Управление ролями FSMO Active Directory

Опубликовано: 25 Марта, 2023

Хотя Active Directory обычно использует схему репликации с несколькими хозяевами для репликации базы данных каталога между контроллерами домена, существуют определенные функции каталога, которые требуют выполнения на каком-то конкретном контроллере домена. Эти функции определяются гибкими ролями с одним мастером (FSMO) (произносится как «физ-мое роли»), и в любое время эти роли однозначно назначаются конкретным контроллерам домена в разных доменах Active Directory. Давайте начнем с описания того, что представляют собой эти разные роли FSMO и почему они важны, после чего мы опишем некоторые рекомендации по тому, как вам следует назначать эти роли в вашей среде Active Directory.


Обзор ролей FSMO


Существует пять разных ролей FSMO, и каждая из них выполняет свою функцию в обеспечении работы Active Directory:



  • Эмулятор PDC. Эта роль используется чаще всего из всех ролей FSMO и имеет самый широкий набор функций. Контроллер домена, выполняющий роль эмулятора PDC, имеет решающее значение в смешанной среде, где все еще присутствуют BDC Windows NT 4.0. Это связано с тем, что роль эмулятора PDC эмулирует функции PDC Windows NT 4.0. Но даже если вы перевели все свои контроллеры домена Windows NT 4.0 на Windows 2000 или Windows Server 2003, контроллер домена, выполняющий роль эмулятора основного контроллера домена, еще многое должен сделать. Например, эмулятор PDC — это корневой сервер времени для синхронизации часов всех компьютеров Windows в вашем лесу. Чрезвычайно важно, чтобы компьютерные часы были синхронизированы в вашем лесу, потому что, если они слишком сильно отстают, аутентификация Kerberos может дать сбой, и пользователи не смогут войти в сеть. Еще одна функция эмулятора PDC заключается в том, что он является контроллером домена, на который первоначально вносятся все изменения в групповой политике. Например, если вы создаете новый объект групповой политики (GPO), то он сначала создается в базе данных каталога и в общем ресурсе SYSVOL на эмуляторе PDC, а оттуда объект групповой политики реплицируется на все другие контроллеры домена в домене. Наконец, все проблемы с изменением пароля и блокировкой учетной записи обрабатываются эмулятором PDC, чтобы обеспечить правильную репликацию изменений пароля и эффективность политики блокировки учетной записи. Таким образом, несмотря на то, что эмулятор PDC эмулирует PDC NT (поэтому эта роль называется эмулятором PDC), он также выполняет множество других действий. На самом деле роль эмулятора PDC является наиболее часто используемой ролью FSMO, поэтому вы должны убедиться, что контроллер домена, выполняющий эту роль, имеет достаточно мощное оборудование для обработки нагрузки. Точно так же, если роль эмулятора PDC дает сбой, это потенциально может вызвать большинство проблем, поэтому оборудование, на котором она работает, должно быть отказоустойчивым и надежным. Наконец, каждый домен имеет свою собственную роль эмулятора PDC, поэтому, если в вашем лесу есть N доменов, у вас также будет N контроллеров домена с ролью эмулятора PDC.
  • Мастер RID — это еще одна роль FSMO для конкретного домена, то есть каждый домен в вашем лесу имеет только один контроллер домена, выполняющий роль хозяина RID. Цель этой роли — пополнить пул неиспользуемых относительных идентификаторов (RID) для домена и предотвратить исчерпание этого пула. RID расходуются всякий раз, когда вы создаете новый принцип безопасности (учетную запись пользователя или компьютера), поскольку SID для нового принципа безопасности создается путем объединения SID домена с уникальным RID, взятым из пула. Поэтому, если у вас закончились RIDS, вы не сможете создавать новые учетные записи пользователей или компьютеров, и, чтобы этого не произошло, мастер RID отслеживает пул RID и создает новые RID для его пополнения, когда он падает ниже определенного уровня..
  • Хозяин инфраструктуры — это еще одна роль, зависящая от домена, и ее цель — обеспечить правильную обработку междоменных ссылок на объекты. Например, если вы добавляете пользователя из одного домена в группу безопасности из другого домена, мастер инфраструктуры следит за тем, чтобы это было сделано правильно. Однако, как вы можете догадаться, если ваше развертывание Active Directory имеет только один домен, то роль хозяина инфраструктуры вообще не работает, и даже в многодоменной среде она используется редко, за исключением случаев, когда выполняются сложные задачи администрирования пользователей, поэтому машина, выполняющая эту роль, вообще не должна иметь большой мощности.
  • Хозяин схемы. Хотя первые три роли FSMO, описанные выше, относятся к домену, роль мастера схемы и следующая относятся к лесу и находятся только в корневом домене леса (первый домен, который вы создаете при создании нового леса).. Это означает, что в лесу есть один и только один мастер схемы, и цель этой роли — реплицировать изменения схемы на все другие контроллеры домена в лесу. Однако, поскольку схема Active Directory меняется редко, роль мастера схемы редко выполняет какую-либо работу. Типичными сценариями использования этой роли могут быть развертывание Exchange Server в сети или обновление контроллеров домена с Windows 2000 до Windows Server 2003, поскольку обе эти ситуации требуют внесения изменений в схему Active Directory.
  • Мастер именования доменов. Другой ролью FSMO для конкретного леса является мастер именования доменов, и эта роль также находится в корневом домене леса. Роль мастера именования доменов обрабатывает все изменения в пространстве имен, например, для добавления дочернего домена vancouver.mycompany.com в корневой домен леса mycompany.com требуется, чтобы эта роль была доступна, поэтому вы не можете добавить новый дочерний домен или новый домен. дерево доменов, убедитесь, что эта роль работает правильно.

Подводя итог, роли мастера схемы и мастера именования доменов можно найти только в корневом домене леса, а остальные роли можно найти в каждом домене вашего леса. Теперь давайте рассмотрим рекомендации по назначению этих ролей различным контроллерам домена в вашем лесу или домене.


Рекомендации по ролям FSMO


Правильное размещение ролей FSMO сводится к трем простым правилам:



  • Правило первое. В корневом домене леса держите мастер схемы и мастер именования доменов на одном контроллере домена, чтобы упростить администрирование этих ролей, и убедитесь, что этот контроллер домена содержит копию глобального каталога. Это не жесткое правило, поскольку вы можете перемещать эти роли на другие контроллеры домена, если хотите, но в этом нет никакой реальной выгоды, и это только усложняет управление ролями FSMO. Однако, если из соображений политики безопасности ваша компания решает, что роль мастера схемы должна быть полностью отделена от всех других ролей, тогда переместите мастера именования доменов на другой контроллер домена, на котором размещен глобальный каталог. Однако обратите внимание, что если вы повысили функциональный уровень своего леса до Windows Server 2003, ваша роль мастера именования доменов может быть на контроллере домена, у которого нет глобального каталога, но в этом случае убедитесь, что этот домен контроллер является прямым партнером по репликации с машиной Schema Master.
  • Правило второе. В каждом домене поместите роли эмулятора PDC и хозяина RID на один и тот же контроллер домена и убедитесь, что аппаратное обеспечение этой машины может справиться с нагрузкой этих ролей и любыми другими обязанностями, которые она должна выполнять. На этом контроллере домена не обязательно должен быть глобальный каталог, и, как правило, лучше всего переместить эти две роли на компьютер, на котором не размещен глобальный каталог, потому что это поможет сбалансировать нагрузку (глобальный каталог обычно сильно загружен). использовал).
  • Правило третье. В каждом домене убедитесь, что роль хозяина инфраструктуры не принадлежит контроллеру домена, на котором также размещен глобальный каталог, но убедитесь, что хозяин инфраструктуры является прямым партнером по репликации контроллера домена, на котором размещен глобальный каталог. находится на том же сайте, что и мастер инфраструктуры. Однако обратите внимание, что это правило имеет некоторые исключения, а именно: роль хозяина инфраструктуры может выполняться контроллером домена, на котором размещается глобальный каталог, в двух случаях: когда в вашем лесу есть только один домен или когда каждый отдельный контроллер домена в домене также размещает Глобальный каталог.

Подытожим эти три правила и облегчим их запоминание:



  • Корневой домен леса — мастер схемы и мастер именования доменов на одном компьютере, на котором также должен размещаться глобальный каталог.
  • Каждый домен — эмулятор PDC и мастер RID на одном компьютере, который должен иметь мощное оборудование для обработки нагрузки.
  • Каждый домен. Никогда не размещайте мастер инфраструктуры на компьютере, на котором размещен глобальный каталог, за исключением случаев, когда в вашем лесу есть только один домен или если на каждом контроллере домена в вашем лесу размещен глобальный каталог.
Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Рейтинг лучших процессоров Intel Xeon для игр и домашних сборок
21 Февраля, 2026
Что такое proxy IPv4: как работает, виды, отличия от IPv6 и как выбрать под задачи
14 Июня, 2023
Что такое оптический патч-корд: виды, разъёмы, полировка, параметры и правила выбора
11 Мая, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023