Microsoft Windows Active Directory është depoja qendrore për të gjitha objektet e ndërmarrjes dhe atributet e tyre përkatëse. Kjo bazë të dhënash është hierarkike, e aftë të mbështesë shumë host dhe të përmbajë miliona objekte. Mbështetja multi-master ju lejon të modifikoni bazën e të dhënave nga çdo kontrollues domeni brenda ndërmarrjes, pavarësisht nga gjendja e lidhjes me rrjetin.

Modeli me shumë host i Windows 2000

Një bazë të dhënash me shumë master (siç është Active Directory) pranon ndryshime nga çdo kontrollues domeni brenda ndërmarrjes, të cilat potencialisht mund të çojnë në konflikte kur riprodhohen të dhënat në kompjuterë të tjerë. Si një nga metodat për zgjidhjen e përditësimeve konfliktuale, Windows 2000 përdor algoritmin e përparësisë së hyrjes së fundit, i cili pranon vlerën e të dhënave nga kontrolluesi i fundit i modifikuar i domenit dhe hedh poshtë vlerat në kontrollorët e tjerë të domenit. Megjithatë, disa konflikte janë aq komplekse sa nuk mund të zgjidhen në këtë mënyrë. Është më e lehtë t'i parandalosh sesa t'i eliminosh pas faktit.

Disa lloje ndryshimesh në Windows 2000 trajtohen me metoda që parandalojnë konfliktet midis përditësimeve të Active Directory.

Modeli i mbështetjes së një hosti të vetëm Windows 2000

Për të parandaluar ndodhjen e përditësimeve konfliktuale, Active Directory kryen përditësime për objekte të veçanta duke përdorur një model me një host të vetëm. Sipas këtij modeli, vetëm një kontrollues domeni në të gjithë drejtorinë lejohet të bëjë përditësime. Ky proces është i ngjashëm me rolin që i është caktuar Kontrolluesit Primar të Domenit (PDC) në versionet e mëparshme të Windows (për shembull, Microsoft Windows NT 3.51 dhe 4.0), në të cilin PDC është përgjegjëse për përpunimin e të gjitha përditësimeve në një domen specifik.

Windows 2000 Active Directory zgjeron modelin me një host të vetëm të përdorur në versionet e mëparshme të Windows për të përfshirë mbështetjen për role të shumta dhe aftësinë për të transferuar role te kontrollorët e tjerë në të gjithë ndërmarrjen. Për shkak se roli i Active Directory nuk është i lidhur ngushtë me një kontrollues të vetëm domeni, ai quhet roli Flexible Single Master Operation (FSMO). Ekzistojnë pesë role FSMO në Windows 2000:

• pronar i skemës
• master emërtimi i domenit
• host RID
• Emulator PDC
• demon i infrastrukturës

Roli i FSMO "Skema Master".

Kontrolluesi kryesor i domenit të skemës është përgjegjës për përditësimin e skemës së drejtorisë (d.m.th., skema ose konteksti i emërtimit LDAP: // cn = skema, cn = konfigurimi, dc = ). Vetëm ky kontrollues domeni mund të bëjë ndryshime në skemën e drejtorisë. Pasi skema të përditësohet, ajo përsëritet nga masteri i skemës te kontrollorët e tjerë të domenit në drejtori. Mund të ketë vetëm një master skeme në një direktori.

Domain Emërtimi Master Roli FSMO

Kontrolluesi i domenit në rolin kryesor të emërtimit të domenit është përgjegjës për modifikimin e hapësirës së emrave të domenit të drejtorisë brenda pyllit (d.m.th., ndarjen \ konfigurimi ose konteksti i emërtimit LDAP: // CN = Ndarjet, CN = konfigurimi, DC = ). Vetëm ky kontrollues ka të drejtë të fshijë dhe shtojë domene në drejtori. Përveç kësaj, ai shton dhe heq referenca të kryqëzuara në domenet në drejtoritë e jashtme.

Roli i FSMO "RID Master"

Kontrolluesi i domenit në rolin master RID është përgjegjës për trajtimin e kërkesave të grupit RID nga kontrollorët e tjerë brenda një domeni specifik dhe për heqjen e objekteve nga domeni dhe vendosjen e tyre në një domen tjetër.

Kur një kontrollues domeni krijon një objekt kryesor sigurie (si p.sh. një përdorues ose grup), ai i cakton atij një identifikues sigurie (SID). Ky identifikues përbëhet nga një SID domeni (i përbashkët për të gjithë identifikuesit e sigurisë të krijuar në të njëjtin domen) dhe një identifikues relativ (RID) (unik për çdo kryesor sigurie të krijuar në të njëjtin domen).

Çdo kontrollues domeni i Windows 2000 në domen ka një grup identifikuesish relativ (RID) që mund t'u caktojë parimeve të sigurisë që krijon. Kur numri i RID-ve në grupin e një kontrolluesi domeni bie nën pragun, ai kërkon nga masteri RID për ID të reja. Masteri RID merr ID-të nga grupi i domenit të paalokuar dhe i cakton ato në grupin e kontrolluesit të domenit kërkues. Ekziston vetëm një master RID për domenin e drejtorisë.

Roli i FSMO "PDC Emulator"

Emulatori PDC kërkohet për sinkronizimin e kohës në të gjithë ndërmarrjen. Windows 2000 përfshin shërbimin W32Time (Windows Time), i cili përdoret nga protokolli i vërtetimit Kerberos. Të gjithë kompjuterët Windows 2000 në të njëjtën ndërmarrje ndajnë të njëjtën kohë. Për të siguruar sinkronizimin e saktë të kohës, shërbimi "Windows Time" duhet të përdorë një strukturë marrëdhëniesh hierarkike që kontrollon autoritetin dhe nuk lejon "laqe" në menaxhim.

Emulatori PDC i domenit vepron si emulatori kryesor i domenit. Emulatori PDC në rrënjët e pyllit bëhet emulatori kryesor brenda ndërmarrjes. Duhet të konfigurohet për të marrë një vlerë kohore nga një burim i brendshëm. Kur zgjedh një burim kohe, mbajtësit e roleve FSMO të emulatorit PDC ndjekin hierarkinë e domenit.

Në një domen të Windows 2000, mbajtësi i rolit të emulatorit PDC ruan funksionalitetin e mëposhtëm: Ndryshimet e fjalëkalimit të bëra nga kontrollorët e tjerë të domenit replikohen kryesisht në emulatorin PDC.

Ndryshimet e fjalëkalimit të bëra nga kontrollorët e tjerë të domenit replikohen kryesisht në emulatorin PDC.

Përpara se përdoruesi të marrë një mesazh gabimi të duhur, dështimet e vërtetimit në një kontrollues specifik domeni të shkaktuara nga një fjalëkalim i pasaktë i dërgohen emulatorit PDC.

Rastet e bllokimit të llogarisë trajtohen në emulatorin PDC.

Emulatori PDC kryen të gjitha funksionet e një emuluesi të serverit PDC për Microsoft Windows NT 4.0, versionet e mëparshme të emulatorëve të bazuar në Windows NT 4.0 ose klientë të mëparshëm.

Nuk keni nevojë të përdorni këtë pjesë të rolit të emulatorit PDC nëse të gjitha stacionet e punës, serverët dhe kontrolluesit e domenit që përdorin Windows NT 4.0 ose më të hershëm janë përmirësuar në Windows 2000. Emulatori PDC kryen të njëjtat funksione si në një mjedis Windows 2000 .

Në vijim përshkruhen ndryshimet që ndodhin gjatë procesit të përmirësimit: Klientët që përdorin Windows 2000 (stacionet e punës, serverët) dhe klientët e mëparshëm me të instaluar Paketën e Klientit të Shërbimeve të Shpërndara nuk i japin përparësi kontrolluesit të domenit kur bëjnë hyrje në drejtori (siç janë ndryshimet e fjalëkalimit) që e ka deklaruar veten PDC dhe përdor çdo kontrollues domeni për këtë.

Pas përmirësimit në kontrolluesit rezervë të Windows 2000 (BDC) në domenet e nivelit të ulët, emulatori PDC ndalon marrjen e kërkesave për riprodhim nga domenet e nivelit të ulët.

Klientët e Windows 2000 (stacionet e punës, serverët) dhe klientët e mëparshëm që kanë të instaluar Paketën e Klientit të Shërbimeve të Shpërndara përdorin Active Directory për të gjetur burimet e rrjetit. Shërbimi i shfletuesit Windows NT nuk kërkohet për ta.

Roli i FSMO "Infrastruktura"

Një referencë për një objekt nga një domen në një objekt nga një domen tjetër përcaktohet nga GUID, SID (për parimet e sigurisë) dhe emri i dalluar (DN) i objektit. Kontrolluesi kryesor i domenit të infrastrukturës është përgjegjës për përditësimin e identifikuesve të sigurisë dhe emrave të dalluar të objekteve në referencat e objekteve të ndërsjella.

Shënim.

Roli i Infrastrukturës Master (IM) nuk duhet të luhet nga një kontrollues domeni që është një server i katalogut global. Përndryshe, masteri i infrastrukturës nuk do të përditësojë informacionin e objektit sepse ai nuk përmban referenca për objektet që nuk i ruan. Arsyeja për këtë sjellje është se serveri i katalogut global ruan kopje të pjesshme të të gjitha objekteve në pyll. Si rezultat, referencat e objekteve ndërmjet domeneve në atë domen nuk do të përditësohen dhe një paralajmërim do të shfaqet në regjistrin e ngjarjeve të këtij kontrolluesi të domenit.

Nëse kontrollorët në një domen të veçantë ruajnë gjithashtu një katalog global, të gjithë kontrollorët e domenit do të kenë informacionin më të fundit, pavarësisht se cili kontrollues domeni mban rolin Master të Infrastrukturës.

Asnjë postim i lidhur...

Transferimi i FSMO. Qëllimi i ngjarjes sonë është të transferojmë FSMO nga një kontrollues domeni në tjetrin. Për të qenë në anën e sigurt, unë do të mbuloj disa mënyra për të transferuar role, duke përfshirë rastin kur masteri aktual FSMO nuk është i disponueshëm.

Së pari, një teori e vogël:
FSMO (Operacionet Flexible single-master) janë lloje të operacioneve të kryera nga kontrollorët e domenit Active Directory që kërkojnë veçantinë e serverit që i kryen ato.

Kjo do të thotë, të gjithë kontrolluesit e domenit janë të barabartë, por një (ose disa) janë më të barabartë se të tjerët, për aq sa kryejnë pikërisht këto operacione me një interpretues. Në varësi të llojit të operacionit, unikaliteti i FSMO nënkuptohet ose brenda pyllit të domenit ose domenit.

Në total, korporata e vogël e butë na ka dhënë 5 role:

• Masteri i skemës është një server me këtë rol për të gjithë pyllin. Roli kërkohet për të zgjeruar skemën e pyllit të Active Directory, zakonisht ky operacion kryhet nga komanda adprep / forestprep
• Master i emërtimit të domenit - një për të gjithë pyllin. Një server me këtë rol duhet të sigurojë që emrat të jenë unikë për të gjitha domenet dhe ndarjet e aplikacioneve që krijohen në pyllin AD.
• Pronari i identifikuesve relativ (emulatori PDC) është një server për domen. Ai ka disa funksione: është shfletuesi kryesor në rrjetin Windows, monitoron kyçjet e përdoruesve nëse fjalëkalimi është futur gabimisht, është serveri kryesor NTP në domen dhe është krijuar për të mbështetur klientët me sisteme operative para Windows 2000.
• Emulatori Master i Infrastrukturës - një server për domen. Një server me këtë rol kërkohet që komanda adprep / domainprep të funksionojë me sukses. Përgjegjës për përditësimin e identifikuesve të sigurisë (GUID, SID) dhe emrat e dalluar të objekteve në referencat e objekteve ndër-domenale.
• Pronari i Infrastrukturës së Domenit (RID Master) - një server për çdo domen. Serveri shpërndan RID (500 secili) te kontrollorët e tjerë të domenit për të krijuar SID unike.

Për të menaxhuar rolin master të skemës, duhet të jeni në grupin "Administrat e skemës".
Për të menaxhuar rolin kryesor të emërtimit të domenit, duhet të jeni anëtar i grupit "Administrat e ndërmarrjes".
Për të menaxhuar rolet e emulatorit PDC, Masterit të Infrastrukturës dhe Masterit RID, duhet të keni të drejta administratori për "Adminatorët e Domenit"

Nevoja për transferimin e roleve mund të lindë për arsye të ndryshme, pasi në rrjetet e mëdha këto role mund të kryhen nga serverë të ndryshëm, megjithëse në rastin tonë të gjitha rolet kryhen nga një server. Është e domosdoshme që çdo rol të kryhet në domenin tuaj, nëse ndonjë rol nuk i është caktuar ndonjë serveri, atëherë mund të përballeni me shumë surpriza të pakëndshme, si menjëherë ashtu edhe pas një kohe të gjatë, në varësi të strukturës së AD.

Kur krijohet një domen, si parazgjedhje, të gjitha rolet i caktohen kontrolluesit të parë të domenit në pyll. Ricaktimi i roleve kërkohet rrallë. Microsoft rekomandon përdorimin e FSMO Role Transfer në skenarët e mëposhtëm:

• Degradimi i planifikuar i kontrolluesit të domenit që zotëron rolet FSMO, për shembull, për të çaktivizuar serverin (ky është vetëm rasti im);
• Mbyllja e përkohshme e një kontrolluesi domeni, për shembull për qëllime mirëmbajtjeje. Kjo është veçanërisht e rëndësishme kur çaktivizoni emulatorin PDC. Çaktivizimi i pjesës tjetër të masterave të funksionimit ndikon përkohësisht AD në një masë më të vogël.

Ju do të duhet të kapni rolet e FSMO në rastet e mëposhtme:

• Nëse mbajtësi aktual i rolit të FSMO përjeton ndërprerje që pengojnë kryerjen e suksesshme të funksioneve të qenësishme në këtë rol dhe nuk lejojnë transferimin e rolit;
• Sistemi operativ riinstalohet ose nuk niset në kontrolluesin e domenit që zotëron rolin FSMO;
• Kontrolluesi i domenit që mbante rolin FSMO u degradua me forcë duke përdorur komandën dcpromo / forceremoval.

Pra, gjëja e parë që na duhet është të zbulojmë se cili server është hosti FSMO. Mënyra më e lehtë për ta bërë këtë është me programin netdom. Duke shtypur në tastierë:

> pyetje neto fsmo

Ne do të marrim një listë të të pesë roleve me FQDN-të pritës. Ju gjithashtu mund ta përdorni këtë mjet pas transferimit të roleve për t'u siguruar që operacioni të jetë i suksesshëm.

Tani mund të filloni të transferoni drejtpërdrejt FSMO:

Metoda e parë, më e thjeshta dhe më tërheqëse për mua - transferimi i roleve FSMO duke përdorur mjetin ntdsutil:

ntdsutil.exe është një mjet i linjës së komandës për mirëmbajtjen e Active Directory. Ai siguron shumë aftësi të menaxhimit të AD, duke përfshirë transferimin dhe kapjen e roleve të FSMO.
Për të transferuar role, shkoni te çdo kontrollues domeni (ky nuk duhet të jetë masteri aktual ose i ardhshëm i FSMO) i vendosur në pyllin në të cilin duhet të kryhet transferimi i roleve. Rekomandohet që të identifikoheni në një kontrollues domeni që i janë caktuar rolet FSMO. Hapni konsolën dhe futni:
> ntdsutil
Pas kësaj, programi niset në modalitetin interaktiv dhe mund të marrë komanda. Komanda jonë e parë tregon se ne duam të punojmë me FSMO
> rolet
Si përgjigje, prompti do të ndryshojë në mirëmbajtje fsmo: Më pas, për të thirrur lidhjen "menu", futni
> lidhjet
Dhe ftesa ndryshon në lidhjet e serverit: Tani mund të specifikoni se me cilin server dëshirojmë të lidhemi (<Имя_сервера>është emri i kontrolluesit të domenit tek i cili dëshironi të transferoni rolin FSMO.)
> lidheni me serverin<Имя_сервера>
për të dalë nga menyja e lidhjes, futni
> q
dhe shtypni Enter. Tani, pasi kemi marrë përsëri kërkesën për mirëmbajtjen e fsmo: ne mund të vazhdojmë me transferimin e roleve. Komanda e transferimit është menduar për këtë:
> transferimi<имя_роли>
Si<имя_роли>ju duhet të specifikoni rolin që dëshironi të transferoni:

• emërtimi master - transferimi i rolit kryesor të emrit të domenit;
• master i infrastrukturës - transferimi i rolit master të infrastrukturës;
• RID master - transferimi i rolit master RID;
• schema master - transferimi i rolit master të skemës;
• PDC - Transferimi i rolit të emulatorit PDC.

Në versionet e Windows-it më të hershëm se Windows Server 2008R2, masteri i emërtimit të domenit quhet master i emërtimit të domenit. Siç është zakon në sistemet Windows, rasti nuk ka rëndësi.

Pas futjes së çdo komande transferimi, shfaqet një kuti dialogu me një kërkesë konfirmimi (mund të kishit kërkuar konfirmim në tastierë, përndryshe rezulton "jo konsol"), shtypim "OK" çdo herë, përveç nëse sigurisht që i keni shkruar të gjitha komandat e mëparshme rastësisht. :)
Për të dalë nga Ntdsutil, futni komandën q dhe shtypni Enter.

Detyrimi i roleve të fsmo me Ntdsutil

Por çfarë duhet të bëjmë nëse pronari i rolit është i padisponueshëm, i dëmtuar dhe nuk ka asnjë shpresë për ta kthyer në detyrë në të ardhmen e afërt? Dhe këtu ntdsutil.exe do të na ndihmojë përsëri:
Caktimi i detyruar (sekuestrimi) i roleve kryhet vetëm në rast të dështimit të plotë të serverit, me pamundësinë e rikuperimit të tij. Nëse është e mundur, është më mirë të rivendosni funksionalitetin e masterit të dështuar të FSMO. Vetë procedura e kapjes është e ngjashme me atë të përshkruar më sipër. Shkojmë te kontrolluesi i domenit në të cilin duam të transferojmë rolet dhe bëjmë të njëjtën gjë që ishte shkruar në paragrafin e mëparshëm duke futur:
> ntdsutil
> rolet
> lidhjet
> lidheni me serverin<имя_сервера>
> q
I vetmi ndryshim është se në vend të komandës së transferimit, komanda përdoret për të detyruar kapjen e rolit. kap
> kap<имя_роли>
Ku<имя_роли>si më parë

• master emërtimi - master emërtimi i domenit (deri në Windows Server 2008R2 - master emërtimi i domenit);
• master infrastrukture - master infrastrukture;
• rid master - RID master;
• schema master - schema master;
• pdc është një emulator PDC.

Mos harroni të provoni të transferoni rolin duke përdorur komandën e transferimit përpara se të kapni rolin dhe përdorni kapjen vetëm në rast dështimi.

Kurdoherë që është e mundur, mos ia caktoni rolin Master Infrastructure një kontrolluesi domeni që është një server i katalogut global, sepse ai nuk do të përditësojë informacionin e objektit nëse është e mundur. Arsyeja për këtë sjellje është se serveri i katalogut global ruan kopje të pjesshme të të gjitha objekteve në pyll.

Në asnjë rrethanë mos e ktheni kontrolluesin e domenit që ka luajtur më parë rolet e FSMO-së "në linjë" nëse rolet e luajtura prej tij janë kapur nga komanda seize. kur të shfaqet në rrjet, do të lindë një konflikt, i cili mund të çojë në telashe të mëdha. Duhet të hiqet nga Active Directory. Në Windows Server 2008 e më vonë, mund ta bëni këtë duke fshirë thjesht objektin e serverit në Përdoruesit dhe Kompjuterët e Drejtorisë Active Directory, dhe në Windows Server 2003 duke përdorur Ntdsutil duke përdorur komandën ntdsutil - pastrimi i meta të dhënave.

Opsioni i dytë - Transferimi vullnetar i roleve FSMO duke përdorur snap-in e menaxhimit të Active Directory, është i çuditshëm dhe i papërshtatshëm, por ky është vetëm mendimi im subjektiv, vetë metoda funksionon shkëlqyeshëm.

Ju mund të transferoni role të nivelit të domenit (RID Master, PDC Emulator dhe Infrastructure Master) duke përdorur skedarin snap-in Active Directory Users and Computers. Për ta bërë këtë, shkoni te kontrolluesi i domenit në të cilin duam të transferojmë rolet, hapni snap-in dhe klikoni me të djathtën në domenin e kërkuar, zgjidhni artikullin "Operations Masters".

Në dritaren që hapet, zgjidhni rolin që na nevojitet dhe klikoni butonin "Ndrysho" Më pas konfirmojmë transferimin e rolit dhe shikojmë rezultatin. Emri i hostit të operacioneve duhet të ndryshohet në emrin e serverit aktual.

Për të transferuar rolin Master në emërtimin e domenit, ju nevojitet snap-in Active Directory Domains and Trust. Hapni snap-in, nëse është e nevojshme, lidheni me kontrolluesin e kërkuar të domenit, kliko me të djathtën në rrënjën e snap-in dhe zgjidhni artikullin e menusë "Operations Master".

Hapet një dritare në të cilën duhet të klikoni butonin "Ndrysho" dhe më pas të konfirmoni ndryshimet në të njëjtën mënyrë si në rastin e mëparshëm.

Për të transferuar rolin Master Skema, do t'ju duhet të bëni manipulime pak më komplekse. Hapi i parë është regjistrimi i Bibliotekës së Menaxhimit të Skemës Active Directory në sistem. Kjo mund të bëhet me komandën
> regsvr32 schmmgmt.dll

Pastaj hapni tastierën MMC dhe shtoni në të skemën e skedarit Active Directory.

Tani mund të futeni në skedarin shtesë dhe të ndryshoni zotëruesin e rolit Master Skema, si në shembujt e mëparshëm, duke klikuar me të djathtën në skemë dhe duke zgjedhur artikullin "Operations Master ...".

Hora! Të gjitha rolet janë transferuar. Edhe një herë, mos e lini kurrë domenin tuaj pa një pronar të caktuar roli FSMO. Kurrë! :)

• Mbrapa

Komentet (1)

Artikuj të rinj:

• Network Discovery nuk do të aktivizohet në Windows 7/8/2008/2012

  Thelbi i problemit është se një përdorues në një sistem Windows 7 nuk mundëson zbulimin e rrjetit në cilësimet e rrjetit. Më saktësisht, ndizet, por nëse mbyllni dhe ...

• Gabim: Ky aplikacion dështoi të fillonte sepse nuk mund të gjente ose ngarkonte "windows" të shtojcës së platformës Qt.

  Pra, pas instalimit duke kopjuar drejtpërdrejt një aplikacion të shkruar në C ++ duke përdorur bibliotekën Qt, marrim gabimin e mëposhtëm: Ky aplikacion dështoi të fillojë ...

hb860 25 nëntor 2011 në orën 14:02

Gjithçka që dëshironi të dini për masterin e operacioneve, por kishit frikë të pyesni

• Administrimi i sistemit

Shumica e administratorëve të sistemit në mjedisin e tyre të korporatës përdorin Shërbimet e Domainit të Drejtorisë Active për të siguruar identifikimin dhe aksesin në burimet e ndërmarrjes për përdoruesit e tyre, të cilat mund të quhen në mënyrë të sigurtë zemra e të gjithë infrastrukturës së ndërmarrjes. Siç e dini shumë prej jush, struktura e shërbimeve të domenit në organizata mund të përfshijë një ose disa pyje (një grup domenesh që përfshijnë një përshkrim të konfigurimit të rrjetit dhe një shembull të vetëm të një drejtorie), në varësi të faktorëve të tillë si kufizimi i fushës së marrëdhëniet e besimit, ndarja e plotë e të dhënave të rrjetit, marrja e izolimit administrativ. Nga ana tjetër, çdo pyll i madh duhet të ndahet në fusha për të thjeshtuar administrimin dhe riprodhimin e të dhënave. Në çdo domen, për të menaxhuar shërbimet e domenit dhe për të kryer detyra të tilla si vërtetimi, fillimi i një shërbimi Qendra e shpërndarjes së çelësave Kerberos dhe kontrolli i aksesit përdoret nga kontrolluesit e domenit. Faqet e internetit janë duke u zhvilluar për të menaxhuar trafikun e rrjetit ndërmjet zyrave.
I gjithë informacioni për pyjet, domenet dhe faqet, natyrisht, duhet të jetë i qëndrueshëm edhe gjatë dizajnimit të Shërbimeve të Domainit të Active Directory, sipas kërkesave të tilla të korporatës si: kërkesat e biznesit, kërkesat funksionale, kërkesat ligjore, të sigurisë, si dhe kufizimet e projektimit për dokumentacionin. Shpesh, të gjitha këto pika planifikohen me kujdes nga vetë departamenti i IT-së i kompanisë ose ekipi i projektit që merret me infrastrukturën e ndërmarrjes përpara se të vendosë shërbimet e domenit dhe regjistrohen në një marrëveshje të veçantë të nivelit të shërbimit që përcakton nivelin e pritur të performancës dhe cilësisë. të shërbimit të ofruar.
Informacioni i marrë pas projektimit ose, më shpesh, pas vendosjes së AD DS duhet të dokumentohet me kujdes. Një dokumentacion i tillë duhet të përfshijë informacione në lidhje me strukturën shumë logjike dhe fizike të shërbimeve të domenit, modelet administrative, infrastrukturën për zgjidhjen e emrave, çdo ndryshim të planifikuar në mjedisin e organizatës, si dhe komponentë shtesë të infrastrukturës si zbatimi i serverëve të postës së Microsoft Exchange, Sistemit. Serverët e qendrës dhe shumë më tepër. Në shumicën e rasteve, stafi i TI-së i një organizate e injoron procesin e dokumentimit dhe kur stafi i TI-së ndryshon, administratorëve të rinj mund t'u duhet pak kohë për t'u lidhur plotësisht me infrastrukturën aktuale të organizatës.
Ju gjithashtu duhet të kuptoni se në shërbimin e direktoriumit, pothuajse të gjithë kontrolluesit e domenit janë të barabartë (në këtë kontekst, ne nuk marrim parasysh kontrolluesit e domenit vetëm për lexim, RODC), domethënë, të gjithë kontrollorët e domenit kanë qasje shkrimi në bazën e të dhënave dhe mund të kopjojë këto të dhëna tek të tjerët.kontrolluesit. Kjo topologji trajton mirë shumicën e operacioneve të parëndësishme të Active Directory dhe quhet përsëritje peer-to-peer(Multimaster). Por, megjithatë, ka disa operacione që duhet të kryhen në serverin e autorizuar të caktuar drejtpërdrejt për operacione të tilla. Me fjalë të tjera, kontrolluesit e domenit që kryejnë operacione ose role specifike në domenin e tyre quhen master operacionesh (ose master). Njohja dhe kuptimi i qëllimit të të gjitha roleve të Operacioneve Wizard është thelbësor sepse në rast të një rikuperimi, përmirësimi ose migrimi nga fatkeqësia, janë kontrollorët e domenit që kryejnë rolet e Operacioneve Wizard që mund të luajnë një nga rolet më të rëndësishme. Prandaj, bëhet fjalë për magjistarët e operacioneve që do të diskutohen në këtë artikull.
Në këtë artikull do të mësoni:

• Për atë që do të kishte ndodhur nëse nuk do të kishte magjistarët e operacionit;
• Rreth roleve të magjistarëve të operacioneve në nivel pylli;
• Rreth roleve të magjistarëve të operacioneve në nivel domeni;
• Si mund të përcaktoni se cili kontrollues ka rolin e FSMO;
• Kapja dhe transferimi i roleve të mjeshtrave të operacionit;
• Rreth vendosjes së saktë të magjistarëve të funksionimit në kontrollorët e domenit.

• Planifikimi dhe dokumentimi i kontrollorëve të domenit që kanë role të magjistarit të operacioneve... Kjo është një temë më vete që përfshin të kuptuarit e nuancave të planifikimit të Shërbimeve të Domainit të Active Directory dhe është përtej qëllimit të këtij artikulli;
• Serverët e katalogut global... Shumë administratorë të sistemit barazojnë serverët e katalogut global me rolet e magjistarëve të veprimit. Në fakt, ky është një gjykim i rremë. Katalogu global është një depo e shpërndarë e të dhënave që ruan informacione për çdo objekt, dhe gjithashtu lejon përdoruesit dhe aplikacionet të gjejnë objekte në çdo domen të pyllit aktual duke kërkuar atributet e përfshira në katalogun global, të cilat identifikohen në skemë si private. grup atributesh. Vetë katalogu global qëndron në kontrollorët e domenit të caktuar si serverë të katalogut global dhe nga ana tjetër përsëritet përmes replikimit Multimaster. Megjithëse katalogu global përmban një listë të plotë të të gjitha objekteve në pyll, dhe serverët e katalogut global mund t'u përgjigjen të gjitha kërkesave pa pasur nevojë t'u referohen kontrolluesve të tjerë të domenit, katalogu global nuk është një rol për magjistarët e veprimit. Mund të lexoni artikullin e mëposhtëm rreth serverëve të katalogut global: "Serverë të katalogut global";
• Ndërveprimi i magjistarëve të operacioneve me kontrolluesit e domenit vetëm për lexim... Lexo vetëm Domain Controllers (Read Only Domain Controllers) janë një lloj i veçantë, relativisht i ri i kontrolluesve të domenit që duhet të vendosen në zyrat e degëve të një organizate që nuk janë të pajisur me një nivel të mjaftueshëm sigurie dhe personel të kualifikuar IT. Ashtu si me planifikimin e magjistarëve të funksionimit dhe serverëve të katalogut global, kontrollorët e domenit vetëm për lexim (RODC) janë një temë e gjerë më vete dhe nuk ka kuptim të kapet në këtë artikull. Megjithatë, ia vlen të theksohet menjëherë se kontrollorët e domenit vetëm për lexim nuk mund të veprojnë si kontrollues domeni me rolin e Operacioneve Wizard;
• Zgjidhja e problemeve dhe gabimet me magjistarët e veprimit... Një temë interesante dhe mjaft voluminoze që nuk do të mbulohet, pasi ky artikull diskuton konceptet e përgjithshme të roleve të magjistarëve të operacionit.

Çfarë do të ndodhte nëse nuk do të kishte mjeshtër operacioni

• Protokolli i lehtë i qasjes në drejtori (LDAP);
• SMTP.

Rolet e magjistarëve të operacioneve në nivel pyjor

• Magjistari i skemës;
• Magjistari i emërtimit të domenit

Roli i Mjeshtrit të Skemës

Roli i Masterit të Emërtimit të Domenit

• Shtimi dhe heqja e domeneve... Kur kryeni një operacion të tillë si shtimi ose heqja e një domeni fëmijësh duke përdorur magjistarin e instalimit të Active Directory ose programin e linjës së komandës, magjistari i instalimit i referohet në mënyrë specifike magjistarit të emërtimit të domenit dhe kërkon të drejtën për të shtuar ose, përkatësisht, për të fshirë këtë të fundit. Domain Naming Wizard është gjithashtu përgjegjës për të siguruar që domenet në një pyll të kenë emra unikë NETBIOS në të gjithë pyllin. Natyrisht, për arsye të dukshme, nëse magjistari i emërtimit të domenit nuk është i disponueshëm, nuk do të mund të shtoni ose hiqni domenet në pyll;
• Shtimi dhe heqja e referencave të kryqëzuara... Siç e dini tashmë, kur krijoni kontrolluesin e parë të domenit në një pyll, ai krijon skema, konfigurime dhe ndarje të direktorive të domenit. Në këtë kohë, krijohet një objekt ndër-referencash (klasa crossRef) për çdo ndarje direktorie në kontejnerin Partitions të seksionit të konfigurimit (CN = ndarje, CN = konfigurim, DC = forestRootDomain). Objekti i referencës së kryqëzuar përcakton emrin dhe vendndodhjen e serverëve që ruajnë secilën ndarje të drejtorive në pyll. Me krijimin e çdo domeni ose ndarjeje pasuese të katalogut të aplikacionit, fillon krijimi i një objekti të kryqëzuar në kontejnerin e ndarjeve.
• Shtimi dhe heqja e ndarjeve të drejtorisë së aplikacioneve... Ndarjet e direktoriumit të aplikacioneve janë ndarje të veçanta që mund të krijoni në kontrollorët e domenit Windows Server 2003, Windows Server 2008 ose Windows Server 2008 R2 për të siguruar ruajtje dinamike të të dhënave për aplikacionet LDAP. Nëse pylli juaj po funksionon në nivelin e Windows Server 2000, atëherë në një pyll të tillë të gjitha të dhënat jo-domain janë të kufizuara në konfigurimin dhe të dhënat e skemës që replikohen në të gjithë kontrolluesit e domenit në pyll. Në një pyll Windows Server 2003/2008 dhe 2008R2, Ndarjet e Katalogut të Aplikacioneve ofrojnë ruajtje të të dhënave specifike të aplikacionit në një kontrollues domeni që mund të riprodhohet në çdo kontrollues domeni në pyll.
• Konfirmimi i udhëzimeve për riemërtimin e domeneve... Hapi i fundit për Magjistarin e Emërtimit të Domenit është konfirmimi i udhëzimeve për riemërtimin e domeneve. Zakonisht, është zakon të riemërtoni domenet duke përdorur një mjet të veçantë të linjës së komandës. Pra, kur përdorni mjetin Rendom.exe, i cili është krijuar për të riemërtuar domenet, për të riemërtuar një domen, programi duhet të ketë akses në magjistarin e emërtimit të domenit. Përveç veçorive të mësipërme, Magjistari i Emërtimit të Domenit është gjithashtu përgjegjës për konfirmimin e udhëzimeve për riemërtimin e domeneve. Kur ekzekutoni mjetin e specifikuar, në një kontrollues domeni me rolin Magjistari i emërtimit të domenit, një skrip XML që përmban udhëzime për riemërtimin e domeneve shkruhet në atributin msDS-UpdateScript të objektit të kontejnerit Partitions (CN = ndarje, CN = konfigurim, DC = forestRootDomain) të ndarjes së drejtorisë së konfigurimit. Vlen të kujtohet se kontejneri i ndarjeve mund të përditësohet vetëm në një kontrollues domeni që përmban rolin Master të emërtimit të domenit. Përveç vlerës së atributit msDS-UpdateScript, mjeti Rendom.exe shkruan emrin e ri DNS të çdo domeni të riemërtuar në atributin msDS-DnsRootAlias ​​të objektit të referencës së kryqëzuar (klasa crossRef) që korrespondon me atë domen. Përsëri, meqenëse objekti i referencës së kryqëzuar ruhet në kontejnerin Partitrions, ky objekt mund të përditësohet vetëm në një kontrollues domeni me rolin Master të emërtimit të domenit. Të dhënat e ndryshuara për atributet msDS-UpdateScript dhe msDS-DnsRootAlias ​​replikohen në të gjithë kontrolluesit e domenit në pyll.

Rolet e magjistarit të operacioneve të domenit

• Relative RID Wizard
• Emulator PDC PDC
• Magjistari i Infrastrukturës

RID Master

Emulator PDC

• Merrni pjesë në përsëritjen e përditësimeve të fjalëkalimit të domenit... Kur një fjalëkalim i përdoruesit ndryshohet ose rivendoset, kontrolluesi i domenit që bën domenin përsërit ndryshimin në emulatorin PDC përmes riprodhimit të përshpejtuar. Ky përsëritje siguron që kontrollorët e domenit të mësojnë shpejt fjalëkalimin e ndryshuar. Në rast se një përdorues përpiqet të identifikohet menjëherë pas ndryshimit të fjalëkalimit, kontrolluesi i domenit që i përgjigjet kësaj kërkese mund të mos e dijë ende fjalëkalimin e ri. Përpara se të refuzojë përpjekjen për hyrje, ky kontrollues i domenit përcjell një kërkesë vërtetimi te emulatori PDC, i cili verifikon që fjalëkalimi i ri është i saktë dhe udhëzon kontrolluesin e domenit të pranojë kërkesën për hyrje. Kjo do të thotë që sa herë që një përdorues fut një fjalëkalim të pasaktë, vërtetimi i dërgohet emulatorit PDC për një përfundim përfundimtar;
• Menaxhimi i përditësimeve të politikave të grupit në domen... Siç e dini, Politika e Grupit përdoret për të menaxhuar shumicën e cilësimeve të konfigurimit për kompjuterët dhe përdoruesit në organizatën tuaj. Në rast se një GPO modifikohet në dy kontrollues domenesh afërsisht në të njëjtën kohë, atëherë më vonë, mund të lindin konflikte midis dy versioneve që nuk zgjidhen kur përsëriten GPO-të. Për të shmangur konflikte të tilla, emulatori PDC funksionon si më poshtë: kur hapni një GPO, skedari i redaktimit të menaxhimit të politikave të grupit lidhet me kontrolluesin e domenit që luan rolin PDC dhe të gjitha ndryshimet në GPO bëhen në emulatorin PDC nga default;
• Duke vepruar si një shfletues qendror për një domen... Klientët përdorin Active Directory për të zbuluar burimet e rrjetit. Kur hapni një dritare "Neto" sistemi operativ shfaq një listë të grupeve të punës dhe domeneve. Pasi përdoruesi të hapë grupin e punës ose domenin e specifikuar, ai do të jetë në gjendje të shohë listën e kompjuterëve. Këto lista krijohen përmes shërbimit të shfletuesit dhe në çdo segment të rrjetit, shfletuesi pritës krijon një listë shfletimi me grupet e punës, domenet dhe serverët e atij segmenti. Shfletuesi qendror bashkon listat e të gjithë shfletuesve kryesorë në mënyrë që makinat e klientit të mund të shikojnë të gjithë listën e shfletimit. Unë mendoj se nga të gjitha funksionet e emulatorit PDC, mund të keni pyetje që lidhen drejtpërdrejt me shfletuesin qendror të domenit, prandaj, kjo temë do të diskutohet në detaje në një artikull të veçantë;
• Sigurimi i burimit kryesor të kohës së domenit... Për shkak se Active Directory, Kerberos, DFS-R dhe FRS përdorin të gjitha stampa kohore, kërkohet sinkronizimi i kohës në të gjitha sistemet në domen. Emulatori PDC në domenin rrënjë të pyllit shërben si burimi kryesor i kohës për të gjithë pyllin. Pjesa tjetër e kontrolluesve të domenit sinkronizojnë kohën me emulatorin PDC dhe kompjuterët e klientëve me kontrolluesit e tyre të domenit. Shërbimi i sinkronizimit hierarkik, i cili zbatohet në shërbimin Win32Time, garanton qëndrueshmëri kohore.

Magjistari i Infrastrukturës

Si të përcaktoni se cili kontrollues domeni ka rolin e FSMO

Përcaktimi i pronarëve të roleve të magjistarit të operacioneve duke përdorur GUI

Përcaktimi i pronarëve të magjistarëve të operacioneve duke përdorur linjën e komandës

Oriz. 6. Përcaktimi i roleve FSMO duke përdorur programin Dcdiag

Kapja dhe transferimi i roleve të magjistarit të operacionit

1. Hapni një linjë komande dhe shkoni te programi në të ntdsutil;
2. Shkoni te menaxhimi i roleve NTDS duke përdorur komandën rolet;
3. Ju duhet të krijoni një lidhje me një kontrollues domeni që do të marrë përsipër rolin e pronarit të magjistarit të operacioneve në të ardhmen. Për ta bërë këtë, ekzekutoni komandën lidhjet;
4. Ne rresht "Lidhjet e serverit" hyjnë lidheni me serverin dhe specifikoni kontrolluesin e kërkuar të domenit;
5. Navigoni përsëri te menaxhimi i fsmo duke përdorur komandën lë;
6. Tani në radhë menaxhimi i fsmo specifikoni komandën kap dhe klikoni mbi Hyni;
7. Në këtë hap të fundit, ju duhet të zgjidhni rolin FSMO që do të merret nga kontrolluesi jofunksional i domenit.

1. Shkëputni fizikisht një kontrollues të tillë domeni nga rrjeti;
2. Zhvlerësoni një kontrollues domeni në një server anëtar duke përdorur komandën Dcpromo / heqje me forcë;
3. Pastro të dhënat meta për kontrolluesin aktual të domenit. Ju mund t'i pastroni meta të dhënat duke përdorur programin Ntdsutil me ekipin Pastrimi i meta të dhënave;
4. Pas heqjes së meta të dhënave, duhet të sillni serverin në linjë, të bashkoheni me domenin dhe më pas të promovoni serverin në një kontrollues domeni;
5. Në hapin e fundit, thjesht transferoni rolin në këtë kontrollues domeni.

Pritja e Magjistarëve të Operacioneve në Kontrollorët e Domenit

• Prisni rolet Master RID dhe Emulator PDC në të njëjtin kontrollues domeni... Këto role të magjistarit të operacioneve vendosen bashkë për arsye të balancimit të ngarkesës. Meqenëse këto role janë partnerë të drejtpërdrejtë të riprodhimit, duke i vendosur këto role në kontrollues të veçantë të domenit, do t'ju duhet të krijoni një lidhje të shpejtë për dy sistemet përkatëse dhe të krijoni objekte të qarta për to në Active Directory. Përveç kësaj, nëse keni serverë në organizatën tuaj që luajnë rolin e masterit rezervë të operacioneve, në serverë të tillë këto role duhet të jenë gjithashtu partnerë të drejtpërdrejtë;
• Prisni skemën e domenit dhe emërtoni rolet e magjistarit në një kontrollues të vetëm domeni... Si rregull i përgjithshëm, rolet Skema Wizard dhe Domain Naming Wizard vendosen më së miri në një kontrollues të vetëm domeni që shërben si një server i katalogut global. Roli i magjistarit të emërtimit të domenit duhet të jetë gjithashtu një server i katalogut global, sepse kur shtohet një domen i ri, magjistari duhet të sigurojë që nuk ka asnjë objekt në pyll me të njëjtin emër si domeni i ri që po shtohet. Nëse një kontrollues domeni me rolin Master të emërtimit të domenit nuk është një server i katalogut global, operacione të tilla si krijimi i domeneve të mbesave mund të dështojnë. Për shkak se këto role përdoren më pak, duhet të siguroheni që kontrolluesi i domenit që i menaxhon ato të jetë sa më i sigurt;
• Roli i Infrastructure Wizard duhet të mbahet në një kontrollues domeni që nuk shërben si server i katalogut global. Në mënyrë tipike, magjistari i infrastrukturës duhet të vendoset në një kontrollues domeni që nuk shërben si server i katalogut global, por ka një objekt lidhjeje të drejtpërdrejtë me një nga katalogët globalë në pyll. Meqenëse serveri i katalogut global ruan kopje të pjesshme të të gjitha objekteve në pyll, magjistari i infrastrukturës i pritur në serverin e katalogut global nuk do të kryejë përditësime sepse nuk përmban referenca për objektet që nuk i mban.

Në vend të një përfundimi