Что произойдет, если держатель FSMO выйдет из строя?

Question

Что произойдет, если держатель FSMO выйдет из строя?

Допустим, у меня есть 2 контроллера домена, и один из них, который содержит все роли FSMO, вышел из строя.

Поправьте меня, если я ошибаюсь, но насколько я понимаю:

      No Schema Master = no updating user details, no creating new users\computers\groups\group policies.
No RIF Master = no applying altering or adding new permissions to files\users\groups.
No Domain Naming Master = no adding new domains to the forest.
No PDC Emulator = no time synchronization, no password change or reset, no account lockout.
No Infrastructure Master = no cross-referencing objects between domains but only where you have a non-global catalog DC. Also no deletion of objects takes place.

Кроме того, предположим, что контроллер домена, содержащий все роли FSMO, отключился на 1 час и снова подключился к сети. Я полагаю, что изменения, которые были произведены за это время, будут перезаписаны?

1

active-directory fsmo

Источник

JustAGuy 04 ноя '21 в 11:23

1 ответ

Другие вопросы по тегам active-directory fsmo

TomTom 04 ноя '21 в 12:14 2021-11-04 12:14 · Answer 1 · 2021-11-04 12:14

Вам буквально нужно прочитать документацию. Он рассказывает, как все решается, и поможет справиться со многими путаницами.

Т.е.:

Нет мастера схемы - вы НЕПРАВЫ. Хозяин схемы отвечает за СХЕМУ. Обновление сведений о пользователе не приводит к изменению схемы. Обновления схемы (т.е. добавление поля к пользовательскому объекту).

Нет мастера RIF (именно RID, а не RIF) — вы можете добавлять разрешения по своему усмотрению, так как при этом RID не создается. Мастер RID отвечает за выдачу RID. Например, когда ПОЛЬЗОВАТЕЛЬ СОЗДАН (новый объект). Но вот в чем дело: все НЕИСПОЛЬЗУЕМЫЕ RID КЭША контроллера домена. Таким образом, выход из строя мастера RID на час в большинстве случаев не является проблемой, если только вы не попытаетесь за это время создать тысячи пользователей на другом контроллере домена.

Нет эмулятора PDC: синхронизация времени не уверена (поскольку это делается через эмулятор PDC), но зачем менять или сбрасывать PW? У вас настолько старые машины с Windows, что они используют старую концепцию/API PDC? Потому что иначе для этого нет причин. Я нахожу информацию, говорящую об обратном, не обязательно в текущей технической информации, поэтому она немного сложна.

Список можно продолжить. Кажется, вы придумываете ограничения, потому что похоже, что вы понятия не имеете, что делают эти роли.

В любом случае, точная документация, которую вы ищете, находится здесь:

https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/fsmo-roles

Обычно предполагается, что роли не обязательно должны работать постоянно — во многих случаях система будет работать с ограничениями (т. е. нет обновлений, требующих обновления схемы, когда хозяин схемы находится в автономном режиме, но вы МОЖЕТЕ обновлять ОБЪЕКТЫ, поскольку это не схема). обновлять).