Ruoli FSMO di Active Directory in Windows

Questo articolo illustra principalmente i ruoli FSMO (Flexible Single Master Operation) in Active Directory.

Si applica a: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Numero della Knowledge Base originale: 197132

Riepilogo

Active Directory è il repository centrale in cui vengono archiviati tutti gli oggetti in un'organizzazione e i rispettivi attributi. Si tratta di un database gerarchico abilitato per multimaster in grado di archiviare milioni di oggetti. Le modifiche al database possono essere elaborate in qualsiasi controller di dominio (DC) dell'organizzazione, indipendentemente dal fatto che il controller di dominio sia connesso o disconnesso dalla rete.

Modello multimaster

Un database abilitato per multimaster, ad esempio Active Directory, offre la flessibilità necessaria per consentire l'esecuzione di modifiche in qualsiasi controller di dominio dell'organizzazione. Tuttavia, introduce anche la possibilità di conflitti che possono causare problemi quando i dati vengono replicati nel resto dell'azienda. Un modo in cui Windows gestisce gli aggiornamenti in conflitto consiste nell'avere un algoritmo di risoluzione dei conflitti che gestisce le discrepanze nei valori. Viene eseguito risolvendo nel controller di dominio in cui sono state scritte le modifiche per ultime, ovvero prevale l'utente che ha modificato per ultimo. Le modifiche in tutti gli altri controller di dominio vengono eliminate. Anche se questo metodo può essere accettabile in alcuni casi, in alcuni casi i conflitti sono troppo difficili da risolvere con l'approccio prevale l'utente che ha modificato per ultimo. In questi casi, è preferibile evitare che si verifichi il conflitto anziché provare a risolverlo dopo il fatto.

Per alcuni tipi di modifiche, Windows incorpora metodi per evitare che si verifichino aggiornamenti di Active Directory in conflitto.

Modello a master singolo

Per evitare aggiornamenti in conflitto in Windows, Active Directory esegue gli aggiornamenti a determinati oggetti in modo master singolo. In un modello a master singolo, solo un controller di dominio nell'intera directory può elaborare gli aggiornamenti. È simile al ruolo assegnato a un controller di dominio primario (PDC) nelle versioni precedenti di Windows, ad esempio Microsoft Windows NT 3.51 e 4.0. Nelle versioni precedenti di Windows, il controller di dominio primario è responsabile dell'elaborazione di tutti gli aggiornamenti in un determinato dominio.

Active Directory estende il modello a master singolo delle versioni precedenti di Windows, in modo da includere più ruoli e la possibilità di trasferire ruoli a qualsiasi controller di dominio nell'organizzazione. Poiché un ruolo di Active Directory non è associato a un singolo controller di dominio, viene definito ruolo FSMO. Attualmente in Windows sono presenti cinque ruoli FSMO:

  • Master schema
  • Master per la denominazione dei domini
  • Master RID
  • Emulatore PDC
  • Master infrastruttura

In genere, la proprietà di un ruolo FSMO viene eseguita solo quando il controller di dominio ha replicato il contesto di denominazione (NC) in cui la proprietà è archiviata dall'avvio del servizio directory. Assicurarsi che una requisizione di ruolo FSMO raggiunga il proprietario precedente prima dell'uso del ruolo.

Ruolo FSMO master schema

Il detentore del ruolo FSMO master dello schema è il controller di dominio responsabile dell'esecuzione degli aggiornamenti allo schema della directory, ovvero il contesto dei nomi dello schema o LDAP://cn=schema,cn=configuration,dc=<domain>. Questo controller di dominio è l'unico in grado di elaborare gli aggiornamenti allo schema della directory. Al termine, l'aggiornamento dello schema viene replicato dal master schema a tutti gli altri controller di dominio nella directory. Per ogni foresta è disponibile un solo master schema.

Requisiti iniziali di replica e connettività

  • Questo titolare del ruolo FSMO è attivo solo quando il proprietario del ruolo ha replicato correttamente il controller di rete dello schema dall'avvio del servizio directory.
  • I controller di dominio e i membri della foresta contattano il ruolo FSMO solo quando aggiornano lo schema.

Ruolo FSMO master per la denominazione dei domini

Il detentore del ruolo FSMO master per la denominazione dei domini è il controller di dominio responsabile dell'apporto di modifiche allo spazio dei nomi di dominio a livello di foresta della directory, ovvero, il contesto dei nomi Partizioni\Configurazione o LDAP://CN=Partizioni, CN=Configurazione, DC=<dominio>. Questo controller di dominio è l'unico che può aggiungere o rimuovere un dominio dalla directory. Può anche aggiungere o rimuovere riferimenti incrociati ai domini nelle directory esterne.

Requisiti iniziali di replica e connettività

  • Questo titolare del ruolo FSMO è attivo solo quando il proprietario del ruolo ha replicato correttamente il controller di rete di configurazione dall'avvio del servizio directory.

  • I membri del dominio della foresta contattano il titolare del ruolo FSMO solo quando aggiornano i riferimenti incrociati. I controller di dominio contattano il titolare del ruolo FSMO quando:

    • I domini vengono aggiunti o rimossi nella foresta.
    • Vengono aggiunte nuove istanze delle partizioni di directory dell'applicazione nei controller di dominio. Ad esempio, è stato integrato un server DNS per le partizioni di directory dell'applicazione DNS predefinite.

Ruolo FSMO master RID

Il titolare del ruolo FSMO master RID è il singolo controller di dominio responsabile dell'elaborazione delle richieste del pool RID da tutti i controller di dominio all'interno di un determinato dominio. È anche responsabile della rimozione di un oggetto dal relativo dominio e del suo inserimento in un altro dominio durante lo spostamento di un oggetto.

Quando un controller di dominio crea un oggetto entità di sicurezza, ad esempio un utente o un gruppo, collega un ID di sicurezza univoco (SID) all'oggetto. Questo SID è costituito da:

  • SID di dominio che è lo stesso per tutti i SID creati in un dominio.
  • ID relativo (RID) univoco per ogni SID dell'entità di sicurezza creato in un dominio.

A ogni controller di dominio Windows in un dominio viene allocato un pool di RID che è possibile assegnare alle entità di sicurezza create. Quando il pool RID allocato di un controller di dominio scende al di sotto di una soglia, tale controller di dominio invia una richiesta di RID aggiuntivi al master RID del dominio. Il master RID di dominio risponde alla richiesta recuperando i RID dal pool RID non allocato del dominio e li assegna al pool del controller di dominio richiedente. In una directory è presente un master RID per dominio.

Requisiti iniziali di replica e connettività

  • Questo titolare del ruolo FSMO è attivo solo quando il proprietario del ruolo ha replicato correttamente il controller di rete del dominio dall'avvio del servizio directory.
  • I controller di dominio contattano il titolare del ruolo FSMO quando recuperano un nuovo pool RID. Il nuovo pool RID viene recapitato ai controller di dominio tramite la replica di Active Directory.

Ruolo FSMO dell'emulatore PDC

L'emulatore PDC è necessario per sincronizzare l'ora in un'organizzazione. Windows comprende il servizio Ora di Windows W32Time, richiesto dal protocollo di autenticazione Kerberos. Tutti i computer basati su Windows all'interno di un'azienda usano un orario comune. Lo scopo del servizio ora è garantire che il servizio Ora di Windows usi una relazione gerarchica che controlla l'autorità. Non consente cicli per garantire un utilizzo appropriato del tempo comune.

L'emulatore PDC di un dominio è autorevole per il dominio. L'emulatore PDC nella radice della foresta diventa autorevole per l'organizzazione e deve essere configurato per raccogliere l'ora da un'origine esterna. Tutti i titolari di ruoli FSMO del controller di dominio primario rispettano la gerarchia dei domini per la selezione del relativo partner orario interno.

In un dominio Windows, il titolare del ruolo dell'emulatore PDC mantiene le funzioni seguenti:

  • Le modifiche delle password apportate da altri controller di dominio nel dominio vengono replicate in modo preferenziale nell'emulatore PDC.
  • Quando si verificano errori di autenticazione in un determinato controller di dominio a causa di una password non corretta, gli errori vengono inoltrati all'emulatore PDC prima che venga segnalato un messaggio di errore password non valida all'utente.
  • Il blocco dell'account viene elaborato nell'emulatore PDC.
  • L'emulatore PDC esegue tutte le funzionalità che un PDC basato su Windows Server NT 4.0 o precedente esegue per client basati su Windows NT 4.0 o precedente.

Questa parte del ruolo dell'emulatore PDC diventa non necessaria nella situazione seguente:
Tutte le workstation, i server membri e i controller di dominio che eseguono Windows NT 4.0 o versioni precedenti vengono aggiornati a Windows 2000.

In un ambiente Windows 2000, l'emulatore PDC esegue comunque le altre funzioni come descritto.

Le informazioni seguenti descrivono le modifiche che si verificano durante il processo di aggiornamento:

  • Windows client (workstation e server membri) e client di livello inferiore che hanno installato il pacchetto client dei servizi distribuiti non eseguono operazioni di scrittura della directory (ad esempio modifiche delle password) preferibilmente nel controller di dominio che si è annunciato come PDC. Usano qualsiasi controller di dominio per il dominio.
  • Dopo che i controller di dominio di backup (BDC) nei domini di livello inferiore sono stati aggiornati a Windows 2000, l'emulatore PDC non riceve richieste di replica di livello inferiore.
  • Windows client (workstation e server membri) e i client di livello inferiore che hanno installato il pacchetto client dei servizi distribuiti usano Active Directory per individuare le risorse di rete. Non richiedono il servizio Windows NT Browser.

Requisiti iniziali di replica e connettività

  • Questo titolare del ruolo FSMO è sempre attivo quando l'emulatore PDC trova l'attributo fSMORoleOwner del controller di rete del dominio che punta a se stesso. Non è previsto alcun requisito di replica in ingresso.

  • I controller di dominio contattano il titolare del ruolo FSMO quando hanno una nuova password o la verifica della password locale ha esito negativo. Non si verifica alcun errore se non è possibile raggiungere l'emulatore PDC o il valore del Registro di sistema AvoidPdcOnWan è impostato su 1.

  • È possibile usare il cmdlet seguente per eseguire i prerequisiti per abbassare di livello un controller di dominio.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl
    

    Ecco un esempio di output quando non è possibile raggiungere l'emulatore PDC.

    Messaggio: Verifica dei prerequisiti per la promozione del controller di dominio non riuscita. È stato indicato che questo controller di dominio Active Directory non è l'ultimo controller di dominio per il dominio "contoso.com". Tuttavia, nessun altro controller di dominio per tale dominio può essere contattato. Se si procede, le modifiche Active Directory Domain Services apportate nel controller di dominio andranno perse. Per continuare comunque, specificare l'opzione "IgnoreLastDCInDomainMismatch".
    Contesto : Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired: False
    Stato: Errore

Ruolo FSMO master infrastrutture

Un oggetto in un dominio viene referenziato da un altro oggetto in un altro dominio, rappresenta il riferimento da:

  • Il GUID
  • Il SID (per i riferimenti alle entità di sicurezza)
  • Il DN dell'oggetto a cui si fa riferimento

Il titolare del ruolo FSMO infrastrutture è il controller di dominio responsabile dell'aggiornamento del SID e del nome distinto di un oggetto in un riferimento a oggetti tra domini.

Nota

Il ruolo Master infrastrutture (IM) deve essere gestito da un controller di dominio che non è un server di catalogo globale (GC). Se il Master infrastrutture viene eseguito su un server di catalogo globale, interromperà l'aggiornamento delle informazioni sugli oggetti in quanto non dispone di alcun riferimento a oggetti non contenuti in tale server. Questo perché un server di catalogo globale contiene una replica parziale di ogni oggetto presente nella foresta. Di conseguenza, i riferimenti a oggetti tra domini in tale dominio non verranno aggiornati e verrà registrato un avviso a tale effetto sul registro eventi del controller di dominio.

Se tutti i controller di dominio in un dominio ospitano anche il catalogo globale, tutti i controller di dominio hanno i dati correnti. Non è importante quale controller di dominio abbia il ruolo di master infrastrutture.

Quando la funzionalità facoltativa del Cestino è abilitata, ogni controller di dominio è responsabile dell'aggiornamento dei riferimenti agli oggetti tra domini quando l'oggetto a cui si fa riferimento viene spostato, rinominato o eliminato. In questo caso, non sono presenti attività associate al ruolo FSMO infrastrutture. E non è importante quale controller di dominio è proprietario del ruolo Master infrastrutture. Per altre informazioni, vedere Ruolo FSMO infrastrutture 6.1.5.5.

Requisiti iniziali di replica e connettività

  • Questo titolare del ruolo FSMO è attivo solo quando il proprietario del ruolo ha replicato correttamente il controller di rete del dominio dall'avvio del servizio directory.
  • Non è previsto alcun requisito di connettività per questo titolare del ruolo FSMO. Si tratta di una funzionalità di pulizia interna della foresta.