP://CN=Partitions, CN=configuration, DC= ). فقط این کنترلر حق حذف و افزودن دامنه به دایرکتوری را دارد. همچنین ارجاعات متقابل را به دامنه ها در فهرست های خارجی اضافه و حذف می کند.

نقش FSMO "RID Master"

کنترل‌کننده دامنه که به‌عنوان اصلی RID عمل می‌کند، مسئول رسیدگی به درخواست‌های RID Pool از سایر کنترل‌کننده‌ها در یک دامنه خاص، و حذف اشیاء از یک دامنه و قرار دادن آنها در دامنه دیگر است.

هنگامی که یک کنترل کننده دامنه یک شی اصلی امنیتی اولیه (مانند یک کاربر یا گروه) ایجاد می کند، یک شناسه امنیتی (SID) به آن اختصاص می دهد. این شناسه از یک SID دامنه (برای همه شناسه‌های امنیتی ایجاد شده در یک دامنه یکسان) و یک شناسه نسبی (RID) (برای هر اصل امنیتی ایجاد شده در همان دامنه منحصر به فرد) تشکیل شده است.

هر کنترل کننده دامنه ویندوز 2000 در یک دامنه دارای مجموعه ای از شناسه های نسبی (RID) است که می تواند به اصول امنیتی تازه ایجاد شده اختصاص دهد. هنگامی که تعداد RIDها در مجموعه کنترل‌کننده دامنه به زیر یک آستانه می‌رسد، RID اصلی را برای شناسایی هویت جدید جستجو می‌کند. استاد RID شناسه ها را از استخر دامنه تخصیص نیافته بازیابی می کند و آنها را به استخر کنترل کننده دامنه درخواست کننده اختصاص می دهد. تنها یک RID Master در هر دامنه دایرکتوری وجود دارد.

نقش FSMO "شبیه ساز PDC"

شبیه ساز PDC برای همگام سازی زمان در سراسر شرکت مورد نیاز است. Windows 2000 شامل سرویس زمان W32Time (Windows Time) است که توسط پروتکل احراز هویت Kerberos استفاده می شود. همه کامپیوترهای زیر کنترل ویندوز 2000 در همان شرکت از کل زمان استفاده می کنند. برای اطمینان از همگام سازی صحیح زمان، سرویس Windows Time باید از ساختار رابطه سلسله مراتبی استفاده کند که مجوزها را کنترل می کند و از "حلقه" در کنترل جلوگیری می کند.

شبیه ساز دامنه PDC به عنوان شبیه ساز دامنه اصلی عمل می کند. شبیه ساز PDC در ریشه جنگل به شبیه ساز اصلی در سازمان تبدیل می شود. باید طوری پیکربندی شود که مقدار زمان را از یک منبع داخلی دریافت کند. دارندگان نقش FSMO شبیه ساز PDC هنگام انتخاب منبع زمانی از سلسله مراتب دامنه پیروی می کنند.

در یک دامنه ویندوز 2000، نگهدارنده نقش PDC Emulator ویژگی های زیر را حفظ می کند: تغییرات رمز عبور ایجاد شده توسط سایر کنترل کننده های دامنه ابتدا در شبیه ساز PDC تکرار می شود.

تغییرات رمز عبور ایجاد شده توسط سایر کنترل کننده های دامنه ابتدا در شبیه ساز PDC تکرار می شود.

قبل از اینکه کاربر پیام خطای مناسبی را دریافت کند، خرابی‌های احراز هویت در یک کنترل‌کننده دامنه خاص که ناشی از رمز عبور نادرست است به شبیه‌ساز PDC گزارش می‌شود.

قفل حساب در شبیه ساز PDC انجام می شود.

شبیه ساز PDC تمام عملکردهای شبیه ساز سرور PDC را برای Microsoft Windows NT 4.0 انجام می دهد. نسخه های قبلیشبیه سازها روشن است مبتنی بر ویندوز NT 4.0 یا مشتریان قبلی.

اگر تمام ایستگاه‌های کاری، سرورها و کنترل‌کننده‌های دامنه‌ای که ویندوز NT 4.0 یا نسخه‌های قبلی را اجرا می‌کنند به سطح Windows 2000 ارتقا داده شده‌اند، نیازی به استفاده از این بخش از نقش PDC Emulator نیست. .

موارد زیر تغییراتی را که در طول فرآیند ارتقا رخ می‌دهند توضیح می‌دهد: کلاینت‌های Windows 2000 (ایستگاه‌های کاری، سرورها) و کلاینت‌های قبلی که بسته سرویس گیرنده سرویس‌های توزیع شده را نصب کرده‌اند، هنگام انجام نوشتن دایرکتوری (مانند تغییر رمز عبور) به کنترل‌کننده دامنه ترجیحی نمی‌دهند. که خود را PDC اعلام کرد، اما از هر کنترل کننده دامنه برای این کار استفاده کنید.

پس از ارتقاء به ویندوز 2000، کنترلرهای پشتیبان (BDC) در دامنه ها سطح پایین ترشبیه ساز PDC دریافت درخواست های تکرار از لایه پایین را متوقف می کند.

کلاینت های ویندوز 2000 (ایستگاه های کاری، سرورها) و مشتریان قبلی که بسته سرویس گیرنده سرویس های توزیع شده را نصب کرده اند از Active Directory برای یافتن منابع شبکه استفاده می کنند. آنها به سرویس Windows NT Browser نیاز ندارند.

نقش FSMO "زیرساخت"

ارجاع به یک شی در یک دامنه در یک شی در دامنه دیگر توسط GUID، SID (برای اصول امنیتی) و نام متمایز (DN) شی تعیین می شود. کنترل‌کننده دامنه، که به‌عنوان اصلی زیرساخت عمل می‌کند، مسئول به‌روزرسانی شناسه‌های امنیتی و نام‌های متمایز شی در ارجاعات شیء متقابل دامنه است.

توجه داشته باشید.

نقش اصلی زیرساخت (IM) نباید توسط یک کنترل کننده دامنه که یک سرور کاتالوگ جهانی است پر شود. در غیر این صورت، زیرساخت اصلی اطلاعات شی را به‌روزرسانی نمی‌کند زیرا حاوی ارجاعاتی به اشیایی نیست که ذخیره نمی‌کند. دلیل این رفتار این است که سرور کاتالوگ جهانی نمونه های جزئی همه اشیاء موجود در جنگل را نگهداری می کند. در نتیجه، پیوندهای شیء متقابل دامنه در این دامنه به روز نمی شوند و یک هشدار در گزارش رویداد این کنترل کننده دامنه ظاهر می شود.

اگر کنترل‌کننده‌ها در یک دامنه جداگانه، کاتالوگ جهانی را نیز ذخیره کنند، همه کنترل‌کننده‌های دامنه اطلاعات به‌روز خواهند داشت، مهم نیست که کدام کنترل‌کننده دامنه نقش اصلی زیرساخت را داشته باشد.

بدون پست مرتبط...

انتقال FSMO هدف از رویداد ما انتقال FSMO از یک کنترل کننده دامنه به دیگری است. در هر صورت، من به چندین روش برای انتقال نقش‌ها نگاه خواهم کرد، از جمله مواردی که Master FSMO فعلی در دسترس نیست.

ابتدا یک نظریه:
FSMO (عملیات تک اصلی انعطاف پذیر - "عملیات با یک مجری") - انواع انجام شده توسط کنترل کننده ها دامنه فعالعملیات دایرکتوری که نیازمند منحصر به فرد بودن اجباری سروری است که آنها را انجام می دهد.

یعنی همه کنترل‌کننده‌های دامنه با هم برابرند، اما یک (یا چند) نسبت به بقیه مساوی‌تر هستند، تا آنجا که این عملیات‌های مشابه را با یک مجری انجام می‌دهند. بسته به نوع عملیات، منحصربه‌فرد بودن FSMO در یک جنگل دامنه یا یک دامنه مشخص می‌شود.

در مجموع، شرکت کوچک نرم 5 نقش به ما داده است:

Schema master - یک سرور با این نقش برای کل جنگل. نقش برای گسترش طرحواره مورد نیاز است جنگل های فعالدایرکتوری، این عملیات معمولا توسط adprep /forestprep انجام می شود

صاحب نام دامنه (مستر نامگذاری دامنه) - یکی برای کل جنگل. سروری با این نقش باید از نام‌های منحصربه‌فرد برای همه دامنه‌ها و پارتیشن‌های برنامه‌ای که در جنگل AD ایجاد می‌شوند اطمینان حاصل کند.

مالک شناسه های نسبی (شبیه ساز PDC) - یک سرور در هر دامنه. چندین عملکرد را انجام می دهد: مرورگر اصلی است شبکه های ویندوز، قفل های کاربر را در صورت وارد کردن اشتباه رمز عبور نگه می دارد، سرور اصلی NTP در دامنه است که برای پشتیبانی از کلاینت هایی با سیستم عامل های قبلی ویندوز 2000 طراحی شده است.

شبیه ساز کنترل کننده دامنه اولیه (مستر زیرساخت) - یک سرور در هر دامنه. یک سرور با این نقش برای تکمیل موفقیت آمیز دستور adprep /domainprep مورد نیاز است. مسئول به‌روزرسانی شناسه‌های امنیتی (GUID، SID) و نام‌های متمایز شی در ارجاعات شیء متقابل دامنه است.

مالک زیرساخت دامنه (RID Master) - یک سرور در هر دامنه. سرور RID ها (هر کدام 500) را به سایر کنترل کننده های دامنه توزیع می کند تا SID های منحصر به فرد ایجاد کند.

برای مدیریت نقش اصلی طرحواره، باید در گروه «مدیران طرحواره» باشید.
برای مدیریت نقش اصلی نام‌گذاری دامنه، باید عضو گروه مدیران Enterprise باشید.
برای مدیریت نقش‌های شبیه‌ساز PDC، Infrastructure Master و RID Master، باید حقوق سرپرست دامنه "Domain Admins" را داشته باشید.

نیاز به انتقال نقش می تواند به دلایل مختلف و همچنین در شبکه های بزرگاین نقش ها را می توان توسط سرورهای مختلف انجام داد، اگرچه در مورد ما همه نقش ها توسط یک سرور انجام می شود. مهم است که هر نقش در دامنه شما انجام شود، اگر نقشی به هیچ سروری اختصاص داده نشود، بسته به ساختار AD، شگفتی های ناخوشایند زیادی می تواند چه بلافاصله و چه پس از مدت ها در انتظار شما باشد.

هنگامی که یک دامنه ایجاد می شود، به طور پیش فرض، تمام نقش ها به اولین کنترل کننده دامنه در جنگل اختصاص داده می شود. تغییر نقش به ندرت مورد نیاز است. مایکروسافت استفاده از انتقال نقش FSMO را در موارد زیر توصیه می کند:

کاهش برنامه ریزی شده نقش یک کنترل کننده دامنه که مالک نقش های FSMO است، به عنوان مثال، به منظور از کار انداختن سرور (این فقط مورد من است).

خاموش کردن موقت یک کنترل کننده دامنه، به عنوان مثال، برای انجام کار پیشگیرانه. این امر به ویژه هنگام غیرفعال کردن شبیه ساز PDC بسیار مهم است. غیرفعال کردن موقت سایر عملیات اصلی تأثیر کمتری بر AD دارد.

توقیف نقش های FSMO باید در موارد زیر انجام شود:

اگر دارنده فعلی نقش FSMO دچار شکست هایی شده باشد که مانع از اجرای موفقیت آمیز عملکردهای ذاتی این نقش شده و از انتقال نقش جلوگیری می کند.

در کنترل کننده دامنه که مالک نقش FSMO بود، سیستم عامل دوباره نصب می شود یا بوت نمی شود.

یک کنترل کننده دامنه که نقش FSMO را در اختیار داشت با استفاده از دستور dcpromo /forceremoval به اجبار تنزل رتبه داده شد.

بنابراین اولین چیزی که نیاز داریم این است که بفهمیم کدام سرور استاد FSMO است. ساده ترین راه برای انجام این کار با ابزار netdom است. با تایپ کردن در کنسول:

> پرس و جوی netdom fsmo

ما لیستی از هر پنج نقش را با FQDN میزبان دریافت خواهیم کرد. از همین ابزار می توان پس از انتقال نقش ها برای تأیید موفقیت عملیات استفاده کرد.

اکنون می توانید مستقیماً به انتقال FSMO ادامه دهید:

روش اول ساده ترین و خوشایندترین روش برای من است - انتقال نقش های FSMO با استفاده از ابزار ntdsutil:

ntdsutil.exe یک ابزار خط فرمان برای نگهداری اکتیو دایرکتوری است. بسیاری از ویژگی های مدیریت AD، از جمله انتقال و ضبط نقش های FSMO را فراهم می کند.
برای انتقال نقش‌ها، به هر کنترل‌کننده دامنه (لازم نیست که اصلی فعلی یا آینده FSMO باشد) که در جنگلی که می‌خواهید نقش‌ها را در آن انتقال دهید، بروید. توصیه می کنیم وارد کنترل کننده دامنه ای شوید که نقش های FSMO به آن اختصاص داده شده است. کنسول را راه اندازی کنید و وارد کنید:
>ntdsutil
پس از آن، ابزار در حالت تعاملی شروع می شود و می تواند دستورات را بپذیرد. اولین دستور ما نشان می دهد که می خواهیم با FSMO کار کنیم
> نقش ها
در پاسخ، دستور به fsmo maintenance تغییر می‌کند: سپس، برای فراخوانی اتصال "menu"، وارد شوید
> اتصالات
و اعلان به اتصالات سرور تغییر می کند: اکنون می توانید مشخص کنید که به کدام سرور می خواهیم متصل شویم (<Имя_сервера>نام کنترل کننده دامنه ای است که می خواهید نقش FSMO را به آن منتقل کنید.)
> اتصال به سرور<Имя_сервера>
برای خروج از منوی اتصال، را وارد کنید
> q
و Enter را فشار دهید. اکنون، با دریافت دوباره اعلان fsmo maintenance: می‌توانیم به انتقال نقش‌ها ادامه دهیم. دستور انتقال به این صورت است:
> انتقال<имя_роли>
مانند<имя_роли>شما باید نقشی را که می خواهید انتقال دهید مشخص کنید:

نامگذاری استاد - انتقال نقش صاحب نام دامنه.

استاد زیرساخت - انتقال نقش اصلی زیرساخت.

RID master - انتقال نقش اصلی RID.

schema master - انتقال نقش اصلی طرحواره.

PDC - نقش شبیه ساز PDC را منتقل کنید.

در نسخه‌های ویندوز قبل از Windows Server 2008R2، نام‌گذاری دامنه، استاد نام‌گذاری دامنه نامیده می‌شود. همانطور که در سیستم های ویندوز مرسوم است، case مهم نیست.

پس از وارد کردن هر فرمان انتقال، کادر محاوره‌ای ظاهر می‌شود که درخواست تأیید می‌کند (شما همچنین می‌توانید در کنسول درخواست تأیید کنید، در غیر این صورت همانطور که مشخص است «غیر کنسولی» است)، هر بار «OK» را فشار دهید، مگر اینکه البته همه را تایپ کرده باشید. دستورات قبلی تصادفی :)
برای خروج از Ntdsutil، دستور q را تایپ کرده و Enter را فشار دهید.

اجباری کردن نقش های fsmo با Ntdsutil

اما اگر صاحب نقش در دسترس نباشد، آسیب دیده باشد و امیدی به بازگشت آن به سرویس در آینده نزدیک نباشد، چه کنیم؟ و در اینجا ntdsutil.exe دوباره به ما کمک می کند:
تخصیص اجباری (تصرف) نقش ها فقط در صورت خرابی کامل سرور با عدم امکان بازیابی آن انجام می شود. در صورت امکان، بهتر است Master FSMO شکست خورده را دوباره آنلاین کنید. روش ضبط خود شبیه به آنچه در بالا توضیح داده شد است. به دامین کنترلری که می‌خواهیم نقش‌ها را به آن منتقل کنیم می‌رویم و همان کاری را که در پاراگراف قبل نوشته شده بود با تایپ کردن انجام می‌دهیم:
>ntdsutil
> نقش ها
> اتصالات
> اتصال به سرور<имя_сервера>
> q
تنها تفاوت این است که به جای دستور انتقال، از دستور برای تصرف اجباری نقش استفاده می شود. تصاحب کردن
> تصرف<имя_роли>
جایی که<имя_роли>مثل قبل

نامگذاری استاد - نام دامنه اصلی (قبل از Windows Server 2008R2 - نامگذاری دامنه اصلی)؛

زیرساخت استاد - زیرساخت استاد;

رید مستر - RID master;

schema master - schema master;

pdc یک شبیه ساز PDC است.

به یاد داشته باشید که قبل از ضبط نقش سعی کنید نقش را با استفاده از دستور transfer منتقل کنید و فقط در صورت عدم موفقیت از seize استفاده کنید.

در صورت امکان، نقش Infrastructure Master را به یک کنترل کننده دامنه که یک سرور کاتالوگ جهانی است اختصاص ندهید، زیرا در این صورت اطلاعات شی را به روز نمی کند. دلیل این رفتار این است که سرور کاتالوگ جهانی نمونه های جزئی همه اشیاء موجود در جنگل را نگهداری می کند.

تحت هیچ شرایطی نباید کنترل کننده دامنه ای که قبلاً نقش های FSMO را انجام می داد، در صورتی که نقش هایی که اشغال می کرد توسط دستور seize ضبط شده بود، دوباره به خدمت بازگردانده شود. هنگامی که در شبکه ظاهر می شود، درگیری ایجاد می شود که می تواند دردسر بزرگی ایجاد کند. باید از اکتیو دایرکتوری حذف شود. در ویندوز سرور 2008 و نسخه های جدیدتر، این کار را می توان با حذف شیء سرور در snap-in Active Directory Users and Computers و در ویندوز سرور 2003 با استفاده از برنامه Ntdsutil با استفاده از دستور پاکسازی ntdsutil -metadata انجام داد.

گزینه دوم - انتقال داوطلبانه نقش های FSMO با استفاده از اسنپ های مدیریت اکتیو دایرکتوری، عجیب و ناخوشایند است، اما این فقط نظر ذهنی من است، خود روش به خوبی کار می کند.

می‌توانید نقش‌های سطح دامنه (RID Master، PDC Emulator، و Infrastructure Master) را با استفاده از Active Directory Users and Computers انتقال دهید. برای انجام این کار، به کنترل کننده دامنه ای که می خواهیم نقش ها را به آن منتقل کنیم، رفته، snap-in را اجرا کرده و کلیک کنید. کلید سمت راستروی دامنه مورد نظر کلیک کنید، مورد "Masters of Operations" را انتخاب کنید.

در پنجره ای که باز می شود نقش مورد نیاز خود را انتخاب کرده و روی دکمه "تغییر" کلیک می کنیم سپس انتقال نقش را تایید می کنیم و به نتیجه نگاه می کنیم. نام میزبان عملیات باید به نام سرور فعلی تغییر کند.

برای انتقال نقش Master Naming Domain، به Snap-in Domains and Trust Active Directory نیاز دارید. ما snap-in را راه اندازی می کنیم، در صورت لزوم، به کنترل کننده دامنه مورد نظر متصل می شویم، در ریشه Snap-in کلیک راست کرده و گزینه منوی "Operations Master" را انتخاب می کنیم.

پنجره ای باز می شود که در آن باید روی دکمه "تغییر" کلیک کنید و سپس تغییرات را به همان روشی که در مورد قبلی وجود داشت تأیید کنید.

برای انتقال نقش Schema Master، باید دستکاری های پیچیده تری انجام دهید. ابتدا باید Active Directory Schema Management Library را روی سیستم ثبت کنید. این را می توان با دستور انجام داد
> regsvr32 schmmgmt.dll

سپس کنسول MMC را باز کرده و اسنپ این Active Directory Schema را به آن اضافه کنید.

اکنون می توانید مانند نمونه های قبلی با کلیک راست بر روی طرح و انتخاب آیتم "Operations master ..." به Snap-in رفته و مالک نقش Schema Master را تغییر دهید.

هورا! همه نقش ها منتقل شده است. و دوباره، هرگز دامنه خود را بدون اختصاص داده شده به نقش اصلی FSMO ترک نکنید. هرگز! :)

بازگشت

نظرات

مقالات جدید:

کشف شبکه در ویندوز 7/8/2008/2012 روشن نمی شود
ماهیت مشکل این است که کاربر در سیستم ویندوز 7 روشن نمی شود کشف شبکهدر تنظیمات شبکه به طور دقیق تر، روشن می شود، اما اگر آن را ببندید و ...

خطا: این برنامه راه اندازی نشد زیرا نتوانست پلاگین پلتفرم Qt "windows" را پیدا یا بارگیری کند.
بنابراین، پس از نصب با کپی مستقیم برنامه نوشته شده در C ++ با استفاده از کتابخانه Qt، با خطای زیر مواجه می شویم: این برنامه شروع به کار نکرد...

hb860 25 نوامبر 2011 در 02:02 بعد از ظهر
همه چیزهایی که می خواستید درباره استادان عملیات بدانید اما از پرسیدن می ترسیدید

مدیریت سیستم

اکثر مدیران سیستم در خود محیط شرکتیبرای ارائه سیستمی برای شناسایی و دسترسی کاربران خود به منابع، شرکت ها از دامنه استفاده می کنند خدمات فعالدایرکتوری که با خیال راحت می توان آن را قلب کل زیرساخت سازمانی نامید. همانطور که بسیاری از شما می دانید، ساختار Domain Services در سازمان ها بسته به عواملی مانند محدودیت های محدوده، می تواند شامل جنگل های منفرد یا چندگانه (مجموعه ای از دامنه ها که شامل توضیحات پیکربندی شبکه و یک نمونه دایرکتوری است) باشد. رابطه اعتماد، جداسازی کامل داده های شبکه، به دست آوردن ایزوله اداری. به نوبه خود، هر جنگل بزرگ باید به حوزه هایی تقسیم شود تا مدیریت و تکثیر داده ها ساده شود. در هر دامنه برای مدیریت خدمات دامنه و انجام کارهایی مانند احراز هویت، راه اندازی سرویس "مرکز توزیع کلید Kerberos"و کنترل دسترسی توسط کنترل کننده های دامنه استفاده می شود. و برای مدیریت ترافیک شبکهوب سایت ها بین دفاتر در حال توسعه هستند.
البته همه اطلاعات مربوط به جنگل‌ها، دامنه‌ها و سایت‌ها باید حتی در هنگام طراحی AD DS مطابق با الزامات شرکتی مانند: الزامات تجاری، الزامات عملکردی، الزامات قانونی، امنیتی و محدودیت‌های طراحی مستندات، سازگار باشند. اغلب، تمام این نکات توسط بخش فناوری اطلاعات خود شرکت یا توسط تیم پروژه زیرساخت سازمانی قبل از استقرار خدمات دامنه به دقت برنامه ریزی می شود و در یک توافق نامه سطح خدمات ویژه نوشته می شود که سطح مورد انتظار عملکرد و کیفیت خدمات ارائه شده را تعیین می کند. .
اطلاعات به دست آمده پس از طراحی یا اغلب پس از استقرار AD DS باید به دقت مستند شود. چنین مستنداتی باید شامل اطلاعاتی در مورد ساختار منطقی و فیزیکی خود Domain Services، مدل های اداری، زیرساخت حل نام، هرگونه تغییر برنامه ریزی شده در محیط سازمان و اجزای زیرساخت اضافی مانند معرفی سرورهای پستی باشد. Microsoft Exchange، سرورهای مرکز سیستم و موارد دیگر. در بیشتر موارد، کارکنان فناوری اطلاعات سازمان فرآیند مستندسازی را نادیده می گیرند و زمانی که کارکنان فناوری اطلاعات تغییر می کنند، ممکن است مدتی طول بکشد تا مدیران جدید به طور کامل با زیرساخت های فعلی سازمان آشنا شوند.
همچنین باید بدانید که در سرویس دایرکتوری، تقریباً همه کنترل‌کننده‌های دامنه برابر هستند (در این زمینه، کنترل‌کننده‌های دامنه فقط خواندنی، RODCها را در نظر نمی‌گیریم)، یعنی همه کنترل‌کننده‌های دامنه حق نوشتن در پایگاه داده و می تواند این داده ها را برای کنترلرهای دیگر تکرار کند. این توپولوژی اکثر عملیات های پیش پا افتاده اکتیو دایرکتوری را به خوبی انجام می دهد و فراخوانی می شود تکرار چند نظیر(مولتی مستر). اما، با این وجود، برخی از عملیات وجود دارد که باید روی سرور مجاز که مستقیماً برای چنین عملیاتی تعیین شده است انجام شود. به عبارت دیگر، کنترل کننده های دامنه ای که عملیات یا نقش های خاصی را در دامنه خود انجام می دهند، عملیات اصلی (یا Masters) نامیده می شوند. دانستن و درک هدف از تمام نقش های استادان عملیات ضروری است، زیرا در مورد بازیابی فاجعه، ارتقاء یا مهاجرت، این کنترل کننده های دامنه هستند که به عنوان استاد عملیات عمل می کنند که می توانند یکی از مهمترین نقش ها را ایفا کنند. بر این اساس، در مورد استادان عملیات است که در این مقاله مورد بحث قرار خواهد گرفت.
از این مقاله یاد خواهید گرفت:
در مورد اینکه اگر استادان عملیات نبود چه اتفاقی می افتاد.

درباره نقش های اصلی عملیات سطح جنگل.

درباره نقش استادان عملیات سطح دامنه؛

چگونه می توانید تعیین کنید که کدام کنترل کننده نقش FSMO را دارد.

درباره دستگیری و انتقال نقش های استادان عملیات؛

در مورد قرارگیری صحیح Masters Operations روی Domain Controller ها.

آنچه در مقاله فعلی در نظر گرفته نخواهد شد:
برنامه ریزی و مستندسازی کنترل کننده های دامنه با نقش های اصلی عملیات. این یک موضوع جداگانه است که شامل درک تفاوت های ظریف برنامه ریزی AD DS است و خارج از محدوده این مقاله است.

سرورهای جهانی کاتالوگ. بسیاری از مدیران سیستم سرورهای کاتالوگ جهانی را با نقش های اصلی عملیات برابر می دانند. در واقع، این یک ادعای نادرست است. کاتالوگ جهانی یک مخزن داده توزیع شده است که اطلاعات مربوط به هر شی را ذخیره می کند و به کاربران و برنامه های کاربردی اجازه می دهد با جستجوی ویژگی های موجود در کاتالوگ جهانی که در طرح به عنوان مجموعه خصوصی از ویژگی ها شناسایی شده اند، اشیاء را در هر دامنه در جنگل فعلی پیدا کنند. . کاتالوگ جهانی خود بر روی کنترل کننده های دامنه تعیین شده به عنوان سرورهای کاتالوگ جهانی قرار دارد و به نوبه خود از طریق Multimaster تکرار می شود. اگرچه کاتالوگ جهانی شامل لیست کاملهمه اشیاء در جنگل، و سرورهای کاتالوگ جهانی می توانند به همه درخواست ها بدون مراجعه به سایر کنترل کننده های دامنه پاسخ دهند، کاتالوگ جهانی نقشی از مدیران عملیات نیست. برای سرورهای کاتالوگ جهانی، می توانید مقاله زیر را مطالعه کنید: "سرورهای کاتالوگ جهانی" ;

تعامل جادوگران عملیات با کنترل کننده های دامنه فقط خواندنی. Read Only Domain Controller ها نسبتاً خاص هستند نوع جدیدکنترل کننده های دامنه، که توصیه می شود در شعب سازمانی که از سطح امنیتی کافی و پرسنل فناوری اطلاعات واجد شرایط برخوردار نیستند، مستقر شوند. همانند جادوگران عملیات زمان‌بندی و سرورهای کاتالوگ جهانی، کنترل‌کننده‌های دامنه فقط خواندنی موضوعی جداگانه و بزرگ هستند که پرداختن به آن در این مقاله منطقی نیست. با این حال، اولین چیزی که باید به آن توجه کرد این است که RODC ها نمی توانند به عنوان یک کنترل کننده دامنه با نقش اصلی عملیات عمل کنند.

عیب یابی و خطاها با عملیات جادوگران. موضوعی جالب و نسبتاً حجیم که با توجه به اینکه مقاله حاضر به مفاهیم کلی نقش استادان عملیات می پردازد، مورد توجه قرار نخواهد گرفت.

اگر استادان عملیات نبود چه اتفاقی می افتاد
قبل از تصور وضعیت کنترل‌کننده‌های دامنه اکتیو دایرکتوری، که در آن هیچ تمایزی بین کنترل‌کننده‌های دامنه که عملیات خاص را انجام می‌دهند و سایر کنترل‌کننده‌های دامنه وجود ندارد، اجازه دهید مزایای کنترل‌کننده‌های دامنه مجهز به نقش‌های Master of Operation را در نظر بگیریم.
اول از همه، همانطور که قبلاً در بخش مقدماتی این مقاله ذکر شد، استادان عملیات Domain Controller ها Domain Controller هایی نامیده می شوند که نقش ویژه ای را در Active Directory ایفا می کنند که برای اطمینان از یکپارچگی و جلوگیری از درگیری طراحی شده است. برای این منظور است که نقش ویژه ای به چنین کنترل کننده های دامنه اختصاص داده می شود و از آنجایی که چنین نقش هایی ارتباط سختی با یک کنترل کننده دامنه ندارند، چنین نقش هایی را Operations Masters می نامند (Flexible Single Master Operation، FSMO، که fizz تلفظ می شود. -mo). در واقع دامین کنترلرهای دیگر می توانند این نقش ها را انجام دهند اما هر نقش باید فقط به یک Domain Controller اختصاص داده شود و در یک Domain نمی توان همزمان اقداماتی را که باید روی domain controller های masters عملیات انجام داد انجام داد.
فکر می کنم دانستن اینکه جادوگران عملیات از چه پروتکل هایی استفاده می کنند مفید خواهد بود. Operation Wizards از سه پروتکل استفاده می کند:
پروتکل دسترسی به دایرکتوری سبک (LDAP)؛

SMTP.

حالا برای لحظه ای تصور کنید اگر هیچ جادوگر عملیاتی در Active Directory Domain Services وجود نداشته باشد، یعنی اگر همه کنترل کننده های دامنه می توانند اقدامات مشابهی را همزمان انجام دهند، چه اتفاقی می افتد.
فرض کنید سازمانی داریم با یک جنگل و پنج دامنه. در هر یک از دامنه ها، مدیران سیستم تصمیم گرفتند به طور همزمان ایمیل را نصب کنند سرور مایکروسافت Exchange، و در یک دامنه، مدیر نسخه 2007 این سرور ایمیل را نصب می کند، در دوم - 2000، و در سومین دامنه Microsoft Exchange Server 2010 SP1. تمامی تغییرات در طرح دامنه و بر همین اساس کل Forest در دامین کنترلری که مدیران به آن متصل شده اند نوشته می شود و پس از مدتی تمامی تغییرات ایجاد شده در طرح اکتیو دایرکتوری در هر دامین کنترلر در جنگل سازمان تکرار می شود.
اگر شخصی بخواهد نام دامنه خود را با استفاده از ابزار سیستم Rendom.exe به عنوان دامنه دیگری تغییر نام دهد، و هیچ نقش FSMO متناظری در شرکت وجود ندارد، هنگام دسترسی به آن، مدیر پیام هشداری را مشاهده می کند که می گوید: "داری چه کار می کنی؟ - اون؟ چنین دامنه ای از قبل وجود دارد، آیا می خواهید همه چیز را در جهان بشکنید؟ و نام دامنه تغییر خواهد کرد، پس از تکرار، اجتناب از مشکلات کشنده به سادگی غیرممکن خواهد بود.
یک مثال دیگر بزنیم... باز هم در طبیعت هیچ استاد عملیاتی وجود ندارد. در ماشین‌های کلاینت، زمان ممکن است اشتباه پیش برود، کاربران می‌توانند خودشان زمان خود را تغییر دهند، گویی تصادفی است، اما همه مشتریان در دامنه، به طور پیش‌فرض، باید زمان را با نزدیک‌ترین کنترل‌کننده‌های دامنه همگام‌سازی کنند. در این حالت، اگر کنترل کننده دامنه خاصی وجود نداشته باشد، به اصطلاح منبع زمان اصلی، زمان هر کاربر در کل دامنه ممکن است متفاوت باشد، که ممکن است برای برخی از برنامه های تجاری حیاتی باشد.
در واقع، نمونه های بی پایانی از آخرالزمان شرکتی به دلیل فقدان استادان عملیات وجود دارد. تنها یک ماهیت وجود دارد، ارباب عملیات به سادگی باید در دسترس باشند، باید در دسترس باشند و باید تنها عملیاتی را انجام دهند که برای آنها در نظر گرفته شده است.
در مجموع، Active Directory Domain Services شامل پنج نقش مختلف از Masters Operations است که در سطح Forest از دو نقش استفاده می شود: استاد نام دامنهو استاد مدارعلاوه بر این، در هر جنگل نمی‌تواند بیش از یک کنترل‌کننده دامنه با تخصیص هر نقش وجود داشته باشد. هر دامنه فقط سه نقش اصلی عملیات دارد: استاد RID نسبی, استاد زیرساخت، و شبیه ساز کنترل کننده دامنه اولیه PDC. یعنی زمانی که اولین کنترل کننده دامنه در جنگل نصب می شود، به طور همزمان هر پنج نقش اصلی عملیات به آن اختصاص داده می شود، و زمانی که یک دامنه اکتیو دایرکتوری جدید در یک جنگل موجود ایجاد می شود، به کنترل کننده دامنه جدید سه نقش در سطح دامنه اختصاص می یابد. . FSMO در جنگل و تعداد دارندگان بالقوه این نقش ها را می توان با استفاده از فرمول "(تعداد دامنه ها * 3) + 2" محاسبه کرد.
به عنوان مثال، اگر یک جنگل اکتیو دایرکتوری با چهار دامنه دارید که یکی از دامنه های اصلی دارای یک دامنه فرزند و نوه است، آن جنگل حاوی 14 نقش FSMO خواهد بود. یعنی: یک استاد طرحواره، یک استاد نامگذاری دامنه، چهار شبیه ساز PDC (یک نقش برای دو دامنه اصلی، فرزند، و نوه)، چهار مستر RID برای هر دامنه، و چهار استاد زیرساخت برای هر دامنه.
در این مرحله، فکر می‌کنم زمان آن رسیده است که به هر نقش اصلی عملیات در سطح جنگل و دامنه نگاه کنیم.
نقش جادوگران عملیات در سطح جنگل
همانطور که در بالا نوشتم، دو نقش اصلی عملیات برای سطح جنگل Active Directory وجود دارد، یعنی:
طرحواره استاد;

جادوگر نام دامنه

نقش اصلی طرحواره
قبل از اینکه چند کلمه در مورد نقش استاد طرح بگویم، فکر می کنم به طور خلاصه منطقی است که بگویم به طور کلی چه چیزی وجود دارد. "شما اکتیو دایرکتوری".
- گوفر را می بینی؟
- نه
- و من آن را نمی بینم. و او هست!
ک.ف. "DMB"

برای بسیاری از مدیران تازه کار، طرح اکتیو دایرکتوری را می توان با عبارت معروف فیلم که در بالا نوشته شده است مرتبط کرد. به نظر می رسد، زیرا چیزی به نام مدار وجود دارد، اما برای چیست، چیست و به طور کلی چیست، هیچ کس نمی داند و عجله ای برای یافتن آن ندارد.
طبق اصطلاحات، طرحواره شامل تعاریف هر صفت و کلاسی است که در جنگل Active Directory ایجاد و ذخیره می شود. فکر می کنم به سختی برای کسی خبری نیست که Active Directory Domain Services نیز در آن ذخیره می شود زمان مناسباستخراج کردن اطلاعات لازمبسیاری از برنامه های کاربردی سازمانی این کار به این دلیل انجام می‌شود که در صورت لزوم، برنامه‌ها به اجزای مختلف زیرساخت سازمانی دسترسی نداشته باشند، بلکه به خدمات دامنه فعال دایرکتوری دسترسی پیدا کنند، اطلاعاتی که در مورد آنها برای همه کنترل‌کننده‌های دامنه تکرار می‌شود. توجه داشته باشید که در هر جنگل اکتیو دایرکتوری تنها یک طرحواره وجود دارد که می تواند به هر کنترل کننده دامنه در جنگل تکرار شود. بنابراین، اگر یک سازمان نیاز به استقرار چندین برنامه کاربردی داشته باشد که می تواند در طرح اکتیو دایرکتوری تداخل ایجاد کند، منطقی است که دو جنگل جداگانه را مستقر کرده و نگهداری کند.
خود طرحواره شامل اشیاء classSchema و attributeSchema است که هنگام تعریف شی مورد نیاز در Domain Services درخواست می شوند. خود کلاس ها نوعی از تعاریف واقع در طرحواره هستند که به نوبه خود گروه هایی از ویژگی ها را تعریف می کنند. باید به خاطر داشت که هر کلاس می تواند از ویژگی های زیادی استفاده کند. و در نهایت، برای هر مشخصه ای که در AD DS قرار دارد، طرح، نوع داده را به عنوان نحو برای خود ویژگی مشخص می کند. و البته، مقدار هر ویژگی موجود در یک نمونه از کلاس باید با الزامات نحوی ویژگی فعلی مطابقت داشته باشد.
از آنجایی که بحث مفصل در مورد طرح اکتیو دایرکتوری از حوصله این مقاله خارج است، به نظر من تعریف فوق بیش از حد کافی است. جزئیات بیشتر در مورد طرح اکتیو دایرکتوری در یکی از مقالات بعدی مورد بحث قرار خواهد گرفت. حال بیایید ببینیم که نقش استاد طرحواره چیست.
دامین کنترلر که schema master است، مسئول تمام تغییراتی است که در طرح جنگل Active Directory ایجاد می شود. باید به خاطر داشت که کنترل‌کننده دامنه مسئول این نقش باید تنها در کل Forest باشد و سایر کنترل‌کننده‌های دامنه فقط شامل کپی‌های طرح جنگل فقط خواندنی خواهند بود. یعنی هنگام ایجاد هرگونه تغییر دستی در طرح اکتیو دایرکتوری، یا هنگام نصب برنامه‌هایی که طرح را تغییر می‌دهند، مدیر باید تغییرات را در کنترل‌کننده دامنه که نقش را مدیریت می‌کند، انجام دهد. برای ایجاد تغییرات، مدیر باید به schema master متصل شود و باید عضو گروه امنیتی باشد مدیران طرحواره. پس از به روز رسانی طرحواره، از schema master به همه کنترل کننده های دامنه دیگر کپی می شود. اگر می‌خواهید طرح را روی یک کنترل‌کننده دامنه اصلی غیر طرحواره تغییر دهید، این عمل معمولاً با شکست مواجه می‌شود و باید پس از ایجاد تغییرات در طرح، تغییرات را به کنترل‌کننده دامنه اصلی طرحواره ارسال کنید. بر این اساس، این نقش حیاتی است، زیرا اگر بخواهید طرح اکتیو دایرکتوری را با غیرفعال بودن schema master تغییر دهید، همیشه با خطا مواجه خواهید شد. به نوبه خود، نقش Schema Master می تواند در هر کنترل کننده دامنه تعیین شده در جنگل قرار گیرد.
به طور پیش فرض، نقش اصلی schema به اولین کنترل کننده دامین نصب شده در forest اختصاص داده می شود و پیشنهاد می شود که این نقش به همراه نقش اصلی نامگذاری دامنه که در ادامه به آن پرداخته می شود، روی همان دامین کنترلر قرار گیرد. علی‌رغم توصیه‌ها، می‌توانید این نقش را در هر زمان با استفاده از کنترل‌کننده دامنه منتقل کنید "شما اکتیو دایرکتوری"یا از طریق ابزار خط فرمان Ntdsutil. همچنین می توانید در این مقاله با انتقال نقش ها به سایر کنترلرهای دامنه آشنا شوید. توسط schema master با مقدار مشخصه شناسایی می شود fSMORoleOwnerشی ریشه بخش طرحواره.
نقش استاد نام دامنه

نقش بعدی که پوشش داده می شود، نامگذاری دامنه اصلی نام دارد. این نقش اصلی عملیات، و بنابراین تنها کنترل کننده دامنه در جنگل که می تواند این نقش را نگه دارد، در درجه اول برای افزودن و حذف دامنه ها و تمام پارتیشن های دایرکتوری در سلسله مراتب جنگل استفاده می شود. یک کنترل کننده دامنه که دارای نقش اصلی نامگذاری دامنه است برای انجام چهار عملیات زیر طراحی شده است:
افزودن و حذف دامنه ها. هنگام انجام عملیاتی مانند افزودن یا حذف یک دامنه فرزند با استفاده از Active Directory Setup Wizard یا یک ابزار خط فرمان، Setup Wizard به Domain Naming Wizard اشاره می کند و حق اضافه کردن یا حذف دومی را درخواست می کند. Domain Naming Wizard همچنین مسئول اطمینان از این است که دامنه‌های موجود در جنگل دارای نام‌های منحصر به فرد NETBIOS در کل جنگل هستند. به طور طبیعی، به دلایل واضح، اگر Domain Naming Wizard در دسترس نباشد، نمی توانید دامنه هایی را در جنگل اضافه یا حذف کنید.

افزودن و حذف مراجع متقاطع. همانطور که می دانید، هنگامی که اولین کنترل کننده دامنه را در جنگل ایجاد می کنید، پارتیشن های طرحواره، پیکربندی و دایرکتوری دامنه در جنگل ایجاد می شوند. در این زمان، برای هر پارتیشن دایرکتوری در کانتینر Partitions پارتیشن پیکربندی (CN=partitions,CN=configuration,DC=forestRootDomain)، یک شیء مرجع متقابل (کلاس crossRef) ایجاد می شود. شی ارجاع متقابل نام و مکان سرورهایی را که هر پارتیشن دایرکتوری را در جنگل ذخیره می کنند، تعریف می کند. هنگامی که هر پارتیشن دایرکتوری دامنه یا برنامه بعدی ایجاد می شود، ایجاد یک شیء مرجع متقابل در ظرف پارتیشن ها آغاز می شود.

افزودن و حذف پارتیشن های دایرکتوری برنامه ها. پارتیشن‌های دایرکتوری برنامه، پارتیشن‌های خاصی هستند که می‌توانید در کنترل‌کننده‌های دامنه Windows Server 2003، Windows Server 2008 یا Windows Server 2008 R2 ایجاد کنید تا ذخیره‌سازی داده‌های برنامه LDAP پویا را فراهم کنید. اگر جنگل شما کار می کند سطح ویندوزسرور 2000، پس در چنین جنگلی، تمام داده‌های غیر دامنه به پیکربندی و داده‌های طرحواره محدود می‌شود، که به همه کنترل‌کننده‌های دامنه در جنگل تکرار می‌شود. در جنگل ویندوز سرور 2003/2008 و 2008R2، پارتیشن‌های دایرکتوری برنامه، داده‌های برنامه مخصوص کنترل‌کننده دامنه را ذخیره می‌کنند که می‌توانند در هر کنترل‌کننده دامنه در جنگل دوباره پخش شوند.

تایید دستورالعمل تغییر نام دامنه. آخرین اقدامی که توسط Domain Name Wizard انجام می‌شود، اعتبارسنجی دستورالعمل‌های تغییر نام دامنه است. تغییر نام دامنه ها با استفاده از یک ابزار خط فرمان خاص مرسوم است. بنابراین، هنگام استفاده از ابزار Rendom.exe، که برای تغییر نام دامنه ها طراحی شده است، به منظور تغییر نام دامنه، ابزار باید به جادوگر نامگذاری دامنه دسترسی داشته باشد. علاوه بر قابلیت‌های فوق، جادوگر نام‌گذاری دامنه، اعتبار دستورالعمل‌های تغییر نام دامنه را نیز بر عهده دارد. هنگامی که این ابزار اجرا می‌شود، روی یک کنترل‌کننده دامنه با نقش جادوگر نام‌گذاری دامنه، یک اسکریپت XML در ویژگی msDS-UpdateScript پارتیشن‌ها (CN=partitions,CN=configuration,DC=forestRootDomain) شی کانتینر دایرکتوری Configuration نوشته می‌شود. پارتیشنی که حاوی دستورالعمل هایی برای تغییر نام دامنه ها است. شایان ذکر است که کانتینر پارتیشن‌ها را فقط می‌توان بر روی یک کنترل‌کننده دامنه ارتقا داد که نقش اصلی نام دامنه را دارد. علاوه بر مقدار ویژگی msDS-UpdateScript، Rendom.exe نام DNS جدید هر دامنه تغییر نام یافته را به ویژگی msDS-DnsRootAlias شی مرجع متقابل (کلاس crossRef) مربوط به آن دامنه می نویسد. باز هم، از آنجایی که شی مرجع متقابل در کانتینر Parttrions ذخیره می شود، این شی فقط می تواند در یک کنترل کننده دامنه با نقش Domain Naming Master به روز شود. داده‌های ویژگی msDS-UpdateScript و msDS-DnsRootAlias تغییر یافته برای همه کنترل‌کننده‌های دامنه در جنگل تکرار می‌شوند.

به‌طور پیش‌فرض، اولین کنترل‌کننده دامنه در جنگل جدید، نقش جادوگر نام‌گذاری دامنه را دریافت می‌کند، اما می‌توانید هر زمان که بخواهید این نقش را با استفاده از snap-in منتقل کنید. "اکتیو دایرکتوری - دامنه ها و تراست ها"یا ابزارهای خط فرمان Ntdsutil.exe. به خاطر داشته باشید که توصیه می‌شود که نقش‌های اصلی طرح و نامگذاری دامنه را روی همان کنترل‌کننده دامنه داشته باشید. یک کنترل‌کننده دامنه که نقش اصلی نام‌گذاری دامنه را به او اختصاص داده است باید یک سرور کاتالوگ جهانی نیز باشد. در غیر این صورت، برخی از عملیات ممکن است شکست بخورد. توسط schema master با مقدار مشخصه شناسایی می شود fSMORoleOwnerدر کانتینر پارتیشن ها
مانند اکشن ویزارد قبلی، اگر بخواهید هر یک از عملیات بالا را در زمانی که ویزارد اکشن در دسترس نیست انجام دهید، اقدامات شما با شکست مواجه خواهند شد. اما از آنجایی که همه این اقدامات تقریباً یک بار در مدت زمان طولانی انجام می شوند، می توانید متوجه شوید که نام دامنه اصلی در وضعیت غیرقابل استفاده در شرایط بحرانی قرار دارد. نکته مهم، بنابراین به طور دوره ای در دسترس بودن جادوگران عملیات جنگل را بررسی کنید.
نقش جادوگران عملیات سطح دامنه
برخلاف سطح جنگل، هر دامنه اکتیو دایرکتوری دارای سه نقش اصلی عملیات زیر است:
جادوگر RID نسبی

شبیه ساز کنترل کننده دامنه اولیه PDC

استاد زیرساخت

بیایید نگاهی دقیق تر به هر یک از این جادوگران بیندازیم.
استاد RID

اولین جادوگر برای سطح دامنه شرح داده شده در این مقاله، جادوگر Relative Identifier (RID) است. جادوگر RID برای مدیریت استخر RID برای تولید شناسه‌های امنیتی (SID) برای اصول امنیتی مانند کاربران، گروه‌ها و رایانه‌ها و انتقال اشیا از یک دامنه به دامنه دیگر استفاده می‌شود. SID یک اصلی امنیتی باید در کل دامنه منحصر به فرد باشد، بنابراین به هر یک از اصلی امنیتی یک SID منحصر به فرد اختصاص داده می شود که شامل شناسه دامنه و یک RID نسبی است که برای هر اصلی امنیتی منحصر به فرد است. همه SID ها دارای چهار عدد هستند عنصر مختلف. به عنوان مثال، طبق مستندات مایکروسافت، عناصر شناسه S1-5-Y1-Y2-Y3-Y4 در جدول زیر ارائه شده است:
جدول 1. ساختار عنصر شناسه

از آنجا که هر کنترل کننده دامنه می تواند اصول امنیتی ایجاد کند، مکانیزمی لازم است تا اطمینان حاصل شود که SID های تولید شده توسط یک کنترل کننده دامنه منحصر به فرد هستند، و بنابراین RID master تضمین می کند که دو کنترل کننده دامنه یک RID را اختصاص نمی دهند. RID Wizard یک بلوک از RID های نسبی به نام RID pool را به هر کنترل کننده دامنه اختصاص می دهد. به عبارت دیگر، RID Operations Wizard مسئول حفظ مجموعه ای از هویت های نسبی برای استفاده از کنترل کننده های دامنه در یک دامنه و ارائه گروه هایی از هویت های نسبی برای هر کنترل کننده دامنه است. هنگامی که یک کنترل کننده دامنه جدید به یک دامنه اضافه می شود، جادوگر RID مجموعه ای از 500 درخواست RID نسبی را به آن کنترل کننده دامنه اختصاص می دهد. هر بار که یک اصل امنیتی جدید بر روی یک کنترل کننده دامنه ایجاد می شود تا یک هویت به یک شی جدید اختصاص دهد، کنترل کننده دامنه یک هویت نسبی را از Pool خود اختصاص می دهد. هنگامی که تعداد RID های نسبی در آن استخر RID در هر DC به زیر 100 می رسد، به عبارت دیگر، به صفر نزدیک می شود، RID master بلوک RID دیگری را درخواست می کند. پس از تکمیل پرس و جو، استاد RID یک مجموعه دیگر از 500 RID نسبی را به کنترل کننده دامنه اختصاص می دهد.
حتی دقیق‌تر، RID Master تعداد اعداد استخر را نگه نمی‌دارد، اما سرویس می‌دهد بالاترین ارزشآخرین محدوده انتخاب شده هنگامی که یک درخواست جدید دریافت می شود، ارزش استخر جدید یک و 499 مقدار جدید افزایش می یابد. سپس این دو مقدار برای استفاده از RID های نسبی جدید به DC درخواستی ارسال می شوند. اگر مخزن RID محلی کنترل‌کننده دامنه خالی باشد یا RID master برای مدتی در دسترس نباشد، ممکن است فرآیند ایجاد حساب در برخی از کنترل‌کننده‌های دامنه با شکست مواجه شود و شناسه رویداد 16645 در گزارش رویداد آن دامنه کنترل‌کننده ثبت شود. این کد خطا نشان می‌دهد که حداکثر مشخص کننده حساببه ازای هر کنترل کننده دامنه تخصیص داده شد و کنترل کننده دامنه نتوانست مجموعه جدیدی از هویت ها را از RID master بدست آورد. به طور مشابه، هنگامی که یک شی جدید به دامنه اضافه می شود، شناسه رویداد 16650 افزایش می یابد که نشان می دهد شی نمی تواند ایجاد شود زیرا سرویس دایرکتوری قادر به تخصیص یک شناسه نسبی نیست. مکانیسم درخواست یک بلوک جدید از RID ها برای جلوگیری از چنین وقفه هایی طراحی شده است زیرا این درخواست قبل از اتمام تمام RID های موجود در استخر انجام می شود. برای فعال کردن دوباره فرآیند ایجاد حساب، یا باید دامنه کنترلر را که نقش اصلی RID را به صورت آنلاین مدیریت می کند بیاورید یا نقش را به کنترل کننده دامنه دیگری منتقل کنید.
همچنین، هنگام انتقال اشیاء اکتیو دایرکتوری بین دامنه ها، وجود یک RID Master الزامی است، یعنی شی تنها در صورتی امکان مهاجرت را خواهد داشت که RID master در دامنه موجود باشد. داشتن یک جادوگر عملیات جاری فعال از ایجاد دو شی با شناسه های یکسان در دامنه های مختلف اکتیو دایرکتوری جلوگیری می کند. هنگام انتقال اشیا از یک دامنه به دامنه دیگر، مایکروسافت استفاده از ابزار مهاجرت دایرکتوری Acrive را توصیه می کند. به طور پیش فرض، اولین کنترل کننده دامنه نصب شده در جنگل، نقش اصلی RID را دریافت می کند. شما می توانید این نقش را در هر زمان با استفاده از یک Snap-in یا ابزار کمکی جابجا کنید Ntdsutil.exe. RID master با یک مقدار مشخصه شناسایی می شود fSMORoleOwnerدر شی کلاس rIDManager در بخش Domain.
شبیه ساز PDC

کنترل کننده دامنه با اصلی عملیات اختصاص داده شده شبیه ساز PDC(کنترل کننده دامنه اولیه) به عنوان یک کنترل کننده دامنه اصلی برای اطمینان از سازگاری با عقب عمل می کند سیستم های عاملزیر ویندوز 2000. در زمان سرورهای عضو و سرویس گیرنده کامپیوترهای ویندوزی NT 4.0، فقط PDC های اصلی می توانند تغییراتی در دایرکتوری ایجاد کنند. ابزارها، کلاینت‌ها و ابزارهای قدیمی که از Windows NT 4.0 پشتیبانی می‌کنند طوری طراحی نشده‌اند که به همه کنترل‌کننده‌های دامنه Active Directory اجازه نوشتن در فهرست را بدهند، بنابراین این برنامه‌ها نیاز به اتصال به PDC دارند. یک کنترل‌کننده دامنه با نقش شبیه‌ساز PDC، خود را به‌عنوان یک کنترل‌کننده دامنه اصلی PDC ثبت می‌کند، به‌ویژه به طوری که برنامه‌های مختلف سطح پایین بتوانند کنترل‌کننده دامنه نوشتن را بومی‌سازی کنند. با وجود اینکه امروزه سرورها و کامپیوترهای مشتریتقریباً غیرممکن است که با سیستم عامل های زیر ویندوز 2000 ملاقات کنید، شبیه ساز PDC همچنان مهمترین نقش استادان عملیات است. شبیه ساز PDC علاوه بر سازگاری با برنامه های کاربردی تحت ویندوز NT 4.0، عملکردهای مهم زیر را انجام می دهد:
مشارکت در تکرار به‌روزرسانی رمز عبور دامنه. هنگامی که رمز عبور کاربر تغییر یا بازنشانی می‌شود، کنترل‌کننده دامنه که این تغییر را انجام می‌دهد، از طریق تکرار فوری، تغییر را در شبیه‌ساز PDC تکرار می‌کند. این تکرار تضمین می کند که کنترل کننده های دامنه به سرعت رمز عبور تغییر یافته را یاد می گیرند. در صورتی که کاربر بلافاصله پس از تغییر رمز عبور سعی در ورود به سیستم داشته باشد، کنترل کننده دامنه که به این درخواست پاسخ می دهد ممکن است هنوز نداند. رمز عبور جدید. قبل از رد تلاش برای ورود به سیستم، این کنترل‌کننده دامنه یک درخواست احراز هویت به شبیه‌ساز PDC ارسال می‌کند، که تأیید می‌کند رمز عبور جدید درست است و به کنترل‌کننده دامنه می‌گوید درخواست ورود را بپذیرد. این بدان معنی است که هر بار که کاربر رمز عبور نادرستی وارد می کند، احراز هویت برای تصمیم گیری نهایی به شبیه ساز PDC ارسال می شود.

به روز رسانی های خط مشی گروه را در یک دامنه مدیریت کنید. همانطور که می دانید، Group Policies برای کنترل بیشتر تنظیمات در پیکربندی رایانه ها و کاربران در سازمان شما استفاده می شود. در صورتی که یک GPO تقریباً همزمان روی دو کنترل‌کننده دامنه اصلاح شود، ممکن است تداخل‌های بعدی بین دو نسخه رخ دهد که با تکثیر GPOها حل نمی‌شوند. برای جلوگیری از چنین درگیری‌هایی، شبیه‌ساز PDC به شرح زیر عمل می‌کند: وقتی یک GPO باز می‌شود، ویرایشگر مدیریت سیاست گروه به کنترل‌کننده دامنه که به عنوان PDC عمل می‌کند، متصل می‌شود و تمام تغییرات در GPOهای پیش‌فرض در شبیه‌ساز PDC انجام می‌شود.

عمل به عنوان یک مرورگر مرکزی دامنه. کلاینت ها از Active Directory برای کشف منابع شبکه استفاده می کنند. هنگام باز کردن پنجره "خالص"سیستم عامل لیستی از گروه های کاری و دامنه ها را نمایش می دهد. پس از اینکه کاربر مورد مشخص شده را باز کرد گروه کارییا دامنه او می تواند لیست رایانه ها را ببیند. این لیست ها توسط سرویس مرورگر تولید می شوند و در هر بخش شبکه، مرورگر اصلی یک لیست مرور با گروه های کاری، دامنه ها و سرورهای آن بخش ایجاد می کند. سپس مرورگر مرکزی فهرست‌های تمام مرورگرهای پیشرو را جمع‌آوری می‌کند تا ماشین‌های سرویس گیرنده بتوانند کل فهرست مرور را مشاهده کنند. من فکر می کنم که از بین تمام عملکردهای شبیه ساز PDC، ممکن است سوالاتی در رابطه با مرورگر مرکزی دامنه داشته باشید، بنابراین، این موضوع در مقاله جداگانه ای به تفصیل مورد بحث قرار خواهد گرفت.

ایمن سازی منبع زمانی اصلی دامنه. از آنجایی که اکتیو دایرکتوری، Kerberos، DFS-R و سرویس تکثیر فایل FRS از مهرهای زمانی استفاده می کنند، همگام سازی زمان در همه سیستم های دامنه مورد نیاز است. شبیه ساز PDC در دامنه ریشه جنگل به عنوان منبع زمان هدایت برای کل جنگل عمل می کند. بقیه کنترل‌کننده‌های دامنه، زمان را با شبیه‌ساز PDC و رایانه‌های سرویس گیرنده با کنترل‌کننده‌های دامنه خود همگام‌سازی می‌کنند. سرویس همگام سازی سلسله مراتبی که در سرویس Win32Time پیاده سازی شده است، مسئولیت ثبات زمانی را بر عهده دارد.

به‌طور پیش‌فرض، اولین کنترل‌کننده دامنه نصب‌شده در جنگل، نقش اصلی شبیه‌ساز PDC را دریافت می‌کند. شما می توانید این نقش را در هر زمان با استفاده از snap جابجا کنید کاربران و رایانه های Active Directoryیا ابزارهای کاربردی Ntdsutil.exe. اصلی شبیه ساز PDC با مقدار مشخصه مشخص می شود fSMORoleOwnerدر شی کلاس rIDManager در شی ریشه بخش Domain.
استاد زیرساخت

در سازمان های چند دامنه ای، اشیاء در یک دامنه اغلب به اشیاء در دامنه های دیگر اشاره می کنند. استاد زیرساختمانند دستگاهی است که اعضای گروه را از دامنه ها ردیابی می کند. Infrastructure Master مسئول به‌روزرسانی پیوندهای گروه به کاربر بین دامنه‌ها است، در نتیجه اطمینان حاصل می‌کند که تغییرات نام شیء در اطلاعات عضویت برای گروه‌های محلی شده در دامنه منعکس می‌شود. Infrastructure Wizard یک لیست به روز از چنین پیوندهایی را نگه می دارد و سپس این اطلاعات را برای همه کنترل کننده های دامنه تکرار می کند. باید توجه داشته باشید که وقتی عضوی از دامنه دیگری به گروهی در دامنه هدف اضافه می شود، نام متمایز عضو جدید به ویژگی عضو اضافه می شود و اگر دامنه کنترل کننده عضوی از چنین گروهی در دسترس نباشد، سپس یک شی فانتوم در Domain Services ایجاد می شود که در واقع عضوی از چنین گروهی را نشان می دهد. چنین شیئی فقط می تواند شامل SID عضو، نام متمایز (DN) و GUID شیء باشد. اگر جادوگر زیرساخت در دسترس نباشد، پیوندهای گروه به کاربر بین دامنه ها به روز نمی شوند. به صورت دوره‌ای، جادوگر زیرساخت حساب‌های دامنه را اسکن می‌کند و عضویت گروه را بررسی می‌کند. اگر حساب کاربری به دامنه جدید، جادوگر زیرساخت دامنه حساب کاربری جدید را شناسایی می کند و گروه ها را بر اساس آن به روز می کند.
توجه داشته باشید که نقش اصلی زیرساخت نباید توسط یک کنترل کننده دامنه که یک سرور کاتالوگ جهانی است انجام شود. در غیر این صورت، جادوگر زیرساخت اطلاعات شی را به‌روزرسانی نمی‌کند زیرا حاوی ارجاعات شیئی نیست که ذخیره نمی‌کند. این به این دلیل است که سرور کاتالوگ جهانی نمونه های جزئی همه اشیاء موجود در جنگل را نگهداری می کند. در نتیجه، پیوندهای شیء متقابل دامنه در این دامنه به روز نمی شوند و یک هشدار در گزارش رویداد این کنترل کننده دامنه ظاهر می شود. به طور پیش‌فرض، اولین کنترل‌کننده دامنه نصب شده در جنگل، نقش اصلی زیرساخت را دریافت می‌کند. شما می توانید این نقش را در هر زمان با استفاده از snap جابجا کنید کاربران و رایانه های Active Directoryیا ابزارهای کاربردی Ntdsutil.exe. زیرساخت اصلی با مقدار مشخصه مشخص می شود fSMORoleOwnerدر کانتینر زیرساخت در بخش Domain.
چگونه می توانم تعیین کنم کدام کنترل کننده دامنه نقش FSMO را دارد
در اصل، ما قبلاً به بخش تئوری پرداختیم و اکنون خوب است که تمرین کنیم. اگرچه سازمان شما ممکن است فقط یک دامنه داشته باشد، ممکن است تعداد زیادی کنترل کننده دامنه نصب شده باشد، و ممکن است همیشه برای مدیران این امکان وجود نداشته باشد که بدانند به کدام دسته از کنترل کننده های دامنه، نقش های اصلی عملیات اختصاص داده شده است. به عنوان مثال، اگر در حال تغییر ساختار دامنه خود هستید، باید بدانید که به کدام کنترل کننده دامنه، چه نقشی اختصاص داده شده است. هر نقش را می توان با استفاده از یک رابط گرافیکی یا ابزارهای خط فرمان تعریف کرد. بیایید هر دو روش را در نظر بگیریم.
تعریف دارندگان نقش اصلی عملیات با استفاده از رابط کاربری گرافیکی
اولین چیزی که باید به خاطر بسپارید این است که Active Directory Domain Services از Snap-In های مدیریتی مختلف برای شناسایی جادوگران عملیات استفاده می کند. سخت‌ترین بخش، شناسایی استاد طرحواره است. بیایید با او شروع کنیم. برای اینکه بفهمید کدام دامین کنترل کننده نقش اصلی طرحواره را دارد، مراحل زیر را دنبال کنید:

برای شناسایی بقیه جادوگران اکشن باید مراحل بسیار کمتری را انجام دهید. برای یافتن اینکه کدام کنترل کننده دامنه دارای حقوق جادوگر عملیات نام دامنه است، باید:

و برای شناسایی سه نقش باقیمانده در سطح دامنه، باید کمترین عمل را انجام دهید. به عبارت دیگر، تمام نقش های اصلی عملیات باقی مانده را می توان در یک کادر محاوره ای یافت. برای انجام این کار، ابزار را باز کنید کاربران و رایانه های Active Directory، روی دامنه خود کلیک راست کرده و از منوی زمینهیک تیم انتخاب کنید "استاد عملیات". در کادر محاوره‌ای که ظاهر می‌شود، در برگه‌های مربوطه، می‌توانید نام کنترل‌کننده‌های دامنه را که نقش‌های فعلی به آنها اختصاص داده شده است، مشاهده کنید. پنجره گفتگو "استاد عملیات"در تصویر زیر قابل مشاهده است:

برنج. 4. کارشناسی ارشد عملیات برای سطح دامنه
تعیین مالکان نقش اصلی عملیات با استفاده از خط فرمان
مانند بسیاری از ویژگی های ارائه شده توسط سیستم عامل های ویندوز، می توانید همه دارندگان نقش های اصلی عملیات را با استفاده از یک ابزار خط فرمان ویژه تعریف کنید. Active Directory Domain Services از یک ابزار خط فرمان برای کنترل برخی تغییرات استفاده می کند Ntdsutil. برای مشاهده تمام کنترلرهای دامنه مجهز به نقش اصلی عملیات با استفاده از این ابزار، مراحل زیر را دنبال کنید:

همچنین برای مشاهده نقش های FSMO می توانید از ابزار کمکی استفاده کنید dcdiagبا تیم /test:Knowsofroleholders /v . بخشی از خروجی این دستور را در زیر مشاهده می کنید:

برنج. 6. تعیین نقش های FSMO با استفاده از ابزار Dcdiag
گرفتن و انتقال نقش های اصلی عملیات
در اکتیو دایرکتوری مفاهیمی مانند انتقال و مصادره (همچنین به عنوان ابطال) نقش های اصلی عملیات وجود دارد. اول از همه، شما باید بفهمید که چیست و چه تفاوتی بین این مفاهیم وجود دارد.
همانطور که در بالا ذکر شد، هر پنج نقش اصلی عملیات در ابتدا بر روی اولین کنترل کننده دامنه در جنگل نصب می شوند. استفاده از چندین کنترلر دامنه اضافی در یک دامنه برای بهبود عملکرد و تحمل خطا در یک سازمان معمول است. و بر این اساس، به منظور جلوگیری از درگیری در آینده، توصیه می شود بلافاصله نقش های اصلی عملیات را به کنترل کننده های دامنه مختلف توزیع کنید. همچنین، اگر نیاز به غیرفعال کردن یا از کار انداختن کنترل‌کننده دامنه عملیات اصلی دارید، باید تمام نقش‌های FSMO را از آن به کنترل‌کننده‌های دامنه دیگر منتقل کنید.
به نوبه خود، در صورتی که یک کنترل کننده دامنه دارای نقش های خاص از استادان عملیات شکست خورده باشد، و شما موفق به انتقال نقش ها از این DC به موقع نشدید، گرفتن نقش ضروری است. خطراتی که ممکن است در صورت شکست کنترل‌کننده‌های دامنه که نقش‌های اصلی عملیات را دارند، در معرض آن قرار دهید، کمی پیشتر در این مقاله مورد بحث قرار گرفت. در این حالت، شما هیچ گزینه ای برای انتقال نقش FSMO با استفاده از روش انتقال نقش ترجیحی ندارید. بنابراین، تنها باید با ابطال نقش، نشانه عملیات را ضبط کرد. اما شایان ذکر است که گرفتن نقش بیشترین است روش رادیکالو فقط باید زمانی اجرا شود که دارنده نقش اصلی عملیات شکست خورده باشد. هنگامی که فرآیند ضبط نقش Master Operations انجام می شود، ویژگی fsmoRoleOwner شی، که ریشه داده است، در رایانه موجود بدون انجام هیچ گونه همگام سازی داده ها تغییر می کند. سایر کنترل کننده های دامنه به طور طبیعی از دارنده نقش FSMO جدید با تکرار تغییرات آگاه می شوند.
روند انتقال و تسخیر نقش های استادان عملیات را در نظر بگیرید.
برای انتقال نقش FSMO، موارد زیر را انجام دهید:

فرآیند گرفتن نقش های اصلی عملیات کمی پیچیده تر از انتقال است، زیرا نیاز به استفاده از ابزار دارد. Ntdsutil، که در قسمت قبل مورد بحث قرار گرفت. برای گرفتن نقش از یک کنترلر دامنه ناموفق، مراحل زیر را دنبال کنید:
باز کن خط فرمانو در آن به ابزار بروید ntdsutil;

با استفاده از دستور به مدیریت نقش NTDS بروید نقش ها;

شما باید یک اتصال به یک کنترل کننده دامنه برقرار کنید که در آینده به عنوان مالک اصلی عملیات عمل می کند. برای این کار دستور را اجرا کنید اتصالات;

در صف اتصالات سروروارد به سرور متصل شویدو دامنه کنترلر مورد نیاز را مشخص کنید.

به عقب برگردید مدیریت fsmoبا استفاده از دستور ترک کردن;

الان در صف مدیریت fsmoدستور را مشخص کنید تصاحب کردنو بر روی کلیک کنید وارد;

در این مرحله آخر، باید نقش FSMO را که از کنترلر دامنه بیکار گرفته می شود، انتخاب کنید.

یک خواننده با دقت ممکن است این سوال را بپرسد: اگر موفق شدم یک کنترل کننده دامنه مرده را دوباره زنده کنم، چه کاری باید انجام دهم و چگونه می توانم مالکیت نقش ضبط شده را به این کنترل کننده دامنه برگردانم؟ همه چیز در اینجا نسبتاً ساده است. ابتدا باید بدانید که اگر نقش PDC Emulator یا Infrastructure Emulator باطل شده باشد، می توانید بدون هیچ مشکلی نقش Operations Master را به کنترل کننده دامنه بازیابی شده بازگردانید.
اما در صورتی که نقش اصلی طرحواره، نام‌گذاری دامنه یا شناسه‌های RID نسبی گرفته شد، باید مراحل زیر را انجام دهید:
به طور فیزیکی چنین کنترل کننده دامنه را از شبکه جدا کنید.

با استفاده از دستور، کنترل کننده دامنه را به سرور عضو تنزل دهید Dcpromo /forceremoval;

ابرداده را برای کنترل کننده دامنه فعلی پاک کنید. شما می توانید ابرداده ها را با استفاده از ابزار پاک کنید Ntdsutilبا تیم پاکسازی فراداده;

پس از حذف متادیتا، باید سرور را آنلاین بیاورید، به دامنه بپیوندید و سپس سرور را به یک کنترل کننده دامنه ارتقا دهید.

در مرحله آخر به سادگی نقش را به این دامین کنترلر منتقل کنید.

قرار دادن عملیات جادوگران در کنترل کننده های دامنه

در این بخش، من کمی در مورد بهترین روش ها برای قرار دادن همه نقش های اصلی عملیات در کنترل کننده های دامنه صحبت خواهم کرد. به این ترتیب، چنین توصیه هایی وجود ندارد، بنابراین سعی می کنم ساده کنم این بخشدر اسرع وقت.
اول از همه، اگر یک Forest، یک Domain و یک Domain Controller دارید، هر پنج نقش Master Operations روی این Domain Controller قرار می‌گیرند، اما توصیه می‌شود برای اهداف Load Balancing، نقش‌ها را به Domain Controllerهای دیگر منتقل کنید.
توصیه های اصلی برای قرار دادن نقش های FSMO به شرح زیر است:
نقش اصلی RID و شبیه ساز PDC را روی همان کنترل کننده دامنه قرار دهید. این نقش‌های اصلی عملیات برای ملاحظات تعادل بار در کنار هم قرار گرفته‌اند. از آنجایی که این نقش‌ها شرکای مستقیم هستند، با قرار دادن این نقش‌ها در کنترل‌کننده‌های دامنه جداگانه، باید یک اتصال سریع برای دو سیستم مربوطه برقرار کنید و برای آنها اشیاء واضح در Active Directory ایجاد کنید. علاوه بر این، اگر سرورهایی در سازمان خود دارید که نقش پشتیبان‌های اصلی عملیات را ایفا می‌کنند، در چنین سرورهایی، این نقش‌ها باید شرکای مستقیم باشند.

نقش‌های اصلی طرح‌واره میزبان و نام‌گذاری دامنه روی همان کنترل‌کننده دامنه. به طور کلی، توصیه می‌شود که نقش‌های Master Schema و Domain Name Master روی همان کنترل‌کننده دامنه میزبانی شوند که به عنوان سرور کاتالوگ جهانی عمل می‌کند. نقش جادوگر نام‌گذاری دامنه نیز باید یک سرور کاتالوگ جهانی باشد، زیرا هنگام افزودن یک دامنه جدید، جادوگر باید اطمینان حاصل کند که هیچ شیئی با نام دامنه جدید در جنگل وجود ندارد. با این حال، اگر یک کنترل‌کننده دامنه با نقش جادوگر نام‌گذاری دامنه، سرور کاتالوگ جهانی نباشد، عملیات‌هایی مانند ایجاد دامنه‌های نوه ممکن است با شکست مواجه شوند. از آنجایی که این نقش‌ها کمترین استفاده را دارند، باید اطمینان حاصل کنید که کنترل‌کننده دامنه که آنها را مدیریت می‌کند تا حد امکان امن است.

نقش اصلی زیرساخت باید روی یک کنترل کننده دامنه میزبانی شود که به عنوان یک سرور کاتالوگ جهانی عمل نمی کند. به طور معمول، جادوگر زیرساخت باید روی یک کنترل کننده دامنه مستقر شود که به عنوان یک سرور کاتالوگ جهانی عمل نمی کند، اما دارای یک شی است. ارتباط مستقیمبه یکی از کاتالوگ های جهانی در جنگل. از آنجایی که سرور کاتالوگ جهانی کپی های جزئی همه اشیاء را در جنگل ذخیره می کند، زیرساخت اصلی میزبانی شده در سرور کاتالوگ جهانی به روز رسانی را انجام نمی دهد زیرا حاوی ارجاعاتی به اشیایی نیست که ذخیره نمی کند.

با در نظر گرفتن این سه قانون، می توانید به طور بهینه استادان عملیات را در جنگل خود قرار دهید.
به جای نتیجه گیری
بنابراین، این مقاله به پایان می رسد. در این مقاله با نقش های اصلی عملیات و اینکه آنها برای چه کاری هستند آشنا شدید. چندین مثال مورد بحث قرار گرفت که توضیح می‌داد اگر جادوگرهای عملیاتی در خدمات دامنه اکتیو دایرکتوری وجود نداشته باشند و همه کنترل‌کننده‌های دامنه برابر باشند، چه اتفاقی می‌افتد. هر پنج نقش FSMO با جزئیات در نظر گرفته شد، روش‌هایی برای شناسایی نقش‌ها در کنترل‌کننده‌های دامنه شرح داده شد. همچنین درباره انتقال و ضبط نقش‌های اصلی عملیات و نحوه انجام این مراحل یاد گرفتید. علاوه بر این، سه قانون را یاد گرفتید که باید هنگام انتخاب مکان قرار دادن جادوگران عملیات روی کنترل‌کننده‌های دامنه در سازمان خود در نظر بگیرید.