Služba AD DS podporuje päť rolí hlavného operačného servera:

1 Vlastník doménových mien (Domain Naming Master);

2 Schema Master;

3 Vlastník relatívnych identifikátorov (Relative ID Master);

4 Vlastník infraštruktúry domény (Master infraštruktúry);

5 Emulátor primárneho radiča domény (emulátor PDC).

Vlastník názvu domény (Domain Naming Master).

Rola je navrhnutá na pridávanie a odstraňovanie domén v lese. Ak počas pridávania alebo odstraňovania domén v lese nie je k dispozícii radič s touto rolou, dôjde k chybe operácie.

Les používa iba jeden radič domény s rolou - vlastník doménových mien (Domain Naming Master).

Ak chcete zistiť, ktorý z radičov domény, ktorý máte, je vlastníkom názvov domén, musíte spustiť modul snap-in Aktívny adresár- Domény a dôvera kliknite pravým tlačidlom myši na koreňový uzol a vyberte " Majster prevádzky"

V riadku Domain Naming Master uvidíte, ktorý radič domény má túto rolu.

Majster schém.

Kontrolér s rolou vlastníka schémy je zodpovedný za vykonanie všetkých zmien v schéme lesa. Všetky ostatné domény obsahujú repliky schém iba na čítanie.

Rola vlastníka schémy je jedinečná v rámci celého lesa a možno ju definovať iba na jednom radiči domény.

Ak chcete zobraziť radič domény vystupujúci ako vlastník schémy, musíte spustiť modul snap-in Schéma Active Directory, ale aby ste to mohli urobiť, musíte zaregistrovať tento modul snap-in. Ak to chcete urobiť, otvorte príkazový riadok a zadajte príkaz

regsvr32 schmmgmt.dll

Potom stlačte " Štart"Vyberte si tím" Bežať"a zadajte" mmc"a stlačte tlačidlo" OK". Ďalej v ponuke stlačte " Súbor"Vyberte si tím" Pridajte alebo odstráňte snímku"V skupine." Dostupné moduly snap-in vybrať " Schéma Active Directory", stlač tlačidlo" Pridať"a potom tlačidlo" OK".

Kliknite pravým tlačidlom myši na koreňový uzol modulu snap-in a vyberte možnosť „ Majster prevádzky".

V riadku Current Schema Master (Online) uvidíte názov radiča domény, ktorý vykonáva túto rolu.

Relatívne ID Master.

Táto rola poskytuje všetkým používateľom, počítačom a skupinám jedinečný identifikátor SID (identifikátor zabezpečenia – dátová štruktúra s premenlivou dĺžkou, ktorá identifikuje používateľa, skupinu, doménu alebo účet počítača)

Rola hlavného servera RID je v rámci domény jedinečná.

Ak chcete zistiť, ktorý radič v doméne vystupuje ako vlastník identifikátora, musíte spustiť " Majster prevádzky".

Na karte RID uvidíte názov servera, ktorý funguje ako RID

Vlastník infraštruktúry domény (Infrastructure Master).

Táto rola je relevantná pri používaní viacerých domén v lese. Jeho hlavnou úlohou je správa fantómových objektov. Fantómový objekt je objekt, ktorý je vytvorený v inej doméne, aby poskytoval nejaké zdroje.

Rola infraštruktúry domény je v rámci domény jedinečná.

Ak chcete zistiť, ktorý radič v doméne je vlastníkom infraštruktúry domény, musíte spustiť súbor " Používatelia a počítače služby Active Directory", kliknite pravým tlačidlom myši na doménu a vyberte " Majster prevádzky".

Na karte " Infraštruktúra“ uvidíte radič, ktorý vykonáva túto úlohu v doméne.

Emulátor primárneho radiča domény (emulátor PDC)

Úloha emulátora PDC má niekoľko dôležitých funkcií (nie všetky sú tu uvedené - iba tie hlavné):

Podieľa sa na replikácii aktualizácie hesla. Zakaždým, keď používateľ zmení heslo, tieto informácie sa uložia v radiči domény s rolou PDC. Keď používateľ zadá nesprávne heslo, autentifikácia sa presmeruje do emulátora PDC, aby získal možno zmenené heslo účtu (takže zadanie nesprávneho hesla trvá overenie hesla dlhšie v porovnaní so zadaním správneho hesla).

Podieľa sa na aktualizácii skupinovej politiky v doméne. Najmä pri zmene skupinovej politiky na rôznych radičoch domény v rovnakom čase funguje emulátor PDC ako ústredný bod pre všetky zmeny skupinovej politiky. Keď otvoríte Editor správy politiky skupiny, naviaže sa na radič domény, ktorý funguje ako emulátor PDC. Preto sa všetky zmeny skupinovej politiky predvolene vykonajú v emulátore PDC.

Emulátor PDC je hlavným zdrojom času pre doménu. Emulátory PDC v každej doméne synchronizujú svoj čas s emulátorom PDC koreňovej domény lesa. Ostatné radiče synchronizujú svoj čas s emulátorom domény PDC, počítače a servery synchronizujú svoj čas s radičom domény.

Ak chcete zistiť, ktorý radič v doméne funguje ako emulátor PDC, musíte spustiť súbor " Používatelia a počítače služby Active Directory", kliknite pravým tlačidlom myši na doménu a vyberte " Majster prevádzky".

Na karte PDC uvidíte radič, ktorý vykonáva túto úlohu.

Existuje niekoľko situácií, kedy si musíte úlohy zapamätať FSMO- ide o obnovu po havárii po zlyhaní, migráciu, ako aj hľadanie zamestnania (zvyčajne sa anketári veľmi radi pýtajú otázky typu „Aké sú úlohy v AD pre radič domény, prečo sú potrebné?"). A hoci všetky tieto situácie sa vyskytujú veľmi zriedkavo, pre všeobecné pochopenie diela AD je veľmi užitočné pochopiť účel rolí FSMO.

FSMO, alebo Flexibilné operácie s jedným majstrom(operácie s jedným vykonávateľom) sú operácie vykonávané radičmi domény Active Directory (AD), ktoré vyžadujú, aby bol server pre každú operáciu jedinečný. V závislosti od typu operácie, jedinečnosť FSMO zahrnuté v rámci jednej domény alebo lesa domén. odlišné typy FSMO môže bežať na jednom alebo viacerých radičoch domény. Výkon FSMO volá sa server úlohu servery a samotné servery sú pánmi operácií.

Väčšina transakcií v AD možno vykonať na ľubovoľnom radiči domény. Replikačná služba AD skopíruje zmeny do zvyšku radičov domény, čím zaistí identitu základne AD na všetkých radičoch jednej domény. K odstraňovaniu konfliktov dochádza nasledovne – pravdu má ten, kto urobil zmeny naposledy.

Existuje však niekoľko akcií (napríklad zmena schémy AD), pre ktoré nie sú povolené konflikty. Preto existujú servery s rolami FSMO. Ich úlohou — vyhnúť sa takýmto konfliktom. Teda význam rolí FSMO v ďalšom môže každá rola bežať súčasne iba na jednom serveri. A v prípade potreby ho možno kedykoľvek preniesť na iný radič domény.

Celkovo je v lese päť rolí FSMO. Na začiatok uvediem ich krátky popis. :

• majster schém ( Majster schém) - zodpovedný za vykonávanie zmien v schéme Aktívny adresár. Pre celú doménu domén môže byť len jedna.
• Hlavný názov domény ( Majster názvov domén) - zodpovedá za jedinečnosť názvov pre vytvorené domény a aplikačné oddiely v lese. Pre celú doménu domén môže byť len jedna.
• Hostiteľ infraštruktúry ( Majster infraštruktúry) - ukladá údaje o užívateľoch z iných domén, ktorí sú členmi lokálnych skupín ich domény. Pre každú doménu v lese môže byť jeden.
• Majster RID (Majster RID) – je zodpovedný za prideľovanie jedinečných relatívnych identifikátorov ( RID) vyžadované pri vytváraní doménových účtov. Pre každú doménu v lese môže byť jeden.
• emulátor PDC (Emulátor PDC) - zodpovedný za kompatibilitu s doménou NT4 a klientov Windows 2000. Pre každú doménu v lese môže byť jeden.

A teraz si jednotlivé roly prejdime podrobnejšie a zistíme, aké dôležité sú pre fungovanie Aktívny adresár.

Majster schém

Majster schém- zodpovedá za vykonávanie zmien v schéme, kde sa nachádzajú popisy všetkých tried a atribútov Aktívny adresár. Schéma sa upravuje veľmi zriedka, napríklad pri zmene úrovne domény, inštalácii Výmena a niekedy aj iné aplikácie. Táto rola môže byť umiestnená na ľubovoľnom radiči domény v rámci lesa. Keď nie je k dispozícii Majster schém zmeniť schému AD bude nemožné.

Majster názvov domén

Majster názvov domén zodpovedný za operácie súvisiace s doménovými názvami AD, zoznam jeho povinností je však o niečo dlhší :

• Pridávanie a odstraňovanie domén v rámci lesa. Pridávanie a odstraňovanie domén je povolené len pre radič s rolou Majster názvov domén. Zabezpečuje, že pridávaná doména je v rámci lesa jedinečná NETBIOS-názov. Ak Pomenovanie Majster nedostupné, nemôžete pridať ani odstrániť doménu v lese.
• Vytváranie a odstraňovanie oddielov. Počnúc Windows 2003 bolo možné vytvoriť samostatné sekcie - Oddiely adresára aplikácií, ktoré slúžia na ukladanie ADľubovoľné údaje. Napríklad ukladanie údajov pre DNS-servery v sekciách ForestDnsZones a DomainDnsZones. Správa oddielov, keď nie je k dispozícii Majster názvov domén nemožné.
• Vytváranie a odstraňovanie krížových odkazov. Krížové odkazy sa používajú na vyhľadávanie v adresári, ak server, ku ktorému je klient pripojený, neobsahuje požadovanú kópiu a môžete tiež odkazovať na domény mimo lesa, v závislosti od ich dostupnosti. Krížové odkazy sú uložené ( crossRef) v nádobe Priečky oddiele Konfigurácia, ale len Majster názvov domén má právo meniť obsah tohto kontajnera. Keď nie je k dispozícii Majster názvov domén nebude možné vytvoriť nový krížový odkaz alebo odstrániť nepotrebný odkaz.
• Schválenie premenovania domény. Ak chcete premenovať doménu, použite pomôcku random.exe. Napíše skript s pokynmi, ktoré sa majú vykonať počas procesu premenovania. Tento skript je umiestnený v kontajneri Priečky oddiele Konfigurácia. Keďže iba kontrolór s rolou Majster názvov domén, potom je to on, kto je zodpovedný za kontrolu pokynov a zapisovanie atribútov.

Táto rola môže byť umiestnená na ľubovoľnom radiči domény v rámci lesa.

Majster infraštruktúry

Ak server nie je globálny katalóg ( GC), potom jej databáza neobsahuje údaje o používateľoch z iných domén. Do lokálnych skupín domény však môžeme pridať používateľov z iných domén. Skupina v base AD musí fyzicky obsahovať odkazy na všetkých používateľov. Tento problém bol vyriešený vytvorením fiktívneho objektu - fantóma ( fantóm). Fantómové objekty sú špeciálnym typom interných databázových objektov a nie je možné ich prezerať ADSI alebo LDAP. Je to práca s fantómami, ktorej sa venuje majster infraštruktúry.

Ďalšou črtou tejto role je správna prevádzka v prostredí s viacerými doménami by radič domény pôsobiaci ako hlavný server infraštruktúry nemal byť serverom globálneho katalógu. Ak držiteľ role Majster infraštruktúry je tiež server GC, fiktívne objekty sa na tomto radiči domény nevytvárajú ani neaktualizujú. Je to preto, že globálny katalóg už obsahuje čiastočné repliky všetky predmety v Aktívny adresár, a on nepotrebuje fantómy .

Majster RID

Každý účet v doméne (používateľ, počítač, skupina) musí mať jedinečný bezpečnostný identifikátor ( SID), ktorý jednoznačne identifikuje tento účet a slúži na rozlíšenie prístupových práv. Vyzerá SID nasledujúcim spôsobom:

S-1-5-Y1-Y2-Y3-Y4, kde

• S-1 — SID revízia 1. V súčasnosti sa používa iba táto revízia.
• 5 — Označuje, kto vydal SID. 5 znamená Úrad NT. Avšak takzvané „známe identifikátory“ SID (známy SID) môže mať v tejto časti hodnoty 0, 1 a niektoré ďalšie.
• Y1-Y2-Y3— ID domény, do ktorej patrí účtu. Rovnaké pre všetky objekty istina v rámci rovnakej domény.
• Y4— relatívny identifikátor ( Relatívne ID, RID) priradený ku konkrétnemu účtu. Nahradené z fondu relatívnych doménových identifikátorov v čase vytvorenia účtu.

Rola radič domény Majster RID je zodpovedný za extrakciu sekvencie jedinečných RID pre každý radič domény v jeho doméne, ako aj pre správny presun objektov z jednej domény do druhej. Radiče domén majú spoločnú skupinu relatívnych identít ( Bazén RID), RID z ktorých je každý ovládač prideľovaný po 500 kusoch. Keď ich počet skončí (klesne pod 100), regulátor požiada o novú časť. V prípade potreby počet vydaných RID a prah žiadosti možno zmeniť.

Ďalšia oblasť zodpovednosti Majster RID— presúvanie objektov medzi doménami. presne tak Majster RID zaisťuje, že nemôžete presunúť ten istý objekt do dvoch rôznych domén súčasne. V opačnom prípade je možná situácia, keď dve domény obsahujú dva objekty s rovnakým GUID ktorá je plná najneočakávanejších dôsledkov.

Ak Majster RID nebude k dispozícii, potom po skončení zdarma RID nebude možné vytvoriť nový účet a tiež nebude možné migrovať objekty z aktuálnej domény do inej.

Emulátor PDC

Spočiatku hlavná úloha Emulátor primárneho radiča domény (PDC). bolo zabezpečiť kompatibilitu s predchádzajúce verzie Windows. V zmiešanom prostredí, kde sa stretávajú klienti Windows NT4.0/ 95/98 a radiče domény NT4, Emulátor PDC vykonáva (iba pre nich) nasledujúce funkcie:

• Spracovanie operácie „zmena hesla“ pre používateľov a počítače;
• Replikovať aktualizácie do bdc (Záložný radič domény);
• Network Explorer (hľadanie sieťových zdrojov).

Začíname na úrovni domény Windows 2000 a staršie práce dodal. Rola radič domény Emulátor PDC vykonáva nasledujúce funkcie:

• Zodpovedá za zmenu hesiel a monitoruje uzamknutie používateľov pre chyby hesla. Heslo zmenené ktorýmkoľvek iným radičom domény sa najskôr replikuje na Emulátor PDC. Ak overenie na inom radiči domény nebolo úspešné, požiadavka sa zopakuje Emulátor PDC. Ak je účet úspešne overený ihneď po neúspešnom pokuse, Emulátor PDC je upozornený a vynuluje počítadlo neúspešné pokusy na nulu. Je dôležité si uvedomiť, že v prípade nedostupnosti Emulátor PDC informácia o zmene hesla sa stále rozšíri po celej doméne, len to bude prebiehať trochu pomalšie.
• Editor politiky skupiny sa štandardne pripája k serveru Emulátor PDC a nastanú na nej zmeny politiky. Ak Emulátor PDC nie je k dispozícii, budete musieť editorovi povedať, ku ktorému radiču domény sa má pripojiť.
• V predvolenom nastavení je Emulátor PDC je časový server pre klientov v doméne. Emulátor PDC koreňová doména v lese je predvolený časový server Emulátor PDC v podriadených doménach.
• Zmeny menného priestoru Distribuovaný súborový systém (DFS) sú vytvorené na radiči domény s rolou Emulátor PDC. Koreňové servery DFS pravidelne od neho požadovať aktualizované metadáta a uchovávať ich v pamäti. neprístupnosť Emulátor PDC môže viesť k nesprávnej prevádzke. DFS.
• AT Aktívny adresár existujú takzvaní „účastníci vstavaného bezpečnostného systému“ ( Dobre známi predstavitelia bezpečnosti). Príkladom sú účty. Všetci, overení používatelia, systém, ja a Vlastník tvorcu. Všetky sú riadené radičom domény s rolou Emulátor PDC. Presnejšie, so zmenami v AD Emulátor PDC kontroluje a aktualizuje obsah kontajnera " CN=Známe bezpečnostné zásady, CN=Konfigurácia, DC= >”.
• V každej doméne lesa Aktívny adresár existuje vlastník administratívnych bezpečnostných deskriptorov − AdminSDHolder. Ukladá informácie o nastaveniach zabezpečenia pre takzvané chránené skupiny ( chránené skupiny). Tento mechanizmus si s určitou frekvenciou vyžiada zoznam všetkých členov týchto skupín a vystaví ich právam v súlade s jeho zoznamom kontroly prístupu. Touto cestou AdminSDHolder chráni administratívne skupiny pred zmenami. Vykonané AdminSDHolder na radiči domény s rolou Emulátor PDC.

To je asi všetko. Dúfam, že sa mi podarilo trochu objasniť situáciu s rolami FSMO. A nabudúce sa pozrieme na možnosti prenosu rolí na iný doménový radič, ako aj vynútenie pridelenia (zabavenia) roly v prípade nedostupnosti doménového radiča, ktorý to vykonáva.

Prevod a prevzatie rolí FSMO

Rozhodovanie o prideľovaní rolí FSMO zvážiť možnosti prenosu rolí na iný radič domény, ako aj vynútenie alebo „zachytenie“ roly v prípade nedostupnosti radiča domény, ktorý ju vykonáva.

Po vytvorení domény sú všetky roly predvolene priradené prvému radiču domény v lese. Zmena úlohy sa vyžaduje len zriedka. Microsoft odporúča použiť prenos rolí FSMO v nasledujúcich prípadoch:

Plánované zníženie úrovne radiča domény vlastniaceho rolu FSMO, napríklad na vyradenie servera z prevádzky;
Dočasné vypnutie radiča domény, napríklad kvôli vykonaniu údržby. V tomto prípade musia byť jeho roly priradené inému funkčnému radiču domény. Toto je potrebné najmä pri deaktivácii emulátora PDC. Dočasné odstavenie ostatných vlastníkov prevádzok má menší vplyv na prevádzku AD.

Zachytenie role FSMO vyrobené v týchto prípadoch:

Ak je práca súčasného držiteľa role FSMO vyskytli sa zlyhania, ktoré bránia úspešnému vykonávaniu funkcií obsiahnutých v tejto úlohe a neumožňujú prechod úlohy;
Na radiči domény, ktorý bol vlastníkom roly FSMO, preinštaluje sa alebo sa nenačíta operačný systém;
Rola radiča domény, ktorý bol vlastníkom roly FSMO, bol násilne znížený s príkazom dcpromo /forceremoval .

Poznámka. Počnúc Windows Server 2003 SP1, keď spustíte príkaz dcpromo /forceremoval skontroluje, či má radič domény úlohu hlavného operátora, či ide o server DNS alebo server globálneho katalógu. Pre každú z týchto rolí dostanete upozornenie s pokynmi, ako vykonať príslušnú akciu.

V prípade, že sú v doméne dva alebo viac radičov, prvá vec, ktorú musíme urobiť, je zistiť, kto je vlastníkom každej z rolí FSMO. S príkazom je to dosť jednoduché netdom dotaz fsmo

No a teraz prejdime k odovzdávaniu rolí. Existuje niekoľko možností konania, zvážime ich všetky v poradí. Prvá možnosť je najjednoduchšia a cenovo dostupná.

Dobrovoľný prenos rolí FSMO pomocou modulov snap-in správy Active Directory

Majster RID, Emulátor PDC a Majster infraštruktúry) použite snap Aktívny adresár Používatelia a počítače (Používatelia a počítače). Aby sme to urobili, prejdeme na radič domény, na ktorý chceme preniesť roly, spustíme modul snap-in a klikneme pravým tlačidlom myši na požadovanú doménu, vyberieme položku „Operations Masters“.

V okne, ktoré sa otvorí, vyberte rolu, ktorú potrebujeme (v našom príklade Majster RID) a kliknite na tlačidlo Zmeniť.

A pozrieme sa na výsledok. Skutok je hotový, rola bola prenesená na iný server .

Prenos roly Majster názvov domén vykonávané z nástroja Aktívny adresár Domény a dôvera (Domény a dôvera). Spustíme modul snap-in, ak je to potrebné, pripojíme sa k požadovanému radiču domény, kliknite pravým tlačidlom myši v koreňovom adresári modulu snap-in a vyberte položku ponuky „Operations Master“.

Otvorí sa známe okno, v ktorom musíte kliknúť na tlačidlo „Zmeniť“ a potom potvrdiť zmeny rovnakým spôsobom ako v predchádzajúcom príklade.

S rolou Majster schém veci sú trochu komplikovanejšie. Ak chcete preniesť túto rolu, musíte najprv zaregistrovať knižnicu správy schém v systéme Aktívny adresár. To sa vykonáva pomocou príkazu regsvr32 schmmgmt.dll , zadané do poľa Spustiť ( Bežať).

Potom otvorte konzolu MMC a pridajte k tomu snímku Schéma Active Directory .

Ak z nejakého dôvodu nie je možné preniesť roly pomocou grafických modulov snap-in, ako aj pre amatérov príkazový riadok je tu druha moznost:

Dobrovoľný prenos rolí fsmo pomocou Ntdsutil

ntdsutil.exe je nástroj príkazového riadka určený na udržiavanie adresára Aktívny adresár. Je to výkonný nástroj na správu a medzi jeho funkcie patrí prenos a prevzatie rolí. FSMO.

Ak chcete preniesť roly, prejdite na ľubovoľný radič domény nachádzajúci sa v lese, v ktorom chcete preniesť roly FSMO. Odporúča sa prihlásiť sa na radič domény, ktorý má priradené roly FSMO. Spustíme príkazový riadok a zadáme príkazy v nasledujúcom poradí:

• ntdsutil
• rolí
• spojenia
• pripojiť k serveru<имя сервера>

Po úspešnom pripojení k serveru dostaneme pozvánku na správu rolí ( údržba fsmo) a môžeme začať prenášať roly:

• previesť master názvov domén — prenesenie role hlavného správcu doménových mien.
• kapitán prenosovej infraštruktúry — prechod úlohy hlavného veliteľa infraštruktúry;
• transfer zbavil majstra prenos role hostiteľa RID;
• master schémy prenosu prenos úlohy hlavného servera schém;
• prenos pdc - prenos roly emulátora PDC.

Na dokončenie práce Ntdsutil zadajte príkaz q a stlačte Enter.

Poznámka. Počnúc systémom Windows Server 2008R2 je príkaz na prenos hlavnej roly názvu domény majster pomenovávania prevodu.

Ako príklad uveďme rolu Majster infraštruktúry server SRV2 a skontrolujte výsledok.

No, tretí, najsmutnejší scenár:

Vynútenie rolí fsmo pomocou Ntdsutil

Vynútené priradenie, alebo zachytenie rolí, sa vykonáva iba v prípade úplného zlyhania servera s nemožnosťou jeho obnovenia. Ak je to možné, je lepšie obnoviť funkčnosť neúspešného radiča domény, ktorému sú priradené roly FSMO. Samotný postup zachytenia sa veľmi nelíši od prenosu rolí. Prejdeme na radič domény, do ktorého chceme preniesť roly, a následne do príkazového riadka zadáme:

• ntdsutil
• rolí
• spojenia
• pripojiť k serveru<имя сервера>

Na zachytenie rolí FSMO používa sa príkaz seize

A niekoľko ďalších dôležitých bodov, ktoré je potrebné zvážiť pri prenose / obsadzovaní rolí FSMO:

Ak chcete preniesť roly na úrovni domény ( Majster RID, Emulátor PDC a Majster infraštruktúry) váš účet musí byť členom skupiny Domain Admins ( Správcovia domény) a preniesť roly na úrovni lesa ( Majster názvov domén a Majster schém) - Enterprise Administrators ( Enterprise Admins).
Ak je to možné, nepriraďujte rolu Majster infraštruktúry na radič domény, ktorý je serverom globálneho katalógu, pretože v tomto prípade nebude aktualizovať informácie o objektoch. Dôvodom tohto správania je, že server globálneho katalógu udržiava čiastočné repliky všetkých objektov v lese.
V prípade zachytenia role FSMO radič domény, ktorý predtým vykonával tieto roly, by sa nikdy nemal vrátiť späť, pretože keď sa objaví v sieti, dôjde ku konfliktu, ktorý môže spôsobiť problémy v prevádzke domény. Okrem toho musí byť odstránený z Aktívny adresár. AT Windows Server 2008 a 2008R2 to sa dá urobiť jednoduchým odstránením objektu servera v snape Aktívny adresár Používatelia a počítače, a v Windows Server 2003 pomocou programu Ntdsutil pomocou príkazu ntdsutil - čistenie metadát . Viac si o tom môžete prečítať v technickej podpore. Microsoft

Nie je žiadnym tajomstvom, že v AD existujú operácie, ktoré sú priradené iba jednému doménovému radiču v lese, ktorý sa nazýva hlavný operačný systém. Napríklad v AD je len jeden radič určený ako primárny správca adresárovej schémy.

Ak takýto server z niektorej z technických alebo netechnických príčin odumrie, nastáva situácia, keď vám druhý DC v balíku neumožní plnohodnotne spravovať doménu. V takýchto prípadoch pomôže nasledujúci recept, ktorý vám umožní preniesť existujúce roly majstra operácií na prežívajúceho kontrolóra. Recept je celkom famózny, mne sa však osvedčil na rozloženie podrobné pokyny na habr, kedze moja prva reakcia bola panika.

Uvažujeme o konfigurácii domény s dvoma radičmi. Jednému z nich boli pridelené úlohy veliteľa operácií a globálneho katalógu a v našom scenári zomrie. Ak chcete zmeniť priradenie všetkých rolí, správca musí byť členom skupiny Enterprise Admins. Postup pozostáva z dvoch krokov: prevzatie rolí a priradenie globálneho katalógu.

Tí, ktorí sa chcú naučiť teóriu majstrov operácií, si prečítajte tento informatívny príspevok, no, začnime.

Zachytenie role

Kliknite na tlačidlo Štart, vyberte položku Bežať, zadajte ntdsutil a stlačte ENTER.
1. Spojenie
1.1. V pozvánke ntdsutil: vstúpiť rolí a stlačte ENTER.
1.2. V pozvánke údržba fsmo: vstúpiť spojenia a stlačte ENTER.
1.3. V pozvánke pripojenia na server: vstúpiť pripojiť k serveru názov servera(kde názov servera je názov radiča domény, ktorý prevezme úlohu hlavného operačného systému) a stlačte ENTER.
1.4. Po prijatí potvrdenia o pripojení zadajte skončiť a stlačte ENTER.
2. V závislosti od úlohy, ktorú chcete na pozvánke prevziať údržba fsmo: zadajte príslušný príkaz z tabuľky nižšie a stlačte ENTER.
3. Zadajte skončiť a stlačte ENTER. Opakujte znova, aby ste ukončili ntdsutil.

Systém požiada o potvrdenie. Potom sa pokúsi preniesť zadané roly. Počas toho sa môže zobraziť niekoľko chybových hlásení, ale zachytávanie bude pokračovať. Po dokončení sa zobrazí zoznam rolí a uzlov LDAP zodpovedných serverov. Počas zachytávania hlavného RID by sa mal aktuálny hlavný server pokúsiť o synchronizáciu s replikačným partnerom, ale partner je mŕtvy, takže sa zobrazí varovanie a operáciu bude potrebné potvrdiť.

Zachytiť príkazy

Účel globálneho katalógu

1. Otvorte modul Active Directory Sites and Services.
2. V strome konzoly vyberte radič domény, na ktorom chcete povoliť alebo zakázať globálny katalóg. Tu hľadajte lokality a služby Active Directory/Sites/názov_stránky/Servery/názov_kontroléra
3. Kliknite pravým tlačidlom na NTDS Settings, vyberte Properties. Začiarknutím políčka Globálny katalóg povolíte globálny katalóg alebo zrušením začiarknutia tohto políčka vypnete globálny katalóg.

Dúfam, že tento článok niekomu ušetrí poriadnu kopu nervov.

Vo Win2k8R2 sú príkazy mierne odlišné:

údržba fsmo:?

Výstup týchto informácií pomocníka
Pripojenia – pripojenie ku konkrétnej inštancii AD DC/LDS
Pomocník – zobrazí tieto informácie pomocníka
Ukončiť – návrat do predchádzajúcej ponuky
Zabaviť hlavný server infraštruktúry – prepíše rolu infraštruktúry na pripojenom serveri
Prevziať master názvov – prepíše rolu názvového master na pripojenom serveri
Zabaviť PDC - Prepísať rolu PDC na pripojenom serveri
Seize RID master – Prepíšte rolu RID na pripojenom serveri
Seize schema master - Prepísať rolu schémy na pripojenom serveri
Vybrať cieľ operácie – Vyberte lokality, servery, domény, roly, kontexty pomenovania
Prenos hlavného servera infraštruktúry – Z pripojeného servera spravte hlavný server infraštruktúry
Prenos názvového hlavného servera – Nastavte pripojený server ako hlavný názvový server
Transfer PDC – Vytvorte pripojený server PDC
Transfer RID master – Z pripojeného servera spravte RID master
Transfer schema master – Z pripojeného servera spravte hlavného servera schém

V tomto článku navrhujem hovoriť o metódach prenosu rolí FSMO medzi radičmi domény v prostredí Active Directory. V krátkosti sa vám pokúsim pripomenúť, čo sú roly FSMO (Flexible Single Master Operation), doslovný preklad operácie s jedným exekútorom) v doméne Active Directory. Nie je žiadnym tajomstvom, že v Active Directory možno väčšinu typických operácií (ako je nastavenie účtov, skupín) vykonávať na ľubovoľnom radiči domény. Za distribúciu týchto zmien po adresári je zodpovedná služba replikácie AD a všemožné konflikty (napríklad súčasné premenovanie používateľa na viacerých radičoch domény) sa rieši podľa jednoduchého princípu – kto je posledný, má pravdu. Existuje však množstvo operácií, počas ktorých je konflikt neprijateľný (napríklad vytvorenie novej dcérskej domény/lesa atď.). Preto existujú radiče domény s rolami FSMO, ktorých hlavnou úlohou je predchádzať konfliktom tohto druhu. Roly FSMO je možné kedykoľvek preniesť na iný radič domény.

V systéme Windows Server 2008 je päť rolí FSMO:

1. Majster schémy - jeden server s touto úlohou pre celú doménu. Rola je potrebná na rozšírenie schémy lesa Active Directory, zvyčajne sa táto operácia vykonáva príkazom adprep /forestprep
2. Hlavný názov domény - jeden pre celý les. Server s touto rolou musí zabezpečiť jedinečné názvy pre všetky domény a aplikačné oddiely, ktoré sú vytvorené v doméne AD.
3. Emulátor PDC (emulátor PDC) - jeden server na doménu. Vykonáva niekoľko funkcií: je hlavným prehliadačom v Siete Windows, monitoruje zablokovanie používateľov pri nesprávnom zadaní hesla, je určený na podporu klientov s operačnými systémami staršími ako Windows 2000.
4. Majster infraštruktúry- jeden server na doménu. Server s touto rolou je potrebný na úspešné vykonanie príkazu adprep /domainprep. Zodpovedá za aktualizáciu bezpečnostných identifikátorov (GUID, SID) a rozlišujúcich názvov objektov v odkazoch na objekty medzi doménami.
5. Majster RID- jeden server na doménu. Server distribuuje identifikátory RID (každý 500) do iných radičov domény, aby vytvoril jedinečné identifikátory SID.

• Spravovať rolu majster schém musíte byť v skupine "Schema admins".
• Spravovať rolu Majster názvov domén musí byť členom skupiny „Enterprise admins“.
• Na riadenie rolí PDCemulátor,InfraštruktúraMajster a RIDMajster musíte mať práva správcu domény „Správcovia domény“

Potreba preniesť roly FSMO medzi radičmi domény zvyčajne vzniká pri vyradení servera, na ktorom je nainštalovaný radič domény s rolou FSMO, alebo z nejakého iného dôvodu. Proces prenosu rolí je manuálny proces.

Rolu FSMO môžete preniesť z príkazového riadku pomocou pomôcky ntdsutil.exe alebo z GUI MMC Snaps. Máme záujem o nasledujúce moduly snap-in Active Directory ()

• Schéma Active Directory(na prenos úlohy hlavného servera schém)
• Domény a dôveryhodnosti služby Active Directory(na prenos roly Pomenovanie domén)
• (pre RID, PDC, prenos roly infraštruktúry)

Poznámka: Všetka práca musí byť vykonaná na ovládači s rolou, ktorú plánujete migrovať. Ak konzola servera nie je k dispozícii, musíte príkaz spustiť Pripojte sadodoménaOvládač a vyberte radič domény v module snap-in mmc.

Prenos roly Majster schém

1. Zaregistrujte knižnicu schmmgmt.dll vykonaním nasledujúceho príkazu na príkazovom riadku:

Regsvr32 schmmgmt.dll.

2. Otvorte konzolu MMC zadaním MMCna príkazovom riadku.
3. Z ponuky vyberte Pridať/Odstrániť snap-in a pridajte konzolu Schéma Active Directory.
4. Kliknite pravým tlačidlom myši na koreň konzoly ( Schéma Active Directory) a vyberte prevádzkový majster.
5. Stlačte tlačidlo zmeniť, zadajte názov radiča, na ktorý sa prenesie rola hlavného servera schém, a kliknite OK.

Prenos úlohy hlavného servera názvov domén

1. Otvorte konzolu správy domén a dôveryhodnosti AktívneAdresárdoményaTrusty.
2. Kliknite pravým tlačidlom myši na názov svojej domény a vyberte možnosť Operáciemajster.
3. Stlačte tlačidlo zmeniť, zadajte názov ovládača a OK.

Prenos úloh hlavného servera RID, emulátora PDC a hlavného servera infraštruktúry

1. Otvorte konzolu Používatelia a počítače služby Active Directory.
2. Kliknite pravým tlačidlom myši na názov svojej domény a vyberte prevádzkový majster.
3. Uvidíte okno s tromi kartami ( RID, PDC, Infraštruktúra), na každý z nich môžete preniesť príslušnú rolu kliknutím na tlačidlo zmeniť.

Presun rolí FSMO z príkazového riadku pomocou pomôckyntdsutil

Pozor: Použite utilitu ntdsutil musíte byť opatrní a jasne rozumieť tomu, čo robíte, inak môžete jednoducho položiť svoju doménu Active Directory!

1. Na radiči domény otvorte príkazový riadok a zadajte príkaz

Ntdsutil

2. Vytočte tím

4. Potom sa musíte pripojiť k serveru, na ktorý chcete preniesť rolu, napíšte:

Pripojte sa k serveru

, kde < názov servera> názov radiča domény, na ktorý chcete preniesť rolu FSMO.

5. Zadajte q a stlačte Enter.

6. Tím:

prestupová úloha

Kde < rola> toto je rola, ktorú chcete preniesť. Napríklad: transfer schema master, transfer RIDa t. d.

7. Po prenesení rolí kliknite q a Enter pre ukončenie pomocou ntdsutil.exe.

8. Reštartujte server.