Az AD DS öt fő műveleti szerepet támogat:

1 domain nevek tulajdonosa (Domain Naming Master);

2 Schema Master;

3 Relatív azonosítók tulajdonosa (Relative ID Master);

4 Domain Infrastructure Owner (Infrastructure Master);

5 Elsődleges tartományvezérlő emulátor (PDC-emulátor).

Domain név tulajdonosa (Domain Naming Master).

A szerepkör célja tartományok hozzáadása és eltávolítása az erdőben. Ha egy ilyen szerepkörrel rendelkező vezérlő nem érhető el az erdőben lévő tartományok hozzáadása vagy eltávolítása közben, működési hiba lép fel.

Az erdő csak egy tartományvezérlőt használ - a tartománynevek tulajdonosa (Domain Naming Master) szerepkörrel.

Ha látni szeretné, hogy melyik tartományvezérlő a tartománynevek tulajdonosa, futtassa a beépülő modult. Active Directory- Domain és bizalom kattintson jobb gombbal a gyökér csomópontra, és válassza a " Műveleti mester"

A Domain Naming Master sorban láthatja, hogy melyik tartományvezérlőnek van ez a szerepe.

Schema Master.

A sématulajdonos szerepkörrel rendelkező vezérlő felelős az erdőséma összes módosításáért. Az összes többi tartomány csak olvasható sémareplikákat tartalmaz.

A sématulajdonos szerepkör egyedi az erdőben, és csak egy tartományvezérlőn határozható meg.

A sématulajdonosként működő tartományvezérlő megtekintéséhez futtassa a beépülő modult Active Directory séma, de ehhez regisztrálnia kell ezt a beépülő modult. Ehhez nyissa meg a parancssort, és írja be a parancsot

regsvr32 schmmgmt.dll

Ezután nyomja meg a " Rajt"Válassz csapatot" Fuss"és írja be" mmc"és nyomja meg a gombot" rendben". Ezután a menüben nyomja meg a " Fájl"Válassz csapatot" Snap hozzáadása vagy eltávolítása". Csoportban Elérhető beépülő modulok választ " Active Directory séma", nyomja meg a gombot" Hozzáadás"majd a gomb" rendben".

Kattintson a jobb gombbal a beépülő modul gyökércsomópontjára, és válassza a " Műveleti mester".

A Current Schema Master (Online) sorban az ezt a szerepet betöltő tartományvezérlő neve látható.

Relatív azonosító mester.

Ez a szerepkör minden felhasználót, számítógépet és csoportot egyedi SID-vel (Security Identifier – biztonsági azonosító – változó hosszúságú adatstruktúra, amely azonosít egy felhasználót, csoportot, tartományt vagy számítógépfiókot) biztosít.

A RID mester szerepkör egyedi a tartományon belül.

Ha látni szeretné, hogy a tartomány melyik vezérlője működik az azonosító tulajdonosaként, futtassa a " Műveleti mester".

A RID lapon a RID-ként működő szerver neve látható

Domain infrastruktúra tulajdonosa (Infrastructure Master).

Ez a szerep akkor releváns, ha több tartományt használ egy erdőben. Fő feladata a fantomobjektumok kezelése. A fantomobjektum olyan objektum, amelyet egy másik tartományban hoznak létre, hogy valamilyen erőforrást biztosítsanak.

A tartományi infrastruktúra szerepkör egyedi a tartományon belül.

Ha látni szeretné, hogy a tartomány melyik vezérlője a tartományi infrastruktúra tulajdonosa, futtassa a " Active Directory felhasználók és számítógépek", kattintson jobb gombbal a tartományra, és válassza a " Műveleti mester".

A lapon Infrastruktúra" látni fogja azt a vezérlőt, amely ezt a szerepet betölti a tartományban.

Elsődleges tartományvezérlő emulátor (PDC-emulátor)

A PDC-emulátor szerepe számos fontos funkcióval rendelkezik (nem mindegyik szerepel itt - csak a fő):

Részt vesz a jelszófrissítés replikációjában. Minden alkalommal, amikor a felhasználó megváltoztatja a jelszavát, ez az információ a PDC szerepkörrel rendelkező tartományvezérlőn tárolódik. Ha a felhasználó helytelen jelszót ad meg, a hitelesítés a PDC-emulátorba kerül, hogy lekérje a fiók esetlegesen megváltozott jelszavát (így a helytelen jelszó beírása hosszabb időt vesz igénybe a jelszó ellenőrzése, mint a helyes jelszó megadása).

Részt vesz a tartomány csoportházirendjének frissítésében. Különösen, ha a csoportházirend egyidejűleg különböző tartományvezérlőkön módosul, a PDC-emulátor az összes csoportházirend-módosítás fókuszpontjaként működik. Amikor megnyitja a Csoportházirend-kezelési szerkesztőt, az egy PDC-emulátorként működő tartományvezérlőhöz kapcsolódik. Ezért alapértelmezés szerint minden csoportházirend-módosítás a PDC-emulátoron történik.

A PDC emulátor a fő időforrás a tartomány számára. Az egyes tartományok PDC-emulátorai szinkronizálják idejüket az erdő gyökértartományának PDC-emulátorával. Más vezérlők szinkronizálják idejüket a tartományi PDC emulátorral, a számítógépek és a kiszolgálók pedig a tartományvezérlővel.

Annak megtekintéséhez, hogy a tartomány melyik vezérlője működik PDC-emulátorként, futtassa a " Active Directory felhasználók és számítógépek", kattintson a jobb gombbal a tartományra, és válassza a " Műveleti mester".

A PDC lapon láthatja az ezt a szerepet betöltő vezérlőt.

Több olyan helyzet is adódik, amikor emlékeznie kell a szerepekre FSMO- ez egy kudarc utáni katasztrófa utáni helyreállítás, migráció, valamint álláskeresés (általában az interjúztatók nagyon szeretnek olyan kérdéseket feltenni, mint „Mi a szerepe HIRDETÉS egy tartományvezérlő esetében miért van szükség rájuk?"). És bár ezek a helyzetek rendkívül ritkán fordulnak elő, a munka általános megértése érdekében HIRDETÉS nagyon hasznos megérteni a szerepek célját FSMO.

FSMO, vagy Rugalmas egymester műveletek(egyvégrehajtó műveletek) a tartományvezérlők által végrehajtott műveletek Active Directory (AD), amelyek megkövetelik, hogy a szerver minden egyes művelethez egyedi legyen. A művelet típusától függően egyediség FSMO egy tartományon belül vagy tartományerdőn belül. különböző típusok FSMO futhat egy vagy több tartományvezérlőn. Teljesítmény FSMO a szervert hívják szerep szerverek, és maguk a szerverek a műveletek urai.

A legtöbb tranzakció bekerült HIRDETÉS bármely tartományvezérlőn elvégezhető. Replikációs szolgáltatás HIRDETÉSátmásolja a változtatásokat a többi tartományvezérlőre, biztosítva az alap azonosságát HIRDETÉS egy tartomány összes vezérlőjén. A konfliktusok kiküszöbölése a következőképpen történik - annak van igaza, aki utoljára hajtotta végre a változtatásokat.

Számos művelet van azonban (például a séma megváltoztatása HIRDETÉS), amelyeknél a konfliktusok nem megengedettek. Ezért vannak szerepkörrel rendelkező szerverek FSMO. A feladatuk — kerülje az ilyen konfliktusokat. Így a szerepek jelentése FSMO a következőben minden szerep egyszerre csak egy szerveren futhat. És ha szükséges, bármikor átvihető egy másik tartományvezérlőre.

Összesen öt szerep jut az erdőben FSMO. Kezdésként rövid leírást adok róluk. :

• séma mester ( Schema Master) - felelős a séma módosításáért Active Directory. Csak egy lehet a tartományok teljes erdőjében.
• Domain névadó mester ( Domain névadó mester) - felelős az erdőben létrehozott tartományok és alkalmazáspartíciók neveinek egyediségéért. Csak egy lehet a tartományok teljes erdőjében.
• infrastruktúra gazdagép ( Infrastruktúra Mester) - adatokat tárol más tartományokból származó felhasználókról, amelyek a tartományuk helyi csoportjainak tagjai. Lehet, hogy az erdőben minden tartományhoz tartozik egy.
• Fő RID (RID Mester) - felelős az egyedi relatív azonosítók kiosztásáért ( RID) szükséges a domain fiókok létrehozásakor. Lehet, hogy az erdőben minden tartományhoz tartozik egy.
• emulátor PDC (PDC emulátor) - a domainnel való kompatibilitásért felelős NT4 az ügyfelek pedig Windows 2000. Lehet, hogy az erdőben minden tartományhoz tartozik egy.

Most nézzük meg részletesebben az egyes szerepköröket, és megtudjuk, mennyire fontosak a működésük szempontjából. Active Directory.

Schema Master

Schema Master- felelős a séma módosításáért, ahol az összes osztály és attribútum leírása található Active Directory. A séma rendkívül ritkán módosul, például tartományi szint megváltoztatásakor, telepítéskor Csereés néha más alkalmazások. Ez a szerepkör az erdő bármely tartományvezérlőjén megtalálható. Amikor nem elérhető Schema Master séma módosítása HIRDETÉS lehetetlen lesz.

Domain névadó mester

Domain névadó mester a domain nevekkel kapcsolatos műveletekért felelős HIRDETÉS, feladatainak listája azonban valamivel hosszabb :

• Domainek hozzáadása és eltávolítása erdőn belül. A tartományok hozzáadása és törlése csak a szerepkörrel rendelkező vezérlő számára engedélyezett Domain névadó mester. Biztosítja, hogy a hozzáadandó tartomány egyedi legyen az erdőn belül NETBIOS-név. Ha egy Névadó Mester nem érhető el, nem adhat hozzá vagy távolíthat el domaint az erdőben.
• Partíciók létrehozása és törlése. Kezdve ezzel Windows 2003 lehetővé vált külön szekciók létrehozása - Alkalmazási címtár partíciók, amelyek tárolására szolgálnak HIRDETÉS tetszőleges adatok. Példaként az adatok tárolására DNS-szerverek szekciókban ForestDnsZonesés DomainDnsZones. Partíciókezelés, ha nem elérhető Domain névadó mester lehetetlen.
• Kereszthivatkozások létrehozása és törlése. A kereszthivatkozások a címtárban való keresésre szolgálnak, ha a kiszolgáló, amelyhez az ügyfél csatlakozik, nem tartalmaz kívánt másolatot könyvtárat, és hivatkozhat az erdőn kívüli tartományokra is, azok elérhetőségétől függően. A kereszthivatkozások tárolásra kerülnek ( keresztref) edényben Partíciók szakasz Konfiguráció, de csak Domain névadó mester jogosult megváltoztatni a tároló tartalmát. Amikor nem elérhető Domain névadó mester nem lehet új kereszthivatkozást létrehozni, vagy egy feleslegest törölni.
• Domain átnevezés jóváhagyása. Egy tartomány átnevezéséhez használja a segédprogramot random.exe.Ír egy szkriptet az átnevezési folyamat során végrehajtandó utasításokkal. Ez a szkript egy tárolóba kerül Partíciók szakasz Konfiguráció. Mivel csak az irányító a szereppel Domain névadó mester, akkor ő a felelős az utasítások ellenőrzéséért és az attribútumok írásáért.

Ez a szerepkör az erdő bármely tartományvezérlőjén megtalálható.

Infrastruktúra Mester

Ha a szerver nem globális katalógus ( GC), akkor az adatbázisa nem tartalmaz adatokat más domain felhasználókról. Más tartományokból származó felhasználókat azonban felvehetünk a tartomány helyi csoportjaiba. Egy csoport a bázisban HIRDETÉS fizikailag is rendelkeznie kell linkekkel az összes felhasználóhoz. Ezt a problémát úgy oldották meg, hogy létrehoztak egy fiktív objektumot - egy fantomot ( fantom). A fantomobjektumok a belső adatbázis-objektumok speciális típusai, és nem tekinthetők meg ADSI vagy LDAP. Az infrastruktúra-mester a fantomokkal végzett munkával foglalkozik.

Ennek a szerepnek egy másik jellemzője az helyes működés többtartományos környezetben az infrastruktúra-főkiszolgálóként működő tartományvezérlő nem lehet globális katalógus-kiszolgáló. Ha a szerepkör betöltője Infrastruktúra Mester egyben szerver is GC, az álobjektumok nem jönnek létre vagy frissülnek ezen a tartományvezérlőn. Ennek az az oka, hogy a globális katalógus már tartalmaz részleges replikákat összes tárgyak be Active Directory,és nincs szüksége fantomokra .

RID Mester

A domain minden fiókjának (felhasználó, számítógép, csoport) egyedi biztonsági azonosítóval kell rendelkeznie ( SID), amely egyedileg azonosítja ezt a fiókot, és a hozzáférési jogok megkülönböztetésére szolgál. Úgy néz ki SID a következő módon:

S-1-5-Y1-Y2-Y3-Y4, ahol

• S-1 — SID revízió 1. Jelenleg csak ez a változat van használatban.
• 5 — Jelzi, hogy ki adta ki a SID-t. 5 azt jelenti NT Hatóság. Azonban az úgynevezett "jól ismert azonosítók" SID (jól ismert SID) 0, 1 és néhány más értéket tartalmazhat ebben a részben.
• Y1-Y2-Y3— A domain azonosítója, amelyhez tartozik fiók. Ugyanaz minden objektumra biztonsági fő ugyanazon a tartományon belül.
• Y4— relatív azonosító ( Relatív azonosító, RID) egy adott fiókhoz társítva. Helyettesítve a relatív tartományazonosítók készletéből a fiók létrehozásakor.

Szerepköri tartományvezérlő RID Mester felelős egy egyedi sorozat kinyeréséért RID minden egyes tartományvezérlőhöz a tartományában, valamint az objektumok egyik tartományból a másikba való áthelyezésének helyességéért. A tartományvezérlők közös relatív identitáskészlettel rendelkeznek ( RID medence), RID amelyből minden vezérlő 500 darabos adagokban van kiosztva. Amikor a számuk véget ér (100-nál kisebb lesz), a vezérlő új részt kér. Ha szükséges, a kiadott darabszám RIDés a kérési küszöb módosítható.

Egy másik felelősségi terület RID Mester— objektumok mozgatása tartományok között. Pontosan RID Mester gondoskodik arról, hogy ugyanazt az objektumot ne vigye át egyszerre két különböző tartományba. Ellenkező esetben előfordulhat, hogy két tartomány két azonos objektumot tartalmaz GUID amely tele van a legváratlanabb következményekkel.

Ha egy RID Mester nem lesz elérhető, majd az ingyenes lejárta után RID lehetetlenné válik új fiók létrehozása, és nem lesz lehetséges az objektumok áttelepítése az aktuális tartományból egy másikba.

PDC emulátor

Kezdetben a fő feladat Elsődleges tartományvezérlő (PDC) emulátor kompatibilitást kellett biztosítani előző verziók ablakok. Vegyes környezetben, ahol az ügyfelek találkoznak Windows NT4.0/ 95/98 és tartományvezérlők NT4, PDC emulátor a következő funkciókat látja el (csak számukra):

• A „jelszó módosítása” művelet feldolgozása felhasználók és számítógépek számára;
• A frissítések replikálása ide: bdc (Tartományvezérlő biztonsági mentése);
• Network Explorer (hálózati erőforrások keresése).

Kezdve a domain szintjén Windows 2000és még több munka került rá. Szerepköri tartományvezérlő PDC emulátor a következő funkciókat látja el:

• Felelős a jelszavak megváltoztatásáért, és figyeli a felhasználói zárolást jelszóhibák miatt. A bármely más tartományvezérlő által megváltoztatott jelszót először a rendszer replikálja PDC emulátor. Ha a hitelesítés bármely másik tartományvezérlőn nem volt sikeres, a kérés megismétlődik PDC emulátor. Ha a fiókot egy sikertelen próbálkozás után azonnal sikeresen hitelesítik, PDC emulátorértesítést kap, és visszaállítja a számlálót sikertelen próbálkozások nullára. Fontos megjegyezni, hogy elérhetetlenség esetén PDC emulátor A jelszó megváltoztatásával kapcsolatos információk továbbra is elterjednek a tartományban, csak egy kicsit lassabban.
• A Csoportházirend-szerkesztő alapértelmezés szerint csatlakozik a kiszolgálóhoz PDC emulátor, és az irányelvek megváltoznak. Ha egy PDC emulátor nem érhető el, meg kell adnia a szerkesztőnek, hogy melyik tartományvezérlőhöz csatlakozzon.
• Alapértelmezés szerint az PDC emulátor egy időkiszolgáló a tartományban lévő ügyfelek számára. PDC emulátor Az erdőben lévő gyökérdomain az alapértelmezett időkiszolgáló PDC emulátor gyermek domainekben.
• Névtér változásai Elosztott fájlrendszer (DFS) a szerepkörrel rendelkező tartományvezérlőn készülnek PDC emulátor. Root szerverek DFS időszakonként frissített metaadatokat kérnek tőle, megtartva azokat a memóriájukban. megközelíthetetlenség PDC emulátor hibás működést eredményezhet. DFS.
• NÁL NÉL Active Directory vannak úgynevezett "beépített biztonsági rendszer résztvevői" ( Jól ismert biztonsági vezetők). A fiókok példák. Mindenki, hitelesített felhasználók, rendszer, önmagaés Alkotó tulajdonos. Mindegyiket a szerepkörrel rendelkező tartományvezérlő kezeli PDC emulátor. Pontosabban a változásokkal HIRDETÉS PDC emulátor ellenőrzi és frissíti a tároló tartalmát " CN=Ismert biztonsági elvek, CN=Konfiguráció, DC= >”.
• Minden erdőtartományban Active Directory van tulajdonosa az adminisztratív biztonsági leíróknak − AdminSDHolder. Információkat tárol az úgynevezett védett csoportok biztonsági beállításairól ( védett csoportok). Ez a mechanizmus bizonyos gyakorisággal listát kér ezeknek a csoportoknak az összes tagjáról, és hozzáférés-vezérlési listájának megfelelően jogosultságokkal ruházza fel őket. Ily módon AdminSDHolder megvédi az adminisztratív csoportokat a változásoktól. Teljesített AdminSDHolder szerepkörrel rendelkező tartományvezérlőn PDC emulátor.

Valószínűleg ennyi. Remélem, sikerült egy kicsit tisztázni a helyzetet a szerepekkel FSMO. Legközelebb pedig megvizsgáljuk a szerepek másik tartományvezérlőre való átvitelének lehetőségeit, valamint egy szerepkör hozzárendelésének (lefoglalásának) kikényszerítését az azt végrehajtó tartományvezérlő elérhetetlensége esetén.

FSMO szerepkörök átadása és lefoglalása

Döntés a szerepek kiosztásáról FSMO fontolja meg a szerepek másik tartományvezérlőre való átvitelének lehetőségeit, valamint egy szerepkör kényszerítését vagy „elfogását” abban az esetben, ha az azt végrehajtó tartományvezérlő nem elérhető.

Egy tartomány létrehozásakor alapértelmezés szerint az összes szerepkör az erdő első tartományvezérlőjéhez van hozzárendelve. Szerepváltásra ritkán van szükség. Microsoft szerepátvitel használatát javasolja FSMO a következő esetekben:

A szerepkör-tulajdonos tartományvezérlő ütemezett leépítése FSMO például a szerver leállításához;
Egy tartományvezérlő ideiglenes leállítása, például karbantartás elvégzése céljából. Ebben az esetben a szerepköreit egy másik működő tartományvezérlőhöz kell hozzárendelni. Ez különösen akkor szükséges, ha letiltja az emulátort PDC. A többi műveletsor ideiglenes leállítása kisebb hatással van a munkára HIRDETÉS.

Szerepfogás FSMO a következő esetekben készül:

Ha az aktuális szerepkör munkája FSMO voltak olyan hibák, amelyek megakadályozzák az ebben a szerepkörben rejlő funkciók sikeres végrehajtását, és nem teszik lehetővé a szerepkör átadását;
Azon a tartományvezérlőn, amely a szerepkör tulajdonosa volt FSMO, újratelepítve vagy nem töltődik be operációs rendszer;
Annak a tartományvezérlőnek a szerepköre, amely a szerepkör tulajdonosa volt FSMO, paranccsal erőszakkal leminősítették dcpromo /forceremoval .

Jegyzet. A Windows Server 2003 SP1 szervizcsomaggal kezdve, a parancs futtatásakor dcpromo /forceremoval ellenőrzi, hogy a tartományvezérlőnek van-e a műveletek fő feladata, DNS-kiszolgáló vagy globális katalógus-kiszolgáló. Ezen szerepkörök mindegyikéhez kap egy értesítést a megfelelő lépések megtételére vonatkozó utasításokkal.

Abban az esetben, ha két vagy több vezérlő van a tartományban, először azt kell megtudnunk, hogy kié az egyes szerepkörök FSMO. Ezt elég egyszerű megtenni a paranccsal netdom lekérdezés fsmo

Nos, most térjünk át a szerepek átadására. Több lehetőség is van a cselekvésre, mindegyiket sorrendben fogjuk megfontolni. Az első lehetőség a legegyszerűbb és legolcsóbb.

Az FSMO szerepkörök önkéntes átvitele az Active Directory felügyeleti beépülő moduljaival

RID Mester, PDC emulátorés Infrastruktúra Mester) használja a snap-ot Active Directory Felhasználók és számítógépek (Felhasználók és számítógépek). Ehhez megyünk ahhoz a tartományvezérlőhöz, amelyre át akarjuk vinni a szerepköröket, elindítjuk a beépülő modult és jobb gombbal kattintunk a kívánt tartományra, kiválasztjuk az „Operations Masters” elemet.

A megnyíló ablakban válassza ki a szükséges szerepet (a példánkban RID Mester), majd kattintson a Módosítás gombra.

És nézzük az eredményt. Az okirat megtörtént, a szerepkör átkerült egy másik szerverre .

Szerep átadás Domain névadó mester szerszámból hajtják végre Active Directory Domain és bizalom (Domainek és bizalom). Elindítjuk a beépülő modult, szükség esetén csatlakozunk a kívánt tartományvezérlőhöz, jobb gombbal kattintunk a beépülő modul gyökerébe, és kiválasztjuk az „Operations Master” menüpontot.

Megnyílik egy ismerős ablak, amelyben rá kell kattintania a "Módosítás" gombra, majd az előző példához hasonlóan meg kell erősítenie a változtatásokat.

Egy szereppel Schema Master a dolgok valamivel bonyolultabbak. A szerepkör átadásához először regisztrálnia kell a sémakezelési könyvtárat a rendszerben Active Directory. Ez a paranccsal történik regsvr32 schmmgmt.dll , beírva a Futtatás mezőbe ( Fuss).

Ezután nyissa meg a konzolt MMCés adj hozzá egy csattanót Active Directory séma .

Ha valamilyen okból nem lehetséges a szerepek átvitele grafikus beépülő modulokkal, valamint amatőrök számára parancs sor van egy második lehetőség:

Fsmo szerepek önkéntes átadása az Ntdsutil segítségével

ntdsutil.exe egy parancssori segédprogram, amely egy könyvtár karbantartására szolgál Active Directory. Ez egy hatékony felügyeleti eszköz, és funkciói közé tartozik a szerepek átvitele és lefoglalása. FSMO.

Szerepkörök átviteléhez lépjen bármelyik tartományvezérlőre, amely abban az erdőben található, amelyben szerepköröket szeretne átvinni FSMO. Javasoljuk, hogy jelentkezzen be arra a tartományvezérlőre, amelyhez a szerepkörök vannak hozzárendelve FSMO. Elindítjuk a parancssort, és beírjuk a parancsokat a következő sorrendben:

• ntdsutil
• szerepeket
• kapcsolatokat
• csatlakozni a szerverhez<имя сервера>

Miután sikeresen csatlakoztunk a szerverhez, meghívást kapunk a szerepkörök kezelésére ( fsmo karbantartás), és elkezdhetjük a szerepek átadását:

• domain névadó mester átvitele — a domain név mester szerepének átadása.
• átviteli infrastruktúra-mester — az infrastruktúra-mesteri szerep átállása;
• transzfer megszabadulni mester a fogadói szerep átadása RID;
• átviteli sémamester a séma mester szerepének átadása;
• pc átvitele - emulátor szerep átvitel PDC.

A munka befejezéséhez Ntdsutilírja be a parancsot qés nyomja meg az Entert.

Jegyzet. A Windows Server 2008R2 rendszertől kezdve a tartománynév-főszerep átvitelére szolgáló parancs a következő átviteli névadó mester.

Példaként adjuk át a szerepet Infrastruktúra Mester szerver SRV2és ellenőrizze az eredményt.

Nos, a harmadik, a legszomorúbb forgatókönyv:

Fsmo szerepek kényszerítése Ntdsutil segítségével

A szerepkörök kényszerített kiosztása vagy rögzítése csak a kiszolgáló teljes meghibásodása esetén, a helyreállítás lehetetlensége esetén történik. Ha lehetséges, jobb visszaállítani a meghibásodott tartományvezérlő működését, amelyhez szerepkörök vannak hozzárendelve FSMO. Maga a rögzítési eljárás nem sokban különbözik a szerepek átadásától. Megyünk ahhoz a tartományvezérlőhöz, amelyre szerepeket szeretnénk átvinni, és sorban beírjuk a parancssorba:

• ntdsutil
• szerepeket
• kapcsolatokat
• csatlakozni a szerverhez<имя сервера>

Szerepek megragadására FSMO Seize parancsot használjuk

És még néhány fontos szempont, amelyet figyelembe kell venni a szerepek átadásakor / elfoglalásakor FSMO:

Domainszintű szerepkörök átviteléhez ( RID Mester, PDC emulátorés Infrastruktúra Mester) fiókjának a Domain Admins csoport tagjának kell lennie ( Domain adminisztrátorok), valamint erdőszintű szerepkörök átvitelére ( Domain névadó mesterés Schema Master) - Vállalati rendszergazdák ( Vállalati rendszergazdák).
Ha lehetséges, ne jelöljön ki szerepet Infrastruktúra Mester olyan tartományvezérlőre, amely egy globális katalóguskiszolgáló, mert ebben az esetben nem frissíti az objektumokkal kapcsolatos információkat. Ennek a viselkedésnek az az oka, hogy a globális katalógusszerver az erdőben lévő összes objektum részleges replikáját karbantartja.
Szerepbefogás esetén FSMO a korábban ezeket a szerepköröket ellátó tartományvezérlőt soha nem szabad visszaadni, mert amikor megjelenik a hálózaton, konfliktus keletkezik, ami problémákat okozhat a tartomány működésében. Ezenkívül el kell távolítani Active Directory. NÁL NÉL Windows Server 2008és 2008 R2 ez megtehető a kiszolgáló objektum egyszerű törlésével a pillanatban Active Directory Felhasználók és számítógépek, és be Windows Server 2003 a program használatával Ntdsutil parancs segítségével ntdsutil - metaadatok tisztítása. Erről bővebben a műszaki támogatásban olvashat. Microsoft

Nem titok, hogy az AD-ben vannak olyan műveletek, amelyek csak egy tartományvezérlőhöz vannak hozzárendelve az erdőben, az úgynevezett műveleti főkiszolgálóhoz. Például az AD-ben csak egy vezérlő van kijelölve a címtárséma elsődleges őrzőjeként.

Ha egy ilyen szerver valamilyen technikai vagy nem technikai ok miatt elhal, akkor olyan helyzet áll elő, amikor a csomag második DC-je nem teszi lehetővé a tartomány teljes kezelését. Ilyen esetekben a következő recept segít, amely lehetővé teszi, hogy a műveletek mesterének meglévő szerepeit átadja a túlélő irányítónak. A recept elég híres, de hasznosnak találtam, hogy kirakjam részletes utasításokat habron, mivel az első reakcióm a pánik volt.

Két vezérlővel rendelkező tartománykonfigurációt tekintünk. Egyikük a műveleti mester és a globális katalógus szerepét kapta, és a mi forgatókönyvünk szerint meghal. Az összes szerepkör újbóli hozzárendeléséhez a rendszergazdának a Vállalati rendszergazdák csoport tagjának kell lennie. Az eljárás két lépésből áll: szerepek lefoglalása és globális katalógus hozzárendelése.

Azok, akik a műveletek mestereinek elméletét szeretnék elsajátítani, olvassák el ezt a tájékoztató bejegyzést, nos, folytatjuk.

Szerepfogás

Kattintson a gombra Rajt, Válasszon ki egy elemet Fuss, belép ntdsutil, majd nyomja meg az ENTER gombot.
1. Csatlakozás
1.1. A meghívóban ntdsutil: belép szerepeketés nyomja meg az ENTER-t.
1.2. A meghívóban fsmo karbantartás: belép kapcsolatokatés nyomja meg az ENTER-t.
1.3. A meghívóban szerver kapcsolatok: belép csatlakozni a szerverhez szerver név(ahol szerver név annak a tartományvezérlőnek a neve, amely átveszi a műveleti mester szerepét), és nyomja le az ENTER billentyűt.
1.4. Miután megkapta a kapcsolat megerősítését, írja be Kilépésés nyomja meg az ENTER-t.
2. Attól függően, hogy milyen szerepet szeretne betölteni a meghívóban fsmo karbantartás:írja be a megfelelő parancsot az alábbi táblázatból, és nyomja meg az ENTER billentyűt.
3. Írja be Kilépésés nyomja meg az ENTER-t. Ismételje meg ismét az ntdsutilból való kilépéshez.

A rendszer megerősítést kér. Ezután megpróbálja átvinni a megadott szerepeket. Ezalatt több hibaüzenet is megjelenhet, de a rögzítés folytatódik. A befejezés után megjelenik a felelős kiszolgálók szerepeinek és LDAP-csomópontjainak listája. A fő RID rögzítés során az aktuális vezérlőnek meg kell próbálnia szinkronizálni a replikációs partnerrel, de a partner halott, ezért figyelmeztetés jelenik meg, és a műveletet meg kell erősíteni.

Capture Parancsok

A globális katalógus célja

1. Nyissa meg az Active Directory helyek és szolgáltatások beépülő modulját.
2. A konzolfában válassza ki azt a tartományvezérlőt, ahol engedélyezni vagy letiltani szeretné a globális katalógust. Keresés itt: Az Active Directory webhelyek és szolgáltatások/Webhelyek/webhely_neve/Servers/controller_name
3. Kattintson a jobb gombbal az NTDS beállítások elemre, válassza a Tulajdonságok menüpontot. Jelölje be a Globális katalógus jelölőnégyzetet a globális katalógus engedélyezéséhez, vagy törölje a jelölést a globális katalógus letiltásához.

Remélem, ez a cikk valakit megkímél egy csomó idegtől.

A Win2k8R2-ben a parancsok kissé eltérnek:

fsmo karbantartás:?

Ennek a súgóinformációnak a kimenete
Kapcsolatok – Kapcsolódás egy adott AD DC/LDS-példányhoz
Súgó – jelenítse meg ezt a súgóinformációt
Kilépés – Visszatérés az előző menühöz
Infrastruktúra-mester lefoglalása – Írja felül az infrastruktúra szerepkört a csatlakoztatott kiszolgálón
Elnevezési mester lefoglalása – Felülírja a névadó mester szerepét a csatlakoztatott kiszolgálón
PDC lefoglalása – PDC szerepkör felülírása a csatlakoztatott szerveren
RID master lefoglalása – A RID szerepkör felülírása a csatlakoztatott szerveren
Sémamester lefoglalása – Sémaszerep felülírása a csatlakoztatott kiszolgálón
Műveleti cél kiválasztása – Webhelyek, kiszolgálók, tartományok, szerepkörök és elnevezési kontextusok kiválasztása
Infrastruktúra-mester átvitele – Tegye a csatlakoztatott kiszolgálót infrastruktúra-mesterré
Elnevezési mester átvitele – A csatlakoztatott szerver legyen elnevezési mester
PDC átvitele – Csatlakoztatott PDC-kiszolgáló létrehozása
RID-mester átvitele – A csatlakoztatott szervert tegye RID-mesterré
Sémafő átvitele – Tegye a csatlakoztatott kiszolgálót sémamesterré

Ebben a cikkben azt javaslom, hogy beszéljünk az FSMO-szerepkörök tartományvezérlők közötti átviteli módszereiről egy Active Directory környezetben. Röviden megpróbálom emlékeztetni, hogy mik az FSMO (Flexible Single Master Operation) szerepei, szó szerinti fordítás műveletek egy végrehajtóval) egy Active Directory tartományban. Nem titok, hogy az Active Directoryban a legtöbb tipikus művelet (például fiókok, csoportok beállítása) bármelyik tartományvezérlőn elvégezhető. Az AD-replikációs szolgáltatás felelős ezeknek a változtatásoknak a címtárban való elosztásáért, és mindenféle konfliktus (például egy felhasználó egyidejű átnevezése több tartományvezérlőn) egy egyszerű elv szerint oldódik meg – akinek az utolsónak van igaza. Vannak azonban olyan műveletek, amelyek során az ütközés elfogadhatatlan (például új gyermektartomány/erdő létrehozása stb.). Ezért vannak FSMO szerepkörrel rendelkező tartományvezérlők, amelyek fő feladata az ilyen jellegű konfliktusok megelőzése. Az FSMO szerepkörök bármikor átvihetők egy másik tartományvezérlőre.

A Windows Server 2008 rendszerben öt FSMO szerepkör létezik:

1. Sémamester - egy szerver ezzel a szerepkörrel az egész erdőre. A szerepkör az Active Directory erdőséma kiterjesztéséhez szükséges, általában ezt a műveletet az adprep /forestprep parancs hajtja végre.
2. Domain névadó mester - egy az egész erdőre. Az ezzel a szerepkörrel rendelkező kiszolgálónak egyedi nevet kell biztosítania az AD-erdőben létrehozott összes tartományhoz és alkalmazáspartícióhoz.
3. PDC emulátor (PDC emulátor) - domainenként egy szerver. Számos funkciót lát el: a fő böngésző Windows hálózatok, figyeli a felhasználók kizárását, ha a jelszót helytelenül adják meg, célja a Windows 2000 előtti operációs rendszerű ügyfelek támogatása.
4. Infrastruktúra Mester- domainenként egy szerver. Az adprep /domainprep parancs sikeres végrehajtásához egy ilyen szerepkörrel rendelkező kiszolgálóra van szükség. Felelős a biztonsági azonosítók (GUID-k, SID-k) és az objektumok megkülönböztető nevei frissítéséért a tartományok közötti objektumhivatkozásokban.
5. RID Mester- domainenként egy szerver. A kiszolgáló szétosztja a RID-eket (egyenként 500-at) más tartományvezérlőknek, hogy egyedi SID-ket hozzon létre.

• Egy szerep kezeléséhez sémamester a "Sémaadminisztrátorok" csoportban kell lennie.
• Egy szerep kezeléséhez Domain névadó mester a "Vállalati rendszergazdák" csoport tagjának kell lennie.
• A szerepek kezeléséhez PDCemulátor,InfrastruktúraFőés RIDFő rendelkeznie kell domain rendszergazdai jogosultságokkal "Domain Admins"

Az FSMO szerepkörök tartományvezérlők közötti átvitelének szükségessége általában akkor merül fel, amikor a kiszolgáló, amelyre az FSMO szerepkörrel rendelkező tartományvezérlő telepítve van, leszerelésre kerül, vagy más okból kifolyólag. A szerepátadási folyamat manuális folyamat.

Az FSMO szerepkört a segédprogram segítségével a parancssorból is átviheti ntdsutil.alkalmazás vagy től GUI MMC Snaps. A következő Active Directory beépülő modulok iránt érdeklődünk ()

• Active Directory séma(a sémamester szerep átadásához)
• Active Directory tartományok és trösztök(a Domain névadó szerep átadásához)
• (RID, PDC, infrastruktúra-szerep átvitelhez)

Jegyzet: Minden munkát az áttelepíteni kívánt szerepkörrel rendelkező vezérlőn kell végrehajtani. Ha a kiszolgálókonzol nem érhető el, akkor futtassa a parancsot Csatlakozásnak nektartományVezérlőés válasszon egy tartományvezérlőt az mmc beépülő modulban.

Szerep átadás Schema Master

1. Regisztrálja a könyvtárat schmmgmt.dll a következő parancs végrehajtásával a parancssorban:

Regsvr32 schmmgmt.dll.

2. Nyissa meg az MMC-konzolt gépeléssel MMCa parancssorban.
3. A menüből válassza ki a lehetőséget Hozzáad eltávolít beépülő modul és konzol hozzáadása Active Directory séma.
4. Kattintson jobb gombbal a konzol gyökerére ( Active Directory séma) és válassza ki műveleti mester.
5. Nyomja meg a gombot változás, írja be annak a vezérlőnek a nevét, amelyre a sémafőszerep átkerül, majd kattintson a gombra RENDBEN.

A tartománynévadó mester szerep átadása

1. Nyissa meg a Domain and Trust Management Console-t aktívKönyvtárDomainsésTrösztök.
2. Kattintson jobb gombbal a domain nevére, és válassza ki a lehetőséget Tevékenységekfő.
3. Nyomja meg a gombot változás, adja meg a vezérlő nevét, majd OK.

RID Master, PDC Emulator és Infrastructure Master szerepkörök átadása

1. Nyissa ki a konzolt Active Directory felhasználók és számítógépek.
2. Kattintson jobb gombbal a domain nevére, és válassza ki műveleti mester.
3. Megjelenik egy ablak három füllel ( RID, PDC, infrastruktúra), amelyeken a gombra kattintva átviheti a megfelelő szerepet változás.

Szerepek átadása FSMO parancssorból a segédprogram segítségévelntdsutil

Figyelem: Használja a segédprogramot ntdsutilóvatosnak kell lennie, világosan meg kell értenie, mit csinál, különben egyszerűen lefektetheti az Active Directory tartományát!

1. Egy tartományvezérlőn nyissa meg a parancssort, és írja be a parancsot

Ntdsutil

2. Tárcsázzon egy csapatot

4. Ezután csatlakoznia kell ahhoz a szerverhez, amelyre át kívánja vinni a szerepet, ehhez írja be:

Csatlakozás a szerverhez

, ahol < szervernév> annak a tartományvezérlőnek a neve, amelyre át kívánja vinni az FSMO szerepkört.

5. Írja be qés nyomja meg az Entert.

6. Csapat:

transzfer szerepkör

Ahol < szerep> ez az a szerep, amelyet át szeretne adni. Például: séma átvitele, RID átviteleés t. d.

7. A szerepek átadása után kattintson a gombra qés Enter a kilépéshez ntdsutil.alkalmazás.

8. Indítsa újra a szervert.