Activ diresctory Descrierea rolului FSMO și migrație - kagarlickij Dmitriy
În jurul FSMO roluri Active Directory, există o serie de mituri care au loc, la fel de ușor de ghicit, din subiectele neînțelegere banale.
In acest articol voi vorbi despre ce roluri FSMO, ce s-ar întâmpla dacă serverul nu este disponibil cu acest rol, și cum să transfere rolul pe alt server.
Să începem cu nivelul de pădure:
Circuitul conține clase (de exemplu, utilizatori, computere, grupuri) și atribute (de exemplu, numele, sIDHistory, titlu). Ei nu numai foloseste Active Directory, dar unele, și software pentru întreprinderi (de exemplu, Exchange, System Center).
Când actualizați nivelul domeniului / forestier (după actualizarea sistemului de operare toate controlerele de domeniu desigur), precum și instalarea software-ului, sistemul a introdus clase suplimentare și atribute, care, desigur, nu afectează software-ul care este deja instalat. Deci, nu vă fie frică pentru a actualiza schema, în ciuda faptului că aceasta este o acțiune ireversibilă.
Dacă totuși doriți să joace în condiții de siguranță, înainte de a actualiza schema, puteți crea un nou controler, așteptați pentru replicare, și aduceți-l în offline. Dacă ceva nu merge bine, puteți întoarce în on-line, să-l numească maestru schemă, pre permanent retragerea offline controlerul pe care actualizarea nu a reușit.
Schema este aceeași pentru întreaga cheresteaua, este stocat pe fiecare controler de domeniu, iar controlerul au replicat rol master schemă. La instalarea software-ului, ceea ce face modificări de circuit izmeniniya vor fi introduse la controler cu un maestru rol de schemă.
Pentru acest controller va avea acces la alte controlere în cazul în care versiunea de schemă de pe ele vor fi diferite.
Găsiți versiunea curentă a schemei folosind PowerShell, puteți (desigur, în loc de lab.local budt numele domeniului dvs.):
Get-ADObject "cn = schemă, cn = configurare, DC = laborator, DC = local" -properties objectVersion
Real versiune actualizată:
Alte software-uri, care modifică alte obiecte, cum ar fi Exchange Server este rangeUpper
Pentru a utiliza MMC snap-in schemei Active Directory (schema Active Directory în localizare rusă) trebuie să fie îndeplinite:
În cazul în care controlerul cu rolul de Master nu va schemă fi disponibil, nimeni în pădure nu va fi în măsură să se extindă schema (pentru a ridica nivelul de pădure, și a instala software-ul „grele“), precum și extinderea schemei este foarte rar, de a trăi fără acest rol poate infrastructurii de ani de zile.
Domeniul maestru de denumire
Este necesar, în primul rând, în scopul de a asigura unicitatea numelor de domenii NetBIOS în pădure.
În cazul în care controlerul cu acest rol nu este disponibil, nimeni în pădure nu vor putea adăuga, șterge și redenumi domenii precum Acest lucru se întâmplă foarte rar, trăiești fără această infrastructură rol poate, de asemenea, de ani.
Mai mult decât atât, fără domeniu maestru de denumire nu va funcționa adăugarea și eliminarea partiții director de aplicație, precum și referințe încrucișate - dar asta e exotice, nu cred că are sens să scrie despre ea în acest articol.
roluri la nivel de domeniu sunt localizate:
Pentru fiecare domeniu principal de securitate, a generat un SID unic - SID. Spre deosebire de GUID, SID poate varia, de exemplu, atunci când migrează între domenii.
Un domeniu, va fi diferit Sidy ultimul bloc - este numit RID (identificator relativă).
La crearea unui nou principal de securitate, SID, și, respectiv, RID emis de regulatorul electronic pe care îl creați.
disponibil total 30 februarie (aceasta este 1073741823) RIDov - la prima vedere este mult, dar atunci când se ia în considerare faptul că RID nu poate fi numit din nou (crearea - Eliminarea - crearea de obiecte duplicat consumă 2 Rida), în unele cazuri biți 31y deblocată și 2147483647 RID'ov obținut.
Vezi ce ai întâmplă acum, puteți:
DcDiag.exe / test: ridmanager / v
Astfel, în cazul în care controlorul cu acest rol nu va fi disponibil, inspectorii le-a emis epuizat RID-pool-uri nu va fi capabil de a crea un nou directori de securitate.
În ciuda faptului că PDC / BDC este termenii trecutului NT-îndepărtat, acest lucru este cel mai important rol FSMO în operațiuni.
Omite descrierea cum să fie o mașină de NT și de a trece la lucru real:
Dacă regulatorul cu rolul PDC Emalator nu este disponibil nu va funcționa timp de sincronizare și va avea dificultăți în menținerea politicii de grup și de replicare a parolelor, care va afecta operațiunile.
Acest din urmă rol - sarcina sa este de a monitoriza utilizatorii din alte domenii din pădure. Importanța acestui rol depinde de numărul de utilizatori și resurse mai multe domenii. De exemplu, dacă aveți un domeniu în pădure, infrastructură Maestrul este pur și simplu inutilă.
Cum de a afla cine deține acum roluri FSMO?
FSMO interogare netdom
