FSMO роли или операция гостоприемник
FSMO-роля, или, както ги наричат, главният Active Directory - този домейн контролери, надарен със специфични правомощия.
Руслан V. Karmanov.
В живота на всеки системен администратор идва момент, в който той трябва да отчаяно се опита да си спомни каква роля в това, което домейн контролер е разположена и най-важното, това, което е отговорно за това, което. Обикновено този ъпгрейд сценарий, миграцията или възстановяване при бедствия.
И така Всички знаем, че ролите FSMO (Flexible Единична магистърска работа) в Active Directory отговаря по пет парчета. Те са следните:
- Schema магистър
- Именуване на домейни
- магистър инфраструктура
- RID магистър
- PDC Emulator
Всеки от тях сега ще се счита за по-подробно. Да вървим!
Schema магистър
Във всяка категория гора Active има не повече от един управляващ схемата (Schema магистър). Той е отговорен за извършване на промени в схемата на раздел, където има описания на всички класове и атрибути на Active Directory.
Добрата страна, просто и е необходимо.
Именуване на домейни
Следваща част от нивото на горите - капитанът на домейна именуване. Както е видно от определението за "гора", този човек в гората и не повече от един.
Именуване на домейни е отговорен за операциите, свързани с имената на домейни Active Directory. Но не само. Области на отговорност, той има четири:
- Добавяне и изтриване на домейни в рамките на дървен материал
- Създаване и изтриване на дялове (прилагане директория дялове)
- Създаване и отстраняване на препратки (CrossRef)
- преименуване Одобрение домейн
Разходка във всеки малък детайл.
Добавяне и изтриване на домейни
Добавяне и премахване на домейни допускат само контролер за ролята на именуване на домейни. Този контролер зоркото око, за да добавите домейн е уникален в рамките NETBIOS-името на гора. Ако именуване не е налична, на кръста могат да бъдат пуснати опитват да променят броя на домейни в гората.
Трябва да се отбележи, че се покажат уникалността FQDN-име за новия домейн на специален контролер, то няма смисъл, по-лесно е да се поиска информация от DNS.
Създаване и изтриване на дялове
Създаване и отстраняване на препратки
Очевидно е, че липсата на достъп до контролера с именуване на домейни роля Грийв администратор, който иска да създаде нов търговско-промишлен или изтриете ненужни.
преименуване Одобрение домейн
По време на основното полезността на това действие (rendom.exe) домейн преименуване скрипт от инструкции, които ще се изпълняват в процеса на преименуване. Всички инструкции са проверени, след което скриптът е поставен в атрибута раздел MSDS-UpdateScript Дяловете на конфигурацията на контейнера. В допълнение, стойността на MSDS-DnsRootAlias атрибут за всеки обект клас CrossRef създадена в съответствие с новия модел за именуване на домейни. Тъй като правото да променя съдържанието на crossRefContainer само контролера на ролята на именуване на домейни, очевидно е, че инструкциите за теста и да я пиша той изпълнява атрибути.
Ако се открият грешки проверка скрипт и нова гора ще бъде не-кошер, или да посочат имената на пресечната точка между старата и новата домейн гората, целият процес преименуване ще бъде спряно.
Може би, за именуване на домейни - единствената роля, без която не може да живее в продължение на години без сериозни последици. Но, разбира се, е по-добре, когато всичко работи.
магистър инфраструктура
Освен това, тя не е от значение, е въпрос на различни домейни в една и съща гора или друга гора. Възможно е, че домейнът в гората сам, но той има доверие отношения с друг домейн. Тук също има работа за майстор на инфраструктурата.
Ролята на УИ следи промените в текущото гората. Доверете между домейните, гори и други свързани с тях предмети - не нейната сфера на компетентност.
RID магистър
SID: S-1-5-Y1-Y2-Y3-Г4. тук:
Това показва, който е издаден на SID. 5 е NT орган. Въпреки това, така наречените добре известни SIDS са в тази част има 0, 1, както и някои други стойност за да покаже своята "добре known'osti".
Относително идентификатор (ID Относителна, RID), свързана с конкретен профил. Заместени otnostitelno басейн на идентификатори (RID Pool) домейн по време на сметката.
И така Контролерът на домейн с RID магистър роля е отговорен за разпределянето на уникална последователност RID'ov всеки контролер на домейн в домейн, както и за достоверността на движещи се обекти от един домейн към друг. Домейн контролерите имат общ басейн на относителните идентификатори, от която всеки контролер се разпределят пакет "за" 500 парчета. Когато броят на избрания контролер RID'ov върви към своя край (става по-малко от 100), тя иска нов стек. Разбира се, броят на издадени и RID праг заявка може да се променя по желание.
Нека да не забравяме и за движещи се обекти между домейни. Тя RID магистър гарантира, че във всеки един момент, всеки обект се движи само в една област. В противен случай е възможно изключително нездравословна ситуация, в която двете области ще имат два обекта със същата GUID. отстраните тази ситуация заплашва да бъде не по-малко вълнуващо от наваксване дублира SID.
Ако RID Учителят няма да бъде на разположение, а след това да създадете нов профил, след изчерпване на безплатните RID (потребител, компютър, група, TDO *) ще бъде невъзможно. И в същото време да не бъде в състояние да мигрират обекти от текущата област в друга.
* TDO - доверен домейн на обекта. Тя е създадена, когато настройвате отношения на доверие.
PDC Emulator
домейн FSMO ниво Третата и последна роля - Основно домейн контролер (PDC) емулатор. Може би най-натоварени с отговорности.
Active Directory ДОМЕЙН
Сървър с PDC Emulator роля е голямата проблема за съвместимост с предишните версии на Windows. Но не само, а в последно време, не толкова много. Ние трябва да започне да си спомня какво е направил PDC в Windows NT 4.0 и 3.51:
Операции по усъвършенстване "Промяна на парола" за потребители и компютри
актуализации за репликация на BDC (Backup Domain Controller)
Network Browser (Domain магистър Browser)
Клиентите променят пароли, използвайки първия достъпен домейн контролера
Исканията за репликация от ДМТ вече не е нужно време, поради завърши негово отсъствие
Клиентите търсят мрежови ресурси в Христа, и не зависят от браузъра мрежа (ох, как всичко е добро в TechNet)
Паролата е променена към всеки друг домейн контролер се изпраща на PDC емулатор висока репликация
Ако удостоверяването на всяка друга домейн контролер не е била успешна, със знака "неправилна парола", искането да се повтаря на емулатора PDC. Ясно е, че, в случай, че са настъпили промени само паролата, така че искането ще бъде успешен
При успешно сметка удостоверяване веднага след неуспешен опит, PDC емулатор е уведомен за това и да нулира брояча на нула неуспешни опита. Кой е положителен за потребителя, често забравите паролата си
Важно е да се отбележи, че дори и в случай на липса на PDC емулатор, възстановяване на паролата информация все още raspolzetsya от домейн. Да, може да има някои трудности, но има и репликация, но по принцип, нищо страшно.
Добре известно директори СИГУРНОСТ
Следваща желаната функция - AdminSDHolder, собственикът на административния Характеристиката за сигурност. AdminSDHolder защитава административни групи на промените. Ако Характеристиката на сигурността в някоя от административната сметка не е в съответствие с AdminSDHolder'a на концепция, това ЕВРОВОК ще бъдат актуализирани в съответствие с нейните (AdminSDHolder'a) понятия. Например, ако изключим потребителя Администратор на добре познатата група BUILTIN \ Администраторите, AdminSDHolder го върне на мястото си.
Да, AdminSDHolder, както знаем, тя се извършва на домейн контролер с емулатор ролята на PDC.
Само за PDC Emulator в DNS регистрира SRV запис тип _ldap._tcp.pdc._msdcs.DnsDomainName, тя позволява на потребителите бързо да намират сървъра емулацията PDC.
Промени в космически имена разпределена файлова система (DFS), са направени на домейн контролер PDC Emulator роля. DFS основни сървъри периодично искания към PDC емулатор актуализира метаданни, като ги съхранява в паметта си. Очевидно е, че липсата на достъп до емулатора PDC води грешната работа DFS.
Да, това е основния сървър е PDC емулатор за сървъра клиенти време в домейна. А PDC емулатор в гора основния домейн е сървъра за време по подразбиране за емулатора PDC в поддомейните.