Я всегда понимал, что есть пять ролей FSMO, но иногда я вижу то, что говорит о семи. Сколько там на самом деле?
источник
Я всегда понимал, что есть пять ролей FSMO, но иногда я вижу то, что говорит о семи. Сколько там на самом деле?
Стандартный ответ, который администраторы Windows дали на этот вопрос, пять:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
Но оказывается, что есть две другие роли, которые обычно не имеют значения, но могут вызвать проблемы, если сервер, которому они были назначены, отключен.
Напоминание - каковы роли FSMO?
Active Directory в основном использует модель с несколькими хозяевами для обновлений каталога: любой контроллер домена может обновить свою локальную копию каталога, и тогда эти изменения будут реплицированы на все другие контроллеры домена.
ОДНАКО, есть некоторые обновления, которые являются более важными, и они сделаны одним мастером: только один DC может сделать эти обновления, и они реплицируются с этого DC на другие. Возможность сделать одно из этих критических обновлений называется ролью, и эти роли назначаются одному контроллеру домена за раз (один ведущий), но довольно легко перенести роль на другой контроллер домена (гибкий), что приводит к название «Гибкая роль одного мастера».
Пять ролей FSMO, перечисленных выше, описаны в этой статье, включая краткое объяснение того, за какой тип обновлений каталога отвечает каждый держатель роли FSMO (например, хозяин схемы - единственный контроллер домена, который может вносить изменения в схему AD).
Роль (и) мастера инфраструктуры
Оказывается, что даже с одним доменом существует более одной роли мастера инфраструктуры. В статье MS, упомянутой выше, говорится:
Для каждого раздела приложения создается отдельный хозяин инфраструктуры, включая стандартные разделы приложения для всего леса и домена, созданные Windows Server 2003 и более поздними контроллерами домена.
Я не буду объяснять разделы каталога и разделы каталога приложений в AD (ссылки находятся на TechNet документ , который объясняет их лучше , чем я мог), этого достаточно , чтобы знать , что они существуют.
Поэтому, если у вас один домен AD, у вас есть 3 мастера инфраструктуры, всего семь ролей FSMO.
Вызывают ли дополнительные роли проблемы?
Иногда...
Я не могу найти точный ответ, но есть убедительные косвенные доказательства того, что «лишние» роли FSMO можно перемещать только вручную, например, сообщение об ошибке при запуске команды «Adprep / rodcprep» в Windows Server 2008: «Adprep не удалось обратитесь к реплике для раздела DC = DomainDnsZones, DC = Contoso, DC = com "
Наиболее распространенной причиной этой ошибки является то, что при настройке домена первый контроллер домена выполняет все 7 ролей, но две дополнительные роли хозяина инфраструктуры не перемещаются никакими обычными инструментами (DCPROMO и т. Д.). Поэтому, если исходный DC когда-либо удален, нет сервера, выполняющего эти роли, и подготовка RODC завершается неудачно, потому что ему нужно с ними поговорить.
Место, где я столкнулся с дополнительными ролями, было в Samba 4: утилита samba-tool может переносить роли FSMO на другой DC, и до версии 4.3 она сообщала вам, что все роли были перенесены, но когда вы попытались понизить DC будет жаловаться, что DC все еще занимал 2 роли FSMO. Это было исправлено сейчас.