что такое fsmo роли и зачем они
Что такое fsmo роли и зачем они
В этой статье хочу описать роли контроллера домена или FSMO (Flexible single-master operations- операции с одним исполнителем). Эта статья позволит вам понять сколько существует ролей, зачем нужна каждая из них и каким образом посмотреть какой сервер, какую роль выполняет. Особенно пригодится тем у кого большой домен с несколькими контроллерами домена, сайтами.
Не понимание сути ролей может привести вас к непониманию тех или иных ошибок в Active Directory и как следствие к невозможности их решить.
Доменные службы AD поддерживают пять ролей мастеров операций:
1 Владелец доменных имён (Domain Naming Master);
2 Владелец схемы (Schema Master);
3 Владелец относительных идентификаторов (Relative ID Master);
4 Владелец инфраструктуры домена (Infrastructure Master);
5 Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Владелец доменных имён (Domain Naming Master).
Роль предназначена для добавления и удаления доменов в лесу. Если контроллер с этой ролью недоступен во время добавления или удаления доменов в лесу возникнет ошибка операции.
В строке Хозяин именования доменов вы увидите какой контроллер домена выполняет эту роль.
Владелец схемы (Schema Master).
Контроллер с ролью владелец схемы отвечает за внесение всех изменений в схему леса. Все остальные домены содержат реплики схемы только для чтения.
Роль Владелец схемы уникальна во всем лесу и может быть определена только на одном контроллере домена.
Для того, что бы посмотреть контроллер домена выполняющий роль владельца схемы необходимо запустить оснастку Схема Active Directory, но для того что бы это сделать необходимо зарегистрировать эту оснастку. Для этого запускаем командную строку и вводим команду
regsvr32 schmmgmt.dll
После этого нажимаем «Пуск» выбераем команду «Выполнить» и вводим «mmc» и нажмите кнопку «ОК«. Далее в меню нажимаем «Файл» выбаем команду «Добавить или удалить оснастку«. В группе Доступные оснастки выбираем «Схема Active Directory«, нажимаем кнопку «Добавить«, а затем кнопку «ОК«.
Щелкните правой кнопкой мыши корневой узел оснастки и выберите «Хозяин операции«.
В строке Текущий хозяин схемы (в сети) увидите имя контроллера домена выполняющую эту роль.
Владелец относительных идентификаторов (Relative ID Master).
Эта роль обеспечивает всех пользователей, компьютеров и групп уникальными SID (Security Identifier- структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера)
Роль мастера RID уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца идентификатора, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликните на домене правой кнопкой мыши и выберите «Хозяин операции«.
Во вкладке RID увидите имя сервера выполняющую роль RID
Владелец инфраструктуры домена (Infrastructure Master).
Роль инфраструктуры домена уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца инфраструктуры домена, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликнуть на домене правой кнопкой мыши и выберать «Хозяин операции«.
Во вкладке «Инфраструктура» увидите контроллер выполняющий эту роль в домене.
Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Роль PDC- эмулятора несколько важных функций (здесь указаны не все- только основные):
— Участвует в репликации обновления паролей. Каждый раз когда пользователь меняет пароль эта информация сохраняется на контроллере домена с ролью PDC. При вводе пользователя неправильного пароля проверка подлинности направляется на PDC- эмулятор для получения возможно изменившегося пароля учетной записи (поэтому при вводе не правильного пароля вход проверка пароля происходит дольше в сравнении с вводом правильного пароля).
— Участвует в обновлении групповой политики в домене. В частности когда изменяется групповая политика на разных контроллерах домена в одно время PDC- эмулятор действует как точка фокуса всех изменений групповой политики. При открытии редактора управлениями групповыми политиками она привязывается к контроллеру домена, выполняющую роль PDC- эмулятора. Поэтому все изменения групповых политик по умолчанию вносятся в PDC- эмулятор.
— PDC- эмулятор является главным источником времени для домена. PDC- эмуляторы в каждом домене синхронизирует свое время с PDC эмулятором корневого домена леса. Другие контролеры синхронизируют свое время с PDC- эмулятором домена, компьютеры и сервера синхронизируют время с контролера домена.
Что бы увидеть какой контролер в домене выполняет роль PDC- эмулятора, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликните на домене правой кнопкой мыши и выберите «Хозяин операции«.
Во вкладке PDC увидите контроллер выполняющий эту роль.
AD: Роли FSMO и самая важная роль контроллера домена
В фундаменте инфраструктуры Microsoft находится каталог Active Directory. Как и положено «становому хребту» каталог AD – это чертовски крепкая вещь. Также, это один из примеров «Next-Next-Next – работает!» продуктов, которые без дополнительного сопровождения работают годами. Но есть ряд мифов и неточностей, которые просто необходимо каждый раз обсуждать с администраторами, сопровождающими каталог AD.
Сегодня я хочу поговорить о такой вещи как роли контроллеров домена. Многие знают, что они называются FSMO или мастера операций. Очень часто на собеседованиях спрашивают: «Какие существуют роли в AD для контроллера домена(DC)?. Зачем они нужны и что будет, если они недоступны?» Но, к сожалению, очень редко случается услышать полный и правильный ответ. Для начала, выскажу достаточно “крамольную мысль”, что безо всех FSMO ролей можно жить месяцами и даже этого не заметить…
Во встроенной справке, многочисленных руководствах и книгах, в том числе в отличных книгах Федора Зубанова написаны сотни страниц теории на эту тему. Но как показывает практика – это больше напускает туману в головы администраторов. Особенно это важно в том случае, когда кроме AD есть еще десяток систем для сопровождения. Рассмотрим этот вопрос с практической точки зрения, т.е. что нужно обязательно помнить, а что можно немного и «забыть».
Пять FSMO ролей Active directory и… глобальный каталог.
О ролях кратко и ёмко написано в статье «Роли FSMO службы Active Directory в Windows 2000». Обязательно прочитайте ее, чтобы освежить информацию, даже если вы чувствуете себя уверенно в Active Directory. Можно использовать статью как памятку о том, что конкретно делают сервера FSMO.
Большинство привычных операций, например, заведение пользователей и групп можно делать на любом контроллере домена. Служба репликации AD берет на себя копирование этих данных в рамках каталога. Устранение конфликтов делается простым методом – кто последний тот и прав. Этот механизм обеспечивает одинаковость базы Active Directory всех контролеров одного домена, т.е. любой контроллер домена содержит ВСЮ существенную информацию. Смело можно считать, что домен работает до тех пор, пока работает хотя бы один из контроллеров этого домена. Другими словами единица выживания всего каталога – это один сервер для каждого из доменов леса.
Существует несколько действий, при которых недопустимы конфликты. Если два администратора решили в одно время создать по домену Siberia в лесу outof.ru, то система сама никогда не сможет определить какой из них нужно оставить, а какой удалить. Поэтому и существуют сервера с ролями flexible single master operation (FSMO). Их задача НЕДОПУСКАТЬ таких конфликтов. На мой взгляд, многие переводы термина FSMO на русский язык не так легки для понимания, а смысл там прост: главный сервер для роли может быть только один, но ее можно в любой момент легко передать другому контроллеру домена.
| Роль сервера (FSMO) | Описание |
|---|---|
| Существуют только по одному на ВЕСЬ лес | |
| Хозяин именования домена (Domain naming master) | Сервер с этой ролью обеспечивает уникальность имен для создаваемых доменов и разделов приложений в лесу. |
| Хозяин схемы (Schema master) | Эта роль необходима для расширения схемы леса Active Directory, в большинстве случаев просто для выполнения команды adprep /forestprep |
| Существуют по одной на каждый домен | |
| Хозяин инфраструктуры (Infrastructure Master) | Сервер с такой ролью нужен для успешного выполнения команды adprep /domainprep. Про эту роль мифы наиболее стойкие. Для пользователей других доменов, которые являются членами локальных групп своего домена создает и обновляет специальные объекты в базе не глобального каталога своего домена. Это просто – т.к. если сервер не глобальный каталог(GC), то в его базе физически нет данных о пользователях других доменов. НО! Мы знаем, что в локальные группы домена мы можем добавлять любых пользователей. А группа в базе AD должна физически иметь ссылки на всех пользователей. Коллизия? ДА! Вот ее и решили специальным объектом фантомом(phantom), который никак через ldap не увидеть, но он есть. Именно работой с фантомами занимается мастер инфраструктуры. |
| Эмулятор PDC (PDC emulator) | Очень важная роль, если у вас есть NT4 домен или клиенты до 2000. Работает как основной обозреватель сети Windows. Отслеживает блокировки пользователей при ошибках паролей. Является эталоном времени для домена. Роль также заслуживает отдельного поста – это в планах |
| Хозяин RID (RID Master) | Сервер с этой ролью раздает другим контроллерам домена пачки по 500 заготовок для создания уникальных SID. У каждого пользователя и группы обязательно есть SID(Security Identifier). Сам SID это такая строка вида S-1-5-21-165875785-1005667432-441284377-1023, которую вы иногда видите вместо имени пользователя или группы. |
Существует еще важная шестая роль контроллера домена – это глобальный каталог(Global Catalog = GC). Такую роль может иметь любой контроллер в домене, т.е. она не относится к единственно возможной ни для леса, ни для домена. Другими словами, Global Catalog это НЕ FSMO – flexible single master operation. Наверное, именно поэтому, на вопрос о важных ролях контроллера домена, практически никогда не говорят о глобальном каталоге(GC).
Важный вывод из определения:
Кратко вспомнили основные роли мастеров операций (FSMO роли) и что такое глобальный каталог (GC). Теперь переходим к самому интересному – что будет, если у нас недоступна каждая из ролей:
ДА… звучит, конечно, страшно, но в реальной жизни даже для относительно большой компании можно действительно жить без FSMO серверов днями. Редко кто заводит по 500 новых пользователей ежедневно. Время на 15 минут рассинхронизироваться тоже за пару дней врят-ли сможет. А проблему с паролями можно даже и не заметить совсем.
Само по себе такое поведение предсказуемо и логично. Революция в архитектуре Active Directory по сравнению с каталогами NT4 как раз и была в том, что нет таких единственных ролей сервера, при выходе из строя которых, вы теряете основную фунциональность домена. Ведь в NT4 отказ PDC приводил к тому, что домен переходил в режим “только для чтения”.
А что будет, если у нас вдруг перестанут работать все глобальные каталоги? Такое для небольших внедрений AD встречается гораздо чаще, чем это может показаться на первый взгляд. Например, есть два сервера – один GC, а второй, как это часто бывает, нет. Выключаем мы сервер, где работает глобальный каталог, пропылесосить и что мы увидим?
При отказе последнего глобального каталога (GC) – пользователь не сможет войти в свой компьютер. А сервер Exchange не будет работать с почтой.
Конечно, существует специальная политика, которая позволяет входить пользователю в домен и без доступного глобального каталога, но по-умолчанию она выключена. Сервер Exchange без глобального каталога работать в принципе не сможет.
Для больших структур AD при отказе в центре, например, Exchange вдруг станет работать гораздо медленнее, хотя нагрузки на самом почтовом сервере нет. В случае сбоя связи удаленного филиала с центром пользователи не входят в домен. А ведь именно для “независимого входа в сеть” и ставили контроллер домена в филиал, верно?
Если включено кэширование универсальных групп, то конечно это сглаживает ситуацию… но только тех, кто уже входил в сеть. Плюс, обновление этого кэша идет совсем по другому расписанию, чем основная репликация, что вызывает иногда трудные для диагностики проблемы с авторизацией. Для большинства внедрений Active Directory лучше использовать глобальные каталоги, чем кэширование.
Часто получается, что роль глобального каталога, предназначенная для работы на многих серверах, используется на единицах машин. Это опасно для здоровья active directory и нервов системного администратора. Поэтому не стесняйтесь делать каждый контроллер домена глобальным каталогом – жить будет легче.
Роли FSMO Active Directory в Windows
В этой статье в основном вы узнаете о ролях гибкой единой основной операции (FSMO) в Active Directory.
Применяется к: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Исходный номер КБ: 197132
Аннотация
Active Directory — это центральный репозиторий, в котором хранятся все объекты предприятия и соответствующие атрибуты. Это иерархическая база данных с поддержкой нескольких мастеров, которая может хранить миллионы объектов. Изменения в базе данных могут обрабатываться в любом контроллере домена (DC) на предприятии независимо от того, подключен или отключен dc от сети.
Многомастерская модель
База данных с несколькими мастерами, например Active Directory, обеспечивает гибкость, позволяющую вносить изменения в любой dc на предприятии. Но он также вводит возможность конфликтов, которые потенциально могут привести к проблемам после репликации данных на остальную часть предприятия. Один из способов Windows конфликтующих обновлений — это наличие алгоритма разрешения конфликтов для обработки несоответствий в значениях. Это делается путем решения в DC, к которому были написаны последние изменения, который является последним автором выигрывает. Изменения во всех остальных DCs удаляются. Хотя этот метод может быть приемлем в некоторых случаях, иногда конфликты слишком сложно разрешить с помощью последнего метода победы автора. В таких случаях лучше предотвратить конфликт, а не пытаться устранить его после факта.
Для некоторых типов изменений Windows методы предотвращения конфликтов с обновлениями Active Directory.
Одномастерная модель
Чтобы предотвратить конфликтующие обновления в Windows, Active Directory выполняет обновления для определенных объектов одним способом. В односерийной модели обработка обновлений разрешена только одному dc во всем каталоге. Она похожа на роль основного контроллера домена (PDC) в более ранних версиях Windows, таких как Microsoft Windows NT 3.51 и 4.0. В более ранних версиях Windows, PDC отвечает за обработку всех обновлений в заданном домене.
Active Directory расширяет единую модель, найденную в более ранних версиях Windows, включая несколько ролей, а также возможность передачи ролей в любой DC на предприятии. Поскольку роль Active Directory не привязана к единой DC, ее называют ролью FSMO. В настоящее время Windows существует пять ролей FSMO:
Как правило, владение ролью FSMO выполняется только в том случае, если контроллер домена реплицирует контекст именования (NC), в котором хранится право собственности с момента начала службы каталогов. Убедитесь, что захват роли FSMO достигает предыдущего владельца до использования роли.
Роль мастера схемы FSMO
Начальные требования к репликации и подключению
Роль магистра FSMO для имен домена
Начальные требования к репликации и подключению
Этот держатель ролей FSMO активен только в том случае, если владелец роли успешно реплицирует конфигурацию NC с момента начала службы каталогов.
Члены домена леса свяжаются с держателем ролей FSMO только при обновлении перекрестных ссылок. DCs contact the FSMO role holder when:
Роль master FSMO RID
Держатель роли master FSMO RID — это единственный dc, отвечающий за обработку запросов пула RID из всех DCs в заданном домене. Он также отвечает за удаление объекта из домена и его размещение в другом домене во время перемещения объекта.
Когда dc создает основной объект безопасности, например пользователь или группа, он прикрепит к объекту уникальный ИД безопасности (SID). Этот SID состоит из:
Каждому Windows dc в домене выделяется пул РИД, который разрешено назначать создамые им принципы безопасности. Если выделенный пул RID в DC опускается ниже порогового значения, dc выдает запрос на дополнительные riD-решения мастеру RID домена. Мастер rid домена отвечает на запрос, ирисуя RID из неуловимого пула RID домена, и назначает их пулу запрашиваемого DC. В каталоге есть один мастер RID для каждого домена.
Начальные требования к репликации и подключению
Роль FSMO эмулятора PDC
Эмулятор PDC необходим для синхронизации времени на предприятии. Windows включает службу времени W32Time (Windows время), требуемую протоколом проверки подлинности Kerberos. Все Windows компьютеры на предприятии используют общее время. Цель службы времени — убедиться, что служба Windows времени использует иерархическую связь, контролируемую полномочиями. Это не позволяет циклам обеспечить надлежащее общее использование времени.
Эмулятор PDC домена является авторитетным для домена. Эмулятор PDC в корне леса становится авторитетным для предприятия и должен быть настроен для сбора времени из внешнего источника. Все держатели ролей PDC FSMO следуют иерархии доменов при выборе своего связанного партнера по времени.
В домене Windows роль эмулятора PDC сохраняет следующие функции:
Эта часть роли эмулятора PDC становится ненужной в следующей ситуации:
Все рабочие станции, серверы членов и контроллеры доменов, работающие Windows NT 4.0 или более ранних, обновлены до 2000 Windows 2000.
Эмулятор PDC по-прежнему выполняет другие функции, описанные в Windows 2000.
В следующих сведениях описываются изменения, которые происходят в процессе обновления:
Начальные требования к репликации и подключению
Этот держатель ролей FSMO всегда активен, когда эмулятор PDC находит атрибут fSMORoleOwner главы NC домена указывает на себя. Не существует требования к репликации входящие.
DCs связаться с держателем ролей FSMO, когда у них есть новый пароль, или локальной проверки пароля сбой. Ошибки не возникает, если эмулятор PDC не может быть достигнут или значение реестра установлено AvoidPdcOnWan до 1.
Для запуска необходимых условий для понижения dc можно использовать следующий cmdlet.
Вот пример вывода, когда эмулятор PDC не может быть достигнут.
Сообщение. Проверка необходимых условий для продвижения контроллера домена не удалось. Вы указали, что этот контроллер домена Active Directory не является последним контроллером домена для домена «contoso.com». Однако связаться с другим контроллером домена для этого домена не может. Proceeding приведет к тому, что все изменения служб домена Active Directory, внесенные на этом контроллере домена, будут потеряны. Чтобы продолжить все равно, укажите параметр «IgnoreLastDCInDomainMismatch».
Контекст: Test.VerifyDcPromoCore.DCPromo.General.50
RebootRequired : False
Состояние: ошибка
Роль магистра инфраструктуры FSMO
Если объект в одном домене ссылается на другой объект в другом домене, он представляет ссылку по:
Держатель ролей FSMO инфраструктуры — это dc, ответственный за обновление SID объекта и его отличительное имя в ссылке на объект с перекрестным доменом.
Роль Мастера инфраструктуры (IM) должна быть у dc, которая не является сервером глобального каталога (GC). Если мастер инфраструктуры работает на сервере глобального каталога, он прекратит обновление сведений об объектах, так как не содержит ссылок на объекты, которые он не удерживает. Это потому, что сервер глобального каталога содержит частичную реплику каждого объекта в лесу. В результате ссылки на объекты меж домена в этом домене не будут обновляться, и в журнал событий DC будет входить предупреждение об этом.
Если все DCs в домене также имеют глобальный каталог, все DCs имеют текущие данные. Не важно, какая dc-компания занимает главную роль в инфраструктуре.
При включении необязательной функции Recycle Bin каждый dc несет ответственность за обновление ссылок на объекты с перекрестным доменом при перемещении, переименовании или удалении ссылок на ссылаемого объекта. В этом случае не существует задач, связанных с ролью инфраструктуры FSMO. И не важно, какой контроллер домена владеет ролью Мастер инфраструктуры. Дополнительные сведения см. в 6.1.5.5.5 Infrastructure FSMO Role.
Передача или захват ролей FSMO в службах домена Active Directory
В этой статье описывается, когда и как переносить или использовать роли гибких однообъемных операций (FSMO).
Применяется к: Windows Server 2019, Windows Server Standard 2016, Windows Server Essentials 2016, Windows Server Datacenter 2016
Исходный номер КБ: 255504
Дополнительная информация
В лесу служб домена Active Directory (AD DS) существуют определенные задачи, которые должен выполнять только один контроллер домена (DC). DCs, которые назначены для выполнения этих уникальных операций, известны как держатели ролей FSMO. В следующей таблице перечислены роли FSMO и их размещение в Active Directory.
| Роль | Область | Контекст именования (раздел Active Directory) |
|---|---|---|
| Хозяин схемы. | Forest-wide | CN=Schema,CN=configuration,DC= |
| Мастер именования домена | Forest-wide | CN=configuration,DC= |
| Эмулятор PDC | Все домены | DC= |
| Мастер RID | Все домены | DC= |
| Мастер инфраструктуры | Все домены | DC= |
Дополнительные сведения о держателях ролей fSMO и рекомендациях по размещению ролей см. в дополнительных сведениях о размещении и оптимизации FSMO в контроллерах домена Active Directory.
Разделы приложения Active Directory, которые включают разделы приложений DNS, имеют ссылки на роли FSMO. Если раздел приложения DNS определяет владельца для роли мастера инфраструктуры, для удаления этого раздела приложения нельзя использовать Ntdsutil, DCPromo или другие средства. Дополнительные сведения см. в примере dcPROMO demotion fails if unable to contact the DNS infrastructure master.
Когда dc, который действует как держатель ролей, начинает работать (например, после сбоя или остановки), он не сразу возобновляет себя как держатель ролей. Dc ждет, пока получит входящие репликации для контекста именования (например, владелец роли схемы ждет получения входящие репликации раздела Схемы).
Сведения, которые передаются DCs в рамках репликации Active Directory, включают удостоверения текущих держателей ролей FSMO. Когда только что запущенный DC получает входящие сведения о репликации, он проверяет, является ли он по-прежнему держателем ролей. Если это так, он возобновляет типичные операции. Если реплицированная информация указывает на то, что в качестве держателя ролей действует другой DC, вновь запущенный DC отостановит свое право собственности на роль. Такое поведение снижает вероятность того, что домен или лес будут иметь дублирующиеся держатели ролей FSMO.
Операции AD FS сбой, если им требуется держатель ролей, и если вновь запущенный держатель ролей является, по сути, держателем ролей и он не получает репликацию входящие.
В результате поведение похоже на то, что произойдет, если держатель ролей был в автономном режиме.
Определение передачи или захвата ролей
В типичных условиях все пять ролей должны быть назначены «живым» DCs в лесу. При создании леса Active Directory мастер установки Active Directory (Dcpromo.exe) назначает все пять ролей FSMO первому домену dc, который он создает в корневом домене леса. При создании домена ребенка или дерева Dcpromo.exe три роли для всей области домена первой dc в домене.
DCs продолжают владеть ролями FSMO, пока они не будут назначены с помощью одного из следующих методов:
Если держатель ролей FSMO испытывает сбой или иным образом выходит из строя перед передачей ролей, необходимо захватить и передать все роли в соответствующий и здоровый DC.
Рекомендуем перенести роли FSMO в следующих сценариях:
Рекомендуется использовать роли FSMO в следующих сценариях:
Текущий держатель ролей испытывает операционную ошибку, которая не позволяет успешно завершить операцию, зависимую от FSMO, и вы не можете передать роль.
Вы используете команду для принудительного понижения dcpromo /forceremoval dc, который владеет ролью FSMO.
Команда dcpromo /forceremoval оставляет роли FSMO в недействительном состоянии до тех пор, пока они не будут назначены администратором.
Операционная система на компьютере, которая изначально владела определенной ролью, больше не существует или была переустановлена.
Определение нового держателя ролей
Лучшим кандидатом для нового держателя ролей является dc, отвечающий следующим критериям:
Например, предположим, что вам необходимо перенести главную роль схемы. Главная роль схемы является частью раздела схемы леса (cn=Schema, cn=Configuration,dc=). Лучшим кандидатом для нового держателя ролей является dc, который также находится в корневом домене леса и на том же сайте Active Directory, что и текущий держатель ролей.
Не помещай главную роль инфраструктуры в тот же DC, что и глобальный сервер каталогов. Если мастер инфраструктуры работает на глобальном сервере каталогов, он прекращает обновление сведений об объектах, так как не содержит ссылок на объекты, которые он не удерживает. Это потому, что сервер глобального каталога содержит частичную реплику каждого объекта в лесу.
Чтобы проверить, является ли dc также глобальным сервером каталогов, выполните следующие действия:
Дополнительные сведения см. в статьях:
Захват или передача ролей FSMO
Вы можете использовать Windows PowerShell или Ntdsutil для захвата или передачи ролей. Сведения и примеры использования PowerShell для этих задач см. в примере Move-ADDirectoryServerOperationMasterRole.
Если вам необходимо использовать главную роль RID, рассмотрите возможность использования комлета Move-ADDirectoryServerOperationMasterRole вместо Ntdsutil.exe утилиты.
Чтобы избежать риска дублирования SID-данных в домене, Ntdsutil при захвате роли мастера RID прибавляет следующий доступный RID в пуле на 10 000. Это поведение может привести к полному потреблению лесом доступных диапазонов для значений RID (также известных как rid burn). В отличие от этого, если вы используете комлет PowerShell, чтобы захватить главную роль RID, следующий доступный RID не влияет.
Чтобы использовать или передать роли FSMO с помощью утилиты Ntdsutil, выполните следующие действия:
Вход на компьютер участника, на котором установлены средства RSAT AD, или dc, расположенный в лесу, где передаются роли FSMO.
Выберите > запуск, введите ntdsutil в поле Open, а затем выберите ОК.
Введите роли и нажмите кнопку Ввод.
Чтобы увидеть список доступных команд на любом из подсказок в утилите Ntdsutil, введите ?, а затем нажмите Ввод.
Введите подключения и нажмите кнопку Ввод.
Введите подключение к серверу и нажмите кнопку Ввод.
В этой команде имеется имя dc, на которое необходимо назначить роль FSMO.
На запросе подключения к серверу введите q и нажмите кнопку Ввод.
Выполните одно из указанных ниже действий.
Чтобы передать роль: введите передачу и нажмите кнопку Ввод.
В этой команде находится роль, которую необходимо передать.
Чтобы захватить роль: введите захват, а затем нажмите ввод.
В этой команде есть роль, которую нужно захватить.
Например, чтобы захватить главную роль RID, введите захватить мастер избавления. Исключения для роли эмулятора PDC, синтаксис которой захватить pdc, и мастер имен домена, синтаксис которого захватить мастер именования.
Чтобы увидеть список ролей, которые можно перенести или захватить, введите? в запросе на техническое обслуживание fsmo, а затем нажмите кнопку Введите или см. список ролей в начале этой статьи.
В запросе на техническое обслуживание fsmo введите q и нажмите кнопку Ввод, чтобы получить доступ к запросу ntdsutil. Введите q и нажмите кнопку Ввод, чтобы выйти из утилиты Ntdsutil.
Соображения при восстановлении или удалении предыдущих держателей ролей
Если это возможно, и если вы можете передать роли, а не их захват, исправить предыдущий держатель роли. Если вы не можете исправить предыдущий держатель роли или если вы захватили роли, удалите предыдущий держатель ролей из домена.
Если вы планируете использовать восстановленный компьютер в качестве постоянного тока, рекомендуется перестроить компьютер в DC с нуля, а не восстанавливать dc из резервного копирования. Процесс восстановления снова восстановит DC в качестве держателя ролей.
Возвращение отремонтированного компьютера в лес в качестве dc
Выполните одно из указанных ниже действий.
На другом dc в лесу используйте Ntdsutil для удаления метаданных для бывшего держателя ролей. Дополнительные сведения см. в обзоре Очистка метаданных сервера с помощью Ntdsutil.
После очистки метаданных можно перезавести компьютер на dc и передать ему роль.
Удаление компьютера из леса после удаления его ролей
Соображения при реинтеграции островов репликации
Если часть домена или леса в течение продолжительного времени не может общаться с остальным доменом или лесом, изолированные разделы домена или леса называются островами репликации. Компьютеры на одном острове не могут реплицироваться с DCs на других островах. В течение нескольких циклов репликации острова репликации не синхронизируются. Если у каждого острова есть собственные держатели ролей FSMO, при восстановлении связи между островами могут возникнуть проблемы.
В большинстве случаев вы можете воспользоваться первоначальным требованием репликации (как описано в этой статье) для отладки дублирующих держателей ролей. Перезапущенный держатель ролей должен отойт от роли, если обнаружит дубликат держателя ролей.
Вы можете столкнуться с обстоятельствами, которые такое поведение не устраняет. В таких случаях информация в этом разделе может быть полезной.
В следующей таблице определяются роли FMSO, которые могут вызывать проблемы, если лес или домен имеет несколько держателей ролей для этой роли:
| Роль | Возможные конфликты между несколькими держателями ролей? |
|---|---|
| Хозяин схемы. | Да |
| Мастер именования домена | Да |
| Мастер RID | Да |
| Эмулятор PDC | Нет |
| Мастер инфраструктуры | Нет |
Эта проблема не влияет на Emulator или мастера инфраструктуры. Эти держатели ролей не сохраняют оперативные данные. Кроме того, мастер инфраструктуры не часто изменяется. Поэтому, если на нескольких островах есть эти держатели ролей, можно реинтегрировать острова, не вызывая долгосрочных проблем.
Мастер схемы, мастер имен домена и мастер RID могут создавать объекты и сохранять изменения в Active Directory. Каждый остров с одним из этих держателей ролей может иметь дублирующиеся и противоречивые объекты схемы, домены или пулы RID к моменту восстановления репликации. Прежде чем реинтегрировать острова, определите, какие держатели ролей необходимо сохранить. Удалите все повторяющиеся мастера схемы, мастера именования доменов и мастера RID, следуя процедурам восстановления, удаления и очистки, которые упоминаются в этой статье.