Я завжди розумів, що є п’ять ролей FSMO, але іноді я бачу щось, що говорить, що їх сім. Скільки їх насправді?
Я завжди розумів, що є п’ять ролей FSMO, але іноді я бачу щось, що говорить, що їх сім. Скільки їх насправді?
Відповіді:
Стандартна відповідь, яку адміністратори Windows дали на це запитання, - п'ять:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
Але виявляється, що є дві інші ролі, які зазвичай не мають значення, але можуть спричинити неполадки, якщо сервер, якому вони були призначені, знятий офлайн.
Нагадування - що таке функції FSMO?
Active Directory в основному використовує мульти-мастер-модель для оновлення каталогів: будь-який контролер домену може оновити свою локальну копію каталогу, і тоді ці зміни будуть тиражуватися на всі інші постійні точки.
ЗАРАЗ, Є деякі оновлення, які є більш критичними, і вони робляться в єдиному режимі: лише один DC може робити ці оновлення, і вони реплікуються з цього DC в інші. Можливість зробити одне з цих критичних оновлень називається роллю, і ці ролі присвоюються одночасно одному (єдиний мастер), але перемістити роль на інший постійний (гнучкий) досить просто, що призводить до назва "Роль гнучкої одноосновної операції".
П'ять ролей FSMO, перерахованих вище, описані в цій статті, включаючи коротке пояснення того, за який тип оновлень каталогів відповідає кожен власник ролі FSMO (наприклад, Master Shema - єдиний DC, який може внести зміни в схему AD.)
Ролі (майстри) інфраструктури
Виявляється, навіть при одному домені існує більше однієї ролі Майстра інфраструктури. У згаданій вище статті про МС сказано:
Для кожного розділу додатків створюється окремий майстер інфраструктури, включаючи типові розділи прикладних програм для лісу та домену, створені Windows Server 2003 та пізнішими контролерами домену.
Я не збираюся пояснювати розділи каталогів та розділи каталогів додатків в AD (посилання на документ TechNet, який пояснює їх краще, ніж я міг), досить знати, що вони існують.
Отже, якщо у вас є один домен AD, у вас є 3 майстри інфраструктури, загалом сім ролей FSMO.
Чи викликають зайві ролі проблеми?
Іноді ...
Я не можу знайти остаточну відповідь, але є вагомі фактичні докази того, що "зайві" ролі FSMO можна переміщувати лише вручну, наприклад, повідомлення про помилку під час запуску команди "Adprep / rodcprep" в Windows Server 2008: "Adprep не міг зверніться до репліки для розділу DC = DomainDnsZones, DC = Contoso, DC = com "
Найпоширенішою причиною цієї помилки є те, що при встановленні домену перший DC виконує всі 7 ролей, але дві додаткові головні ролі інфраструктури не переміщуються жодним із звичайних інструментів (DCPROMO тощо). Отже, якщо оригінал DC коли-небудь виходить на пенсію, немає жодного сервера, який би виконував ці ролі, і підготовка RODC закінчується невдачею, оскільки їм потрібно поговорити з ними.
Місце, на яке я натрапив на додаткові ролі, було з Samba 4: утиліта samba-інструмент може переносити ролі FSMO на інший постійний струм, і до версії 4.3 вона розповість , що всі ролі були перенесені, але коли ви намагалися знищити ДК він скаржиться, що ДК все ще виконував 2 ролі FSMO. Це вже виправлено.