Zawsze rozumiałem, że istnieje pięć ról FSMO, ale czasami widzę coś, co mówi, że jest ich siedem. Ile tam naprawdę jest?
Zawsze rozumiałem, że istnieje pięć ról FSMO, ale czasami widzę coś, co mówi, że jest ich siedem. Ile tam naprawdę jest?
Odpowiedzi:
Standardowa odpowiedź udzielona przez administratorów systemu Windows na to pytanie to pięć:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
Okazuje się jednak, że istnieją dwie inne role, które zwykle nie mają znaczenia, ale mogą powodować problemy, jeśli serwer, do którego zostały przypisane, zostanie wyłączony.
Przypomnienie - jakie są role FSMO?
Active Directory używa głównie modelu głównego do aktualizacji katalogów: dowolny kontroler domeny może aktualizować swoją lokalną kopię katalogu, a następnie zmiany te zostaną zreplikowane na wszystkie pozostałe kontrolery domeny.
JEDNAK istnieją pewne aktualizacje, które są bardziej krytyczne i są wykonywane w trybie pojedynczego mistrza: tylko jeden DC jest w stanie dokonać tych aktualizacji i są one replikowane z tego DC do innych. Możliwość wprowadzenia jednej z tych krytycznych aktualizacji nazywa się rolą i role te są przypisywane do jednego kontrolera domeny naraz (single-master), ale dość łatwo jest przenieść rolę do innego kontrolera domeny (elastyczny), co prowadzi do nazwa „Elastyczna rola pojedynczego mistrza”.
Pięć ról FSMO wymienionych powyżej zostało opisanych w tym artykule, w tym krótkie wyjaśnienie, za jakiego rodzaju aktualizacje katalogu odpowiada każdy posiadacz roli FSMO (np. Schema Master jest jedynym DC, który może wprowadzać zmiany w schemacie AD).
Rola wzorca infrastruktury
Okazuje się, że nawet w przypadku jednej domeny istnieje więcej niż jedna rola wzorca infrastruktury. We wspomnianym powyżej artykule MS mówi:
Dla każdej partycji aplikacji tworzony jest osobny wzorzec infrastruktury, w tym domyślne partycje aplikacji obejmujące cały las i domenę utworzone przez system Windows Server 2003 i nowsze kontrolery domeny.
Nie zamierzam wyjaśniać partycji katalogu i partycji katalogu aplikacji w AD (linki prowadzą do dokumentu TechNet, który wyjaśnia je lepiej niż mogłem), wystarczy wiedzieć, że one istnieją.
Więc jeśli masz jedną domenę AD, masz 3 wzorców infrastruktury, w sumie siedem ról FSMO.
Czy dodatkowe role powodują problemy?
Czasami...
Nie mogę znaleźć ostatecznej odpowiedzi, ale istnieją mocne dowody poszlakowe, że „dodatkowe” role FSMO można przenosić tylko ręcznie, np. Komunikat o błędzie podczas uruchamiania polecenia „Adprep / rodcprep” w systemie Windows Server 2008: „Adprep nie mógł skontaktuj się z repliką partycji DC = DomainDnsZones, DC = Contoso, DC = com "
Najczęstszą przyczyną tego błędu jest to, że podczas konfigurowania domeny pierwszy kontroler domeny ma wszystkie 7 ról, ale dwie dodatkowe role wzorca infrastruktury nie są przenoszone przez żadne zwykłe narzędzie (DCPROMO itp.). Więc jeśli oryginał DC jest zawsze wycofywany, nie ma serwera pełniącego te role, a przygotowanie RODC kończy się niepowodzeniem, ponieważ musi z nimi porozmawiać.
Miejsce, w którym natknąłem się na dodatkowe role, było w Sambie 4: narzędzie samba-tool może przenosić role FSMO do innego kontrolera domeny, a przed wersją 4.3 informowało cię, że wszystkie role zostały przeniesione, ale kiedy próbujesz zdegradować DC narzekałoby, że DC nadal pełniło 2 role FSMO. Zostało to teraz naprawione.