Role FSMO usługi Active Directory w systemie Windows

  • Artykuł

Ten artykuł pomaga głównie poznać role FSMO usługi Active Directory.

Dotyczy systemów: Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Oryginalny numer KB: 197132

Podsumowanie

Usługa Active Directory to centralne repozytorium, w którym są przechowywane wszystkie obiekty w przedsiębiorstwie i korespondujące z nimi atrybuty. Jest to hierarchiczna baza danych z obsługą wielu wzorców, która może przechowywać miliony obiektów. Zmiany w bazie danych mogą być przetwarzane na dowolnym kontrolerze domeny (DC) w przedsiębiorstwie, niezależnie od tego, czy kontroler domeny jest przyłączony, czy odłączony od sieci.

Model wielowzorcowy

Wielowzorcowa baza danych, taka jak usługa Active Directory, zapewnia elastyczność zezwalania na zmiany w dowolnym kontrolerze domeny w przedsiębiorstwie. Ale wprowadza również możliwość konfliktów, które mogą potencjalnie prowadzić do problemów po replikacji danych do reszty przedsiębiorstwa. Jednym ze sposobów, w jaki system Windows radzi sobie z powodującymi konflikt aktualizacjami jest użycie algorytmu rozwiązywania konfliktów, który obsługuje rozbieżności w wartościach. Odbywa się to przez określenie kontrolera domeny, do którego zmiany zostały napisane jako ostatnie, co jest definiowane jako ostatni autor zapisu zwycięża. Zmiany we wszystkich innych kontrolerach domeny są odrzucane. Chociaż ta metoda może być akceptowalna w niektórych przypadkach, istnieją sytuacje, w których konflikty są zbyt trudne do rozwiązania przy użyciu metody ostatni autor zapisu wygrywa. W takich przypadkach najlepiej jest zapobiec wystąpieniu konfliktu, a nie spróbować rozwiązać go po fakcie.

W przypadku niektórych typów zmian system Windows zawiera metody, aby zapobiec występowaniu powodujących konflikt aktualizacji usługi Active Directory.

Model jednowzorcowy

Aby zapobiec konfliktom aktualizacji w systemie Windows, usługa Active Directory przeprowadza aktualizacje niektórych obiektów w sposób jednowzorcowy. W modelu jednowzorcowym tylko jeden kontroler domeny w całym katalogu może przetwarzać aktualizacje. Jest ona podobna do roli nadanej podstawowemu kontrolerowi domeny (PDC) we wcześniejszych wersjach systemu Windows, takich jak Microsoft Windows NT 3.51 i 4.0. We wcześniejszych wersjach systemu Windows podstawowy kontroler domeny PDC jest odpowiedzialny za przetwarzanie wszystkich aktualizacji w danej domenie.

Usługa Active Directory rozszerza model jednowzorcowy znajdujący się we wcześniejszych wersjach systemu Windows o wiele ról oraz o możliwość przenoszenia ról do dowolnego kontrolera domeny w przedsiębiorstwie. Ponieważ rola usługi Active Directory nie jest powiązana z pojedynczym kontrolerem domeny, jest określana jako rola FSMO. Obecnie w systemie Windows istnieje pięć ról FSMO:

  • Wzorzec schematu
  • Wzorzec nazw domen
  • Wzorzec RID
  • Emulator kontrolera PDC
  • Wzorzec infrastruktury

Zazwyczaj własność roli FSMO jest wykonywana tylko wtedy, gdy kontroler domeny zreplikował kontekst nazewnictwa (NC), w którym własność jest przechowywana od czasu uruchomienia usługi katalogowej. Przed użyciem roli upewnij się, że informacja o przejęciu roli FSMO dotarła do poprzedniego właściciela.

Rola FSMO wzorca schematu

Właścicielem roli wzorca schematu FSMO jest kontroler domeny odpowiedzialny za przeprowadzanie aktualizacji schematu katalogu, czyli kontekstu nazewnictwa schematu lub LDAP://cn=schema,cn=configuration,dc=<domain>. Ten kontroler domeny jest jedynym, który może przetwarzać aktualizacje schematu katalogu. Po zakończeniu aktualizacji schematu jest ona replikowana z wzorca schematu do wszystkich innych kontrolerów domeny w katalogu. Istnieje tylko jeden wzorzec schematu na las.

Wymagania dotyczące replikacji początkowej i łączności

  • Ten posiadacz roli FSMO jest aktywny tylko wtedy, gdy właściciel roli pomyślnie wewnętrznie zreplikował kontroler sieci schematu od czasu uruchomienia usługi katalogowej.
  • Kontrolery domeny i członkowie lasu kontaktują się z rolą FSMO tylko podczas aktualizowania tego schematu.

Rola FSMO wzorca nazewnictwa domeny

Właścicielem roli głównej nazwy domeny FSMO jest kontroler domeny odpowiedzialny za wprowadzanie zmian w przestrzeni nazw domen w całym lesie katalogu, czyli w kontekście nazw Partycje\Konfiguracja lub LDAP://CN=Partitions, CN=Configuration, DC=<domain>. Ten kontroler domeny jest jedynym, który może dodać lub usunąć domenę z katalogu. Może również dodawać lub usuwać odwołania krzyżowe do domen w katalogach zewnętrznych.

Wymagania dotyczące replikacji początkowej i łączności

  • Ten właściciel roli FSMO jest aktywny tylko wtedy, gdy właściciel roli pomyślnie zreplikował przychodzącą konfigurację kontrolera sieciowego od momentu uruchomienia usługi katalogowej.

  • Członkowie domeny lasu kontaktują się z właścicielem roli FSMO tylko podczas aktualizowania odwołań krzyżowych. Kontrolery domeny kontaktują się z posiadaczem roli FSMO, gdy:

    • Domeny są dodawane lub usuwane w lesie.
    • Dodawane są nowe wystąpienia partycji katalogu aplikacji na kontrolerach domeny. Na przykład serwer DNS został zarejestrowany dla domyślnych partycji katalogu aplikacji DNS.

Rola FSMO wzorca identyfikatora RID

Właściciel roli FSMO wzorca identyfikatora RID jest pojedynczym kontrolerem domeny odpowiedzialnym za przetwarzanie żądań puli identyfikatorów RID ze wszystkich kontrolerów domeny w danej domenie. Jest również odpowiedzialny za usunięcie obiektu z jego domeny i umieszczenie go w innej domenie podczas przenoszenia obiektu.

Gdy kontroler domeny tworzy obiekt jednostki zabezpieczeń, taki jak użytkownik lub grupa, dołącza unikatowy identyfikator zabezpieczeń (SID) do tego obiektu. Ten identyfikator SID składa się z następujących elementów:

  • Identyfikator SID domeny, który jest taki sam dla wszystkich identyfikatorów SID utworzonych w domenie.
  • Identyfikator względny (RID) unikatowy dla każdego identyfikatora SID podmiotu zabezpieczeń utworzonego w domenie.

Każdemu kontrolerowi domeny systemu Windows w domenie jest przydzielana pula identyfikatorów RID, które można przypisać do tworzonych jednostek zabezpieczeń. Gdy przydzielona pula identyfikatorów RID kontrolera domeny spadnie poniżej określonego progu, kontroler domeny wystawia żądanie dodatkowych identyfikatorów RID do głównego identyfikatora RID domeny. Wzorzec identyfikatorów RID domeny odpowiada na żądanie, pobierając identyfikatory RID z nieprzydzielonej puli identyfikatorów RID domeny i przypisując je do puli żądającego kontrolera domeny. W katalogu jest jeden wzorzec RID na domenę.

Wymagania dotyczące replikacji początkowej i łączności

  • Ten posiadacz roli FSMO jest aktywny tylko wtedy, gdy właściciel roli pomyślnie zreplikował przychodzący kontroler domeny NC od momentu uruchomienia usługi katalogowej.
  • Kontrolery domeny kontaktują się z posiadaczem roli FSMO podczas pobierania nowej puli identyfikatorów RID. Nowa pula identyfikatorów RID jest dostarczana do kontrolerów domeny za pośrednictwem replikacji usługi AD.

Rola FSMO emulatora kontrolera PDC

Emulator kontrolera PDC jest niezbędny do synchronizacji czasu w przedsiębiorstwie. System Windows zawiera narzędzie usługi czasu, W32Time, wymagane przez protokół uwierzytelniania Kerberos. Wszystkie komputery oparte na systemie Windows w przedsiębiorstwie używają wspólnego czasu. Celem usługi czasu jest upewnienie się, że usługa Windows Time używa hierarchicznej relacji kontrolujące go. Nie zezwala na pętle, aby zapewnić odpowiednie typowe użycie czasu.

Emulator kontrolera PDC domeny jest autorytatywny dla domeny. Emulator kontrolera PDC w katalogu głównym lasu staje się autorytatywny dla przedsiębiorstwa i powinien zostać skonfigurowany do zbierania czasu ze źródła zewnętrznego. Wszyscy posiadacze roli FSMO podstawowego kontrolera domeny zachowują hierarchię domen w wyborze partnera czasu przychodzącego.

W domenie Windows właściciel roli emulatora kontrolera PDC zachowuje następujące funkcje:

  • Zmiany haseł wprowadzone przez inne kontrolery domeny w tej domenie są replikowane preferencyjnie do emulatora kontrolera PDC.
  • Jeśli w danym kontrolerze domeny wystąpią błędy uwierzytelniania z powodu nieprawidłowego hasła, błędy zostaną przekazane do emulatora kontrolera PDC, zanim zostanie zgłoszony użytkownikowi komunikat o błędzie nieprawidłowego hasła.
  • Blokada konta jest przetwarzana w emulatorze kontrolera PDC.
  • Emulator kontrolera PDC wykonuje wszystkie funkcje, które kontroler PDC oparty na serwerze NT 4.0 lub starszej jego wersji wykonuje dla klientów z systemem Windows NT 4.0 lub jego starszych wersji.

Ta część roli emulatora kontrolera PDC staje się niepotrzebna w następującej sytuacji:
Wszystkie stacje robocze, serwery członkowskie i kontrolery domeny z systemem Windows NT 4.0 lub starszą jego wersją są uaktualnione do systemu Windows 2000.

Emulator kontrolera PDC nadal wykonuje inne funkcje zgodnie z opisem środowiska systemu Windows 2000.

W poniższych informacjach opisano zmiany, które występują podczas procesu uaktualniania:

  • Klienci systemu Windows (stacje robocze i serwery członkowskie) i klienci niższego poziomu, którzy zainstalowali pakiet kliencki usług rozproszonych, nie wykonują preferencyjnie zapisów katalogów (takich jak zmiany haseł) na kontrolerze domeny, który anonsował się jako kontroler PDC. Używają dowolnego kontrolera domeny dla tej domeny.
  • Po uaktualnieniu kontrolerów domeny kopii zapasowych (BDC) w domenach niższego poziomu do systemu Windows 2000 emulator kontrolera PDC nie otrzymuje żądań repliki niższego poziomu.
  • Klienci sytemu Windows (stacje robocze i serwery członkowskie) i klienci niższego poziomu, którzy zainstalowali pakiet klienta usług rozproszonych, używają usługi Active Directory do lokalizowania zasobów sieciowych. Nie wymagają oni usługi Windows NT Browser.

Wymagania dotyczące replikacji początkowej i łączności

  • Ten posiadacz roli FSMO jest zawsze aktywny, gdy emulator kontrolera PDC znajduje atrybut fSMORoleOwner nagłówka NC domeny wskazującego na samego na siebie. Nie ma żadnych wymagań dotyczących replikacji przychodzącej.

  • Kontrolery domeny kontaktują się z właścicielem roli FSMO, gdy mają nowe hasło lub weryfikacja hasła lokalnego kończy się niepowodzeniem. Błąd nie występuje, gdy nie można osiągnąć emulatora kontrolera PDC lub wartość rejestru AvoidPdcOnWan jest ustawiona na 1.

  • Następujące polecenie cmdlet umożliwia uruchomienie wymagań wstępnych dotyczących degradowania kontrolera domeny.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    Oto przykład danych wyjściowych, gdy nie można osiągnąć emulatora kontrolera PDC.

    Komunikat: Weryfikacja wymagań wstępnych dotyczących podwyższania poziomu kontrolera domeny nie powiodła się. Wskazano, że ten kontroler domeny usługi Active Directory nie jest ostatnim kontrolerem domeny "contoso.com". Nie można jednak skontaktować się z żadnym innym kontrolerem domeny dla tej domeny. Kontynuowanie spowoduje utratę wszelkich zmian usług domeny usługi Active Directory wprowadzonych na tym kontrolerze domeny. Aby kontynuować mimo to, określ opcję "IgnoreLastDCInDomainMismatch".
    Kontekst: Test.VerifyDcPromoCore.DCPromo.General.50
    RebootRequired: False
    Stan: Błąd

Rola FSMO wzorca infrastruktury

Gdy do obiektu w jednej domenie odwołuje się inny obiekt w innej domenie, reprezentuje on odwołanie przez:

  • Identyfikator GUID
  • Identyfikator SID (w przypadku odwołań do podmiotów zabezpieczeń)
  • Nazwa DN obiektu, do którego odwołuje się odwołanie

Właścicielem roli FSMO infrastruktury jest kontroler domeny odpowiedzialny za aktualizowanie identyfikatora SID obiektu i nazwę wyróżniającą w odwołaniu do obiektu między domenami.

Uwaga

Rola wzorca infrastruktury (IM) powinna być w posiadaniu kontrolera domeny, który nie jest serwerem wykazu globalnego (GC). Jeśli rola wzorca infrastruktury zostanie uruchomiona na serwerze wykazu globalnego, serwer ten przestanie aktualizować informacje o obiektach, ponieważ ta rola nie zawiera żadnych odwołań do obiektów, których on nie przechowuje. Dzieje się tak dlatego, że serwer wykazu globalnego przechowuje częściową replikę każdego obiektu w lesie. W związku z tym odwołania do obiektów między domenami w tej domenie nie zostaną zaktualizowane, a ostrzeżenie w tym celu zostanie zarejestrowane w dzienniku zdarzeń tego kontrolera domeny.

Jeśli wszystkie kontrolery domeny w tej domenie również hostują wykaz globalny, wszystkie kontrolery domeny mają bieżące dane. Nie jest ważne, który kontroler domeny pełni rolę wzorca infrastruktury.

Po włączeniu opcjonalnej funkcji Kosz każdy kontroler domeny jest odpowiedzialny za aktualizowanie odwołań do obiektów między domenami po przeniesieniu, zmianie nazwy lub usunięciu obiektu, do którego odwołuje się dane odwołanie. W takim przypadku nie ma żadnych zadań skojarzonych z rolą FSMO infrastruktury. I nie jest ważne, który kontroler domeny jest właścicielem roli wzorca infrastruktury. Aby uzyskać więcej informacji, zobacz artykuł Rola FSMO infrastruktury 6.1.5.5.

Wymagania dotyczące replikacji początkowej i łączności

  • Ten posiadacz roli FSMO jest aktywny tylko wtedy, gdy właściciel roli pomyślnie zreplikował przychodzący kontroler domeny NC od momentu uruchomienia usługi katalogowej.
  • Ten posiadacz roli FSMO nie wymaga łączności. Jest to wewnętrzna funkcja oczyszczania lasu.