Fsmo szerepek, vagy a gazda működés

előzőa következő

FSMO-szerep, vagy ahogy ők nevezik, a mester Active Directory - ez tartományvezérlő felruházott egyedi hatásköröket.

Ruslan V. Karmanov.

Az élet minden rendszergazda jön egy pillanat, amikor már kétségbeesetten próbálja felidézni, milyen szerepet, amit tartományvezérlő van telepítve, és ami a legfontosabb, hogy mi miért felelős. Jellemzően ez a frissítés a forgatókönyv, a migráció és a katasztrófa utáni helyreállítás.

Szóval Mindannyian tudjuk, hogy a FSMO szerepeket (Flexible Single Mester Operation) az Active Directory találkozik annyi, mint öt darab. Ezek:

  • séma mester
  • Domain elnevezése mester
  • Infrastruktúra mester
  • RID mester
  • PDC-emulátor

Mindegyik most részletesebben tekintjük. Menjünk!

séma mester

Az egyes Active Directory erdő nem több, mint egy séma fő (séma mester). Ez felelős, hogy megváltoztatja a szakasz séma, ahol leírások minden osztály és attribútumok Active Directory.

A jó része, egyszerű és szükséges.

Domain elnevezése mester

Következő rész az erdő szintje - a domain elnevezési mester. Amint az a meghatározás „erdő”, ez az ember az erdőben, és nem több, mint egy.

Domain elnevezése mester felelős a kapcsolódó műveletek a Active Directory domain neveket. De nem csak. Felelősségi körök ő négy:

  • Hozzáadása és törlése belüli domének fűrészáru
  • Partíciók létrehozásához és törléséhez (alkalmazás könyvtár partíciókat)
  • Létrehozása és eltávolítása kereszt-referenciák (CrossRef)
  • Jóváhagyás céldomain

Sétáljon be minden apró részletre.

Hozzáadása és törlése domének

Hozzáadása és eltávolítása domain engedélyezett egyetlen vezérlő szerepet a tartománynév-kiosztási mester. Ez a vezérlő szemmel adni domén egyedülálló az erdőben NETBIOS- neve. Ha elnevezése mester nem érhető el, a kereszt lehet helyezni próbál változtatni a domének száma az erdőben.

Meg kell jegyezni, hogy a bejelentkezés egyediségét FQDN-nevet az új domain egy dedikált vezérlő, nincs értelme, akkor könnyebb információt kérni a DNS.

Partíciók létrehozásához és törléséhez

Létrehozása és eltávolítása kereszt-referenciák

Nyilvánvaló, hogy a hozzáférés hiánya a vezérlő a tartománynév-kiosztási mester szerepét Grieve adminisztrátor, aki azt akarja, hogy hozzon létre egy új cross-reference, vagy törölje.

Jóváhagyás céldomain

A fő haszna ezt a műveletet (rendom.exe) céldomain szkript utasítások végrehajtásra kerül a folyamat átnevezés. Minden utasítást ellenőrzik, majd a szkript az attribútum msDS-UpdateScript partíciók konfigurálása részben a tartályba. Ezen túlmenően, az értéke msDS-DnsRootAlias ​​attribútum minden objektum osztály CrossRef összhangban létrehozott új tartománynév modell szerint. Mivel a jogot, hogy a tartalmát crossRefContainer csak a vezérlő szerepet a tartománynév-kiosztási mester, akkor nyilvánvaló, hogy a vizsgálati utasítások és írásban is ő végzi attribútumokat.

Ha az ellenőrzés script hibák feltárása és az új erdő lesz, nem kóser, vagy azonosítani a nevét a kereszteződés között a régi és az új domain erdő, a teljes átnevezés folyamat leáll.

Talán tartománynév-kiosztási Master - az egyetlen szerep, ami nélkül lehet élni évekig komoly következmények nélkül. De, persze, jobb, ha minden jól működik.

Infrastruktúra mester

Sőt, ez nem számít az a kérdés, hogy a különböző domainek azonos erdőben, vagy egy másik erdőben. Lehetőség van arra, hogy a domain az erdőben egyedül, de van egy bizalmi kapcsolat egy másik tartományba. Itt is van munka az infrastruktúra mester.

A szerepe a IM figyeli változások a jelenlegi erdőben. Bízz a domének között, erdők és más kapcsolódó tárgyak - nem felelősségi területén.

RID mester

SID: S-1-5-Y1-Y2-Y3-Y4. itt:

Ez azt jelzi, akik kiadták a SID. 5. NT Authority. Ugyanakkor az úgynevezett jól ismert SIDs vannak ezen a részén 0, 1, és néhány más érték azt jelzi, hogy „jól known'osti”.

Relatív azonosító (Relatív ID, RID), kapcsolatban áll egy adott számlához. A helyettesített otnostitelno medence azonosítók (RID Pool) tartományban, amikor a számla.

Szóval A tartományvezérlő RID mester szerepe elosztásáért felelős különleges szekvencia RID'ov minden tartományvezérlő a tartományban, valamint a pontosság mozgó objektumok egyik tartományból a másikba. Domain vezérlők közös medence viszonylagos azonosítók, amelyekből az egyes vezérlő kiosztott egy csomag „mintegy” 500 darab. Ha a szám a kiválasztott vezérlő RID'ov véget ér (lesz kevesebb, mint 100), akkor kér egy új köteg. Természetesen a kiadott és a RID lekérdezés küszöb lehet változtatni a kívánt módon.

Ne felejtsük el, mintegy mozgó objektumok közötti területen. Ez a RID mester biztosítja, hogy adott időben, minden tárgy mozog csak egy domaint. Egyébként lehetséges rendkívül egészségtelen helyzet, amikor a két tartomány lesz két tárgyakat azonos GUID. hibaelhárítás ez a helyzet azzal fenyeget, hogy nem kevésbé izgalmas, mint fogása kettős SID.

Ha a RID mester nem lesz elérhető, majd hozzon létre egy új fiókot után kimerülése szabad RID (felhasználó, számítógép, csoport, TDO *) lehetetlen lesz. És ugyanakkor nem tud vándorolni objektumokat az aktuális domain a másikba.

* TDO - Megbízható Domain Object. Úgy jön létre, amikor beállít egy bizalmi kapcsolat.

PDC-emulátor

A harmadik és egyben utolsó szerepe FSMO szintű domain - Primary Domain Controller (PDC) emulátor. Talán a leginkább terhelt felelősséget.

Active Directory-tartomány

Szerver PDC Emulator szerepe van a nagy probléma a kompatibilitás a Windows korábbi verzióiban. De nem csak, és az utóbbi időben, nem annyira. Meg kell kezdeni, hogy emlékezzen, mit csinált PDC Windows NT 4.0 és 3.51:

Feldolgozási műveletek „Jelszó módosítása” a felhasználók és számítógépek

Replikációs frissítéseket BDC (Backup Domain Controller)

Network Browser (Domain Master Browser)

Az ügyfelek megváltoztatni a jelszót az első szabad tartományvezérlő

Kérelmeket replikációs BDC többé időt vesz igénybe, mivel a teljes távolléte

Az ügyfelek keresnek hálózati erőforrások AD, és nem függ a hálózati böngésző (ó, mennyire minden jó TechNet)

Jelszómódosítással más tartományvezérlő küldeni a PDC-emulátor magas replikációs

Ha a hitelesítés más tartományvezérlő nem volt sikeres a jel „helytelen jelszó”, a kérelmet ismétlődik a PDC-emulátor. Nyilvánvaló, hogy abban az esetben, csak egyszer fordult elő megváltoztatni a jelszót, hogy a kérés sikeres lesz

A sikeres hitelesítés után azonnal venni egy sikertelen kísérlet, PDC-emulátor értesítést róla, és visszaállítja a számlálót nullára sikertelen próbálkozás. Ki pozitív a felhasználó számára, gyakran a jelszavát

Fontos megjegyezni, hogy még ha nem áll a PDC-emulátor, a jelszó alaphelyzetbe információkat is raspolzetsya domain. Igen, lehet, hogy nehezen, míg van egy replikáció, de elvileg semmi szörnyű.

Jól ismert biztonsági tagjai

Következő kívánt funkció - adminSDHolder, a tulajdonos a közigazgatási biztonsági leíró. AdminSDHolder védi adminisztratív csoportok a változásokat. Ha a biztonsági leíró kapcsolatba a fiók nincs összhangban a koncepció AdminSDHolder'a, ez a leíró frissíteni fogják összhangban (AdminSDHolder'a) fogalmak. Például, ha kizárjuk az adminisztrátor felhasználó a jól ismert csoport Builtin \ Rendszergazdák adminSDHolder vissza a helyére.

Igen, adminSDHolder, mint tudjuk, ez végre egy tartományvezérlő a PDC-emulátor szerepet.

Csak PDC Emulator a DNS regisztrálja SRV-rekord típusú _ldap._tcp.pdc._msdcs.DnsDomainName, ez lehetővé teszi az ügyfeleknek, hogy gyorsan megtalálja a PDC szerver emuláció.

Változások a tér nevét Distributed File System (DFS), készülnek a tartományvezérlő PDC-emulátor szerepet. DFS gyökérkiszolgálók rendszeresen kéri, hogy a PDC-emulátor frissített metaadatokat tárolja őket az ő emlékére. Nyilvánvaló, hogy a hozzáférés hiánya a PDC-emulátor jár a rossz munkát DFS.

Igen, ez az alapértelmezett szerver az PDC-emulátor az ügyfelek időt szervert a tartományba. A PDC-emulátor az erdő root domain az alapértelmezett idő szerver a PDC-emulátor a gyerek tartomány.

előzőa következő