Ich habe immer verstanden, dass es fünf FSMO-Rollen gibt, aber manchmal sehe ich etwas, das besagt, dass es sieben gibt. Wie viele gibt es wirklich?
Ich habe immer verstanden, dass es fünf FSMO-Rollen gibt, aber manchmal sehe ich etwas, das besagt, dass es sieben gibt. Wie viele gibt es wirklich?
Antworten:
Die Standardantwort, die Windows-Administratoren auf diese Frage gegeben haben, lautet fünf:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
Es stellt sich jedoch heraus, dass es zwei andere Rollen gibt, die normalerweise keine Rolle spielen, aber Probleme verursachen können, wenn der Server, dem sie zugewiesen wurden, offline geschaltet wird.
Erinnerung - Was sind FSMO-Rollen?
Active Directory verwendet in erster Linie ein Multi-Master-Modell für Verzeichnisaktualisierungen: Jeder Domänencontroller kann seine lokale Kopie des Verzeichnisses aktualisieren, und diese Änderungen werden dann auf alle anderen Domänencontroller repliziert.
Es gibt jedoch einige Updates, die kritischer sind und die auf Single-Master-Weise durchgeführt werden: Nur ein Domänencontroller kann diese Updates durchführen und sie werden von diesem Domänencontroller auf die anderen repliziert. Die Möglichkeit, eine dieser wichtigen Aktualisierungen vorzunehmen, wird als Rolle bezeichnet, und diese Rollen werden jeweils einem Domänencontroller zugewiesen (Einzelmaster). Es ist jedoch recht einfach, eine Rolle auf einen anderen Domänencontroller zu verschieben (flexibel) Name "Flexible Single-Master-Betriebsrolle."
In diesem Artikel werden die fünf oben aufgeführten FSMO-Rollen beschrieben, einschließlich einer kurzen Erläuterung der Art der Verzeichnisaktualisierungen, für die jeder FSMO-Rolleninhaber verantwortlich ist (z. B. ist der Schema-Master der einzige Domänencontroller, der Änderungen am AD-Schema vornehmen kann.).
Infrastruktur-Master-Rolle (n)
Es stellt sich heraus, dass es auch mit einer einzelnen Domäne mehr als eine Infrastruktur-Master-Rolle gibt. In dem oben erwähnten MS-Artikel heißt es:
Für jede Anwendungspartition wird ein separater Infrastrukturmaster erstellt, einschließlich der standardmäßigen gesamtstrukturweiten und domänenweiten Anwendungspartitionen, die von Windows Server 2003 und späteren Domänencontrollern erstellt wurden.
Ich werde Verzeichnispartitionen und Anwendungsverzeichnispartitionen in AD nicht erklären (die Links verweisen auf ein TechNet-Dokument, in dem sie besser erklärt werden als ich es könnte). Es reicht aus, zu wissen, dass sie existieren.
Wenn Sie also eine einzige AD-Domäne haben, verfügen Sie über drei Infrastruktur-Master für insgesamt sieben FSMO-Rollen.
Verursachen die zusätzlichen Rollen Probleme?
Manchmal...
Ich kann keine definitive Antwort finden, aber es gibt starke Indizien dafür, dass die "zusätzlichen" FSMO-Rollen nur manuell verschoben werden können, z. B. Fehlermeldung beim Ausführen des Befehls "Adprep / rodcprep" in Windows Server 2008: "Adprep konnte nicht verschoben werden Replikat für Partition kontaktieren DC = DomainDnsZones, DC = Contoso, DC = com "
Der häufigste Grund für diesen Fehler ist, dass beim Einrichten einer Domäne der erste Domänencontroller alle 7 Rollen enthält, die beiden zusätzlichen Infrastruktur- Masterrollen jedoch nicht von den üblichen Tools (DCPROMO usw.) verschoben werden DC ist immer im Ruhestand, es gibt keinen Server, der diese Rollen innehat, und die RODC-Vorbereitung schlägt fehl, weil er mit ihnen sprechen muss.
Der Ort, an dem ich auf die zusätzlichen Rollen gestoßen bin, war mit Samba 4: Das Dienstprogramm samba-tool kann FSMO-Rollen auf einen anderen Domänencontroller übertragen. Vor Version 4.3 wurde Ihnen mitgeteilt, dass alle Rollen übertragen wurden, aber als Sie versuchten, a herabzustufen DC würde sich beschweren, dass der DC noch 2 FSMO-Rollen innehatte. Dies wurde jetzt behoben.