Active diresctory описание FSMO роля и миграция - kagarlickij Дмитрий
Около FSMO роли Active Directory, има редица митове, които се провеждат, както лесни за отгатване, от баналните теми недоразумението.
В тази статия ще говорим за това, което са FSMO роли, какво ще се случи, ако няма достъп до сървъра с тази роля, и как да се прехвърлят ролята на друг сървър.
Нека започнем с нивото на гората:
Схемата съдържа класове (например, потребители, компютри, групи) и атрибути (например, име, sIDHistory, посочено в заглавието). Те не само използва Active Directory, но някои от тях, и на бизнес софтуер (например, размяна, System Center).
Когато актуализирате ниво домейн / гора (след обновяване на операционната система, всички домейн контролерите, разбира се), както и инсталирането на софтуера, схемата въведени допълнителни класове и атрибути, които, разбира се, не се отразява на софтуер, който вече е инсталиран. Така че не се страхувайте да се актуализира схемата, независимо от факта, че това е необратим действие.
Ако все пак искате да играят на сигурно, преди да надградите схема, можете да създадете нов контролер, изчакайте репликация, и да го приведе в офлайн режим. Ако нещо се обърка, може да го върне в сайта, за да го назначи управление на схемата, предварително окончателно да се откажат контролера на линия, на която актуализацията е бил неуспешен.
Схемата е една и съща за целия дървен материал, се съхраняват на всеки домейн контролер и контролер като повторен роля Schema магистър. При инсталиране на софтуер, което прави izmeniniya промени схеми ще бъдат въведени към контролера с майстор роля Schema.
Към този контролер ще получите достъп до други контролери, ако версията на схема за тях ще бъде по-различно.
Намерете най-актуалната версия на схемата, като използвате PowerShell, можете (разбира се, вместо lab.local budt вашето домейн име):
Get-ADObject "CN = схема, CN = конфигурация, DC = лаборатория, DC = местния" -properties objectVersion
Действително актуализирана версия:
Друг софтуер, който променя другите предмети, като Exchange Server е rangeUpper
За да използвате ММС модул Schema Active Directory (Директория схема активен в руската локализация), трябва да бъдат изпълнени:
Ако контролерът с Schema магистър роля няма да бъде на разположение, никой в гората няма да може да се разшири схемата (за да се повиши нивото на горите, и инсталиране на "тежка" софтуер), както и разширяване на схемата е много рядко, да живея без тази роля може инфраструктура в продължение на години.
Именуване на домейни
Необходимо е на първо място, за да се гарантира уникалността на имена на домейни в рамките на NetBIOS гората.
Ако контролерът с тази роля не е на разположение, никой в гората няма да бъде в състояние да добавяте, изтривате и преименувате домейни, както и Това се случва много рядко, може да живее без тази роля на инфраструктурата също може години.
Освен това, без да именуване на домейни няма да работи добавяне и премахване на директория, дялове, както и препратки - но това е екзотична, аз не мисля, че има смисъл да пиша за това в тази статия.
роли домейн ниво са разположени:
За всеки главен домейн сигурност, генериран уникален SID - SID. За разлика GUID, SID може да варира, например, когато мигриращи между домени.
В рамките на един домейн, ще се различава който позира последния блок - той се нарича RID (относителна идентификатор).
При създаване на нов главен сигурност, SID, и, съответно, RID, издаден от контролера, на която вие създавате.
Общо налични 30 февруари (това е 1073741823) RIDov - на пръв поглед това е много, но когато се вземе предвид факта, че RID не може да бъде преназначен (създаване - премахване - създаването на дублиращи обекти консумират 2 Rida), а в някои случаи отблокирани 31y малко и 2147483647 RID'ov получен.
Вижте това, което имате случва сега, можете да:
dcdiag.exe / тест: ridmanager / об
По този начин, ако контролера с тази роля няма да бъде на разположение, инспектори, издадени изчерпани ги RID-басейна няма да бъде в състояние да създаде нови директори по сигурността.
Въпреки факта, че PDC / ДМТ е в условията на NT-далечното минало, това е най-важното FSMO роля в операциите.
Пропуснете описанието на това как да бъде NT машина и преминете към нещо истинско:
Ако контролерът с ролята на PDC Emalator не е на разположение, че няма да работи за синхронизация време и ще е трудно да се запазва групата политика и репликация на пароли, които ще се отразят на операциите.
Последната роля - неговата задача е да следи за потребителите от други домейни в гората. Значението на тази роля зависи от броя на потребителите и ресурси в цяла домейни. Например, ако имате такъв домейн в гората, инфраструктура Магистър е просто ненужно.
Как да разберете кой е собственик на предприятието FSMO роли?
netdom заявка FSMO
