Gestione dei ruoli FSMO con Ntdsutil. Ruoli FSMO di Active Directory

01.05.2019 Recensioni

La gestione dei ruoli FSMO utilizzando gli snap-in MMC standard non è un processo molto conveniente, poiché è necessario utilizzare diversi snap-in per accedere a ruoli diversi e alcuni di essi non sono ancora facili da raggiungere. Inoltre, lo snap-in MMC non consente l'operazione di requisizione dei ruoli in caso di errore del controller di dominio in cui si trovavano. È molto più conveniente per questi scopi utilizzare l'utilità ntdsutil, di cui parleremo in questo articolo.

Prima di passare alla parte pratica, ricordiamo di cosa si tratta e consideriamo cosa succede esattamente ad ActiveDirectory se falliscono. Esistono cinque ruoli FSMO, due per la foresta e tre per il dominio.

I ruoli a livello di foresta esistono in una singola istanza e, sebbene importanti, sono i meno critici per il funzionamento di AD. Cosa succede se ognuno di essi non è disponibile:

Maestro dello schema- è impossibile cambiare lo schema. Tuttavia, questa procedura viene eseguita ogni pochi anni quando i controller su un sistema operativo più recente vengono introdotti nella rete o vengono installati altri prodotti server, come Exchange. In pratica, la mancanza di un proprietario dello schema può essere trascurata per anni.
Maestro dei nomi di dominio- è impossibile aggiungere o rimuovere un dominio. Allo stesso modo, con il proprietario del regime, la sua assenza può passare inosservata per un periodo piuttosto lungo.

Esistono ruoli a livello di dominio, uno in ogni dominio, e sono più critici per il funzionamento di AD.

Maestro delle infrastrutture- se ci sono più domini sui controller che non lo sono cataloghi globali L'appartenenza a gruppi locali di dominio potrebbe essere violata. Se tutti i controller di dominio sono cataloghi globali (oggi questa è la configurazione consigliata da Microsoft), puoi tranquillamente dimenticare l'esistenza del master dell'infrastruttura, proprio come con un singolo dominio nella foresta.
Host RID- dopo un po' sarà impossibile creare un nuovo oggetto in AD, il tempo dipende dalla quantità rimanente di SID liberi, che vengono emessi in lotti di 500 spazi vuoti. Se il tuo AD ha un numero ridotto di oggetti e non ne aggiungi di nuovi ogni giorno, l'assenza del master RID passerà inosservata per molto tempo.
Emulatore PDCè il ruolo più critico. Se non è disponibile, diventerà immediatamente impossibile accedere al dominio dei client prima di Windows 2000 (se sono ancora da qualche altra parte), la sincronizzazione dell'ora verrà interrotta e alcuni criteri non avranno effetto se viene inserita una password errata. In pratica, l'assenza di un emulatore PDC verrà notata alla prima volta fuori sincrono per più di 5 minuti, e ciò potrebbe accadere prima di quanto ci si potrebbe aspettare.

Allo stesso tempo, come puoi vedere, non esiste un singolo ruolo FSMO il cui fallimento porterebbe a una perdita significativa della funzionalità AD, anche se tutti i ruoli FSMO falliscono, l'infrastruttura può funzionare normalmente per diversi giorni, settimane o addirittura mesi .

Pertanto, se si intende mettere fuori servizio il controller contenente alcuni o tutti i ruoli per un po' di tempo (ad esempio, per la manutenzione), non è necessario trasferirli, l'AD vivrà normalmente senza di essi.

Il trasferimento dei ruoli è appropriato se si prevede di mettere fuori servizio questo server per un lungo periodo o di trasferirlo in un altro reparto (ad esempio, in un altro sito), oppure le operazioni pianificate possono portare al suo guasto (ad esempio, un hardware aggiornamento).

In caso di guasto del controller, non affrettarti a impadronirti dei ruoli, avrai sempre tempo per farlo, altrimenti, durante il ripristino e la connessione alla rete di un server che in precedenza conteneva ruoli FSMO, otterrai molti momenti spiacevoli associati con Ripristino USN e ripristinare il normale funzionamento del dominio. Se, tuttavia, i ruoli sono stati sequestrati e quindi è stato ripristinato il vecchio controller, la soluzione migliore sarebbe reinstallare il sistema su di esso e rientrare nel dominio.

Inoltre, un altro punto non ovvio se si dispone di più domini e non tutti i controller sono cataloghi globali non ospitare il master dell'infrastruttura su un controller catalogato a livello globale... Questo equivale alla sua assenza.

Puoi scoprire quali controller hanno ruoli FSMO con il comando:

Query di rete fsmo

Per gestire i ruoli FSMO, esegui l'utility ntdsutil su qualsiasi controller di dominio:

Ntdsutil

Passiamo poi alla gestione dei ruoli:

Il prossimo passo è connetterci al controller di dominio a cui trasferiremo i ruoli, per questo andiamo al sottomenu di connessione ai server:

Connessioni

e connettiti al server desiderato:

Connettiti al server NOMESERVER

dove NOME DEL SERVER- il nome del controller di dominio di cui abbiamo bisogno. Quindi usciamo dal sottomenu:

Va ricordato che possiamo eseguire l'utilità su qualsiasi controller di dominio e unire qualsiasi altro controller di dominio per trasferire o acquisire ruoli. Nel nostro esempio, siamo fisicamente sul server SRV-DC01 connesso al server WIN2K8R2-SP1 e proveremo a dargli una sorta di ruolo.

Per trasferire i ruoli, usa il comando trasferimento il nome del ruolo che viene passato viene utilizzato come argomento, i seguenti nomi vengono utilizzati per ciascuno dei ruoli:

maestro dei nomi- maestro dei nomi di dominio
maestro dell'infrastruttura- il proprietario dell'infrastruttura
PDC- Emulatore PDC
maestro RID- Maestro RID
maestro dello schema- proprietario dello schema

Attenzione! Sui sistemi precedenti a Windows Server 2008 R2 per maestro dei nomi di dominio nome usato maestro dei nomi di dominio.

Ad esempio, per trasferire un ruolo maestro dei nomi di dominio eseguire il comando:

Trasferimento nome master

Apparirà una finestra di dialogo che ci chiederà di confermare l'azione, ti consigliamo di studiarne sempre attentamente il contenuto.

Dopo aver ricevuto una risposta affermativa, l'utility trasferirà il ruolo selezionato su un altro server.

Ora immaginiamo che il server WIN2K8R2-SP1 irrevocabilmente fuori servizio e dobbiamo cogliere il ruolo maestro dei nomi indietro. Per acquisire ruoli, usa il comando prendere che ha una sintassi simile.

Per impadronirti del ruolo, corri di nuovo ntdsutil e, dopo esserti connesso al controller per il quale cattureremo, eseguiamo il comando:

Cogli il maestro dei nomi

Dopo aver confermato la cattura ntdsutil proverà a trasferire il ruolo e solo se sarà impossibile lo impadronirà.

Questo viene fatto per evitare una situazione in cui un ruolo viene rilevato da un controller funzionante e due proprietari dello stesso ruolo appaiono sulla rete.

Ricorda che, dopo l'acquisizione, includano il controller da cui il ruolo è stato acquisito nella rete è vietato!

Come puoi vedere, usando l'utilità ntdsutil Non è affatto difficile e persino più conveniente della gestione dei ruoli utilizzando gli snap-in MMC. Inoltre, le possibilità ntdsutil non si limitano alla gestione dei ruoli, ma ne parleremo nei materiali seguenti.

Ci sono diverse situazioni in cui devi ricordare i ruoli. FSMO- questo è il ripristino di emergenza dopo un fallimento, la migrazione, così come la ricerca di lavoro (di solito durante i colloqui a loro piace fare domande come "Quali sono i ruoli in ANNO DOMINI per un controller di dominio, perché sono necessari? "). E sebbene tutte queste situazioni siano estremamente rare, per una comprensione generale dell'opera ANNO DOMINIè molto utile per capire lo scopo dei ruoli FSMO.

FSMO, o Operazioni flessibili a master singolo(operazioni a singolo esecutore) sono operazioni eseguite dai controller di dominio Active Directory (AD) che richiedono l'unicità obbligatoria del server per ogni operazione. A seconda del tipo di operazione, unicità FSMO implicito all'interno dello stesso dominio o foresta di domini. tipi diversi FSMO può essere eseguito su uno o più controller di dominio. Prestazione FSMO il server si chiama ruolo server e i server stessi sono i padroni delle operazioni.

La maggior parte delle operazioni in ANNO DOMINI può essere eseguito su qualsiasi controller di dominio. Servizio di replica ANNO DOMINI copierà le modifiche al resto dei controller di dominio, assicurandosi che la base sia identica ANNO DOMINI su tutti i controller dello stesso dominio. L'eliminazione dei conflitti è la seguente: ha ragione l'ultimo che ha apportato le modifiche.

Tuttavia, ci sono diverse azioni (come cambiare lo schema ANNO DOMINI) in cui i conflitti sono inaccettabili. Pertanto, ci sono server con ruoli FSMO... Il loro compito — evitare tali conflitti. Quindi il significato dei ruoli FSMO nella successiva, ogni ruolo può essere svolto su un solo server alla volta. E se necessario, puoi trasferirlo a un altro controller di dominio in qualsiasi momento.

Ci sono cinque ruoli nella foresta in totale FSMO. Per prima cosa ne darò una breve descrizione. :

Schema principale ( Schema Master) - è responsabile di apportare modifiche allo schema Directory attiva... Può essercene solo uno per l'intera foresta di domini.
Master dei nomi di dominio ( Maestro dei nomi di dominio) - è responsabile dell'unicità dei nomi per i domini e le partizioni applicative creati nella foresta. Può essercene solo uno per l'intera foresta di domini.
Maestro dell'infrastruttura ( Maestro delle infrastrutture) - memorizza i dati sugli utenti di altri domini inclusi nei gruppi locali del loro dominio. Può essercene uno per ogni dominio nella foresta.
Maestro SBARAZZARSI (Maestro RID) - è responsabile dell'assegnazione di identificatori relativi univoci ( SBARAZZARSI) richiesto durante la creazione di account di dominio. Può essercene uno per ogni dominio nella foresta.
Emulatore PDC (Emulatore PDC) - è responsabile della compatibilità con il dominio NT4 e clienti fino a Windows 2000... Può essercene uno per ogni dominio nella foresta.

Ora esaminiamo ogni ruolo in modo più dettagliato e scopriamo quanto sono importanti per il funzionamento. Directory attiva.

Schema Master

Schema Master- responsabile di apportare modifiche allo schema, dove si trovano le descrizioni di tutte le classi e gli attributi Directory attiva... Lo schema viene modificato raramente, ad esempio, quando si cambia il livello del dominio, l'installazione Scambio e talvolta altre applicazioni. Questo ruolo può trovarsi in qualsiasi controller di dominio all'interno della foresta. Se non disponibile Schema Master cambia schema ANNO DOMINI sarà impossibile.

Maestro dei nomi di dominio

Maestro dei nomi di dominio responsabile delle operazioni relative ai nomi a dominio ANNO DOMINI, tuttavia, l'elenco dei suoi compiti è un po' più lungo :

Aggiungi e rimuovi domini all'interno della foresta. Solo un controller con un ruolo può aggiungere e rimuovere domini Maestro dei nomi di dominio... Controlla che il dominio aggiunto sia univoco all'interno della foresta NETBIOS-nome. Se Maestro dei nomi non disponibile, non è possibile aggiungere o rimuovere un dominio nella foresta.
Creazione ed eliminazione di sezioni. Iniziando con Windows 2003è diventato possibile creare sezioni separate - Partizioni della directory dell'applicazione che vengono utilizzati per la conservazione in ANNO DOMINI dati arbitrari. Ad esempio: archiviazione dati per DNS-server in sezioni ForestDnsZones e DomainDnsZones... Gestione delle partizioni quando non disponibile Maestro dei nomi di dominio impossibile.
Creazione e rimozione di riferimenti incrociati. I riferimenti incrociati vengono utilizzati per eseguire ricerche nella directory quando il server a cui è connesso il client non contiene la copia richiesta della directory ed è possibile fare riferimento anche a domini esterni alla foresta, a condizione che siano disponibili. I riferimenti incrociati sono memorizzati ( crossRef) nel contenitore partizioni sezione Configurazione, solo Maestro dei nomi di dominio ha il diritto di modificare il contenuto di questo contenitore. Se non disponibile Maestro dei nomi di dominio non sarai in grado di creare un nuovo riferimento incrociato o eliminarne uno non necessario.
Approvazione della ridenominazione del dominio. Per rinominare il dominio, usa l'utility rendom.exe. Scrive uno script con le istruzioni da eseguire durante il processo di ridenominazione. Questo script è posizionato in un contenitore partizioni sezione Configurazione... Poiché solo il controller con il ruolo Maestro dei nomi di dominio, allora è lui che è responsabile del controllo delle istruzioni e della scrittura degli attributi.

Questo ruolo può trovarsi in qualsiasi controller di dominio all'interno della foresta.

Maestro delle infrastrutture

Se il server non è un catalogo globale ( GC), quindi il suo database non contiene dati su utenti di altri domini. Tuttavia, possiamo aggiungere utenti di altri domini a gruppi di domini locali. E il gruppo nel database ANNO DOMINI deve avere fisicamente collegamenti a tutti gli utenti. Questo problema è stato risolto creando un oggetto fittizio - un fantasma ( fantasma). Gli oggetti fittizi sono un tipo speciale di oggetti di database interni e non possono essere visualizzati attraverso ADSI o LDAP... È il lavoro con i fantasmi che fa il master dell'infrastruttura.

Un'altra particolarità di questo ruolo è che il controller di dominio che funge da master dell'infrastruttura non deve essere un server di catalogo globale per funzionare correttamente in un ambiente multidominio. Se il titolare del ruolo Maestro delle infrastruttureè anche un server GC, gli oggetti fittizi non vengono creati o aggiornati su questo controller di dominio. Questo perché il catalogo globale contiene già repliche parziali di tutti oggetti in Directory attiva, e non ha bisogno di fantasmi .

Maestro RID

Ogni account nel dominio (utente, computer, gruppo) deve avere un SID univoco ( SID), che identifica in modo univoco questo account e serve a differenziare i diritti di accesso. Sembra SID nel seguente modo:

S-1-5-Y1-Y2-Y3-Y4, dove

S-1 — SID revisioni 1. Attualmente è in uso solo questa revisione.
5 - Indica chi ha emesso il SID. 5 significa Autorità NT... Tuttavia, i cosiddetti "identificatori noti" SID (noto SID) può avere 0, 1 e alcuni altri valori in questa parte.
Y1-Y2-Y3- L'identificativo del dominio a cui appartiene l'account. Lo stesso per tutti gli oggetti principale di sicurezza all'interno dello stesso dominio.
Y4- Identificatore relativo ( ID relativo, RID) relativi a un account specifico. Sostituito dal pool di identificatori di dominio relazionale al momento della creazione dell'account.

Controller di dominio con ruolo Maestro RIDè responsabile dell'allocazione di una sequenza di unici SBARAZZARSI ogni controller di dominio nel proprio dominio, e anche per il corretto spostamento degli oggetti da un dominio all'altro. I controller di dominio condividono un pool comune di identificatori relativi ( RID Piscina), SBARAZZARSI di cui ogni controller è allocato in porzioni da 500 pezzi. Quando il loro numero termina (diventa inferiore a 100), il controller richiede una nuova porzione. Se necessario, il numero di emessi SBARAZZARSI e la soglia di richiesta può essere modificata.

Un'altra area di responsabilità Maestro RID- spostamento di oggetti tra domini. Esattamente Maestro RID assicura che non sia possibile spostare un oggetto in due domini diversi contemporaneamente. Altrimenti, è possibile una situazione in cui in due domini ci saranno due oggetti con lo stesso GUID, che è irto delle conseguenze più inaspettate.

Se Maestro RID non sarà disponibile, quindi dopo la fine del libero SBARAZZARSI diventerà impossibile creare un nuovo account, e non sarà inoltre possibile migrare oggetti dal dominio corrente ad un altro.

Emulatore PDC

Inizialmente il compito principale Emulatore di controller di dominio primario (PDC) stava assicurando la compatibilità con le versioni precedenti finestre... In un ambiente misto dove i clienti si incontrano Windows NT4.0 / 95/98 e controller di dominio NT4, Emulatore PDC svolge (solo per loro) le seguenti funzioni:

Elaborazione dell'operazione di "cambio password" per utenti e computer;
Replica degli aggiornamenti a BDC (Controller di dominio di backup);
Browser di rete (ricerca di risorse di rete).

Inizio del livello di dominio Windows 2000 e il lavoro più vecchio ha aggiunto. Controller di dominio con ruolo Emulatore PDC svolge le seguenti funzioni:

Responsabile della modifica delle password e del monitoraggio dei blocchi utente in caso di errori di password. Una password modificata da qualsiasi altro controller di dominio viene prima replicata in Emulatore PDC... Se l'autenticazione su qualsiasi altro controller di dominio non è andata a buon fine, la richiesta viene ripetuta su Emulatore PDC... Se l'account viene autenticato con successo subito dopo un tentativo fallito, Emulatore PDC viene notificato e azzera il contatore dei tentativi falliti. È importante notare che in caso di indisponibilità Emulatore PDC le informazioni sulla modifica della password continueranno a diffondersi in tutto il dominio, ma solo un po' più lentamente.
L'Editor criteri di gruppo si connette al server per impostazione predefinita Emulatore PDC, e su di esso si verificano modifiche ai criteri. Se Emulatore PDC non è disponibile, dovrai dire all'editor a quale controller di dominio connetterti.
Per impostazione predefinita è Emulatore PDCè un time server per i client nel dominio. Emulatore PDC il dominio radice nella foresta è il server orario predefinito per Emulatore PDC nei domini figlio.
Modifiche allo spazio dei nomi File System distribuito (DFS) sono inseriti in un controller di dominio con il ruolo Emulatore PDC... Server di root DFS richiedere periodicamente ad esso metadati aggiornati, conservandoli nella propria memoria. Inaccessibilità Emulatore PDC potrebbe causare un funzionamento errato DFS.
V Directory attiva esistono le cosiddette "entità di sicurezza integrate" ( Presidi di sicurezza ben noti). Gli esempi includono gli account Tutti, Utenti Autenticati, Sistema, Auto e Creatore proprietario... Sono tutti gestiti da un controller di dominio con il ruolo Emulatore PDC... Più precisamente, con modifiche in ANNO DOMINI Emulatore PDC controlla e aggiorna il contenuto del contenitore” CN = Presidi di sicurezza ben noti, CN = Configurazione, DC = >”.

In ogni dominio della foresta Directory attiva esiste un proprietario dei descrittori di sicurezza amministrativa - AdminSDHolder... Memorizza informazioni sulle impostazioni di sicurezza per i cosiddetti gruppi protetti ( gruppi protetti). A intervalli regolari, questo meccanismo richiede un elenco di tutti i membri di questi gruppi e assegna loro i diritti in conformità con il suo elenco di controllo degli accessi. In questo modo AdminSDHolder protegge i gruppi amministrativi dalle modifiche. Eseguita AdminSDHolder su un controller di dominio con il ruolo Emulatore PDC.

Probabilmente è tutto. Spero di essere riuscito a chiarire un po' la situazione con i ruoli. FSMO... E la prossima volta esamineremo le opzioni per il trasferimento dei ruoli a un altro controller di dominio, oltre a forzare l'assegnazione (acquisizione) di un ruolo se il controller di dominio che lo esegue non è disponibile.

Microsoft Windows Active Directory è il repository centrale per tutti gli oggetti aziendali e i loro attributi corrispondenti. Questo database è gerarchico, in grado di supportare più host e contenere milioni di oggetti. Il supporto multimaster consente di modificare il database da qualsiasi controller di dominio all'interno dell'azienda, indipendentemente dallo stato della connettività di rete.

Modello multi-host Windows 2000

Un database multimaster (come Active Directory) accetta modifiche da qualsiasi controller di dominio all'interno dell'organizzazione, che possono potenzialmente causare conflitti durante la replica dei dati su altri computer. Come uno dei metodi per risolvere gli aggiornamenti in conflitto, Windows 2000 utilizza l'algoritmo di priorità dell'ultima voce, che accetta il valore dei dati dall'ultimo controller di dominio modificato e scarta i valori su altri controller di dominio. Tuttavia, alcuni conflitti sono così complessi che non possono essere risolti in questo modo. È più facile prevenirli che eliminarli a posteriori.

Alcuni tipi di modifiche in Windows 2000 vengono gestiti da metodi che impediscono i conflitti tra gli aggiornamenti di Active Directory.

Modello di supporto per host singolo di Windows 2000

Per evitare il verificarsi di aggiornamenti in conflitto, Active Directory esegue aggiornamenti a oggetti specifici utilizzando un modello a host singolo. In questo modello, solo un controller di dominio nell'intera directory può eseguire gli aggiornamenti. Questo processo è simile al ruolo assegnato al controller di dominio primario (PDC) nelle versioni precedenti di Windows (ad esempio Microsoft Windows NT 3.51 e 4.0), in cui il PDC è responsabile dell'elaborazione di tutti gli aggiornamenti in un dominio specifico.

Windows 2000 Active Directory estende il modello a host singolo utilizzato nelle versioni precedenti di Windows per includere il supporto per più ruoli e la capacità di trasferire i ruoli ad altri controller in tutta l'azienda. Poiché il ruolo di Active Directory non è rigidamente vincolato a un singolo controller di dominio, viene chiamato ruolo FSMO (Flexible Single Master Operation). Ci sono cinque ruoli FSMO in Windows 2000:

proprietario dello schema

maestro dei nomi di dominio

host RID

Emulatore PDC

demone dell'infrastruttura

Ruolo "Schema Master" FSMO

Il controller di dominio master schema è responsabile dell'aggiornamento dello schema della directory (ovvero, lo schema o il contesto dei nomi LDAP: // cn = schema, cn = configurazione, dc = ). Solo questo controller di dominio può apportare modifiche allo schema della directory. Dopo l'aggiornamento, lo schema viene replicato dal master schema ad altri controller di dominio nella directory. Può esserci un solo master schema in una directory.

Ruolo FSMO di master per i nomi di dominio

Il controller di dominio nel ruolo di master dei nomi di dominio è responsabile della modifica dello spazio dei nomi di dominio della directory all'interno della foresta (ovvero, la partizione \ configurazione o il contesto dei nomi LDAP: // CN = Partizioni, CN = configurazione, DC = ). Solo questo controller ha il diritto di eliminare e aggiungere domini alla directory. Inoltre, aggiunge e rimuove i riferimenti incrociati a domini in directory esterne.

Ruolo FSMO "Master RID"

Il controller di dominio nel ruolo di master RID è responsabile della gestione delle richieste del pool RID da altri controller all'interno di un dominio specifico e della rimozione di oggetti dal dominio e del loro posizionamento in un altro dominio.

Quando un controller di dominio crea un oggetto entità di sicurezza primaria (ad esempio un utente o un gruppo), gli assegna un identificatore di sicurezza (SID). Questo identificatore è costituito da un SID di dominio (comune per tutti gli identificatori di sicurezza creati nello stesso dominio) e da un identificatore relativo (RID) (univoco per ogni entità di sicurezza creata nello stesso dominio).

Ogni controller di dominio di Windows 2000 nel dominio dispone di un pool di identificatori relativi (RID) che può assegnare alle entità di sicurezza che crea. Quando il numero di RID nel pool di un controller di dominio scende al di sotto della soglia, interroga il master RID per i nuovi ID. Il master RID recupera gli ID dal pool di domini non allocato e li assegna al pool del controller di dominio richiedente. Esiste un solo master RID per dominio di directory.

Ruolo di FSMO "Emulatore PDC"

L'emulatore PDC è necessario per la sincronizzazione dell'ora in tutta l'azienda. Windows 2000 include il servizio W32Time (Windows Time), utilizzato dal protocollo di autenticazione Kerberos. Tutti i computer Windows 2000 della stessa azienda condividono lo stesso tempo. Per garantire una corretta sincronizzazione dell'ora, il servizio Ora di Windows deve utilizzare una struttura di relazione gerarchica che controlli l'autorità e non consenta "loop" nella gestione.

L'emulatore PDC di dominio funge da emulatore di dominio principale. L'emulatore PDC alla radice della foresta diventa l'emulatore principale all'interno dell'azienda. Dovrebbe essere configurato per ricevere un valore dell'ora da un'origine interna. Quando si sceglie un'origine ora, i titolari del ruolo FSMO dell'emulatore PDC seguono la gerarchia del dominio.

In un dominio Windows 2000, il titolare del ruolo di emulatore PDC conserva la seguente funzionalità: Le modifiche alla password apportate da altri controller di dominio vengono replicate principalmente nell'emulatore PDC.

Le modifiche alla password apportate da altri controller di dominio vengono replicate principalmente nell'emulatore PDC.

Prima che l'utente riceva un messaggio di errore appropriato, gli errori di autenticazione su un controller di dominio specifico causati da una password errata vengono inviati all'emulatore PDC.

I casi di blocco dell'account vengono gestiti nell'emulatore PDC.

L'emulatore PDC esegue tutte le funzioni di un emulatore di server PDC per Microsoft Windows NT 4.0, versioni precedenti di emulatori basati su Windows NT 4.0 o client precedenti.

Non è necessario utilizzare questa parte del ruolo dell'emulatore PDC se tutte le workstation, i server e i controller di dominio che eseguono Windows NT 4.0 o versioni precedenti vengono aggiornati a Windows 2000. L'emulatore PDC esegue le stesse funzioni di un ambiente Windows 2000 .

Di seguito vengono descritte le modifiche che si verificano durante l'aggiornamento: i client Windows 2000 (workstation, server) e i client precedenti su cui è installato il pacchetto client dei servizi distribuiti non danno la preferenza al controller di dominio quando si effettuano voci di directory (come le modifiche alla password) che ha si è dichiarato PDC e utilizza qualsiasi controller di dominio per questo.

Dopo l'aggiornamento ai controller di backup (BDC) di Windows 2000 nei domini di livello inferiore, l'emulatore PDC smette di ricevere le richieste di replica dai domini di livello inferiore.

I client Windows 2000 (workstation, server) ei client precedenti su cui è installato Distributed Services Client Pack utilizzano Active Directory per trovare le risorse di rete. Il servizio browser di Windows NT non è necessario per loro.

Il ruolo dell'FSMO "Infrastrutture"

Un riferimento a un oggetto di un dominio in un oggetto di un altro dominio è determinato dal GUID, dal SID (per le entità di sicurezza) e dal nome distinto (DN) dell'oggetto. Il controller di dominio del master dell'infrastruttura è responsabile dell'aggiornamento degli identificatori di sicurezza e dei nomi distinti degli oggetti nei riferimenti agli oggetti tra domini.

Nota.

Il ruolo di Infrastructure Master (IM) non dovrebbe essere svolto da un controller di dominio che è un server di catalogo globale. In caso contrario, il master dell'infrastruttura non aggiornerà le informazioni sull'oggetto perché non contiene riferimenti a oggetti che non memorizza. Il motivo di questo comportamento è che il server di catalogo globale mantiene repliche parziali di tutti gli oggetti nella foresta. Di conseguenza, i riferimenti a oggetti tra domini in quel dominio non verranno aggiornati e verrà visualizzato un avviso nel registro eventi di questo controller di dominio.

Se i controller in un dominio separato archiviano anche un catalogo globale, tutti i controller di dominio disporranno delle informazioni più recenti, indipendentemente dal controller di dominio che detiene il ruolo di master dell'infrastruttura.

Nessun argomento correlato ...

Trasferimento FSMO. L'obiettivo del nostro evento è trasferire FSMO da un controller di dominio a un altro. Per essere al sicuro, tratterò diversi modi per trasferire i ruoli, incluso il caso in cui l'attuale master FSMO non è disponibile.

Innanzitutto, una piccola teoria:
Le operazioni FSMO (Flexible single-master operations) sono tipi di operazioni eseguite dai controller di dominio di Active Directory che richiedono l'unicità del server che le esegue.

In altre parole, tutti i controller di dominio sono uguali, ma uno (o più) sono più uguali degli altri, nella misura in cui eseguono queste stesse operazioni con un esecutore. A seconda del tipo di operazione, l'univocità di FSMO è implicita all'interno della foresta di dominio o del dominio.

In totale, la small-soft corporation ci ha assegnato 5 ruoli:

Il master dello schema è un server con questo ruolo per l'intera foresta. Il ruolo è necessario per estendere lo schema della foresta di Active Directory, di solito questa operazione viene eseguita dal comando adprep / forestprep

Master dei nomi di dominio: uno per l'intera foresta. Un server con questo ruolo deve garantire che i nomi siano univoci per tutti i domini e le partizioni applicative creati nella foresta AD.

Il proprietario dei relativi identificatori (emulatore PDC) è un server per dominio. Ha diverse funzioni: è il browser principale sulla rete Windows, controlla i blocchi utente se la password viene inserita in modo errato, è il server NTP principale nel dominio ed è progettato per supportare client con sistemi operativi precedenti a Windows 2000.

Emulatore Infrastructure Master: un server per dominio. È necessario un server con questo ruolo affinché il comando adprep / domainprep venga eseguito correttamente. Responsabile dell'aggiornamento degli identificatori di sicurezza (GUID, SID) e dei nomi distinti degli oggetti nei riferimenti a oggetti tra domini.

Proprietario dell'infrastruttura di dominio (RID Master) - un server per ogni dominio. Il server distribuisce RID (500 ciascuno) ad altri controller di dominio per creare SID univoci.

Per gestire il ruolo Schema master, devi essere nel gruppo "Schema admins".
Per gestire il ruolo di master per la denominazione dei domini, devi essere un membro del gruppo "Amministratori aziendali".
Per gestire i ruoli di emulatore PDC, Infrastructure Master e RID Master, è necessario disporre dei diritti di amministratore per "Domain Admins"

La necessità di trasferire ruoli può sorgere per vari motivi, poiché nelle reti di grandi dimensioni questi ruoli possono essere svolti da server diversi, sebbene nel nostro caso tutti i ruoli siano svolti da un server. È imperativo che ogni ruolo venga svolto nel tuo dominio, se nessun ruolo non è assegnato a qualche server, puoi aspettarti molte spiacevoli sorprese, sia immediatamente che dopo molto tempo, a seconda della struttura di AD.

Quando viene creato un dominio, per impostazione predefinita, tutti i ruoli vengono assegnati al primo controller di dominio nella foresta. Raramente sono necessarie riassegnazioni di ruolo. Microsoft consiglia di utilizzare FSMO Role Transfer nei seguenti scenari:

Abbassamento pianificato del controller di dominio che possiede i ruoli FSMO, ad esempio, per disattivare il server (questo è solo il mio caso);

Arresto temporaneo di un controller di dominio, ad esempio per scopi di manutenzione. Ciò è particolarmente importante quando si disabilita l'emulatore PDC. La disabilitazione del resto dei master delle operazioni influisce temporaneamente su AD in misura minore.

Dovrai impadronirti dei ruoli FSMO nei seguenti casi:

Se nell'operato dell'attuale titolare del ruolo FSMO si riscontrano carenze che impediscono il buon svolgimento delle funzioni inerenti a tale ruolo, e non consentono il trasferimento del ruolo;

Il sistema operativo viene reinstallato o non si avvia sul controller di dominio che possiede il ruolo FSMO;

Il controller di dominio che ricopriva il ruolo FSMO è stato forzatamente retrocesso di livello utilizzando il comando dcpromo / forceremoval.

Quindi la prima cosa di cui abbiamo bisogno è scoprire quale server è l'host FSMO. Il modo più semplice per farlo è con l'utilità netdom. Digitando in console:

> query netdom fsmo

Otterremo un elenco di tutti e cinque i ruoli con gli FQDN host. È inoltre possibile utilizzare questa utilità dopo il trasferimento dei ruoli per assicurarsi che l'operazione vada a buon fine.

Ora puoi iniziare a trasferire direttamente FSMO:

Metodo uno, il più semplice e il più interessante per me: trasferire i ruoli FSMO utilizzando l'utilità ntdsutil:

ntdsutil.exe è un'utilità della riga di comando per la manutenzione di Active Directory. Fornisce molte funzionalità di gestione di AD, incluso il trasferimento e il sequestro dei ruoli FSMO.
Per trasferire i ruoli, passare a qualsiasi controller di dominio (non deve essere il master FSMO attuale o futuro) che si trova nella foresta in cui deve essere eseguito il trasferimento dei ruoli. Si consiglia di accedere a un controller di dominio a cui sono assegnati i ruoli FSMO. Avvia la console e inserisci:
> ntdsutil
Successivamente, l'utilità viene avviata in modalità interattiva e può ricevere comandi. Il nostro primo comando indica che vogliamo lavorare con FSMO
> ruoli
In risposta, il prompt cambierà in manutenzione fsmo: Quindi, per chiamare il "menu" di connessione, immettere
> connessioni
E l'invito cambia in connessioni al server: ora puoi specificare a quale server vogliamo connetterci (<Имя_сервера>è il nome del controller di dominio a cui si desidera trasferire il ruolo FSMO.)
> connettersi al server<Имя_сервера>
per uscire dal menu di connessione entra
> q
e premi Invio. Ora, dopo aver ricevuto nuovamente la richiesta di manutenzione di fsmo: possiamo procedere con il trasferimento dei ruoli. Il comando di trasferimento è destinato a questo:
> trasferimento<имя_роли>
Come<имя_роли>è necessario specificare il ruolo che si desidera trasferire:

naming master - trasferimento del ruolo di master del nome a dominio;

master dell'infrastruttura - trasferimento del ruolo di master dell'infrastruttura;

Master RID - trasferimento del ruolo di master RID;

schema master - trasferimento del ruolo di schema master;

PDC - Trasferimento del ruolo dell'emulatore PDC.

Nelle versioni di Windows precedenti a Windows Server 2008R2, il master dei nomi di dominio è chiamato master dei nomi di dominio. Come è consuetudine nei sistemi Windows, il caso non ha importanza.

Dopo aver inserito ogni comando di trasferimento, appare una finestra di dialogo con una richiesta di conferma (avresti potuto chiedere conferma in console, altrimenti risulta "non console"), premiamo ogni volta "OK", a meno che ovviamente non abbiate digitato tutti i comandi precedenti per sbaglio. :)
Per uscire da Ntdsutil, inserisci il comando q e premi Invio.

Forzare i ruoli fsmo con Ntdsutil

Ma cosa dobbiamo fare se il titolare del ruolo è indisponibile, danneggiato e non c'è speranza di riportarlo in servizio nel prossimo futuro? E qui ntdsutil.exe ci aiuterà di nuovo:
L'assegnazione forzata (sequestro) dei ruoli viene eseguita solo in caso di completo malfunzionamento del server, con impossibilità del suo ripristino. Se possibile, è meglio ripristinare la funzionalità del master FSMO guasto. La stessa procedura di acquisizione è simile a quella descritta sopra. Andiamo al controller di dominio a cui vogliamo trasferire i ruoli e facciamo lo stesso che è stato scritto nel paragrafo precedente inserendo:
> ntdsutil
> ruoli
> connessioni
> connettersi al server<имя_сервера>
> q
L'unica differenza è che al posto del comando di trasferimento, il comando serve per forzare il sequestro del ruolo. prendere
> cogliere<имя_роли>
Dove<имя_роли>come prima

master di denominazione - master di denominazione di dominio (fino a Windows Server 2008R2 - master di denominazione di dominio);

master dell'infrastruttura - master dell'infrastruttura;

padrone di rid - padrone di RID;

maestro dello schema - maestro dello schema;

pdc è un emulatore PDC.

Non dimenticare di provare a trasferire il ruolo utilizzando il comando transfer prima di acquisire il ruolo e utilizzare seize solo in caso di errore.

Quando possibile, non assegnare il ruolo di master dell'infrastruttura a un controller di dominio che è un server di catalogo globale perché, se possibile, non aggiornerà le informazioni sugli oggetti. Il motivo di questo comportamento è che il server di catalogo globale mantiene repliche parziali di tutti gli oggetti nella foresta.

Non restituire in alcun caso il controller di dominio che in precedenza ha svolto ruoli FSMO "di nuovo in linea" se i ruoli da esso rivestiti sono stati acquisiti dal comando seize. quando appare sulla rete, sorgerà un conflitto, che può portare a grossi problemi. Deve essere rimosso da Active Directory. Su Windows Server 2008 e versioni successive, è possibile farlo semplicemente eliminando l'oggetto server in Utenti e computer di Active Directory e su Windows Server 2003 utilizzando Ntdsutil utilizzando il comando ntdsutil - metadata cleanup.

La seconda opzione - Il trasferimento volontario dei ruoli FSMO utilizzando gli snap-in di gestione di Active Directory, è strano e scomodo, ma questa è solo la mia opinione soggettiva, il metodo stesso funziona alla grande.

È possibile trasferire ruoli a livello di dominio (master RID, emulatore PDC e master infrastruttura) utilizzando lo snap-in Utenti e computer di Active Directory. Per fare ciò, andiamo sul controller di dominio a cui vogliamo trasferire i ruoli, avviamo lo snap-in e facciamo clic con il tasto destro del mouse sul dominio richiesto, selezioniamo la voce "Operazioni master".

Nella finestra che si apre, seleziona il ruolo di cui abbiamo bisogno e fai clic sul pulsante "Cambia", quindi confermiamo il trasferimento del ruolo e guardiamo il risultato. Il nome dell'host delle operazioni dovrebbe essere cambiato con il nome del server corrente.

Per trasferire il ruolo di Domain Naming Master, è necessario lo snap-in Domini e attendibilità di Active Directory. Avviare lo snap-in, se necessario, connettersi al controller di dominio richiesto, fare clic con il pulsante destro del mouse nella radice dello snap-in e selezionare la voce di menu "Operations Master".

Si apre una finestra in cui è necessario fare clic sul pulsante "Cambia", quindi confermare le modifiche allo stesso modo del caso precedente.

Per trasferire il ruolo Schema Master, dovrai eseguire manipolazioni un po' più complesse. Il primo passaggio consiste nel registrare la libreria di gestione dello schema di Active Directory nel sistema. Questo può essere fatto con il comando
> regsvr32 schmmgmt.dll

Quindi aprire la console MMC e aggiungere lo snap-in Schema di Active Directory.

Ora puoi entrare nello snap-in e cambiare il proprietario del ruolo Schema Master come negli esempi precedenti facendo clic destro sullo schema e selezionando la voce "Operations master...".

Evviva! Tutti i ruoli sono stati trasferiti. Ancora una volta, non lasciare mai il tuo dominio senza un proprietario del ruolo FSMO assegnato. Mai! :)

Indietro

Commenti (1)

Nuovi articoli:

Network Discovery non si accende in Windows 7/8/2008/2012
Il nocciolo del problema è che un utente su un sistema Windows 7 non abilita il rilevamento della rete nelle impostazioni di rete. Più precisamente, si accende, ma se chiudi e ...

Errore: questa applicazione non è stata avviata perché non è stata in grado di trovare o caricare il plug-in della piattaforma Qt "windows".
Quindi, dopo l'installazione copiando direttamente un'applicazione scritta in C++ utilizzando la libreria Qt, otteniamo il seguente errore: Impossibile avviare questa applicazione...

hb860 25 novembre 2011 alle 14:02
Tutto quello che avresti voluto sapere sul comandante delle operazioni, ma avevi paura di chiedere

Amministrazione di sistema

La maggior parte degli amministratori di sistema nel proprio ambiente aziendale utilizza Servizi di dominio Active Directory per fornire l'identificazione e l'accesso alle risorse aziendali per i propri utenti, che possono essere tranquillamente definiti il cuore dell'intera infrastruttura aziendale. Come molti di voi sapranno, la struttura dei servizi di dominio nelle organizzazioni può includere una o più foreste (un insieme di domini che include una descrizione della configurazione di rete e una singola istanza di una directory), a seconda di fattori quali la limitazione dell'ambito di rapporti di fiducia, separazione completa dei dati di rete, ottenimento dell'isolamento amministrativo. A sua volta, ogni foresta di grandi dimensioni dovrebbe essere suddivisa in domini per semplificare l'amministrazione e la replica dei dati. In ogni dominio, per gestire i servizi di dominio ed eseguire attività come l'autenticazione, l'avvio di un servizio Centro distribuzione chiavi Kerberos e il controllo degli accessi viene utilizzato dai controller di dominio. Si stanno sviluppando siti web per gestire il traffico di rete tra gli uffici.
Tutte le informazioni su foreste, domini e siti, ovviamente, devono essere coerenti anche durante la progettazione di servizi di dominio Active Directory, in base a requisiti aziendali quali: requisiti aziendali, requisiti funzionali, legali, requisiti di sicurezza e vincoli di progettazione alla documentazione. Spesso, tutti questi punti sono pianificati con cura dal dipartimento IT dell'azienda stessa o dal team di progetto che si occupa dell'infrastruttura dell'impresa prima di implementare i servizi di dominio e registrati in uno speciale accordo sul livello di servizio che determina il livello di prestazioni atteso e la qualità del servizio fornito.
Le informazioni ottenute dopo la progettazione o, più spesso, dopo la distribuzione di Servizi di dominio Active Directory devono essere documentate con attenzione. Tale documentazione dovrebbe includere informazioni sulla struttura molto logica e fisica dei servizi di dominio, i modelli amministrativi, l'infrastruttura per la risoluzione dei nomi, eventuali modifiche pianificate nell'ambiente dell'organizzazione, nonché componenti aggiuntivi dell'infrastruttura come l'implementazione di server di posta Microsoft Exchange, sistema Server del centro e molto altro ancora. Nella maggior parte dei casi, il personale IT di un'organizzazione ignora il processo di documentazione e, quando il personale IT cambia, i nuovi amministratori possono impiegare del tempo per allinearsi completamente con l'attuale infrastruttura dell'organizzazione.
È inoltre necessario comprendere che nel servizio directory quasi tutti i controller di dominio sono uguali (in questo contesto non vengono presi in considerazione controller di dominio di sola lettura, RODC), ovvero tutti i controller di dominio hanno accesso in scrittura al database e può replicare questi dati ad altri controllori. Questa topologia gestisce bene la maggior parte delle operazioni banali di Active Directory ed è chiamata replica peer-to-peer(Multimaster). Tuttavia, ci sono alcune operazioni che devono essere eseguite sul server autorizzato designato direttamente per tali operazioni. In altre parole, i controller di dominio che eseguono operazioni o ruoli specifici nel proprio dominio sono chiamati master (o master) operazioni. Conoscere e comprendere lo scopo di tutti i ruoli della procedura guidata è essenziale perché in caso di ripristino di emergenza, aggiornamento o migrazione, sono i controller di dominio che eseguono i ruoli della procedura guidata che possono svolgere uno dei ruoli più importanti. Di conseguenza, si tratta delle procedure guidate delle operazioni che verranno discusse in questo articolo.
In questo articolo imparerai:
Su cosa sarebbe successo se non ci fossero stati maghi operativi;

Informazioni sui ruoli delle procedure guidate delle operazioni a livello di foresta;

Informazioni sui ruoli delle procedure guidate delle operazioni a livello di dominio;

Come è possibile determinare quale controller ha il ruolo FSMO;

Catturare e trasferire i ruoli dei maestri delle operazioni;

Informazioni sul posizionamento corretto delle operazioni guidate sui controller di dominio.

Cosa non sarà considerato nel quadro del presente articolo:
Pianificazione e documentazione dei controller di dominio con ruoli di operazioni guidate... Questo è un argomento separato che include la comprensione delle sfumature della pianificazione di Servizi di dominio Active Directory ed esula dall'ambito di questo articolo;

Server di catalogo globale... Molti amministratori di sistema equiparano i server di catalogo globale ai ruoli delle procedure guidate di azione. In realtà, questo è un falso giudizio. Il catalogo globale è un repository di dati distribuito che memorizza le informazioni su ciascun oggetto e consente inoltre agli utenti e alle applicazioni di trovare oggetti in qualsiasi dominio della foresta corrente cercando gli attributi inclusi nel catalogo globale, identificati nello schema come privati insieme di attributi. Il catalogo globale stesso risiede sui controller di dominio designati come server di catalogo globale e viene a sua volta replicato tramite la replica Multimaster. Sebbene il catalogo globale contenga un elenco completo di tutti gli oggetti nella foresta e i server di catalogo globale possono rispondere a tutte le richieste senza la necessità di fare riferimento ad altri controller di dominio, il catalogo globale non è un ruolo per le azioni guidate. È possibile leggere il seguente articolo sui server di catalogo globale: "Server di catalogo globale";

Interazione delle operazioni guidate con i controller di dominio di sola lettura... I controller di dominio di sola lettura (controller di dominio di sola lettura) sono un tipo speciale e relativamente nuovo di controller di dominio che dovrebbe essere distribuito nelle filiali di un'organizzazione che non dispongono di un livello sufficiente di sicurezza e di personale IT qualificato. Come per la pianificazione delle operazioni guidate e dei server di catalogo globale, i controller di dominio di sola lettura (RODC) sono un argomento ampio di per sé e non ha senso acquisirli in questo articolo. Tuttavia, vale la pena notare subito che i controller di dominio di sola lettura non possono fungere da controller di dominio con il ruolo di Operations Wizard;

Risoluzione dei problemi ed errori con le azioni guidate... Un argomento interessante e piuttosto voluminoso che non verrà trattato, poiché questo articolo discute i concetti generali dei ruoli delle procedure guidate delle operazioni.

Cosa accadrebbe se non ci fossero i maestri delle operazioni?
Prima di immaginare la situazione con i controller di dominio di Active Directory, in cui non ci sarebbe distinzione tra controller di dominio che eseguono operazioni specifiche e altri controller di dominio, considerare i vantaggi dei controller di dominio dotati del ruolo di procedure guidate.
Innanzitutto, come già indicato nella parte introduttiva di questo articolo, maestri delle operazioni Vengono chiamati i controller di dominio che svolgono un ruolo speciale in Active Directory per garantire l'integrità ed evitare conflitti. È a questo scopo che viene assegnato un ruolo speciale a tali controller di dominio e, poiché tali ruoli non sono rigidamente vincolati a un controller di dominio, tali ruoli sono chiamati Flexible Single Master Operation (FSMO, pronunciato fizz-mo). Questi ruoli, infatti, possono essere eseguiti da altri controller di dominio, ma ogni ruolo deve essere assegnato a un solo controller di dominio e, in un dominio, le azioni che dovrebbero essere eseguite sui controller di dominio delle procedure guidate delle operazioni non possono essere eseguite contemporaneamente volta.
Penso che sarà utile sapere quali protocolli usano i maestri delle operazioni. Le operazioni guidate utilizzano tre protocolli:
Protocollo LDAP (Lightweight Directory Access Protocol);

smtp.

Ora immaginiamo per un momento come sarebbe se non ci fossero procedure guidate per le operazioni in Servizi di dominio Active Directory, ovvero se tutti i controller di dominio potessero eseguire le stesse azioni contemporaneamente.
Si supponga di disporre di un'organizzazione con una foresta e cinque domini. In ciascuno dei domini, gli amministratori di sistema hanno deciso di installare contemporaneamente il server di posta Microsoft Exchange e in un dominio l'amministratore installa la versione 2007 di questo server di posta, nel secondo - 2000 e nel terzo Microsoft Exchange Server 2010 SP1. Tutte le modifiche allo schema del dominio e, di conseguenza, l'intera foresta vengono registrate nel controller di dominio a cui erano connessi gli amministratori e dopo qualche tempo tutte le modifiche apportate allo schema di Active Directory vengono replicate in ogni controller di dominio nella foresta dell'organizzazione.
Se qualcuno desidera rinominare il proprio dominio utilizzando l'utilità di sistema Rendom.exe, poiché è già stato nominato un altro dominio e il ruolo FSMO corrispondente non sarà nell'azienda, all'accesso l'amministratore vedrebbe un messaggio di avviso, dice: " Cosa stai facendo- allora? Esiste già un tale dominio, vuoi rompere tutto nel mondo? " e il dominio verrà rinominato, dopo la replica sarebbe semplicemente impossibile evitare problemi fatali.
Facciamo un altro esempio... Ancora una volta, non ci sono maestri delle operazioni in natura. Sui computer client, l'ora può andare persa, gli utenti possono, per così dire, modificare accidentalmente l'ora, ma tutti i client nel dominio predefinito devono sincronizzare l'ora con i controller di dominio più vicini. In questo caso, se non esiste un controller di dominio specifico, la cosiddetta origine dell'ora master, l'ora per ciascun utente nell'intero dominio potrebbe essere diversa, il che potrebbe essere fondamentale per alcune applicazioni aziendali.
In realtà, gli esempi di un'apocalisse aziendale dovuta alla mancanza di un maestro delle operazioni possono essere citati all'infinito. La linea di fondo è che i master delle operazioni devono semplicemente essere, devono essere disponibili e devono eseguire solo quelle operazioni che sono destinate a loro.
In totale, Servizi di dominio Active Directory include cinque diversi ruoli della procedura guidata per le operazioni, ovvero vengono utilizzati due ruoli a livello di foresta: procedura guidata per i nomi di dominio e circuito master, inoltre, in ogni foresta non può esistere più di un controller di dominio, con assegnazioni per ogni ruolo. Ogni dominio ha solo tre ruoli della procedura guidata: relativo maestro RID, maestro dell'infrastruttura, così come Emulatore di controller di dominio master PDC... In altre parole, quando si installa il primo controller di dominio in una foresta, vengono assegnati contemporaneamente a tutti e cinque i ruoli della procedura guidata delle operazioni e quando si crea un nuovo dominio di Active Directory in una foresta esistente, al nuovo controller di dominio vengono assegnati tre ruoli a livello di dominio . Gli FSMO nella foresta e il numero di potenziali proprietari di questi ruoli possono essere calcolati utilizzando la formula "(numero di domini * 3) + 2".
Ad esempio, se si dispone di una foresta di Active Directory con quattro domini, in cui sono presenti un dominio figlio e un nipote per uno dei domini principali, tale foresta conterrà 14 ruoli FSMO. Ovvero: un master schema, un master per la denominazione dei domini, quattro emulatori PDC (per due domini primari, figlio e nipote, un ruolo ciascuno), quattro master RID per ogni dominio e quattro master infrastruttura per ogni dominio.
A questo punto, penso che sia il momento di esaminare ogni ruolo della procedura guidata delle operazioni a livello di foresta e di dominio.
Ruoli delle procedure guidate delle operazioni a livello di foresta
Come ho scritto sopra, ci sono due ruoli della procedura guidata delle operazioni per il livello di foresta di Active Directory, vale a dire:
Procedura guidata dello schema;

Procedura guidata per la denominazione del dominio

Il ruolo dello Schema Master
Prima di spendere due parole sul ruolo del padrone del circuito, penso che abbia senso, in poche parole, dire cosa sia esattamente "Schema di Active Directory".
- Vedi un gopher?
- Non.
“E non vedo. E lui è!
K.F. "DMB"

Per molti amministratori alle prime armi, lo schema di Active Directory può essere associato all'espressione scritta sopra da un famoso film. Sembra che ci sia qualcosa come un diagramma, ma a cosa serve, a cosa serve e in generale che cos'è, nessuno lo sa e non ha fretta di scoprirlo.
Nella terminologia, lo schema contiene le definizioni per ogni attributo e classe che vengono creati e archiviati nella foresta di Active Directory. Non credo che sarà una novità per nessuno che Active Directory Domain Services memorizzi e recuperi le informazioni necessarie da molte applicazioni aziendali al momento giusto. Questo viene fatto in modo che, se necessario, le applicazioni non facciano riferimento a vari componenti dell'infrastruttura aziendale, ma ad Active Directory Domain Services, le cui informazioni verranno replicate su tutti i controller di dominio. Si noti che in ogni foresta di Active Directory è presente un solo schema che può essere replicato in ogni controller di dominio della foresta. Pertanto, se un'organizzazione deve distribuire più applicazioni che possono creare conflitti nello schema di Active Directory, è consigliabile distribuire e mantenere due foreste separate.
Lo schema stesso è costituito da oggetti classSchema e attributeSchema richiesti durante la definizione dell'oggetto richiesto in Domain Services. Le classi stesse sono alcune definizioni situate nello schema, che, a loro volta, definiscono gruppi di attributi. Ricorda che ogni classe può utilizzare molti attributi. Infine, per ogni attributo che si trova in Servizi di dominio Active Directory, lo schema specifica il tipo di dati come sintassi per l'attributo stesso. E, naturalmente, il valore di ogni attributo incluso nell'istanza della classe deve essere conforme ai requisiti di sintassi dell'attributo corrente.
Poiché una discussione dettagliata dello schema di Active Directory va oltre lo scopo di questo articolo, penso che la definizione di cui sopra sia più che sufficiente. Maggiori dettagli sullo schema di Active Directory verranno discussi in uno dei seguenti articoli. Ora diamo un'occhiata al ruolo del master dello schema.
Il controller di dominio, ovvero la procedura guidata dello schema, è responsabile di tutte le modifiche apportate allo schema della foresta di Active Directory. Va ricordato che il controller di dominio responsabile di questo ruolo deve essere l'unico nell'intera foresta e tutti gli altri controller di dominio conterranno solo repliche di sola lettura dello schema della foresta. In altre parole, se si apportano modifiche manuali allo schema di Active Directory o se si installano applicazioni che modificano lo schema, l'amministratore deve apportare le modifiche al controller di dominio che gestisce il ruolo. Per apportare modifiche, l'amministratore deve connettersi al master dello schema e deve essere un membro del gruppo di sicurezza Amministratori di schema... Dopo l'aggiornamento, lo schema viene replicato dal master dello schema a tutti gli altri controller di dominio. Se si tenta di modificare lo schema su un controller di dominio master non schema, l'azione in genere non riesce ed è necessario inviare le modifiche allo schema a un controller di dominio master schema dopo aver apportato modifiche allo schema. Di conseguenza, questo ruolo è fondamentale, poiché quando si tenta di modificare lo schema di Active Directory con la procedura guidata dello schema disabilitata, si verificano continuamente errori. A sua volta, il ruolo di master schema può trovarsi in qualsiasi controller di dominio designato nella foresta.
Per impostazione predefinita, il ruolo di master schema viene assegnato al primo controller di dominio installato nella foresta e si consiglia di collocare questo ruolo insieme al ruolo di master per la denominazione dei domini, che verrà illustrato di seguito, su un singolo controller di dominio . Nonostante le best practice, puoi spostare questo ruolo in qualsiasi controller di dominio in qualsiasi momento utilizzando lo snap-in "Schema di Active Directory" o tramite l'utilità della riga di comando Ntdsutil... In questo articolo imparerai anche a trasferire i ruoli ad altri controller di dominio. Identificato dal master dello schema dal valore dell'attributo fSMORoleOwner l'oggetto radice della sezione dello schema.
Il ruolo del Domain Naming Master

Il prossimo ruolo da ricoprire si chiama Domain Naming Wizard. Questo ruolo di Operations Wizard, e quindi l'unico controller di dominio nella foresta che può contenere questo ruolo, viene utilizzato principalmente per aggiungere e rimuovere domini e tutte le partizioni di directory nella gerarchia della foresta. Un controller di dominio con il ruolo di master per la denominazione dei domini è progettato per eseguire le quattro operazioni seguenti:
Aggiunta e rimozione di domini... Quando si esegue un'operazione come l'aggiunta o la rimozione di un dominio figlio utilizzando l'Installazione guidata di Active Directory o l'utilità della riga di comando, l'installazione guidata fa riferimento specificamente alla procedura guidata di denominazione del dominio e chiede il diritto di aggiungere o, rispettivamente, eliminare quest'ultimo. La procedura guidata per la denominazione dei domini è inoltre responsabile di garantire che i domini di una foresta abbiano nomi NETBIOS univoci in tutta la foresta. Naturalmente, per ovvie ragioni, se la procedura guidata per la denominazione dei domini non è disponibile, non sarà possibile aggiungere o rimuovere domini nella foresta;

Aggiunta e rimozione di riferimenti incrociati... Come già saprai, quando crei il primo controller di dominio in una foresta, vengono create partizioni di schema, configurazione e directory di dominio. A questo punto, viene creato un oggetto di riferimento incrociato (classe crossRef) per ogni partizione di directory nel contenitore Partizioni della sezione di configurazione (CN = partizioni, CN = configurazione, DC = forestRootDomain). L'oggetto di riferimento incrociato definisce il nome e la posizione dei server che archiviano ogni partizione di directory nella foresta. Alla creazione di ogni successivo dominio o partizione del catalogo applicazioni, viene avviata la creazione di un oggetto di riferimento incrociato nel contenitore Partizioni.

Aggiunta e rimozione di partizioni della directory dell'applicazione... Le partizioni di directory applicative sono partizioni speciali che è possibile creare sui controller di dominio Windows Server 2003, Windows Server 2008 o Windows Server 2008 R2 per fornire l'archiviazione dinamica dei dati per le applicazioni LDAP. Se la foresta è in esecuzione a livello di Windows Server 2000, in tale foresta tutti i dati non di dominio sono limitati ai dati di configurazione e schema replicati su tutti i controller di dominio nella foresta. In una foresta di Windows Server 2003/2008 e 2008R2, le partizioni del catalogo applicazioni forniscono l'archiviazione di dati specifici dell'applicazione su un controller di dominio che può essere riprodotto su qualsiasi controller di dominio nella foresta.

Conferma delle istruzioni per rinominare i domini... L'ultimo passaggio della procedura guidata per la denominazione dei domini consiste nel confermare le istruzioni per la ridenominazione dei domini. Di solito, è consuetudine rinominare i domini utilizzando una speciale utilità della riga di comando. Pertanto, quando si utilizza l'utilità Rendom.exe, progettata per rinominare i domini, per rinominare un dominio, l'utilità deve avere accesso alla procedura guidata di denominazione del dominio. Oltre alle funzionalità di cui sopra, la procedura guidata per la denominazione dei domini è anche responsabile della conferma delle istruzioni per la ridenominazione dei domini. Quando si esegue lo strumento specificato, su un controller di dominio con il ruolo Creazione guidata denominazione dominio, uno script XML contenente le istruzioni per rinominare i domini viene scritto nell'attributo msDS-UpdateScript dell'oggetto contenitore Partizioni (CN = partizioni, CN = configurazione, DC = forestRootDomain) della partizione della directory di configurazione. Vale la pena ricordare che il contenitore Partitions può essere aggiornato solo su un controller di dominio che contiene il ruolo Domain Naming Master. Oltre al valore dell'attributo msDS-UpdateScript, l'utilità Rendom.exe scrive il nuovo nome DNS di ciascun dominio rinominato nell'attributo msDS-DnsRootAlias dell'oggetto di riferimento incrociato (classe crossRef) corrispondente a quel dominio. Anche in questo caso, poiché l'oggetto del riferimento incrociato è archiviato nel contenitore Partitrions, questo oggetto può essere aggiornato solo su un controller di dominio con il ruolo di Domain Naming Master. I dati modificati per gli attributi msDS-UpdateScript e msDS-DnsRootAlias vengono replicati in tutti i controller di dominio nella foresta.

Per impostazione predefinita, il primo controller di dominio nella nuova foresta ottiene il ruolo di Domain Naming Master, ma è possibile spostare questo ruolo in qualsiasi momento utilizzando lo snap-in Domini e trust di Active Directory o utilità della riga di comando Ntdsutil.exe... Tieni presente che è una buona idea avere entrambi i ruoli Schema Master e Domain Naming Wizard nello stesso controller di dominio. Un controller di dominio a cui è stato assegnato il ruolo di master dei nomi di dominio deve essere anche un server di catalogo globale. In caso contrario, alcune operazioni potrebbero non riuscire. Identificato dal master dello schema dal valore dell'attributo fSMORoleOwner nel contenitore Partizioni.
Come con l'operazione guidata precedente, se si tenta di eseguire una delle operazioni di cui sopra quando l'operazione guidata non è disponibile, le azioni non riusciranno. Ma poiché tutte queste azioni vengono eseguite quasi una volta per un lungo periodo di tempo, puoi scoprire che la procedura guidata per la denominazione del dominio è inutilizzabile in un momento critico, quindi controlla periodicamente la disponibilità delle procedure guidate per le operazioni forestali.
Ruoli della procedura guidata per le operazioni di dominio
A differenza del livello di foresta, ogni dominio di Active Directory ha i seguenti tre ruoli della procedura guidata delle operazioni:
Procedura guidata RID relativa

Emulatore PDC PDC

Procedura guidata infrastruttura

Diamo un'occhiata più da vicino a ciascuna di queste operazioni guidate.
Maestro RID

La prima procedura guidata per le operazioni a livello di dominio descritta in questo articolo è la procedura guidata per l'identificatore relativo (RID). La procedura guidata RID viene utilizzata per gestire un pool di RID per generare identificatori di sicurezza (SID) per entità di sicurezza quali utenti, gruppi e computer e per spostare oggetti da un dominio a un altro. Il SID di un'entità di sicurezza deve essere univoco per l'intero dominio, quindi a ogni entità di sicurezza viene assegnato un SID univoco che contiene l'identificatore di dominio e un RID relativo univoco per ogni entità di sicurezza. Tutti i SID hanno quattro elementi diversi. Ad esempio, secondo la documentazione Microsoft, gli elementi identificativi S1-5-Y1-Y2-Y3-Y4 sono forniti nella seguente tabella:
Tabella 1. Struttura dell'elemento identificativo

Poiché le entità di sicurezza possono creare qualsiasi controller di dominio, è necessario un meccanismo per garantire che i SID generati dal controller di dominio siano univoci e pertanto la procedura guidata RID garantisce che due controller di dominio non assegnino gli stessi RID. Il master RID assegna un blocco di RID relativi, denominato pool di RID, a ogni controller nel dominio. In altre parole, l'Operazione guidata RID è responsabile della gestione di un pool di identificatori relativi per l'utilizzo dei controller di dominio in un dominio e della fornitura di gruppi di identificatori relativi per ogni controller di dominio. Quando un nuovo controller di dominio viene aggiunto a un dominio, la procedura guidata RID assegna a tale controller di dominio un pool di 500 richieste RID relative. Ogni volta che viene creata una nuova entità di sicurezza in un controller di dominio per assegnare un identificatore a un nuovo oggetto, il controller di dominio assegna un identificatore relativo dal relativo pool. Quando il numero di RID relativi in questo pool RID su qualsiasi controller di dominio scende al di sotto di 100, in altre parole, si avvicina a zero, il master RID richiede un altro blocco RID. Dopo aver completato la richiesta, il master RID assegna un altro pool di 500 RID relativi al controller di dominio.
Più precisamente, il master RID non tiene traccia dei numeri del pool, ma serve il valore più alto dell'ultimo intervallo assegnato. Quando viene ricevuta una nuova richiesta, il valore del nuovo pool viene aumentato di uno e 499 nuovi valori. I due valori vengono quindi inviati al controller di dominio richiesto per utilizzare i nuovi RID relativi. Se il pool RID locale di un controller di dominio è vuoto o il master RID non è disponibile per un po' di tempo, il processo di creazione dell'account su alcuni controller di dominio potrebbe essere interrotto e l'ID evento 16645 verrà registrato nel registro eventi di quel controller di dominio. il codice indica che l'ID account massimo da allocato al controller di dominio e il controller di dominio non è stato in grado di ottenere un nuovo pool di ID dal master RID. Allo stesso modo, l'aggiunta di un nuovo oggetto al dominio genererà l'ID evento 16650, indicando che non è stato possibile creare l'oggetto perché il servizio directory non è stato in grado di allocare un identificatore relativo. Il meccanismo per la richiesta di un nuovo blocco RID ha lo scopo di prevenire tali interruzioni perché la richiesta viene effettuata prima che tutti i RID disponibili nel pool siano esauriti. Per riattivare il processo di creazione dell'account, è necessario portare in linea il controller di dominio che gestisce il ruolo di master RID o spostare questo ruolo in un altro controller di dominio.
Inoltre, durante la migrazione di oggetti di Active Directory tra domini, è necessaria una procedura guidata RID, ovvero l'oggetto potrà migrare solo se la procedura guidata RID è disponibile nel dominio. La presenza di un'Operazione guidata attiva e corrente impedisce la creazione di due oggetti con identificatori identici in diversi domini di Active Directory. Quando si esegue la migrazione di oggetti da un dominio a un altro, Microsoft consiglia di utilizzare Acrive Directory Migration Tool. Per impostazione predefinita, al primo controller di dominio installato nella foresta viene assegnato il ruolo di master RID. Puoi spostare questo ruolo in qualsiasi momento utilizzando lo snap-in o utilizzando l'utilità Ntdsutil.exe... Il master RID è identificato dal valore dell'attributo fSMORoleOwner in un oggetto della classe rIDManager nella sezione Domain.
Emulatore PDC

Controller di dominio con procedura guidata per le operazioni assegnate Emulatore PDC(Primary Domain Controller) funge da controller di dominio primario per la compatibilità con le versioni precedenti con i sistemi operativi inferiori a Windows 2000. Ai tempi dei server e dei computer client membri di Windows NT 4.0, solo i PDC potevano apportare modifiche alla directory. Gli strumenti, i client e le utilità legacy che supportano Windows NT 4.0 non sono progettati per consentire a tutti i controller di dominio di Active Directory di scrivere nella directory e pertanto richiedono la connettività PDC. Un controller di dominio con il ruolo di emulatore PDC si registra come controller di dominio master PDC, in particolare in modo che varie applicazioni di basso livello possano localizzare il controller di dominio di scrittura. Nonostante il fatto che oggi sia quasi impossibile trovare server e computer client con sistemi operativi inferiori a Windows 2000, l'emulatore PDC rimane ancora il ruolo più importante dei maghi delle operazioni. Oltre ad essere retrocompatibile con le applicazioni in esecuzione su Windows NT 4.0, l'emulatore PDC esegue le seguenti importanti funzioni:
Partecipa alla replica degli aggiornamenti delle password di dominio... Quando una password utente viene modificata o reimpostata, il controller di dominio di creazione replica la modifica all'emulatore PDC tramite la replica accelerata. Questa replica garantisce che i controller di dominio apprendano rapidamente la password modificata. Nel caso in cui un utente tenti di accedere immediatamente dopo aver modificato la password, il controller di dominio che risponde a questa richiesta potrebbe non conoscere ancora la nuova password. Prima di rifiutare il tentativo di accesso, questo controller di dominio inoltra una richiesta di autenticazione all'emulatore PDC, che verifica che la nuova password sia corretta e indica al controller di dominio di accettare la richiesta di accesso. Ciò significa che ogni volta che un utente inserisce una password errata, l'autenticazione viene inviata all'emulatore PDC per una conclusione finale;

Gestione degli aggiornamenti dei criteri di gruppo nel dominio... Come sai, i Criteri di gruppo vengono utilizzati per gestire la maggior parte delle impostazioni di configurazione per i computer e gli utenti della tua organizzazione. Nel caso in cui un oggetto Criteri di gruppo venga modificato su due controller di dominio all'incirca contemporaneamente, in seguito potrebbero verificarsi conflitti tra le due versioni che non vengono risolti durante la replica degli oggetti Criteri di gruppo. Per evitare tali conflitti, l'emulatore PDC funziona come segue: quando si apre un oggetto Criteri di gruppo, lo snap-in Editor gestione criteri di gruppo è associato al controller di dominio che svolge il ruolo PDC e tutte le modifiche agli oggetti Criteri di gruppo vengono apportate all'emulatore PDC da predefinito;

Agire come browser centrale per un dominio... I client utilizzano Active Directory per rilevare le risorse di rete. Quando si apre una finestra "Rete" il sistema operativo visualizza un elenco di gruppi di lavoro e domini. Dopo che l'utente ha aperto il gruppo di lavoro o il dominio specificato, sarà in grado di vedere l'elenco dei computer. Questi elenchi vengono generati tramite il servizio browser e, su ciascun segmento di rete, il browser host crea un elenco di esplorazione con i gruppi di lavoro, i domini e i server di quel segmento. Il browser centrale unisce quindi gli elenchi di tutti i browser principali in modo che i computer client possano visualizzare l'intero elenco di navigazione. Penso che tra tutte le funzioni dell'emulatore PDC, potresti avere domande relative direttamente al browser centrale del dominio, quindi questo argomento verrà discusso in dettaglio in un articolo a parte;

Fornire la principale fonte di tempo di dominio... Poiché Active Directory, Kerberos, DFS-R e FRS utilizzano tutti i timestamp, è necessaria la sincronizzazione dell'ora in tutti i sistemi del dominio. L'emulatore PDC nel dominio radice della foresta funge da origine dell'ora principale per l'intera foresta. Il resto dei controller di dominio sincronizza l'ora con l'emulatore PDC ei computer client con i controller di dominio. Il servizio di sincronizzazione gerarchica, implementato nel servizio Win32Time, garantisce la coerenza temporale.

Per impostazione predefinita, al primo controller di dominio installato nella foresta viene assegnato il ruolo di Creazione guidata emulatore PDC. Puoi spostare questo ruolo in qualsiasi momento utilizzando lo snap-in Utenti e computer di Active Directory o tramite un'utilità Ntdsutil.exe... PDC Emulator Master è identificato da un valore di attributo fSMORoleOwner in un oggetto della classe rIDManager alla radice della sezione Domain.
Procedura guidata infrastruttura

Nelle organizzazioni basate su più domini, gli oggetti in alcuni domini spesso fanno riferimento a oggetti in altri. Procedura guidata infrastrutturaè come un dispositivo che tiene traccia dei membri del gruppo dai domini. L'Infrastructure Wizard è responsabile dell'aggiornamento dei collegamenti da gruppo a utente tra i domini, garantendo in tal modo che le modifiche ai nomi degli oggetti si riflettano nelle informazioni di appartenenza dei gruppi localizzati nel dominio. La procedura guidata dell'infrastruttura mantiene un elenco aggiornabile di questi collegamenti e quindi replica queste informazioni su tutti i controller nel dominio. Tieni presente che quando un membro di un altro dominio viene aggiunto a un gruppo del dominio di destinazione, il nome distinto del nuovo membro viene aggiunto all'attributo del membro e se il controller di dominio di un membro di tale gruppo non è disponibile, quindi viene creato un oggetto fantasma nei servizi di dominio che rappresenta effettivamente un membro di tale gruppo. Tale oggetto può contenere solo il SID del membro, il nome distinto (DN) e il GUID dell'oggetto. Se la procedura guidata dell'infrastruttura non è disponibile, i collegamenti da gruppo a utente tra i domini non verranno aggiornati. Periodicamente, la procedura guidata dell'infrastruttura esegue la scansione degli account di dominio e verifica le appartenenze ai gruppi. Se un account utente viene spostato in un nuovo dominio, la procedura guidata dell'infrastruttura identifica il nuovo dominio dell'account utente e aggiorna i gruppi di conseguenza.
Si noti che il ruolo di Creazione guidata infrastruttura non deve essere eseguito da un controller di dominio che è un server di catalogo globale. In caso contrario, la procedura guidata dell'infrastruttura non aggiornerà le informazioni sugli oggetti, poiché non contiene riferimenti a oggetti che non memorizza. Ciò è dovuto al fatto che il server di catalogo globale mantiene repliche parziali di tutti gli oggetti nella foresta. Di conseguenza, i riferimenti a oggetti tra domini in quel dominio non verranno aggiornati e verrà visualizzato un avviso nel registro eventi di questo controller di dominio. Per impostazione predefinita, al primo controller di dominio installato nella foresta viene assegnato il ruolo di master infrastruttura. Puoi spostare questo ruolo in qualsiasi momento utilizzando lo snap-in Utenti e computer di Active Directory o tramite un'utilità Ntdsutil.exe... Il master dell'infrastruttura è identificato dal valore dell'attributo fSMORoleOwner nel contenitore Infrastruttura nella sezione Dominio.
Come determinare quale controller di dominio ha il ruolo FSMO
In linea di massima abbiamo già capito la parte teorica, e ora sarebbe bello fare un po' di pratica. Sebbene l'organizzazione possa avere un solo dominio, può essere installato un numero elevato di controller di dominio e gli amministratori potrebbero non sapere sempre a quali controller di dominio sono assegnati i ruoli della procedura guidata per le operazioni. Ad esempio, se stai ristrutturando il tuo dominio, dovrai scoprire a quale controller di dominio è assegnato quale ruolo. Ciascun ruolo può essere definito utilizzando un'interfaccia grafica o strumenti della riga di comando. Diamo un'occhiata a entrambi i metodi.
Definire i proprietari dei ruoli di master operazioni utilizzando la GUI
La prima cosa da ricordare è che Servizi di dominio Active Directory utilizza una varietà di snap-in amministrativi per identificare le operazioni guidate. La cosa più difficile da identificare è lo schema master. Cominciamo da lui. Per scoprire quale controller di dominio ha il ruolo di master schema, attenersi alla seguente procedura:

Per identificare il resto delle procedure guidate, è necessario eseguire un numero notevolmente inferiore di passaggi. Per individuare quale controller di dominio dispone dei diritti per la procedura guidata per l'assegnazione dei nomi di dominio, è necessario:

Inoltre, è necessario eseguire il minor numero di passaggi per identificare i restanti tre ruoli a livello di dominio. In altre parole, tutti i ruoli rimanenti dell'Azione guidata possono essere trovati in un'unica finestra di dialogo. Per fare ciò, apri lo snap-in Utenti e computer di Active Directory, fai clic con il pulsante destro del mouse sul tuo dominio e seleziona il comando dal menu contestuale "Maestri delle operazioni"... Nella finestra di dialogo che compare, nelle schede appropriate, è possibile visualizzare i nomi dei controller di dominio a cui sono assegnati i ruoli correnti. Finestra di dialogo "Maestri delle operazioni" può essere visto nella seguente illustrazione:

Riso. 4. Master operativi per il livello di dominio
Determinazione dei proprietari delle operazioni guidate utilizzando la riga di comando
Come con la maggior parte delle funzionalità fornite dai sistemi operativi Windows, è possibile identificare tutti i proprietari dei ruoli della procedura guidata utilizzando un'utilità della riga di comando dedicata. Servizi di dominio Active Directory utilizza un'utilità della riga di comando per controllare determinate modifiche. Ntdsutil... Per visualizzare tutti i controller di dominio dotati di ruoli di Operations Wizard utilizzando questa utilità, attenersi alla seguente procedura:

Inoltre, per visualizzare i ruoli FSMO, puoi utilizzare l'utilità Dcdiag con la squadra / test: Knowsofroleholders / v ... Puoi vedere parte dell'output di questo comando di seguito:

Riso. 6. Definizione dei ruoli FSMO utilizzando l'utility Dcdiag
Acquisizione e trasferimento dei ruoli della procedura guidata dell'operazione
In Active Directory, esistono concetti come trasferire e assumere (noto anche come revoca) i ruoli delle procedure guidate delle azioni. Prima di tutto, dovresti scoprire di cosa si tratta e qual è la differenza tra questi concetti.
Come indicato in precedenza, tutti e cinque i ruoli della procedura guidata delle operazioni vengono inizialmente installati nel primo controller di dominio della foresta. È pratica comune distribuire diversi controller di dominio aggiuntivi all'interno dello stesso dominio per migliorare le prestazioni e la tolleranza di errore in un'organizzazione. E, di conseguenza, per evitare conflitti in futuro, si consiglia di distribuire immediatamente i ruoli delle procedure guidate delle operazioni a diversi controller di dominio. Inoltre, se è necessario chiudere o disattivare un controller di dominio che funge da master delle operazioni, è necessario spostare tutti i ruoli FSMO da esso ad altri controller di dominio.
A sua volta, il sequestro del ruolo è necessario nel caso in cui un controller di dominio dotato di ruoli specifici delle procedure guidate dell'operazione non riesca e non si riesca a trasferire i ruoli da questo controller di dominio in tempo. I rischi a cui potresti essere esposto se i controller di dominio con i ruoli della procedura guidata delle operazioni non riescono sono stati discussi in precedenza in questo articolo. In questo caso, non hai modo di trasferire il ruolo FSMO utilizzando il tuo metodo preferito per trasferire i ruoli. Pertanto, devi solo acquisire il token delle operazioni attraverso la revoca del ruolo. Ma vale la pena ricordare che il sequestro dei ruoli è il metodo più radicale e deve essere eseguito solo quando il proprietario dei ruoli principali delle operazioni è fuori servizio. Quando viene eseguito il processo di dirottamento del ruolo di Operations Wizard, l'attributo fsmoRoleOwner dell'oggetto radice dei dati viene modificato nel computer esistente senza eseguire alcuna sincronizzazione dei dati. Altri controller di dominio apprenderanno naturalmente del nuovo proprietario del ruolo FSMO man mano che le modifiche vengono replicate.
Diamo un'occhiata ai processi di trasferimento e acquisizione dei ruoli dei maestri delle operazioni.
Per trasferire un ruolo FSMO, segui questi passaggi:

Il processo di acquisizione dei ruoli degli Action Wizards è un po' più complicato del trasferimento, poiché richiede l'uso dell'utilità Ntdsutil di cui si è discusso nella sezione precedente. Per assumere un ruolo da un controller di dominio guasto, attenersi alla seguente procedura:
Apri una riga di comando e in essa vai all'utilità ntdsutil;

Passare alla gestione dei ruoli NTDS utilizzando il comando ruoli;

È necessario stabilire una connessione a un controller di dominio che assumerà il ruolo di proprietario della procedura guidata delle operazioni in futuro. Per fare ciò, esegui il comando connessioni;

In linea "Connessioni server" accedere connettersi al server e specificare il controller di dominio richiesto;

Torna a gestione fsmo usando il comando esentato;

Ora in linea gestione fsmo specificare il comando prendere e clicca su accedere;

In questo passaggio finale, è necessario selezionare il ruolo FSMO che verrà rilevato dal controller di dominio non funzionante.

Un lettore attento potrebbe porre la seguente domanda: cosa devo fare se il controller di dominio morto è stato rianimato e come posso restituire la proprietà del ruolo sequestrato a questo controller di dominio? Tutto è relativamente semplice qui. Prima di tutto, è necessario essere consapevoli che se il ruolo Emulatore PDC o Infrastruttura è stato revocato, è possibile trasferire nuovamente il ruolo di Operations Wizard al controller di dominio ripristinato senza troppi problemi.
Ma nel caso in cui sia stato acquisito il ruolo del master dello schema, del nome del dominio o dei relativi RID, sarà necessario eseguire i seguenti passaggi:
Disconnettere fisicamente un controller di dominio di questo tipo dalla rete;

Abbassa di livello un controller di dominio a un server membro utilizzando il comando Dcpromo / forceremoval;

Cancella i metadati per il controller di dominio corrente. Puoi pulire i metadati usando l'utility Ntdsutil con la squadra Pulizia dei metadati;

Dopo aver rimosso i metadati, è necessario portare il server in linea, unire il dominio e quindi promuovere il server a controller di dominio;

Nell'ultimo passaggio, trasferisci semplicemente il ruolo a questo controller di dominio.

Procedure guidate per le operazioni di hosting sui controller di dominio

In questa sezione, esaminerò alcune linee guida per l'inserimento di tutti i ruoli di Operations Wizard sui controller di dominio. Pertanto, non ci sono molti di questi consigli, quindi cercherò di semplificare il più possibile questa sezione.
Prima di tutto, se si dispone di una foresta, un dominio e un controller di dominio, tutti e cinque i ruoli della procedura guidata dell'operazione saranno ospitati su quel controller di dominio, ma per scopi di bilanciamento del carico si consiglia di trasferire i ruoli ad altri controller di dominio.
Le linee guida generali per l'assegnazione dei ruoli FSMO sono le seguenti:
Ruoli host RID Master ed emulatore PDC sullo stesso controller di dominio... Questi ruoli della procedura guidata delle operazioni sono collocati insieme per motivi di bilanciamento del carico. Poiché questi ruoli sono partner di replica diretta, inserendo questi ruoli su controller di dominio separati, sarà necessario stabilire una connessione veloce per i rispettivi due sistemi e creare oggetti espliciti per essi in Active Directory. Inoltre, se nella tua organizzazione sono presenti server che svolgono il ruolo di master of operations di backup, su tali server questi ruoli devono essere anche partner diretti;

Ospitare lo schema del dominio e i ruoli della procedura guidata di denominazione su un singolo controller di dominio... Come regola generale, i ruoli Creazione guidata schema e Creazione guidata denominazione dominio si trovano in un unico controller di dominio che funge da server di catalogo globale. Il ruolo della procedura guidata per la denominazione dei domini deve essere anche un server di catalogo globale, poiché quando si aggiunge un nuovo dominio, la procedura guidata deve garantire che non vi siano oggetti nella foresta con lo stesso nome del nuovo dominio da aggiungere. Se un controller di dominio con il ruolo Domain Naming Master non è un server di catalogo globale, le operazioni come la creazione di domini nipote potrebbero non riuscire. Poiché questi ruoli sono i meno utilizzati, è necessario assicurarsi che il controller di dominio che li gestisce sia il più sicuro possibile;

Il ruolo Infrastructure Wizard deve essere ospitato su un controller di dominio che non funge da server di catalogo globale. In genere, la procedura guidata dell'infrastruttura deve essere distribuita a un controller di dominio che non funge da server di catalogo globale, ma dispone di un oggetto di connessione diretta a uno dei cataloghi globali nella foresta. Poiché il server di catalogo globale mantiene repliche parziali di tutti gli oggetti nella foresta, la procedura guidata dell'infrastruttura ospitata sul server di catalogo globale non eseguirà gli aggiornamenti perché non contiene riferimenti a oggetti che non contiene.

Con queste tre regole in mente, puoi posizionare in modo ottimale i Maestri delle operazioni nella tua foresta.
Invece di una conclusione
Quindi questo articolo giunge alla fine. In questo articolo, hai appreso i ruoli degli Action Wizard e a cosa servono. Abbiamo esaminato diversi esempi che descrivevano cosa accadrebbe se non ci fossero procedure guidate per le operazioni in Servizi di dominio Active Directory e tutti i controller di dominio fossero uguali. Tutti e cinque i ruoli FSMO sono stati esaminati in dettaglio, sono stati descritti i metodi per identificare i ruoli sui controller di dominio. Hai anche appreso come trasferire e subentrare ai ruoli di Action Master e come puoi eseguire questi passaggi. Inoltre, hai appreso tre regole da seguire quando scegli le opzioni per ospitare le operazioni guidate sui controller di dominio nella tua organizzazione.