Что такое FSMO роли, их назначение и можно ли без них жить
Многие системные администраторы, работая с Microsoft Active Directory Domain Services не знают или не до конца понимают, что такое FSMO роли и для чего они нужны. Те кто о них знает, не всегда понимает важность этих ролей, в каких случаях владелец ролей обязательно должен быть доступен, а в каких случаях их отсутствие практически никак не отразится на работе службы каталогов.
В статье ниже, будет в кратце рассказано про Flexible single-master operations «операции с одним исполнителем». А также можно ли без них жить.
Чтобы избежать конфликтов репликации, в ранних версиях Windows NT, например, Windows NT 3.51 или 4.0, использовалась модель, при котором все изменения в AD выполнялись только на одном сервере Primary Domain Controller (PDC). Затем, все изменения реплицировались на Backup Domain Controller (BDC). В случае недоступности PDC, никаких изменений в Active Directory выполнить было невозможно, до восстановления доступности PDC или до повышения BDC до PDC. Такая схема работы называется Одномастерная модель (Single-master model).
Начиная Windows 2000 от модели с одним мастером перешли на многомастерную модель (Multi-master model). При которой, изменения в AD возможно было выполнять на любом контроллере домена, и выполненными изменения реплицировались между всеми контроллерами домена. Однако, часть операций по изменениям в Active Directory сохранилась в режиме одномастерной модели, и проведение этой операции возможно только на одном контроллере домена - владельце роли.
FSMO роли уровня леса:
FSMO роли уровня домена
Эти роли можно перемещать (move) между контроллерами домена, если исходный и целевод контроллеры домена доступны. Если исходных контроллер домена, владелец роли, недоступен, то можно захватывать (seize) роли. Обе эти операции подробно описаны в официальной в документации, например, на странице: Просмотр и перенос FSMO ролей.
Чтобы просмотреть какие контроллеры домена являются владельцем каждой из ролей, можно использовать следующие PowerShell команды:
Получить список FSMO ролей уровня леса:
Недоступен Schema master (Мастер схемы)
Если владелец роли Schema master оказался недоступен, то на работу службы каталогов это не окажет никакого влияния, до того момента пока не будет необходимости внести изменения в схему Active Directory.
Недоступен Domain naming master (Мастер именования домена)
Если владелец роли Domain naming master оказался недоступен, то до того момента, пока не потребуется добавить дополнительный домен в лес или удалить один из доменов из леса, наличие этой роли не будет играть никакой роли в жизни домена.
RID master (Мастер относительных идентификаторов)
Если владелец роли RID master стал недоступен, то это может оказать влияние на работу домена в том случае, если в домене регулярно создаются новые объекты. По окончании ранее выданного пула RID (RID выдает пул 500 номеров на каждый контроллер домена), контроллер домена не сможет создать новый объект. Если у вас небольшая организация, с небольшим объемом новых объектов AD, то можете сами оценить, когда будет нужен владелец роли RID для выдачи нового пула.
PDC emulator (Эмулятор PDC)
Если владелец роли PDC emulator стал недоступен, то это может негативно отразиться на синхронизации времени в домене, а также на работе некоторых служб, использующих PDC в качестве источника хранения конфигурации, например, DFS.
Infrastructure master (Мастер инфраструктуры)
Если владелец роли Infrastructure master стал недоступен, то в случае однодоменной структуры AD это никак не отразится на работе службы каталогов. Если же лес AD состоит из нескольких доменов, то могут возникнуть проблемы в работе системам, которые используют объекты из разных доменов.
Выше мы рассмотрели, основные последствия от недоступности владельца FSMO ролей, возможно в каждой конкретной инфраструктуре могут быть свои особенности из-за используемого ПО, это безусловно также стоит учитывать.
В статье ниже, будет в кратце рассказано про Flexible single-master operations «операции с одним исполнителем». А также можно ли без них жить.
Чтобы избежать конфликтов репликации, в ранних версиях Windows NT, например, Windows NT 3.51 или 4.0, использовалась модель, при котором все изменения в AD выполнялись только на одном сервере Primary Domain Controller (PDC). Затем, все изменения реплицировались на Backup Domain Controller (BDC). В случае недоступности PDC, никаких изменений в Active Directory выполнить было невозможно, до восстановления доступности PDC или до повышения BDC до PDC. Такая схема работы называется Одномастерная модель (Single-master model).
Начиная Windows 2000 от модели с одним мастером перешли на многомастерную модель (Multi-master model). При которой, изменения в AD возможно было выполнять на любом контроллере домена, и выполненными изменения реплицировались между всеми контроллерами домена. Однако, часть операций по изменениям в Active Directory сохранилась в режиме одномастерной модели, и проведение этой операции возможно только на одном контроллере домена - владельце роли.
Перечень FSMO Ролей
Есть пять FSMO ролей, каждая из которых отвечает за определенный набор операций, две из них уникальные для всего леса, а три другие есть в каждом домене леса.FSMO роли уровня леса:
- Schema master (Хозяин схемы)
- Domain naming master (Мастер именования домена)
FSMO роли уровня домена
- RID master (Мастер относительных идентификаторов)
- PDC emulator (Эмулятор PDC)
- Infrastructure master (Мастер инфраструктуры)
Эти роли можно перемещать (move) между контроллерами домена, если исходный и целевод контроллеры домена доступны. Если исходных контроллер домена, владелец роли, недоступен, то можно захватывать (seize) роли. Обе эти операции подробно описаны в официальной в документации, например, на странице: Просмотр и перенос FSMO ролей.
Краткое назначение FSMO ролей
- Schema master. Контроллер домена, который владеет этой ролью имеет право вносить изменения в схему Active Directory, все остальные контроллеры домена будут реплицировать эти изменения с владельца роли.
- Domain naming master. Только этот контроллер имеет право вносить изменения (создание, удаления) в раздел списка доменов в лесу.
- RID master. Владелец этой роли отвечает за выдачу пулов относительных идентификаторов, используемых при генерации уникальных идентификаторов объектов: Security Identifier (SID) в AD.
- PDC emulator. Роль сохранившаяся исторически, оставленная для совместимости со старыми доменами. В современных инсталляциях, основная роль - это авторитетный источник времени для всех членов домена. Косвенные роли, это блокировка объектов в домене и изменений их паролей.
- Infrastructure master. Контроллер домена, с этой ролью, отслеживает изменения идентификаторов (GUID и SID) и расположение объектов (DN) в доверенных доменах. Контроллер домена, владелец этой роли, не должен быть сервером глобального каталога, за исключеним случаев, когда все контроллеры домена в домене являются серверами глобального каталога.
Чтобы просмотреть какие контроллеры домена являются владельцем каждой из ролей, можно использовать следующие PowerShell команды:
Получить список FSMO ролей уровня леса:
Get-ADForest | FL DomainNamingMaster, SchemaMaster
Получить список FSMO ролей уровня домена:Get-ADDomain | FL InfrastructureMaster, RIDMaster, PDCEmulator
Недоступен владелец FSMO ролей
Итак, выше мы рассмотрели назначение FSMO ролей, а теперь промоделируем ситуацию, что случится если владелец\владельцы этих ролей оказались недоступны.Недоступен Schema master (Мастер схемы)
Если владелец роли Schema master оказался недоступен, то на работу службы каталогов это не окажет никакого влияния, до того момента пока не будет необходимости внести изменения в схему Active Directory.
Недоступен Domain naming master (Мастер именования домена)
Если владелец роли Domain naming master оказался недоступен, то до того момента, пока не потребуется добавить дополнительный домен в лес или удалить один из доменов из леса, наличие этой роли не будет играть никакой роли в жизни домена.
RID master (Мастер относительных идентификаторов)
Если владелец роли RID master стал недоступен, то это может оказать влияние на работу домена в том случае, если в домене регулярно создаются новые объекты. По окончании ранее выданного пула RID (RID выдает пул 500 номеров на каждый контроллер домена), контроллер домена не сможет создать новый объект. Если у вас небольшая организация, с небольшим объемом новых объектов AD, то можете сами оценить, когда будет нужен владелец роли RID для выдачи нового пула.
PDC emulator (Эмулятор PDC)
Если владелец роли PDC emulator стал недоступен, то это может негативно отразиться на синхронизации времени в домене, а также на работе некоторых служб, использующих PDC в качестве источника хранения конфигурации, например, DFS.
Infrastructure master (Мастер инфраструктуры)
Если владелец роли Infrastructure master стал недоступен, то в случае однодоменной структуры AD это никак не отразится на работе службы каталогов. Если же лес AD состоит из нескольких доменов, то могут возникнуть проблемы в работе системам, которые используют объекты из разных доменов.
Выше мы рассмотрели, основные последствия от недоступности владельца FSMO ролей, возможно в каждой конкретной инфраструктуре могут быть свои особенности из-за используемого ПО, это безусловно также стоит учитывать.
Похожие статьи:
29 октябрь 2023, Воскресенье
Как зарегистрировать оснастку Active Directory Schema
25 апрель 2022, Понедельник
Использование extensionAttribute в Active Directory
01 июль 2020, Среда
Управление службой времени Windows (W32tm)
26 март 2019, Вторник
Как определить/повысить функциональный уровень домена/леса Active Directory?
01 ноябрь 2017, Среда
SQL: Перевод БД Microsoft в Single-user Mode
Комментарии: