Сколько ролей FSMO там?

Question

Сколько ролей FSMO там?

Я всегда понимал, что есть пять ролей FSMO, но иногда я вижу то, что говорит о семи. Сколько там на самом деле?

12

active-directory samba4 fsmo

Источник

Ward 20 апр '16 в 05:25

1 ответ

Решение

Другие вопросы по тегам active-directory samba4 fsmo

Ward 20 апр '16 в 05:25 2016-04-20 05:25 · Accepted Answer · 2016-04-20 05:25

Стандартный ответ, который администраторы Windows дали на этот вопрос, пять:

Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)

Но оказывается, что есть две другие роли, которые обычно не имеют значения, но могут вызвать проблемы, если сервер, которому они были назначены, отключен.

Напоминание - каковы роли FSMO?

Active Directory в основном использует модель с несколькими хозяевами для обновлений каталога: любой контроллер домена может обновить свою локальную копию каталога, и тогда эти изменения будут реплицированы на все другие контроллеры домена.

ОДНАКО, есть некоторые обновления, которые являются более важными, и они сделаны одним мастером: только один DC может сделать эти обновления, и они реплицируются с этого DC на другие. Возможность сделать одно из этих критических обновлений называется ролью, и эти роли назначаются одному контроллеру домена за раз (один ведущий), но довольно легко перенести роль на другой контроллер домена (гибкий), что приводит к название "Гибкая роль одного мастера".

Пять ролей FSMO, перечисленных выше, описаны в этой статье, включая краткое объяснение того, за какой тип обновлений каталога отвечает каждый держатель роли FSMO (например, хозяин схемы - единственный контроллер домена, который может вносить изменения в схему AD).

Роль (и) мастера инфраструктуры

Оказывается, что даже с одним доменом существует более одной роли мастера инфраструктуры. В статье MS, упомянутой выше, говорится:

Для каждого раздела приложения создается отдельный хозяин инфраструктуры, включая стандартные разделы приложения для всего леса и домена, созданные Windows Server 2003 и более поздними контроллерами домена.

Я не собираюсь объяснять разделы каталогов и разделы каталогов приложений в AD (ссылки на документ TechNet, который объясняет их лучше, чем я), достаточно знать, что они существуют.

Таким образом, если у вас один домен AD, у вас есть 3 хозяина инфраструктуры, всего семь ролей FSMO.

Вызывают ли дополнительные роли проблемы?

Иногда...

Я не могу найти точный ответ, но есть убедительные косвенные доказательства того, что "лишние" роли FSMO можно перемещать только вручную, например, сообщение об ошибке при запуске команды "Adprep /rodcprep" в Windows Server 2008: "Adprep не удалось обратитесь к реплике для раздела DC=DomainDnsZones,DC=Contoso,DC=com"

Наиболее распространенная причина этой ошибки заключается в том, что при настройке домена первый контроллер домена выполняет все 7 ролей, но две дополнительные роли хозяина инфраструктуры не перемещаются ни одним из обычных инструментов (DCPROMO и т. Д.). Поэтому, если исходный DC когда-либо удален, нет сервера, выполняющего эти роли, и подготовка RODC завершается неудачно, потому что ему нужно с ними поговорить.

Я столкнулся с дополнительными ролями в Samba 4: утилита samba-tool может переносить роли FSMO на другой DC, и до версии 4.3 она сообщала вам, что все роли были перенесены, но когда вы попытались понизить DC будет жаловаться, что DC все еще занимал 2 роли FSMO. Это было исправлено сейчас.