четверг, 15 января 2009 г.

FSMO в службе каталога Microsoft AD

При обслуживании службы каталога Microsoft AD приходится работать с FSMO ролями контроллера домена (Flexible Single-Master Operations, операции с одним исполнителем). При планировании и обслуживании службы каталогов эти роли крайне важны и критичны, так как они исполняются единичным контроллером каждая, без дублирования. В случае недоступности контроллера, выполняющего одну или несколько из этих ролей, возможны серьезные сбои в работе всей службы каталогов.

В статье я приведу описания:
  • Какие бывают и что означают эти роли?
  • Как правильно планировать размещение ролей на контроллерах?
  • Как могут быть назначены роли?
  • Как узнать, какой контроллер выполняет заданную роль?
Каждый контроллер домена выполняет определенный набор ролей FSMO в домене и лесу.
Всего определены пять таких ролей:
  • хозяин схемы (Schema Master),
  • хозяин именования доменов (Domain Naming Master),
  • хозяин относительных идентификаторов (Relative ID Master),
  • эмулятор PDC (Primary Domain Controller Emulator),
  • хозяин инфраструктуры (Infrastructure Master).




Роли хозяина схемы и хозяина именования доменов определяются для всего леса, а остальные три роли (хозяин RID, эмулятор PDC и хозяин инфраструктуры) — для каждого домена.
Лес, в котором существует один домен, имеет пять ролей. Каждый дополнительный домен добавляет три роли уровня домена. Количество ролей FSMO в лесу и число потенциальных владельцев этих ролей можно рассчитать по формуле "(количество доменов * 3) + 2".

Хозяин схемы, Schema Master

Роль уникальна в лесу доменов, появление в в сети старого владельца после захвата роли новым недопустимо. Контроллер отвечает за внесение изменений в схему Active Directory. Эта роль необходима для предотвращения противоречивых изменений с двух серверов.

Определение обладателя роли хозяина схемы в лесу
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите кнопку OK.
  2. В меню Консоль выберите команду Добавить или удалить оснастку, нажмите кнопку Добавить, дважды щелкните оснастку Схема Active Directory, нажмите кнопку Закрыть, а затем — OK.
  3. Правой кнопкой мыши выделите на левой верхней панели оснастку Схема Active Directory и чтобы определить сервер, владеющий ролью хозяина схемы, выберите пункт Хозяева операций.
Оснастка «Схема Active Directory» доступна только после регистрации файла Schmmgmt.dll. Для проведения регистрации нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду regsvr32 schmmgmt.dll и нажмите кнопку OK. После успешного выполнения регистрации появится соответствующее сообщение.

Передача роли хозяина схемы

  1. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду mmc и нажмите кнопку ОК.
  2. В меню Файл выберите команду Добавить или удалить оснастку.
  3. Нажмите кнопку Добавить.
  4. Выберите в списке оснастку Схема Active Directory, нажмите кнопку Добавить, а затем — Закрыть и ОК.
  5. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Изменение контроллера домена.
  6. В поле Укажите имя введите имя контроллера домена, которому передается роль, и нажмите кнопку ОК.
  7. В дереве консоли щелкните правой кнопкой мыши элемент Схема Active Directory и выберите пункт Хозяин операций.
  8. Нажмите кнопку Изменить.
  9. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Владелец доменных имён, Domain Naming Master.

Роль уникальна в лесу доменов, появление в в сети старого владельца после захвата роли новым недопустимо. Отвечает за состав леса, принимает и удаляет домены.

Определение обладателя роли хозяина именования домена в лесу

  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите mmc и нажмите кнопку OK.
  2. В меню Консоль выберите команду Добавить или удалить оснастку, нажмите кнопку Добавить, дважды щелкните оснастку Active Directory — домены и доверие, нажмите кнопку Закрыть, а затем — OK.
  3. На левой панели выделите оснастку Active Directory — домены и доверие.
  4. Правой кнопкой мыши щелкните оснастку Active Directory — домены и доверие и чтобы определить сервер, владеющий ролью хозяина именования домена, выберите пункт Хозяева операций.
Передача роли хозяина именования доменов

  1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Active Directory — домены и доверие.
  2. Щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите команду Подключение к контроллеру домена. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
  3. Выполните одно из следующих действий.
    * Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
    или
    * Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
  4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — домены и доверие и выберите пункт Хозяин операций.
  5. Нажмите кнопку Изменить.
  6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Владелец относительных идентификаторов, Relative ID Master.

Роль уникальна в домене, появление в в сети старого владельца после захвата роли новым недопустимо. Выдает и удаляет относительные идентификаторы любых объектов (пользователей, компьютеров, принтеров) в домене.

Определение обладателя роли хозяина RID

  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите командную строку dsa.msc и нажмите кнопку ОК.
  2. На левой верхней панели правой кнопкой мыши выделите объект домена и выберите пункт Хозяева операций.
  3. Чтобы определить обладателя роли хозяина RID, откройте вкладку Пул RID.
Передача роли хозяина RID
  1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры и выберите команду Подключение к контроллеру домена. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
  3. Выполните одно из следующих действий.
    * Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
    или
    * Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
  4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры, выберите пункт Все задачи, а затем — Хозяин операций.
  5. Выберите вкладку, соответствующую передаваемой роли (RID, PDC или Инфраструктура), и нажмите кнопку Изменить.
  6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Эмулятор основного контроллера домена, Primary Domain Controller Emulator

Роль уникальна в домене, появление в в сети старого владельца после захвата роли новым возможно. Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT.
Определение обладателя основного контроллера домена
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите командную строку dsa.msc и нажмите кнопку ОК.
  2. На левой верхней панели правой кнопкой мыши выделите объект домена и выберите пункт Хозяева операций.
  3. Чтобы определить обладателя роли основного контроллера домена, откройте вкладку PDC.
Передача роли эмулятора основного контроллера домена
  1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры и выберите команду Подключение к контроллеру домена. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
  3. Выполните одно из следующих действий.
    * Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
    или
    * Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
  4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры, выберите пункт Все задачи, а затем — Хозяин операций.
  5. Выберите вкладку, соответствующую передаваемой роли (RID, PDC или Инфраструктура), и нажмите кнопку Изменить.
  6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.
Владелец инфраструктуры домена, Infrastructure Master

Роль уникальна в домене, появление в в сети старого владельца после захвата роли новым возможно. Поддерживает идентификаторы удаляемых или перемещаемых объектов на время репликации изменений (с удалением или перемещением) между контроллерами домена.
Определение обладателя роли хозяина инфраструктуры в домене
  1. Нажмите кнопку Пуск, выберите команду Выполнить, введите командную строку dsa.msc и нажмите кнопку ОК.
  2. На левой верхней панели правой кнопкой мыши выделите объект домена и выберите пункт Хозяева операций.
  3. Чтобы определить обладателя роли хозяина инфраструктуры, перейдите на вкладку Инфраструктура.
Передача роли хозяина инфраструктуры
  1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем Active Directory — пользователи и компьютеры.
  2. Щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры и выберите команду Подключение к контроллеру домена. Это действие необходимо, если работа ведется не с контроллера домена, которому передается роль. Пропустите его, если подключение к контроллеру домена, чья роль передается, уже установлено.
  3. Выполните одно из следующих действий.
    * Укажите имя контроллера домена, которому присваивается роль, в поле Введите имя другого контроллера домена и нажмите кнопку ОК.
    или
    * Выберите контроллер домена, которому присваивается роль, в списке Или выберите доступный контроллер домена и нажмите кнопку ОК.
  4. В дереве консоли щелкните правой кнопкой мыши элемент Active Directory — пользователи и компьютеры, выберите пункт Все задачи, а затем — Хозяин операций.
  5. Выберите вкладку, соответствующую передаваемой роли (RID, PDC или Инфраструктура), и нажмите кнопку Изменить.
  6. Чтобы подтвердить передачу роли, нажмите кнопку ОК, а затем — Закрыть.

Захват и передача роли

Все роли могут быть переданы от одного контроллера домена другому при условии работоспособности обоих серверов. В случае, когда один из серверов не может продолжать работу, используется процедура захвата (seize) роли другим сервером. Появление в сети прежнего владельца роли после её захвата новым не допустимо для трёх из пяти ролей (владелец схемы, владелец доменных имен, владелец относительных идентификаторов).

В случае захвата роли у работающего контроллера домена этот контроллер теряет возможность исполнять эту роль навсегда, точнее - до вывода сервера из домена и смены SID. Такой порядок предусмотрен для сохранения целостности каталога в случае сбоя.

Получение ролей FSMO, seize

Для получения ролей FSMO с помощью средства Ntdsutil выполните следующие действия.
  1. Войдите в систему на рядовом сервере или контроллере домена под управлением Windows 2000 Server или Windows Server 2003, расположенном в том лесу, в котором следует выполнить получение ролей FSMO. Рекомендуется войти в систему на контроллере домена, которому назначаются роли FSMO. Для получения роли хозяина схемы или хозяина именования домена необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы предприятия». Для получения роли эмулятора PDC, хозяина RID или хозяина инфраструктуры необходимо войти в систему с учетной записью, являющейся членом группы «Администраторы домена».
  2. Нажмите кнопку Пуск, выберите пункт Выполнить, введите в поле Открыть команду ntdsutil и нажмите кнопку ОК.
  3. Введите строку roles и нажмите клавишу ВВОД.
  4. Введите строку connections и нажмите клавишу ВВОД.
  5. Введите команду connect to server имя_сервера и нажмите клавишу ВВОД. Имя_сервера — это имя контроллера домена, которому назначается роль FSMO.
  6. В ответ на приглашение server connections введите q и нажмите клавишу ВВОД.
  7. Введите команду seize роль, где роль — роль, которую требуется получить. Чтобы определить роли, которые могут быть получены, ознакомьтесь со списком ролей в начале данной статьи или введите команду ? после появления запроса fsmo maintenance и нажмите клавишу ВВОД. Например, для получения роли хозяина RID введите команду seize rid master. Единственным исключением является получение роли эмулятора PDC — для получения данной роли необходимо использовать команду seize pdc (а не seize pdc emulator).
  8. После появления запроса fsmo maintenance введите q и нажмите клавишу ВВОД, чтобы вернуться в обычный режим средства ntdsutil. Для завершения работы средства Ntdsutil введите команду q и нажмите клавишу ВВОД.
Назначение ролей

По-умолчанию, при создании домена все роли назначаются первому созданному контроллеру домена, в случае создания леса доменов, все роли (уровня леса) исполняет начальный (корневой) домен.

Как правило, хозяин инфраструктуры рекомендуется размещать на сервере неглобального каталога, который имеет объект прямого подключения к одному из глобальных каталогов в лесу (желательно на том же сайте Active Directory). Так как сервер глобального каталога хранит частичные реплики всех объектов в лесу, хозяин инфраструктуры, размещенный на сервере глобального каталога, не будет выполнять обновления, потому что он не содержит ссылок на объекты, которые не хранит. Для этого правила есть два исключения.
  • Лес с одним доменом. Если лес содержит только один домен Active Directory, то в нем отсутствуют фантомы. Это значит, что хозяин инфраструктуры бездействует. В этом случае его можно разместить на любом контроллере домена, независимо от того, является ли этот контроллер домена сервером глобального каталога.
  • Лес с несколькими доменами, в котором каждый контроллер домена хранит глобальный каталог. Если на каждом контроллере домена, входящего в лес с несколькими доменами, хранится глобальный каталог, фантомы отсутствуют и хозяин инфраструктуры бездействует. В этом случае его также можно разместить на любом контроллере данного домена.
Источник: Википедия, FSMO; Microsoft.com

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)