AD DS нь үйлдлийн үндсэн таван үүргийг дэмждэг:

1 Домэйн нэр эзэмшигч (Домэйн нэрлэх мастер);

2 схемийн мастер;

3 Харьцангуй танигч (Харьцангуй ID Мастер);

4 Домэйн дэд бүтцийн эзэмшигч (Дэд бүтцийн мастер);

5 Үндсэн домэйн хянагч эмулятор (PDC эмулятор).

Домэйн нэр эзэмшигч (Домэйн нэрлэх мастер).

Энэ үүрэг нь ойд домэйн нэмэх, хасах зорилготой юм. Хэрэв ойд домэйн нэмэх эсвэл хасах үед ийм үүрэг бүхий хянагч байхгүй бол үйлдлийн алдаа гарна.

Ой нь зөвхөн нэг домэйн хянагчийг ашигладаг - домэйн нэрийг эзэмшигч (Домэйн нэрлэх мастер).

Танд байгаа домэйн хянагчуудын аль нь домэйн нэрний эзэн болохыг харахын тулд та нэмэлт програмыг ажиллуулах хэрэгтэй. Active Directory- Домэйн ба итгэлцэлүндсэн цэг дээр хулганы баруун товчийг дараад " Үйл ажиллагааны мастер"

Домэйн нэрлэх мастерийн мөрөнд аль домэйн хянагч ийм үүрэг гүйцэтгэж байгааг харах болно.

Схемийн мастер.

Схем эзэмшигчийн үүрэг бүхий хянагч нь ойн схемд бүх өөрчлөлтийг хийх үүрэгтэй. Бусад бүх домэйнууд нь зөвхөн унших боломжтой схемийн хуулбаруудыг агуулдаг.

Схем эзэмшигчийн үүрэг нь ой даяар өвөрмөц бөгөөд зөвхөн нэг домэйн хянагч дээр тодорхойлогдох боломжтой.

Схем эзэмшигчийн үүрэг гүйцэтгэж буй домэйн хянагчийг харахын тулд та нэмэлт програмыг ажиллуулах хэрэгтэй. Active Directory схем, гэхдээ үүнийг хийхийн тулд та энэ нэмэлт програмыг бүртгүүлэх ёстой. Үүнийг хийхийн тулд командын мөрийг нээж командыг оруулна уу

regsvr32 schmmgmt.dll

Үүний дараа " Эхлэх"Багаа сонго" Гүй"болон оруулах" ммк"ба товчийг дар" БОЛЖ БАЙНА УУ". Дараа нь цэснээс " Файл"Багаа сонго" Нэмэх эсвэл хасах". Бүлэгт Боломжтой нэмэлт хэрэгсэлсонгох" Active Directory схем", товчийг дар" Нэмэх"Дараа нь товчлуур" БОЛЖ БАЙНА УУ".

Нэвтрүүлгийн үндсэн цэг дээр хулганы баруун товчийг дараад "-г сонгоно уу. Үйл ажиллагааны мастер".

Одоогийн схемийн мастер (Онлайн) мөрөнд та энэ үүргийг гүйцэтгэдэг домэйн хянагчийн нэрийг харах болно.

Харьцангуй ID мастер.

Энэ үүрэг нь бүх хэрэглэгчид, компьютер, бүлгүүдэд өвөрмөц SID (Аюулгүй байдлын танигч - хэрэглэгч, бүлэг, домэйн эсвэл компьютерийн бүртгэлийг тодорхойлдог хувьсах урттай өгөгдлийн бүтэц) өгдөг.

RID мастер үүрэг нь домэйн дотор өвөрмөц юм.

Домэйн дэх аль хянагч нь танигчийн эзэмшигчийн үүргийг гүйцэтгэж байгааг харахын тулд та " Үйл ажиллагааны мастер".

RID таб дээр та RID үүрэг гүйцэтгэх серверийн нэрийг харах болно

Домэйн дэд бүтцийн эзэмшигч (Дэд бүтцийн мастер).

Энэ үүрэг нь ойд олон домэйн ашиглахад хамааралтай. Үүний гол үүрэг бол хийсвэр объектуудыг удирдах явдал юм. Phantom объект нь ямар нэгэн төрлийн нөөцөөр хангахын тулд өөр домэйнд бий болсон объект юм.

Домэйн дэд бүтцийн үүрэг нь домайн дотор өвөрмөц байдаг.

Домэйн дэд бүтцийн аль хянагч нь домэйны эзэн болохыг харахын тулд та " Active Directory хэрэглэгчид болон компьютерууд", домэйн дээр хулганы баруун товчийг дараад " Үйл ажиллагааны мастер".

"Тайлбарт" Дэд бүтэц" та домэйнд энэ үүргийг гүйцэтгэдэг хянагчийг харах болно.

Үндсэн домэйн хянагч эмулятор (PDC эмулятор)

PDC эмуляторын үүрэг нь хэд хэдэн чухал үүрэгтэй (бүгдийг энд жагсаагүй - зөвхөн гол нь):

Нууц үгийг шинэчлэхэд оролцдог. Хэрэглэгч нууц үгээ солих бүрт энэ мэдээлэл нь PDC үүрэг бүхий домэйн хянагч дээр хадгалагдана. Хэрэглэгч нууц үгээ буруу оруулсан тохиолдолд нэвтрэлт танилтыг PDC эмулятор руу чиглүүлж, акаунтын өөрчилсөн байж болзошгүй нууц үгийг сэргээдэг (тиймээс буруу нууц үг оруулах нь зөв нууц үг оруулахтай харьцуулахад нууц үгээ баталгаажуулахад удаан хугацаа шаардагдана).

Домэйн дэх бүлгийн бодлогыг шинэчлэхэд оролцдог. Ялангуяа өөр өөр домэйн хянагч дээр бүлгийн бодлого нэгэн зэрэг өөрчлөгдөхөд PDC эмулятор нь бүлгийн бодлогын бүх өөрчлөлтийн гол цэг болж ажилладаг. Бүлгийн бодлогын удирдлагын редакторыг нээхэд энэ нь PDC эмуляторын үүрэг гүйцэтгэдэг домэйн хянагчтай холбогддог. Тиймээс, бүх бүлгийн бодлогын өөрчлөлтийг анхдагчаар PDC эмулятор дээр хийдэг.

PDC эмулятор нь домэйны цаг хугацааны гол эх үүсвэр юм. Домэйн бүрийн PDC эмуляторууд нь ойн эх домэйны PDC эмулятортой цагаа синхрончилдог. Бусад хянагч нар өөрсдийн цагийг домэйны PDC эмулятор, компьютер болон серверүүд домэйн хянагчтай синхрончилдог.

Домэйн ямар хянагч PDC эмулятор болж байгааг харахын тулд та " Active Directory хэрэглэгчид болон компьютерууд", домэйн дээр хулганы баруун товчийг дараад " Үйл ажиллагааны мастер".

PDC таб дээр та энэ үүргийг гүйцэтгэдэг хянагчийг харах болно.

Та дүрүүдийг санаж байх ёстой хэд хэдэн нөхцөл байдал байдаг FSMO- Энэ бол бүтэлгүйтлийн дараа гамшгийн нөхөн сэргээлт, шилжилт хөдөлгөөн, түүнчлэн ажил хайх (ихэвчлэн ярилцлага авагчид "Ярилцлагад ямар үүрэг гүйцэтгэдэг вэ" гэх мэт асуултуудыг асуух дуртай байдаг. МЭДомэйн хянагчийн хувьд тэд яагаад хэрэгтэй вэ?"). Хэдийгээр эдгээр бүх нөхцөл байдал маш ховор тохиолддог боловч ажлын талаар ерөнхий ойлголттой болохын тулд МЭЭнэ нь дүрүүдийн зорилгыг ойлгоход маш их хэрэгтэй байдаг FSMO.

FSMO, эсвэл Уян хатан ганц мастер үйл ажиллагаа(ганц гүйцэтгэгч үйлдлүүд) нь домайн хянагчаар гүйцэтгэдэг үйлдлүүд юм Active Directory (AD), энэ нь серверийг үйлдэл бүрт өвөрмөц байхыг шаарддаг. Үйл ажиллагааны төрлөөс хамааран өвөрмөц байдал FSMOнэг домэйн эсвэл ойн домайн дотор илэрхийлэгддэг. янз бүрийн төрөл FSMOнэг буюу хэд хэдэн домэйн хянагч дээр ажиллах боломжтой. Гүйцэтгэл FSMOсервер дуудагдана үүрэгсерверүүд, серверүүд өөрсдөө үйл ажиллагааны мастерууд юм.

Ихэнх гүйлгээ МЭямар ч домэйн хянагч дээр хийж болно. Хуулбарлах үйлчилгээ МЭөөрчлөлтийг бусад домэйн хянагч руу хуулж, суурийн таних тэмдэгийг баталгаажуулна МЭнэг домэйны бүх хянагч дээр. Зөрчилдөөнийг арилгах нь дараах байдлаар явагддаг - хамгийн сүүлд өөрчлөлт оруулсан хүн зөв юм.

Гэсэн хэдий ч хэд хэдэн үйлдэл байдаг (жишээлбэл, схемийг өөрчлөх). МЭ) зөрчил гаргахыг зөвшөөрөхгүй. Тиймээс үүрэг бүхий серверүүд байдаг FSMO. Тэдний даалгавар — ийм зөрчилдөөнөөс зайлсхий. Тиймээс дүрүүдийн утга учир FSMOдараагийнх нь дүр бүр нь зөвхөн нэг сервер дээр нэг дор ажиллах боломжтой. Шаардлагатай бол өөр домэйн хянагч руу хүссэн үедээ шилжүүлж болно.

Ойд нийтдээ таван үүрэг гүйцэтгэдэг FSMO.Эхлэхийн тулд би тэдний талаар товч тайлбар өгөх болно. :

• схем мастер ( Схемийн мастер) - схемд өөрчлөлт оруулах үүрэгтэй Active Directory. Домэйн бүх ойд зөвхөн нэг байж болно.
• Домэйн нэрлэх мастер ( Домэйн нэрлэх мастер) - ойд үүсгэсэн домэйн болон хэрэглээний хуваалтуудын нэрсийн өвөрмөц байдлыг хариуцдаг. Домэйн бүх ойд зөвхөн нэг байж болно.
• Дэд бүтцийн хост ( Дэд бүтцийн мастер) - өөрсдийн домэйны локал бүлгүүдийн гишүүд болох бусад домэйны хэрэглэгчдийн талаарх мэдээллийг хадгалдаг. Ойд домэйн бүрт нэг байж болно.
• Багш аа RID (RID мастер) - өвөрмөц харьцангуй танигчийг хуваарилах үүрэгтэй ( RID) домэйн данс үүсгэх үед шаардлагатай. Ойд домэйн бүрт нэг байж болно.
• эмулятор PDC (PDC эмулятор) - домэйнтэй нийцтэй байдлыг хариуцдаг NT4болон үйлчлүүлэгчид Windows 2000. Ойд домэйн бүрт нэг байж болно.

Одоо үүрэг тус бүрийг илүү нарийвчлан авч үзээд тэдгээр нь ажиллахад хэр чухал болохыг олж мэдье. Active Directory.

Схемийн мастер

Схемийн мастер- бүх анги, шинж чанаруудын тайлбарыг байрлуулсан схемд өөрчлөлт оруулах үүрэгтэй Active Directory. Схемийг маш ховор өөрчилдөг, жишээлбэл, домэйн түвшинг өөрчлөх, суулгах үед Солилцоозаримдаа бусад програмууд. Энэ үүргийг ойн доторх дурын домэйн хянагч дээр байрлуулж болно. Боломжгүй үед Схемийн мастерсхемийг өөрчлөх МЭболомжгүй болно.

Домэйн нэрлэх мастер

Домэйн нэрлэх мастердомэйн нэртэй холбоотой үйл ажиллагааг хариуцдаг МЭ,Гэсэн хэдий ч түүний үүргүүдийн жагсаалт арай урт байна :

• Ойн доторх домэйн нэмэх, хасах. Домэйн нэмэх, устгахыг зөвхөн тухайн үүрэг бүхий хянагчдад зөвшөөрдөг Домэйн нэрлэх мастер. Энэ нь нэмж буй домэйн нь ойн доторх өвөрмөц гэдгийг баталгаажуулдаг NETBIOS- нэр. Хэрвээ Мастер нэрлэхболомжгүй, та ойд домэйн нэмэх эсвэл хасах боломжгүй.
• Хуваалт үүсгэх, устгах. -аас эхлэн Windows 2003тусдаа хэсгүүдийг үүсгэх боломжтой болсон - Програмын лавлах хуваалтуудхадгалахад ашигладаг МЭдурын өгөгдөл. Жишээ нь, өгөгдөл хадгалах DNS-хэсэгт серверүүд Ойн бүсүүдболон DomainDnsZones. Боломжгүй үед хуваалтын менежмент Домэйн нэрлэх мастерболомжгүй.
• Хөндлөн лавлагаа үүсгэх, устгах. Хэрэв үйлчлүүлэгчийн холбогдсон сервер агуулаагүй бол лавлах лавлахыг хайлт хийхэд ашигладаг хүссэн хуулбарлавлах, мөн та боломжтой эсэхээс хамааран ойн гаднах домэйнүүдэд хандаж болно. Хөндлөнгийн лавлагааг хадгалдаг ( crossRef) саванд хийнэ ХуваалтуудХэсэг Тохиргоо, гэхдээ зөвхөн Домэйн нэрлэх мастерэнэ савны агуулгыг өөрчлөх эрхтэй. Боломжгүй үед Домэйн нэрлэх мастершинэ хөндлөн лавлагаа үүсгэх эсвэл шаардлагагүй нэгийг устгах боломжгүй болно.
• Домэйн нэрийг өөрчлөх зөвшөөрөл. Домэйн нэрийг өөрчлөхийн тулд хэрэгслийг ашиглана уу random.exe.Тэрээр нэрийг өөрчлөх явцад гүйцэтгэх заавар бүхий скрипт бичдэг. Энэ скриптийг саванд хийнэ ХуваалтуудХэсэг Тохиргоо. Зөвхөн үүрэг гүйцэтгэдэг хянагч учраас Домэйн нэрлэх мастер, дараа нь тэр зааврыг шалгаж, шинж чанаруудыг бичих үүрэгтэй.

Энэ үүргийг ойн доторх дурын домэйн хянагч дээр байрлуулж болно.

Дэд бүтцийн мастер

Хэрэв сервер нь дэлхийн каталог биш бол ( GC), дараа нь түүний мэдээллийн санд бусад домэйны хэрэглэгчдийн талаарх мэдээлэл агуулаагүй болно. Гэсэн хэдий ч бид бусад домэйны хэрэглэгчдийг домайны локал бүлгүүдэд нэмж болно. Суурь дахь бүлэг МЭбүх хэрэглэгчдэд зориулсан холбоостой байх ёстой. Энэ асуудлыг зохиомол объект - хий үзэгдэл ( хий үзэгдэл) бүтээх замаар шийдсэн. хий үзэгдэл). Phantom объектууд нь дотоод мэдээллийн сангийн тусгай төрөл бөгөөд тэдгээрийг үзэх боломжгүй ADSIэсвэл LDAP. Энэ бол дэд бүтцийн мастерын хийдэг хий үзэгдэлтэй ажил юм.

Энэ дүрийн өөр нэг онцлог нь зөв ажиллагааолон домэйн орчинд дэд бүтцийн мастерын үүрэг гүйцэтгэдэг домэйн хянагч нь дэлхийн каталогийн сервер байж болохгүй. Хэрэв үүрэг гүйцэтгэгч бол Дэд бүтцийн мастербас сервер юм GC, энэ домэйн хянагч дээр хуурамч объектууд үүсгэгдээгүй эсвэл шинэчлэгдээгүй. Учир нь дэлхийн каталог аль хэдийн хэсэгчилсэн хуулбарыг агуулж байна бүгддоторх объектууд Идэвхтэй лавлах,мөн түүнд хий үзэгдэл хэрэггүй .

RID мастер

Домэйн дахь бүртгэл бүр (хэрэглэгч, компьютер, бүлэг) аюулгүй байдлын өвөрмөц танигчтай байх ёстой ( SID), энэ бүртгэлийг өвөрмөц байдлаар тодорхойлж, нэвтрэх эрхийг ялгахад үйлчилдэг. Харагдана SIDдараах байдлаар:

S-1-5-Y1-Y2-Y3-Y4, хаана

• S-1 — SIDзасвар 1. Зөвхөн энэ засвар одоо ашиглагдаж байна.
• 5 - ТЕГ-ыг хэн олгосон болохыг заана. 5 гэсэн үг NT эрх мэдэл. Гэсэн хэдий ч "алдартай танигч" гэж нэрлэгддэг SID (алдартай SID) энэ хэсэгт 0, 1 болон бусад утгатай байж болно.
• Y1-Y2-Y3— харьяалагдах домэйны ID Данс. Бүх объектод адилхан аюулгүй байдлын захиралижил домэйн дотор.
• Y4- Харьцангуй танигч ( Харьцангуй ID, RID) тодорхой данстай холбоотой. Бүртгэл үүсгэх үед харьцангуй домэйн тодорхойлогчдын сангаас орлуулсан.

Үүргийн домэйн хянагч RID мастерөвөрмөц дарааллыг гаргаж авах үүрэгтэй RIDөөрийн домэйн дэх домэйн хянагч бүрт, мөн объектыг нэг домэйноос нөгөө рүү шилжүүлэх зөв байдлын талаар. Домэйн хянагч нь харьцангуй таниултын нийтлэг сантай ( RID усан сан), RIDхянагч бүрийг 500 ширхэгээр хуваарилдаг. Тэдний тоо дуусахад (100-аас бага) хянагч шинэ хэсгийг хүсэх болно. Шаардлагатай бол гаргасан тоо RIDмөн хүсэлтийн босгыг өөрчилж болно.

Хариуцлагын өөр нэг талбар RID мастер- домэйн хооронд объектуудыг шилжүүлэх. Яг RID мастерТа нэг объектыг хоёр өөр домэйнд нэгэн зэрэг зөөж болохгүй гэдгийг баталгаажуулдаг. Үгүй бол хоёр домэйн ижил төстэй хоёр объект агуулж байх нөхцөл байдал үүсч болно GUIDЭнэ нь хамгийн гэнэтийн үр дагаварт хүргэж болзошгүй юм.

Хэрвээ RID мастерүнэгүй дууссаны дараа боломжгүй болно RIDшинэ данс үүсгэх боломжгүй болж, объектыг одоогийн домэйноос нөгөө рүү шилжүүлэх боломжгүй болно.

PDC эмулятор

Эхний ээлжинд гол ажил Үндсэн домэйн хянагч (PDC) эмуляторнийцтэй байдлыг хангах явдал байв өмнөх хувилбарууд Windows. Үйлчлүүлэгчид уулздаг холимог орчинд Windows NT4.0/ 95/98 болон домэйн хянагч NT4, PDC эмулятор(зөвхөн тэдний хувьд) дараахь үүргийг гүйцэтгэдэг.

• Хэрэглэгчид болон компьютерт зориулсан "нууц үг солих" үйлдлийг боловсруулах;
• Шинэчлэлтүүдийг хуулбарлах bdc (Нөөц домэйн хянагч);
• Network Explorer (сүлжээний нөөц хайх).

Домэйн түвшнээс эхэлнэ Windows 2000болон хуучин ажил тэр нэмж хэлэв. Үүргийн домэйн хянагч PDC эмулятордараах чиг үүргийг гүйцэтгэдэг.

• Нууц үг солих үүрэгтэй бөгөөд хэрэглэгчийн нууц үгийн алдаа гарсан эсэхийг хянадаг. Бусад домэйн хянагчийн өөрчилсөн нууц үгийг эхлээд хуулбарлана PDC эмулятор. Хэрэв өөр домэйн хянагч дээр баталгаажуулалт амжилтгүй болбол хүсэлтийг дахин хийнэ PDC эмулятор. Амжилтгүй оролдлогын дараа шууд бүртгэл амжилттай нотлогдсон бол, PDC эмуляторэнэ нь мэдэгдэж, тоолуурыг дахин тохируулна амжилтгүй оролдлоготэг хүртэл. Боломжгүй тохиолдолд үүнийг анхаарах нь чухал юм PDC эмуляторНууц үг солих тухай мэдээлэл домэйн даяар тархсан хэвээр байх болно, энэ нь арай удаан явагдах болно.
• Бүлгийн бодлогын засварлагч нь анхдагчаар серверт холбогддог PDC эмулятор, үүн дээр бодлогын өөрчлөлт гардаг. Хэрвээ PDC эмуляторбайхгүй бол та аль домэйн хянагчтай холбогдохоо редакторт хэлэх хэрэгтэй болно.
• Анхдагч байдлаар энэ нь PDC эмулятордомайн дахь үйлчлүүлэгчдэд зориулсан цагийн сервер юм. PDC эмуляторой дахь root домэйн нь үндсэн цагийн сервер юм PDC эмуляторхүүхдийн домэйнд.
• Нэрийн орон зайн өөрчлөлтүүд Тархсан файлын систем (DFS) үүрэг бүхий домэйн хянагч дээр хийгдсэн PDC эмулятор. Root серверүүд DFSтүүнээс үе үе шинэчлэгдсэн мета өгөгдлийг хүсэх, тэдгээрийг санах ойд хадгалах. хүртээмжгүй байдал PDC эмуляторбуруу ажиллахад хүргэж болзошгүй. DFS.
• AT Active Directory"Аюулгүй байдлын системийн оролцогчид" гэж нэрлэгддэг хүмүүс байдаг ( Аюулгүй байдлын алдартай захирлууд). Бүртгэлүүд нь жишээ юм. Хүн бүр, баталгаажуулсан хэрэглэгчид, систем, өөрөөболон Бүтээгч Эзэмшигч. Тэдгээрийг бүгдийг нь үүрэг бүхий домэйн хянагч удирддаг PDC эмулятор. Илүү нарийвчлалтай, өөрчлөлттэй МЭ PDC эмуляторсавны агуулгыг шалгаж, шинэчилдэг " CN=Мэдэгдсэн аюулгүй байдлын зарчмууд, CN=Тохиргоо, DC= >”.
• Ойн талбай бүрт Active Directoryзахиргааны аюулгүй байдлын тодорхойлогч эзэмшигч байдаг − AdminSDHolder. Энэ нь хамгаалагдсан гэж нэрлэгддэг бүлгүүдийн аюулгүй байдлын тохиргооны мэдээллийг хадгалдаг ( хамгаалагдсан бүлгүүд). Энэ механизм нь тодорхой давтамжтайгаар эдгээр бүлгүүдийн бүх гишүүдийн жагсаалтыг гаргаж, хандалтын хяналтын жагсаалтын дагуу тэдэнд эрх өгдөг. Энэ замаар AdminSDHolderзасаг захиргааны бүлгүүдийг өөрчлөлтөөс хамгаалдаг. Гүйцэтгэсэн AdminSDHolderүүрэг бүхий домэйн хянагч дээр PDC эмулятор.

Энэ л байх. Би дүрүүдээр нөхцөл байдлыг бага ч гэсэн тодруулж чадсан гэж найдаж байна FSMO. Дараагийн удаа бид өөр домэйн хянагч руу үүрэг шилжүүлэх, мөн үүнийг гүйцэтгэдэг домэйн хянагч байхгүй тохиолдолд үүрэг албадах (барьж авах) сонголтыг авч үзэх болно.

FSMO-ийн үүргийг шилжүүлэх, хураах

Үүрэг хуваарилах шийдвэр гаргах FSMOөөр домэйн хянагч руу үүрэг шилжүүлэх, мөн үүнийг гүйцэтгэдэг домэйн хянагч байхгүй тохиолдолд үүрэг албадах эсвэл "барьж авах" сонголтыг авч үзэх.

Домэйн үүсгэх үед анхдагчаар бүх үүргийг ойн анхны домэйн хянагч руу хуваарилдаг. Үүрэг солих шаардлагагүй. Microsoftүүрэг шилжүүлэхийг ашиглахыг зөвлөж байна FSMOдараах тохиолдолд:

Үүрэг эзэмшдэг домэйн хянагчийг бууруулах хуваарьтай FSMOжишээлбэл, серверийг ашиглалтаас гаргах;
Жишээ нь засвар үйлчилгээ хийхийн тулд домэйн хянагчийг түр зогсоох. Энэ тохиолдолд түүний үүргийг өөр ажиллаж байгаа домэйн хянагчдад хуваарилах ёстой. Энэ нь эмуляторыг идэвхгүй болгоход ялангуяа шаардлагатай байдаг PDC. Бусад хост үйл ажиллагааг түр зогсоох нь ажилд бага нөлөө үзүүлдэг МЭ.

Дүр барих FSMOдараах тохиолдолд үйлдвэрлэсэн:

Хэрэв одоогийн үүрэг гүйцэтгэгчийн ажил FSMOЭнэ үүрэгт хамаарах чиг үүргийг амжилттай хэрэгжүүлэхэд саад болж, дүрд шилжихийг зөвшөөрдөггүй алдаа гарсан;
Тухайн дүрийн эзэн байсан домэйн хянагч дээр FSMO, дахин суулгасан эсвэл ачаалахгүй үйлдлийн систем;
Тухайн үүргийн эзэн байсан домэйн хянагчийн үүрэг FSMO, тушаалаар албадан зэрэглэлээ бууруулсан dcpromo /forceremoval .

Анхаарна уу. Windows Server 2003 SP1-ээс эхлэн командыг ажиллуулах үед dcpromo /хүчээр арилгахДомэйн хянагч нь үйл ажиллагааны мастерын үүрэг гүйцэтгэдэг, DNS сервер эсвэл дэлхийн каталогийн сервер үү гэдгийг шалгадаг. Эдгээр үүрэг тус бүрийн хувьд та зохих арга хэмжээ авах заавар бүхий мэдэгдэл хүлээн авах болно.

Домэйн дээр хоёр ба түүнээс дээш хянагч байгаа тохиолдолд бидний хийх ёстой хамгийн эхний зүйл бол үүрэг тус бүрийн эзэмшигч нь хэн болохыг олж мэдэх явдал юм. FSMO. Үүнийг командын тусламжтайгаар хийхэд хангалттай netdom query fsmo

За, одоо дүрийн шилжүүлэг рүү орцгооё. Үйл ажиллагааны хэд хэдэн сонголт байдаг бөгөөд бид бүгдийг нь дарааллаар нь авч үзэх болно. Эхний сонголт бол хамгийн хялбар бөгөөд боломжийн үнэтэй юм.

Active Directory Management Snap-ins ашиглан FSMO-ийн үүргийг сайн дураар шилжүүлэх

RID мастер, PDC эмуляторболон Дэд бүтцийн мастер) snap ашиглах Active Directory Хэрэглэгчид болон компьютерууд (Хэрэглэгчид ба компьютер). Үүнийг хийхийн тулд бид дүрүүдийг шилжүүлэхийг хүсч буй домэйн хянагч руу очиж, нэмэлт програмыг ажиллуулж, хүссэн домэйн дээрээ хулганы баруун товчийг дараад "Үйл ажиллагааны мастерууд" хэсгийг сонгоно уу.

Нээгдсэн цонхон дээр бидэнд хэрэгтэй дүрээ сонгоно уу (бидний жишээнд RID мастер) болон Өөрчлөх товчийг дарна уу.

Тэгээд бид үр дүнг нь харж байна. Үйлдэл хийгдсэн, үүрэг нь өөр сервер рүү шилжсэн .

Үүрэг шилжүүлэх Домэйн нэрлэх мастерхэрэглүүрээс гүйцэтгэнэ Active Directory Домэйн ба итгэлцэл (Домэйн ба итгэлцэл). Бид нэмэлт холболтыг ажиллуулж, шаардлагатай бол хүссэн домэйн хянагч руу холбогдож, нэмэлт холболтын үндсэн хэсэгт хулганы баруун товчийг дараад "Operations Master" цэсийн зүйлийг сонгоно уу.

Танил цонх нээгдэж, та "Өөрчлөх" товчийг дарж, өмнөх жишээний адил өөрчлөлтийг баталгаажуулна уу.

Дүртэй Схемийн мастерзүйлс арай илүү төвөгтэй байдаг. Энэ үүргийг шилжүүлэхийн тулд та эхлээд схемийн удирдлагын номын санг системд бүртгүүлэх ёстой Active Directory. Үүнийг тушаалаар гүйцэтгэдэг regsvr32 schmmgmt.dll, Run талбарт оруулсан ( Гүй).

Дараа нь консолыг нээнэ үү MMCмөн үүн дээр нэг хэсэг нэмнэ үү Active Directory схем .

Хэрэв ямар нэг шалтгааны улмаас график нэмэлт хэрэгслийг ашиглан дүрүүдийг шилжүүлэх боломжгүй бол сонирхогчдод зориулсан. тушаалын мөрхоёр дахь сонголт байна:

Ntdsutil-д сайн дураараа fsmo үүрэг шилжүүлж байна

ntdsutil.exeнь лавлах хадгалах зориулалттай командын мөрийн хэрэгсэл юм Active Directory. Энэ бол удирдлагын хүчирхэг хэрэгсэл бөгөөд түүний онцлог нь үүрэг шилжүүлэх, хураах зэрэг орно. FSMO.

Үүрэг шилжүүлэхийн тулд дүрээ шилжүүлэхийг хүсч буй ойд байрлах дурын домэйн хянагч руу очно уу FSMO. Үүрэг хуваарилагдсан домэйн хянагч руу нэвтрэхийг зөвлөж байна FSMO. Бид тушаалын мөрийг ажиллуулж, дараах дарааллаар тушаалуудыг оруулна.

• ntdsutil
• дүрүүд
• холболтууд
• серверт холбогдох<имя сервера>

Серверт амжилттай холбогдсоны дараа бид үүргийг удирдах урилга хүлээн авна ( fsmo засвар үйлчилгээ), бид дүрүүдийг шилжүүлж эхлэх боломжтой:

• домэйн нэрлэх мастер шилжүүлэх -домэйн нэрийн мастер үүргийг шилжүүлэх.
• шилжүүлэх дэд бүтцийн мастер — дэд бүтцийн мастерын үүрэг шилжих;
• шилжүүлэх мастерхостын үүргийг шилжүүлэх RID;
• шилжүүлгийн схемийн мастерсхемийн мастерын үүргийг шилжүүлэх;
• pdc шилжүүлэх -эмуляторын үүрэг шилжүүлэх PDC.

Ажлыг дуусгахын тулд Ntdsutilкомандыг оруулна уу qболон Enter дарна уу.

Анхаарна уу. Windows Server 2008R2-ээс эхлэн домэйн нэрийн мастер үүргийг шилжүүлэх тушаал байна шилжүүлэх нэрийн мастер.

Жишээ болгон дүрээ дамжуулъя Дэд бүтцийн мастерсервер SRV2мөн үр дүнг шалгана уу.

Гурав дахь, хамгийн гунигтай хувилбар:

Ntdsutil-ээр fsmo дүрүүдийг албадах

Албадан хуваарилалт эсвэл дүрийг олж авах нь зөвхөн серверийн бүрэн доголдол, түүнийг сэргээх боломжгүй тохиолдолд л хийгддэг. Боломжтой бол үүрэг даалгавар өгсөн домайны хянагчийн ажиллагааг сэргээх нь дээр FSMO. Баривчлах журам нь өөрөө үүрэг шилжүүлэхээс тийм ч их ялгаатай биш юм. Бид үүрэг шилжүүлэхийг хүсч буй домэйн хянагч руу очиж тушаалын мөрөнд дарааллаар оруулна.

• ntdsutil
• дүрүүд
• холболтууд
• серверт холбогдох<имя сервера>

Дүрүүдийг авахын тулд FSMO seize командыг ашигладаг

Мөн дүрүүдийг шилжүүлэх / авахдаа анхаарах хэд хэдэн чухал зүйл FSMO:

Домэйн түвшний үүргийг шилжүүлэхийн тулд ( RID мастер, PDC эмуляторболон Дэд бүтцийн мастер) таны бүртгэл Домэйн Админуудын бүлгийн гишүүн байх ёстой ( Домэйн админууд), ойн түвшний үүргийг шилжүүлэх ( Домэйн нэрлэх мастерболон Схемийн мастер) - Аж ахуйн нэгжийн администраторууд ( Байгууллагын админууд).
Боломжтой бол дүрд бүү хуваарил Дэд бүтцийн мастердэлхийн каталогийн сервер болох домэйн хянагч руу, учир нь энэ тохиолдолд объектын талаарх мэдээллийг шинэчлэхгүй. Энэ зан үйлийн шалтгаан нь дэлхийн каталогийн сервер нь ойн бүх объектын хэсэгчилсэн хуулбарыг хадгалдагтай холбоотой юм.
Дүр барих тохиолдолд FSMOӨмнө нь эдгээр үүргийг гүйцэтгэж байсан домэйн хянагчийг хэзээ ч буцааж болохгүй, учир нь Энэ нь сүлжээнд гарч ирэх үед зөрчилдөөн үүсэх бөгөөд энэ нь домэйны үйл ажиллагаанд асуудал үүсгэж болзошгүй юм. Үүнээс гадна үүнийг арилгах ёстой Идэвхтэй лавлах. AT Windows Server 2008болон 2008 R2Үүнийг серверийн объектыг шууд устгах замаар хийж болно Active Directory Хэрэглэгчид болон компьютерууд, болон дотор Windows Server 2003програмыг ашиглан Ntdsutilкомандыг ашиглан ntdsutil - мета өгөгдлийг цэвэрлэх.Та энэ талаар дэлгэрэнгүй мэдээллийг техникийн дэмжлэгээс уншиж болно. Microsoft

AD-д ойд зөвхөн нэг домэйн хянагчдад хуваарилагдсан үйлдлийн мастер гэж нэрлэгддэг үйлдлүүд байдаг нь нууц биш юм. Жишээлбэл, AD-д зөвхөн нэг хянагчийг лавлах схемийн үндсэн асран хамгаалагчаар томилдог.

Хэрэв ийм сервер техникийн болон техникийн бус шалтгааны улмаас үхсэн бол багц дахь хоёр дахь DC нь домэйныг бүрэн удирдахыг зөвшөөрөхгүй байх нөхцөл байдал үүсдэг. Ийм тохиолдолд дараах жор нь туслах бөгөөд энэ нь үйл ажиллагааны мастерын одоо байгаа үүргийг амьд үлдсэн хянагч руу шилжүүлэх боломжийг танд олгоно. Жор нь нэлээд алдартай, гэхдээ би үүнийг хэвлэх нь ашигтай гэж үзсэн дэлгэрэнгүй зааварХабр дээр, миний анхны хариу үйлдэл сандрах байсан.

Бид хоёр хянагчтай домэйн тохиргоог авч үздэг. Тэдний нэг нь үйл ажиллагааны мастер, дэлхийн каталогийн үүрэг хүлээсэн бөгөөд бидний хувилбараар тэр үхдэг. Бүх үүргийг дахин хуваарилахын тулд администратор нь Enterprise Admins бүлгийн гишүүн байх ёстой. Уг процедур нь үүрэг хүлээн авах, дэлхийн каталогийг хуваарилах гэсэн хоёр үе шатаас бүрдэнэ.

Үйлдлийн мастеруудын онолыг сурах хүсэлтэй хүмүүс энэхүү мэдээллийн нийтлэлийг уншина уу.

Дүр барих

товчийг дарна уу Эхлэх, зүйл сонгоно уу Гүй, оруулна уу ntdsutil, ENTER товчийг дарна уу.
1. Холболт
1.1. Урилга дээр ntdsutil:оруулах дүрүүд ENTER товчийг дарна уу.
1.2. Урилга дээр fsmo засвар үйлчилгээ:оруулах холболтууд ENTER товчийг дарна уу.
1.3. Урилга дээр серверийн холболтууд:оруулах серверт холбогдох серверийн нэр(хаана серверийн нэрнь үйлдлийн мастерын үүргийг гүйцэтгэх домэйн хянагчийн нэр) бөгөөд ENTER дарна уу.
1.4. Холболтын баталгаажуулалтыг хүлээн авсны дараа оруулна уу болих ENTER товчийг дарна уу.
2. Урилгаар авахыг хүссэн дүрээс хамаарна fsmo засвар үйлчилгээ:доорх хүснэгтээс тохирох командыг оруулаад ENTER товчийг дарна уу.
3. Оруулна уу болих ENTER товчийг дарна уу. Ntdsutil-ээс гарахын тулд дахин давтана уу.

Систем нь баталгаажуулахыг шаарддаг. Дараа нь заасан дүрүүдийг шилжүүлэхийг оролддог. Энэ үед хэд хэдэн алдааны мессеж гарч ирж магадгүй ч зураг авалт үргэлжлэх болно. Дууссаны дараа хариуцлагатай серверүүдийн үүрэг, LDAP зангилааны жагсаалт гарч ирнэ. Мастер RID-г авах үед одоогийн мастер хуулбарлах түнштэй синхрончлохыг оролдох ёстой, гэхдээ түнш нь үхсэн тул анхааруулга гарч ирэх бөгөөд үйлдлийг баталгаажуулах шаардлагатай болно.

Зураг авах командууд

Дэлхийн каталогийн зорилго

1. Active Directory Sites and Services нэмэлт хэрэгслийг нээнэ үү.
2. Консолын модноос глобал каталогийг идэвхжүүлэх эсвэл идэвхгүй болгохыг хүссэн домэйн хянагчаа сонгоно уу. Active Directory сайтууд болон үйлчилгээнүүд/Сайтууд/site_name/Servers/controller_name эндээс хайна уу
3. NTDS Settings дээр хулганы баруун товчийг дараад Properties-ийг сонгоно. Глобал каталогийг идэвхжүүлэхийн тулд Глобал Каталогийн нүдийг сонго, эсвэл дэлхийн каталогийг идэвхгүй болгохын тулд нүдийг арилгана уу.

Энэ нийтлэл нь хэн нэгний мэдрэлийг маш сайн аварна гэж найдаж байна.

Win2k8R2 дээр тушаалууд арай өөр байна:

fsmo засвар үйлчилгээ:?

Энэ тусламжийн мэдээллийн гаралт
Холболтууд - Тодорхой AD DC/LDS инстанттай холболт
Тусламж - Энэ тусламжийн мэдээллийг харуулах
Гарах - Өмнөх цэс рүү буцах
Дэд бүтцийн мастерыг хураах - Холбогдсон сервер дээрх дэд бүтцийн үүргийг дарж бичих
Seize naming master - Холбогдсон сервер дээр нэрлэх мастерын үүргийг дарж бичнэ
Seize PDC - Холбогдсон сервер дээр PDC үүргийг дарж бичих
Saize RID master - Холбогдсон сервер дээрх RID үүргийг дарж бичнэ үү
Схемийн мастерыг хураах - Холбогдсон сервер дээрх схемийн үүргийг дарж бичих
Үйл ажиллагааны зорилтыг сонгох - Сайт, сервер, домэйн, үүрэг, нэрлэх контекстийг сонгоно уу
Дамжуулах дэд бүтцийн мастер - Холбогдсон серверийг дэд бүтцийн мастер болгох
Дамжуулах нэрийн мастер - Холбогдсон серверийг нэрлэх мастер болгоно
Дамжуулах PDC - Холбогдсон PDC сервер хийх
RID мастер шилжүүлэх - Холбогдсон серверийг RID мастер болгох
Дамжуулах схемийн мастер - Холбогдсон серверийг схемийн мастер болгоно

Энэ нийтлэлд би Active Directory орчинд домэйн хянагч хооронд FSMO үүргийг шилжүүлэх аргуудын талаар ярихыг санал болгож байна. Би танд FSMO (Уян хатан ганц мастер ажиллагаа) ямар үүрэг гүйцэтгэдэг болохыг товч сануулахыг хичээх болно. нэг гүйцэтгэгчтэй үйл ажиллагаа) Active Directory домэйнд. Active Directory дээр ердийн үйлдлүүдийн ихэнхийг (бүртгэл, бүлэг тохируулах гэх мэт) ямар ч домэйн хянагч дээр гүйцэтгэх боломжтой нь нууц биш юм. AD хуулбарлах үйлчилгээ нь эдгээр өөрчлөлтийг лавлах даяар түгээх үүрэгтэй бөгөөд бүх төрлийн зөрчилдөөн (жишээлбэл, хэд хэдэн домэйн хянагч дээр хэрэглэгчийн нэрийг нэгэн зэрэг өөрчлөх) энгийн зарчмын дагуу шийдэгддэг - сүүлчийнх нь зөв. Гэсэн хэдий ч зөрчилдөөнийг хүлээн зөвшөөрөх боломжгүй хэд хэдэн үйлдлүүд байдаг (жишээлбэл, шинэ хүүхдийн домэйн/ойг үүсгэх гэх мэт). Тийм ч учраас FSMO үүрэг бүхий домэйн хянагчууд байдаг бөгөөд тэдгээрийн гол үүрэг нь ийм төрлийн зөрчилдөөнөөс урьдчилан сэргийлэх явдал юм. FSMO-ийн үүргийг өөр домэйн хянагч руу хүссэн үедээ шилжүүлж болно.

Windows Server 2008 дээр FSMO-ийн таван үүрэг байдаг:

1. Схемийн мастер -бүх ойд зориулсан ийм үүрэг бүхий нэг сервер. Энэ үүрэг нь Active Directory ойн схемийг өргөтгөхөд шаардлагатай байдаг бөгөөд ихэвчлэн энэ үйлдлийг adprep /forestprep тушаалаар гүйцэтгэдэг.
2. Домэйн нэрлэх мастер -нэг нь бүхэл бүтэн ойд зориулагдсан. Энэ үүрэг бүхий сервер нь AD ойд үүсгэгдсэн бүх домэйн болон програмын хуваалтуудын өвөрмөц нэрийг баталгаажуулах ёстой.
3. PDC эмулятор (PDC эмулятор) -Домэйн бүрт нэг сервер. Хэд хэдэн функцийг гүйцэтгэдэг: үндсэн хөтөч юм Windows сүлжээнүүд, нууц үгээ буруу оруулсан үед хэрэглэгчийн түгжигдлийг хянадаг бөгөөд Windows 2000-аас өмнөх үйлдлийн системтэй үйлчлүүлэгчдэд дэмжлэг үзүүлэх зорилготой юм.
4. Дэд бүтцийн мастер- домэйн бүрт нэг сервер. Adprep /domainprep командыг амжилттай дуусгахад ийм үүрэгтэй сервер шаардлагатай. Домэйн хоорондын объектын лавлагаа дахь аюулгүй байдлын танигч (GUID, SID) болон объектын ялгагдах нэрийг шинэчлэх үүрэгтэй.
5. RID мастер- домэйн бүрт нэг сервер. Сервер нь өвөрмөц SID үүсгэхийн тулд бусад домэйн хянагчдад RID (тус бүр 500) хуваарилдаг.

• Дүрийг удирдахын тулд схемийн мастерта "Schema admins" бүлэгт байх ёстой.
• Дүрийг удирдахын тулд Домэйн нэрлэх мастер"Аж ахуйн нэгжийн админ" бүлгийн гишүүн байх ёстой.
• Дүрүүдийг удирдахын тулд PDCэмулятор,Дэд бүтэцБагш ааболон RIDБагш ааТа "Домэйн Админууд" домайн администраторын эрхтэй байх ёстой.

Домэйн хянагч хооронд FSMO үүргийг шилжүүлэх хэрэгцээ нь ихэвчлэн FSMO үүрэг бүхий домэйн хянагч суулгасан сервер татан буугдсан эсвэл өөр шалтгааны улмаас үүсдэг. Үүрэг шилжүүлэх үйл явц нь гарын авлагын үйл явц юм.

Та хэрэглүүрийг ашиглан тушаалын мөрөөс FSMO-ийн үүргийг шилжүүлж болно ntdsutil.exeэсвэл -аас GUI MMC Snaps. Бид дараах Active Directory нэмэлт програмуудыг сонирхож байна ()

• Active Directory схем(Схемийн мастерын үүргийг шилжүүлэхэд)
• Active Directory домэйн ба итгэмжлэлүүд(Домэйн нэрлэх үүргийг шилжүүлэхэд)
• (RID, PDC, Дэд бүтцийн үүрэг шилжүүлгийн хувьд)

Жич:Бүх ажлыг таны шилжүүлэхээр төлөвлөж буй үүрэг бүхий хянагч дээр гүйцэтгэх ёстой. Хэрэв серверийн консол байхгүй бол та тушаалыг ажиллуулах хэрэгтэй Холбохруудомэйнхянагчмөн mmc нэмэлт хэсэгт домэйн хянагчийг сонгоно уу.

Үүрэг шилжүүлэх Схемийн мастер

1. Номын санд бүртгүүлэх schmmgmt.dllтушаалын мөрөнд дараах тушаалыг гүйцэтгэх замаар:

Regsvr32 schmmgmt.dll.

2. MMC консолыг бичиж нээнэ үү MMCтушаалын мөрөнд.
3. Цэсээс сонгоно уу Нэмэх/ Устгахзалгаад консол нэмнэ үү Active Directory схем.
4. Консолын үндсэн дээр хулганы баруун товчийг дарна уу ( Active Directory схем) болон сонгоно уу үйл ажиллагааны мастер.
5. Товчлуурыг дарна уу өөрчлөх, схемийн мастерын үүргийг шилжүүлэх хянагчийн нэрийг оруулаад дарна уу БОЛЖ БАЙНА УУ.

Домэйн нэрлэх мастер үүргийг шилжүүлж байна

1. Domain and Trust Management Console-г нээнэ үү ИдэвхтэйЛавлахДомэйнболонИтгэл.
2. Домэйн нэр дээрээ хулганы баруун товчийг дараад сонголтыг сонгоно уу Үйл ажиллагаамастер.
3. Товчлуурыг дарна уу өөрчлөх, хянагчийн нэрийг оруулаад OK.

RID мастер, PDC эмулятор, дэд бүтцийн мастерийн үүргийг шилжүүлж байна

1. Консолыг нээнэ үү Active Directory хэрэглэгчид болон компьютерууд.
2. Домэйн нэр дээрээ хулганы баруун товчийг дараад сонгоно уу үйл ажиллагааны мастер.
3. Та гурван таб бүхий цонхыг харах болно ( RID, PDC, Дэд бүтэц), тус бүр дээр та товчлуур дээр дарж харгалзах үүргийг шилжүүлж болно өөрчлөх.

Үүрэг шилжүүлэх FSMO хэрэгслийг ашиглан тушаалын мөрөөсntdsutil

Анхаар:Хэрэгслийг ашиглах ntdsutilТа болгоомжтой байх хэрэгтэй, юу хийж байгаагаа тодорхой ойлгох хэрэгтэй, эс тэгвээс та Active Directory домайнаа зүгээр л тавьж болно!

1. Домэйн хянагч дээр командын мөрийг нээж командыг оруулна уу

Ntdsutil

2. Баг руу залгах

4. Дараа нь та дүрээ шилжүүлэхийг хүсч буй сервертээ холбогдох хэрэгтэй бөгөөд үүнийг хийхийн тулд дараахыг бичнэ үү.

Сервертэй холбогдоно уу

, хаана < серверийн нэр> FSMO үүргийг шилжүүлэхийг хүссэн домэйн хянагчийн нэр.

5. Оруулна уу qболон Enter дарна уу.

6. Баг:

шилжүүлэх үүрэг

Хаана < үүрэг>Энэ бол таны шилжүүлэхийг хүсч буй үүрэг юм. Жишээлбэл: шилжүүлгийн схемийн мастер, шилжүүлгийн RIDболон т. г.

7. Дүрүүдийг шилжүүлсний дараа дарна уу qболон гарахын тулд Enter товчийг дарна уу ntdsutil.exe.

8. Серверийг дахин ачаална уу.