FSMO хозяева операций в Active Directory, кто главнее
Добрый день уважаемые читатели блога pyatilistnik.org, сегодня хочется рассказать в данной статье хотелось бы затронуть святая святых в домене active directory, то без чего не будет работать ни один домен в среде windows. Теперь немного утомительной теории, но ее понимание уберет много вопросов. fsmo роли выполняются на одном или нескольких контроллерах домена, без fsmo ролей, представить AD просто не возможно. Ниже мы рассмотрим каждую роль, более подробно.
Список ролей FSMO:
Всего в windows server 2008R2/2012R2 имеется 5 таких представителей. Есть такие, без которых вообще не возможна, работа и такие без которых можно выжить, но до определенного момента.
- Schema master — Хозяин схемы. По сути это компьютер или виртуальная машинка, которая управляет все что находится в схеме. Обновление схемы леса не прокатит без доступа к этой роли fsmo. Очень важно, что на лес он один.
- Domain naming master - Хозяин именования доменов. Это контроллер домена служащий для управления добавлением и удалением доменов в лесу. Так же обеспечивает уникальность имен. В лесу он также один, без него прожить можно, если он сломался.
- PDC emulator - PDC emulator. Пожалуй самая нужная роль fsmo, так как без двух верхних вы еще проживете если они сломались, а вот без этого товарища никак, вот почему: является основным обозревателем в сети Windows, если пользователя заблокировала политика неправильно введенных паролей, эта роль вам об этом сообщает, главный NTP сервер в вашем домене, объявляет себя главным контроллером домена для раб станций и серверов прошлых версий (XP, 2000), обновление групповых политик. На каждый домен свой PDC эмулятор.
- Infrastructure Master - Хозяин инфраструктуры. В каждом домене он свой. Отвечает за обновление ссылок объектов домена на объекты других доменов, например SID, GUID. Если бы его не было или был сломан, то вы не смогли бы выполнить команду adprep /domainprep. Средняя значимость из всех fsmo.
- RID Master - Хозяин относительных идентификаторов (RID). Каждый объект active directory имеет свой уникальный sid, по сути эта роль их генерирует. Изначально контроллер домена заказывает у этой роли 500 sid, если они заканчиваются, просит еще.
В следующей части мы разберем методы как посмотреть кто держит какие роли.
Про fsmo очень любят, часто спрашивать на собеседовании, считается не камельфо если претендент, не может рассказать, что такое fsmo.
Посмотреть можно командой netdom query fsmo
Материал сайта Pyatilistnik.org