Elastyczna obsługa pojedynczego mastera

Elastyczne pojedyncze operacje wzorcowe ( FSMO , F jest czasami „pływające”; wymawiane jako Fiz-mo) lub tylko pojedyncza operacja wzorcowa lub wzorce operacji to funkcja usługi Active Directory (AD) firmy Microsoft . Od 2005 roku termin FSMO został wycofany na rzecz mistrzów operacji. [ potrzebne źródło ]

FSMO to wyspecjalizowany zestaw zadań kontrolera domeny (DC), używany tam, gdzie standardowe metody przesyłania danych i aktualizacji są niewystarczające. Usługa AD zwykle opiera się na wielu równorzędnych kontrolerach domeny, z których każdy zawiera kopię bazy danych usługi AD, synchronizowanych przez replikację z wieloma wzorcami . Zadania, które nie nadają się do replikacji z wieloma wzorcami i są wykonalne tylko w przypadku bazy danych z jednym wzorcem, to FSMO.

Role FSMO

Role w domenie

Te role mają zastosowanie na poziomie domeny (tj. istnieje jedna z każdej dla każdej domeny w lesie):

  • Emulator PDC (podstawowy kontroler domeny) — ta rola jest najczęściej używana ze wszystkich ról FSMO i ma najszerszy zakres funkcji. Kontroler domeny pełniący rolę emulatora kontrolera PDC ma kluczowe znaczenie w środowisku mieszanym, w którym nadal obecne są kontrolery BDC systemu Windows NT 4.0. Dzieje się tak, ponieważ rola emulatora kontrolera PDC emuluje funkcje kontrolera PDC systemu Windows NT 4.0. Nawet jeśli wszystkie kontrolery domeny systemu Windows NT 4.0 zostały zmigrowane do systemu Windows 2000 lub nowszego, kontroler domeny pełniący rolę emulatora kontrolera PDC nadal wiele potrafi. Emulator PDC jest źródłem domeny do synchronizacji czasu dla wszystkich innych kontrolerów domeny; w lesie wielodomenowym emulator PDC w każdej domenie synchronizuje się z emulatorem PDC głównego lasu. Wszystkie pozostałe komputery należące do domeny są synchronizowane z odpowiednimi kontrolerami domeny. Synchronizacja zegarów komputerów w całym lesie jest niezwykle ważna, ponieważ nadmierne przechylenie zegara powoduje niepowodzenie uwierzytelniania Kerberos . Ponadto wszystkie zmiany hasła następują na emulatorze PDC i otrzymują priorytet replikacji.
  • RID Master — (identyfikator względny) Ten właściciel roli FSMO jest pojedynczym kontrolerem domeny odpowiedzialnym za przetwarzanie żądań puli RID ze wszystkich kontrolerów domeny w danej domenie. Jest również odpowiedzialny za przeniesienie obiektu z jednej domeny do drugiej podczas przenoszenia obiektu między domenami. Gdy kontroler domeny tworzy obiekt podmiotu zabezpieczeń, taki jak użytkownik lub grupa, dołącza do obiektu unikalny identyfikator SID . Ten identyfikator SID składa się z identyfikatora SID domeny (takiego samego dla wszystkich identyfikatorów SID utworzonych w domenie) oraz identyfikatora względnego (RID), który jest unikalny dla każdego identyfikatora SID podmiotu zabezpieczeń utworzonego w domenie. Każdy kontroler domeny w domenie ma przydzieloną pulę identyfikatorów RID, które może przypisać do tworzonych przez siebie podmiotów zabezpieczeń. Gdy przydzielona pula RID kontrolera domeny spadnie poniżej progu, ten kontroler wysyła żądanie dodatkowych identyfikatorów RID do właściciela roli RID Master FSMO domeny, właściciel roli RID Master FSMO odpowiada na żądanie, pobierając identyfikatory RID z nieprzydzielonej puli RID domeny i przypisuje je do puli żądającego kontrolera domeny.
  • Infrastructure Master — celem tej roli jest zapewnienie prawidłowej obsługi odwołań do obiektów między domenami. Na przykład, jeśli użytkownik z jednej domeny zostanie dodany do grupy zabezpieczeń z innej domeny, Infrastructure Master upewni się, że zostało to wykonane prawidłowo. Jeśli jednak wdrożenie Active Directory ma tylko jedną domenę, rola Infrastructure Master w ogóle nie działa, a nawet w środowisku wielodomenowym jest rzadko używana, z wyjątkiem sytuacji, gdy wykonywane są złożone zadania administrowania użytkownikami. Dotyczy to tylko partycji domeny (domyślny kontekst nazewnictwa). Zapytania netdom fsmo i ntdsutil będą wysyłać zapytania tylko do partycji domeny. Jednak każda partycja aplikacji, w tym strefy domeny DNS na poziomie lasu i domeny, ma własny wzorzec infrastruktury. Właściciel tej roli jest przechowywany w atrybucie fSMORoleOwner obiektu Infrastructure w katalogu głównym partycji, można go zmodyfikować za pomocą ADSIEdit , na przykład można zmodyfikować atrybut fSMORoleOwner obiektu CN=Infrastructure,DC=DomainDnsZones,DC=yourdomain ,DC=tld obiekt do CN=NTDSSettings,CN=Nazwa_DC,CN=Serwery,CN=DRSite,CN=Sites,CN=Configuration,DC=Twojadomena,DC=TLD .

Role dla lasu

Te role są unikatowe na poziomie lasu (obie znajdują się w domenie głównej lasu):

  • Mistrz schematu — celem tej roli jest replikacja zmian schematu do wszystkich innych kontrolerów domeny w lesie. Ponieważ jednak schemat usługi Active Directory jest rzadko zmieniany, rola Mistrza schematu rzadko wykonuje jakąkolwiek pracę. Ta rola jest zazwyczaj związana z wdrażaniem programu Exchange Server i Skype for Business Server, a także kontrolerów domeny z jednej wersji do drugiej, ponieważ wszystkie te sytuacje wymagają wprowadzania zmian w schemacie usługi Active Directory.
  • Mistrz nazw domen — inną rolą FSMO specyficzną dla lasu jest Mistrz nazw domen, która również znajduje się w domenie głównej lasu. Rola Domain Naming Master przetwarza wszystkie zmiany w przestrzeni nazw, na przykład dodanie domeny podrzędnej vancouver.mycompany.com do domeny głównej lasu mycompany.com wymaga, aby ta rola była dostępna. Nieprawidłowe działanie tej roli może uniemożliwić dodanie nowej domeny podrzędnej lub nowego drzewa domen.

Przenoszenie ról FSMO między kontrolerami domeny

Domyślnie usługa AD przypisuje wszystkie role wzorców operacji do pierwszego kontrolera domeny utworzonego w lesie. Aby zapewnić odporność na awarie, w każdej domenie lasu powinno być dostępnych wiele kontrolerów domeny. Jeśli w lesie są tworzone nowe domeny, pierwszy kontroler domeny w nowej domenie obejmuje wszystkie role FSMO obejmujące całą domenę. Nie jest to zadowalająca pozycja, jeśli domena ma dużą liczbę kontrolerów domeny. Firma Microsoft zaleca ostrożny podział ról FSMO z rezerwowymi kontrolerami domeny gotowymi do przejęcia każdej roli. Jeśli to możliwe, emulator PDC i master RID powinny znajdować się na tym samym DC. Wzorzec schematu i Wzorzec nazw domen również powinny znajdować się na tym samym kontrolerze domeny.

Kiedy rola FSMO jest przenoszona do innego kontrolera domeny, pierwotny posiadacz FSMO i nowy posiadacz FSMO komunikują się, aby upewnić się, że żadne dane nie zostaną utracone podczas transferu. Jeśli pierwotny posiadacz FSMO doświadczył nieodwracalnej awarii, inny DC może „przejąć” utracone role; istnieje jednak ryzyko utraty danych z powodu braku komunikacji. Przejęcie ról od kontrolera domeny zamiast ich transferu uniemożliwia temu kontrolerowi domeny ponowne hostowanie tej roli FSMO, z wyjątkiem ról Emulator PDC i Operacja wzorca infrastruktury. W usłudze Active Directory może wystąpić uszkodzenie. Role FSMO można łatwo przenosić między kontrolerami domeny za pomocą przystawek AD do konsoli MMC lub ntdsutil , które jest narzędziem opartym na wierszu poleceń.

Role FSMO i katalog globalny

Niektóre role FSMO zależą od tego, czy DC jest również serwerem wykazu globalnego (GC) . Podczas początkowego tworzenia lasu pierwszym kontrolerem domeny jest domyślnie serwer wykazu globalnego. Katalog globalny udostępnia kilka funkcji. GC przechowuje informacje o danych obiektu, zarządza zapytaniami dotyczącymi tych obiektów danych i ich atrybutów, a także dostarcza dane umożliwiające logowanie do sieci.

Często wszystkie kontrolery domeny są również serwerami wykazu globalnego. Jeśli tak nie jest, rola Infrastructure Master nie może znajdować się na kontrolerze domeny, który zawiera również kopię wykazu globalnego w lesie wielodomenowym, ponieważ połączenie tych dwóch ról na tym samym hoście spowoduje nieoczekiwane ( i potencjalnie szkodliwe) zachowanie w środowisku wielodomenowym. Jednak rola Mistrza nazw domen powinna być umieszczona na DC, który jest również GC.

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Flexible_single_master_operation&oldid=1135797655