Što je pdc i relativni ID master. Upravljanje FSMO ulogama pomoću Ntdsutila

AD Domain Services podržava pet uloga Operations Master-a:

1 Domain Naming Master;

2 Master sheme;

3 Vlasnik relativnih identifikatora (Relative ID Master);

4 Vlasnik infrastrukture domene (Infrastructure Master);

5 Emulator primarnog kontrolera domene (PDC emulator).

Majstor imenovanja domena.

Uloga je dizajnirana za dodavanje i uklanjanje domena u šumi. Ako kontroler s ovom ulogom nije dostupan prilikom dodavanja ili uklanjanja domena u šumi, operacija neće uspjeti.

U šumi postoji samo jedan kontroler domene s ulogom Domain Naming Master-a.

Kako biste vidjeli koji kontroler domene imate kao vlasnika naziva domene, trebate pokrenuti dodatak Active Directory - Domene i povjerenje klik desni klik na korijenski čvor i odaberite " Vlasnik operacije"

U retku Domain Naming Master vidjet ćete koji kontroler domene obavlja ovu ulogu.

Master sheme.

Kontrolor s ulogom vlasnika sheme odgovoran je za sve promjene u shemi šume. Sve druge domene sadrže replike sheme samo za čitanje.

Uloga vlasnika sheme jedinstvena je u šumi i može se definirati samo na jednom kontroleru domene.

Kako biste vidjeli kontroler domene koji djeluje kao vlasnik sheme, trebate pokrenuti dodatak Shema aktivnog imenika, ali da biste to učinili morate registrirati ovu opremu. Da biste to učinili, pokrenite naredbeni redak i unesite naredbu

regsvr32 schmmgmt.dll

Nakon toga kliknite " Početak"odaberi tim" Izvršiti"i uđi" mmc" i kliknite gumb " u redu". Zatim u izborniku kliknite " Datoteka"ajmo izabrati tim" Dodajte ili uklonite dodatak". U grupi Dostupan pribor Izaberi " Shema aktivnog imenika", pritisni gumb " Dodati", a zatim gumb " u redu".

Desnom tipkom miša kliknite korijenski čvor snap-ina i odaberite " Vlasnik operacije".

U retku Current schema owner (online) vidjet ćete naziv kontrolera domene koji obavlja ovu ulogu.

Vlasnik relativnih identifikatora (Relative ID Master).

Ova uloga daje svim korisnicima, računalima i grupama jedinstveni SID (sigurnosni identifikator - struktura podataka varijabilne duljine koja identificira korisnika, grupu, domenu ili račun računala)

Uloga RID Mastera jedinstvena je unutar domene.

Da biste vidjeli koji kontroler u domeni djeluje kao vlasnik identifikatora, morate pokrenuti " Vlasnik operacije".

Na kartici RID vidjet ćete naziv poslužitelja koji obavlja ulogu RID

Vlasnik infrastrukture domene (Infrastructure Master).

Ova uloga je relevantna kada koristite više domena u šumi. Njegov glavni zadatak je upravljanje fantomskim objektima. Fantomski objekt je objekt koji je stvoren u drugoj domeni kako bi osigurao neke resurse.

Uloga domenske infrastrukture jedinstvena je za domenu.

Da biste vidjeli koji kontroler u domeni djeluje kao vlasnik infrastrukture domene, morate pokrenuti " Active Directory - korisnici i računala", desnom tipkom miša kliknite domenu i odaberite " Vlasnik operacije".

U "kartici" Infrastruktura"vidjet ćete kontrolera koji obavlja ovu ulogu u domeni.

Emulator primarnog kontrolera domene (PDC emulator).

Uloga PDC emulatora je nekoliko važnih funkcija (nisu sve navedene ovdje, samo one glavne):

Sudjeluje u replikaciji ažuriranja lozinke. Svaki put kada korisnik promijeni svoju lozinku, ove informacije se pohranjuju na kontroleru domene s PDC ulogom. Na korisnički unos Netočna lozinka provjera autentičnosti šalje se PDC emulatoru za dobivanje moguće promijenjene lozinke računa (dakle, ako unesete netočnu lozinku za prijavu, provjera lozinke traje dulje u usporedbi s unosom točne lozinke).

Sudjeluje u ažuriranju pravila grupe u domeni. Konkretno, kada se grupna pravila mijenjaju na različitim kontrolerima domene u isto vrijeme, PDC emulator djeluje kao središnja točka za sve promjene grupnih pravila. Kada otvorite uređivač upravljanja pravilima grupe, on se povezuje s kontrolerom domene koji djeluje kao PDC emulator. Stoga sve promjene grupne politike prema zadanim postavkama unose se u PDC emulator.

PDC emulator je glavni izvor vremena za domenu. PDC emulatori u svakoj domeni sinkroniziraju svoje vrijeme s PDC emulatorom korijenske domene šume. Ostali kontroleri sinkroniziraju svoje vrijeme s PDC emulatorom domene, računala i poslužitelji sinkroniziraju vrijeme s kontrolerom domene.

Da biste vidjeli koji kontroler u domeni djeluje kao PDC emulator, trebate pokrenuti " Active Directory - korisnici i računala", desnom tipkom miša kliknite domenu i odaberite " Vlasnik operacije".

Na kartici PDC vidjet ćete kontroler koji obavlja ovu ulogu.

FSMO uloga primarnog emulatora kontrolera domene (PDC emulator) je druga uloga (od tri) na razini domene. Odnosno, u jednoj domeni treba postojati jedan PDC emulator, ali može ih biti više u cijeloj AD šumi, ovisno o broju domena.

Glavni članak o Active Directory je. Pročitajte i druge članke o ulogama voditelja operacija -.

Ako ste zainteresirani za temu Windows poslužitelj, preporučujem da pogledate odjeljak na svom blogu.

Da biste bolje razumjeli funkcionalnost ove FSMO uloge, prvo morate pogledati povijest njenog pojavljivanja.

Malo povijesti

Uloga PDC emulatora nužna je prvenstveno kako bi se osigurala kompatibilnost s Windows verzije ispod 2000. U mješovitom okruženju s Windows NT, 95, 98 klijentima, PDC emulator obavlja sljedeće zadatke:

  1. Sudjeluje u procesu promjene lozinki korisničkih i računalnih računa;
  2. Replicira ažuriranja na rezervne kontrolere domene;
  3. Obavlja zadatke glavnog preglednika domene.

Za Windows NT 3.51, 4 domene, emulator primarnog kontrolera domene obavljao je vrlo važnu funkciju i ako ne uspije, cijela domena zapravo prelazi u način rada samo za čitanje:

  • Korisnici ne bi mogli promijeniti zaporke (pojavila bi se pogreška “Nije moguće promijeniti lozinku na ovom računu. Molimo kontaktirajte svog administratora sustava");
  • Prilikom kreiranja računa dobit ćete pogrešku ( "nije moguće pronaći kontroler domene za ovu domenu");
  • Došlo bi do pogrešaka replikacije na rezervnim kontrolerima domene (zbog činjenice da su rezervni kontroleri domene replicirali promjene samo s PDC-a. Da biste mogli napraviti promjene u BDC bazi podataka, ona mora biti postavljena kao primarni kontroler domene).

Razvojem tehnologije naglasak je stavljen na zamjenjivost i jednakost svih domenskih kontrolera, pa je tako već Windows 2003 domena bila potpuno drugačije strukture, čija je osnova multi-master replikacija. Iako “sekundarni” (nešto poput BDC) kontroleri domene ostaju, primarni kontroleri kao takvi su prestali postojati.

Moderna namjena

Danas je uloga PDC emulatora, po mom mišljenju, manje važna u usporedbi s drugim masterima operacija, ali je još uvijek potrebna za niz zadataka koji na neki način pojednostavljuju administraciju i dodaju neke pogodnosti:

1) Replikacija lozinke događa se na PDC emulatoru u prioritetnom načinu rada. To jest, ako korisnik promijeni lozinku (a on to može učiniti na bilo kojem DC-u), tada kontroler domene prvo kontaktira PDC emulator kako bi prijavio činjenicu promjene lozinke. Zauzvrat, drugi DC-ovi, ako autorizacija s promijenjenom lozinkom prolazi kroz njih, ne odbijaju korisnika, već se okreću emulatoru primarnog kontrolera domene kako bi vidjeli moguće promjene i, nakon što ih prime, autoriziraju korisnika novom lozinkom.

Ako je PDC nedostupan, jednostavno se nećete moći prijaviti u sustav s novom lozinkom prilikom autorizacije putem drugog kontrolera domene i dobit ćete povećanje u brojaču pokušaja prijave. Naravno, ova situacija će se dogoditi vrlo kratko vrijeme, dok se promjene ne repliciraju na druge DC-ove, no u stvarnosti se uopće ne pojavljuje u praksi;

Isto se odnosi i na zaključavanja računa - prije svega, ona se repliciraju na PDC emulator.

2) Kako biste spriječili sukobe, promijenite pravila grupe, sve GPO promjene zapravo se događaju na PDC emulatoru i nije važno gdje točno radite s opremom;

3) Windows Server 2003 prema zadanim postavkama uključuje neke dodatne sigurnosne objekte. Kada nadogradite svoju infrastrukturu s Windows Servera 2000, vi morate pokrenuti proces ažuriranja izravno iz PDC emulatora tako da te grupe i Računi prvi put su se pojavili na njemu, a tek potom su replicirani na druge kontrolere. Sami objekti pohranjeni su u spremnik CN=WellKnown Security Principals,CN=Configuration,DC= ;

4) SDProp (Security Descriptor propagator) mehanizam radi na PDC emulatoru. Ovaj mehanizam "sređuje" popise kontrole pristupa (ACL) objekata Active Directoryja. Kritični sigurnosni objekti domene (ovi objekti imaju vrijednost atributa postavljenu na 1 adminCount) ogledni ACL-ovi pohranjeni su u posebnom spremniku koji se zove AdminSDHolder.

Usput, ovdje puni popis najvažniji sigurnosni objekti za novostvorenu domenu:

Naravno, kreirao sam biskvit račun ručno, vaš će biti drugačiji;

5) Tijekom instalacije prvog kontrolera domene, usluga NetLogon stvara DNS SRV zapis _ldap._tcp.pdc._msdcs.DnsDomainName. Ovaj unos omogućuje klijentima da otkriju PDC emulator. Samo vlasnik ove uloge može mijenjati ovaj unos;

6) Na primarnom emulatoru kontrolera domene Promjene DFS imenskog prostora su u tijeku(Distribuirano Sustav datoteka). Ako PDC emulator nije pronađen, tada DFS neće raditi ispravno;

7) Postupak promicanje funkcionalne razine domene ili šume izvodi se na PDC emulatoru.

8) Možda je jedna od najvažnijih funkcija vremensko širenje kroz domenu. Više o postavljanju vremena u domeni možete pročitati u mom članku.

Najbolje prakse

Puno najbolje prakse Administracije emulatora primarne domene odgovaraju drugim ulogama nadređenih operacija:

administracija

Ne postoji posebna oprema za kontrolu rada PDC emulatora.

Možete promijeniti vlasnika uloge pomoću dodatka . Za ovo:

  1. Otvorite opremu na DC01, kliknite desnom tipkom miša Active Directory - korisnici i računala i izabrati Promjena kontrolera domena aktivna Imenik;
  2. Zatim odaberite kontroler domene na koji želimo prenijeti ulogu (kod mene je to DC02, prema zadanim postavkama uvijek je odabran poslužitelj koji posjeduje ulogu). Potvrđujemo upozorenje;
  3. Ponovo kliknite desnom tipkom miša Active Directory - korisnici i računala, ali mi već biramo Vlasnik pogona...;
  4. pritisni gumb Promijeniti….

Nakon toga trebate potvrditi svoj odabir i primiti obavijest o uspješnom prijenosu uloge.

Ovo dovršava pregled fsmo uloge PDC emulatora.

Active Directory sadrži FSMO (Flexible Single Master Operations) uloge koje se koriste za obavljanje raznih zadataka unutar šume i domene. Postoje dvije uloge na razini šume i tri uloge na razini domene.

1. Master sheme / Šuma/ Sadrži dijagram šume
2. Domain Naming Master (Domain Naming Master) / Šuma/ Upravlja nazivima domena
3. Glavna domena infrastrukture (Master infrastrukture) / Domena/ Pruža reference objekata među domenama
4. PDC Emulator (Primarni emulator kontrolera domene) / Domena/ Odgovoran za vrijeme u šumi
Rukuje promjenama lozinki, služi kao točka povezivanja za upravljanje GPO-ovima, zaključava račune.
5. RID Master (Relative Identifier Master (RID)) / Domena/ Upravlja i nadopunjuje RID (relativni identifikator) skupove

U nekim situacijama, kao što je deaktiviranje kontrolera domene, nadogradnja domene ili problemi s performansama, morat ćete prenijeti FSMO uloge na novi kontroler domene. Svaka od navedenih uloga mora biti dostupna u Active Directoryu u svakom trenutku. Jedan od načina za prijenos ili prijenos ovih uloga na novi kontroler domene je korištenje uslužnog programa NTDSUtil.

Za prijenos FSMO uloga domene slijedite korake u nastavku:
1 . Otvorite prozor naredbeni redak (cmd.exe). Unesi NTDSUtil i pritisnite .
2. Unesite uloge i pritisnite .
3. Unesi veze i pritisnite .
spojite se na poslužitelj [Server_name] i pritisnite .
5. Unesite prestati i pritisnite .
6. Prvo će se prenijeti uloga PDC emulatora. Unesi prijenos pdc i pritisnite . Zahtjev morate potvrditi klikom na gumb Da(Da).
prijenos rid master i pritisnite za premještanje uloge RID Master. Zahtjev morate potvrditi klikom na gumb Da(Da).
8. Ako je potrebno, možete unijeti gospodar prijenosne infrastrukture i pritisnite za premještanje uloge upravitelja infrastrukture. Zahtjev morate potvrditi klikom na gumb Da(Da).
9. Sada kada je prijenos svih domenskih FSMO uloga završen, unesite prestati i pritisnite zatim ponovno unesite prestati i pritisnite . za zatvaranje prozora naredbenog retka.

Naravno, gornji koraci moraju biti dovršeni u svakoj domeni.
Ako odlučite prenijeti FSMO uloge na razini šume, slijedite ove korake:
Otvorite prozor naredbenog retka ( cmd.exe), Unesi NTDSUtil i pritisnite .
2. Unesite uloge i pritisnite .
3. Unesite veze i pritisnite< Enter>.
4. Sada se morate spojiti na poslužitelj koji će sadržavati ove FSMO uloge u budućnosti. Unesi spojite se na poslužitelj [ Ime:_poslužitelj] i pritisnite .
5. Unesite prestati i pritisnite .
6. Prvo će se prenijeti uloga Schema Master. Unesi prijenosna shema master i pritisnite . Zahtjev morate potvrditi klikom na gumb Da(Da).
7. Ako je potrebno, možete unijeti prijenos imenovanja master i pritisnite za premještanje uloge Domain Naming Master. Zahtjev morate potvrditi klikom na gumb Da(Da) .
8. Sada kada je prijenos svih FSMO uloga u šumi završen, unesite prestati i pritisnite , zatim ponovno upišite quit i kliknite za zatvaranje prozora naredbenog retka.

Upravljanje FSMO ulogama pomoću standardnih MMC dodataka nije baš zgodan postupak, budući da morate koristiti različite dodatke za pristup različitim ulogama, a nekima od njih nije lako doći. Osim toga, MMC dodaci ne dopuštaju preuzimanje uloga ako kontroler domene na kojem su se nalazile otkaže. Mnogo je prikladnije koristiti uslužni program za ove svrhe ntdsutil, o čemu će biti riječi u ovom članku.

Prije nego prijeđemo na praktični dio, sjetimo se što je to i razmislimo što će se točno dogoditi s ActiveDirectoryjem ako zakaže. Postoji ukupno pet FSMO uloga, dvije za šumu i tri za domenu.

Uloge na razini šume postoje u jednom primjeru i, iako su važne, najmanje su kritične za funkcioniranje AD-a. Što se događa ako svaki od njih nije dostupan:

  • Majstor sheme- nemoguće je promijeniti shemu. Međutim, ovaj se postupak provodi svakih nekoliko godina kada se u mrežu uvode kontroleri na novijem OS-u ili se instaliraju neki drugi poslužiteljski proizvodi, poput Exchangea. U praksi se odsutnost vlasnika sheme ne može primijetiti godinama.
  • Vlasnik naziva domene- nemoguće je dodati ili izbrisati domenu. Slično, kod vlasnika kruga, njegova odsutnost može proći nezapaženo dosta dugo vremena.

Uloge na razini domene postoje jedna po domeni i kritičnije su za funkcioniranje AD-a.

  • Majstor za infrastrukturu- ako postoji nekoliko domena na kontrolerima koje nisu globalni katalozičlanstvo u lokalnim grupama domene može biti povrijeđeno. Ako su svi kontroleri domene globalni direktoriji (danas je to konfiguracija koju preporučuje Microsoft), tada možete sa sigurnošću zaboraviti na postojanje vlasnika infrastrukture, baš kao kod jedne domene u šumi.
  • Host RID- nakon nekog vremena bit će nemoguće stvoriti novi objekt u AD, vrijeme ovisi o preostalom broju slobodnih SID-ova, koji se izdaju u serijama od 500 praznih. Ako vaš AD ima mali broj objekata i ne stvarate nove svaki dan, tada će odsutnost vlasnika RID-a ostati nezapažena dugo vremena.
  • PDC emulator- najkritičnija uloga. Ako je nedostupan, odmah će postati nemoguće prijaviti se na domenu klijenata prije Windows 2000 (ako još uvijek negdje postoje), vremenska sinkronizacija će prestati, a neka pravila neće stupiti na snagu ako se unese netočna lozinka. U praksi, nedostatak PDC emulatora primijetit će se prvi put kada sat nije sinkroniziran dulje od 5 minuta, a to se može dogoditi i prije nego što biste očekivali.

U isto vrijeme, kao što vidite, ne postoji niti jedna FSMO uloga čiji bi kvar doveo do značajnog gubitka AD funkcionalnosti; čak i ako sve FSMO uloge zakažu, infrastruktura može normalno raditi nekoliko dana, tjedana ili čak mjeseci.

Stoga, ako ćete kontroler koji sadrži neke ili sve uloge na neko vrijeme isključiti iz rada (primjerice, radi održavanja), nema potrebe za njihovim prijenosom; vaš AD će normalno živjeti i bez njih.

Prijenos uloga prikladan je ako se planirate povući ovaj poslužitelj izvan upotrebe na dulje vrijeme ili ga prebaciti u drugi odjel (na primjer, na drugo mjesto), ili planirane operacije mogu dovesti do njegovog kvara (na primjer, nadogradnja hardvera).

U slučaju kvara kontrolera, nemojte žuriti s preuzimanjem uloga, uvijek ćete imati vremena za to, inače ćete pri vraćanju i povezivanju s mrežom poslužitelja koji je prethodno sadržavao FSMO uloge dobiti mnogo neugodnih trenutaka povezanih s USN vraćanje i ponovno uspostavljanje normalnog funkcioniranja domene. Ako su, nakon svega, uloge uhvaćene, a zatim ste vratili stari kontroler, onda najbolje rješenje ponovno će instalirati sustav na njemu i ponovno unijeti domenu.

Također još jedna neočita točka ako imate nekoliko domena i nisu svi kontroleri globalni katalozi nemojte postavljati master infrastrukture na kontroler s globalnim katalogom. To je jednako njegovom odsustvu.

Možete saznati koji kontroleri imaju FSMO uloge pomoću naredbe:

Netdom upit fsmo

Za upravljanje FSMO ulogama pokrenite uslužni program ntdsutil na bilo kojem kontroleru domene:

Ntdsutil

Zatim prijeđimo na upravljačke uloge:

Sljedeći korak je povezivanje s kontrolerom domene na koji ćemo prenijeti uloge, za to idite na podizbornik za povezivanje s poslužiteljima:

Veze

i spojite se na željeni poslužitelj:

Povežite se s poslužiteljem SERVERNAME

Gdje NAZIV POSLUŽITELJA- ime kontrolera domene koji nam je potreban. Zatim izlazimo iz podizbornika:

Treba imati na umu da možemo pokrenuti uslužni program na bilo kojem kontroleru domene i pridružiti se bilo kojem drugom DC-u za prijenos ili preuzimanje uloga. U našem primjeru fizički se nalazimo na poslužitelju SRV-DC01 spojen na poslužitelj WIN2K8R2-SP1 i pokušat ćemo mu dati kakvu ulogu.

Naredba se koristi za prijenos uloga prijenosčiji je argument naziv prenesene uloge, za svaku od uloga koriste se sljedeći nazivi:

  • majstor imenovanja- majstor imenovanja domene
  • gospodar infrastrukture- vlasnik infrastrukture
  • PDC- PDC emulator
  • RID master- vlasnik RID-a
  • majstor sheme- vlasnik kola

Pažnja! Na sustavima prije Windows Servera 2008 R2, za vlasnik naziva domene korišteno ime master imenovanja domene.

Na primjer, za prijenos uloge vlasnik naziva domene pokrenimo naredbu:

Transfer naming master

Pojavit će se dijaloški okvir u kojem će se od nas tražiti da potvrdimo radnju; savjetujemo vam da uvijek pažljivo proučite njegov sadržaj.

Nakon što primi potvrdan odgovor, uslužni program će prenijeti odabranu ulogu na drugi poslužitelj.

Sada zamislimo da poslužitelj WIN2K8R2-SP1 je nepovratno izvan pogona i moramo preuzeti ulogu majstor imenovanja leđa. Naredba se koristi za preuzimanje uloga zaplijeniti, koji ima sličnu sintaksu.

Da uhvatimo ulogu, trčimo opet ntdsutil i, nakon povezivanja s kontrolerom za koji ćemo snimati, izvršiti naredbu:

Uhvatite gospodara imenovanja

Nakon što potvrdimo preuzimanje ntdsutil pokušat će provesti operaciju prijenosa uloge i samo ako je to nemoguće izvršit će hvatanje.

To je učinjeno kako bi se izbjegla situacija u kojoj je uloga oduzeta radnom kontroleru i u mreži će postojati dva vlasnika iste uloge.

Zapamtiti da nakon hvatanja u mrežu uključi kontroler s kojeg je uloga uhvaćena Zabranjeno je!

Kao što vidite, pomoću uslužnog programa ntdsutil nije nimalo teško i čak je praktičnije od upravljanja ulogama pomoću MMC dodataka. Osim toga, mogućnosti ntdsutil nisu ograničeni na rukovodeće uloge, ali o tome ćemo govoriti u sljedećim materijalima.

FSMO, ili Fleksibilne operacije s jednim majstorom(single-executor operations) su operacije koje izvode kontroleri domene Active Directory (AD), koji zahtijevaju obaveznu jedinstvenost poslužitelja za svaku operaciju. Ovisno o vrsti operacije, jedinstvenost FSMO znači unutar jedne domene ili šume domena. Različite vrste FSMO može se izvršiti na jednom ili više kontrolera domene. Izvođenje FSMO zove poslužitelj uloga poslužitelji, a sami poslužitelji su gospodari operacija.

Većina operacija u OGLAS može se obaviti na bilo kojem kontroleru domene. Usluga replikacije OGLASće kopirati promjene na druge kontrolere domene, osiguravajući identitet baze podataka OGLAS na svim kontrolerima iste domene. Rješavanje sukoba događa se na sljedeći način - onaj tko je napravio zadnje promjene je u pravu.

Međutim, postoji nekoliko radnji (na primjer promjena sheme OGLAS), u kojima su sukobi nedopustivi. Zato postoje poslužitelji s ulogama FSMO. Njihov zadatak - spriječiti takve sukobe. Dakle, značenje uloga FSMO u sljedećem - svaka se uloga može izvršiti samo na jednom poslužitelju u isto vrijeme. A ako je potrebno, može se u bilo kojem trenutku prenijeti na drugi kontroler domene.

Pet je uloga u šumi FSMO. Za početak ću ih ukratko opisati. :

  • Vlasnik sheme ( Master sheme) - odgovoran za izmjene sheme Aktivni direktorij. Može postojati samo jedna za cijelu šumu domena.
  • Glavni za imenovanje domene ( Majstor imenovanja domena) - odgovoran je za jedinstvenost naziva kreiranih domena i odjeljaka aplikacija u šumi. Može postojati samo jedna za cijelu šumu domena.
  • Vlasnik infrastrukture ( Majstor za infrastrukturu) - pohranjuje podatke o korisnicima s drugih domena koji su članovi lokalnih grupa svoje domene. Može postojati jedan za svaku domenu u šumi.
  • Ovladati; majstorski OSLOBODITI (RID Master) - odgovoran je za dodjelu jedinstvenih relativnih identifikatora ( OSLOBODITI) potrebno pri stvaranju računa domene. Može postojati jedan za svaku domenu u šumi.
  • Emulator PDC (PDC emulator) - odgovoran za kompatibilnost domena NT4 a klijenti do Windows 2000. Može postojati jedan za svaku domenu u šumi.

Pogledajmo sada pobliže svaku ulogu i saznajmo koliko su važne za funkcioniranje Aktivni direktorij.

Master sheme

Master sheme- odgovoran je za izmjene sheme, gdje se nalaze opisi svih klasa i atributa Aktivni direktorij. Shema se mijenja iznimno rijetko, na primjer pri promjeni razine domene, instaliranju Razmjena a ponekad i druge aplikacije. Ova se uloga može nalaziti na bilo kojem kontroleru domene unutar šume. Ako je nedostupan Master sheme promijeniti shemu OGLAS bit će nemoguće.

Majstor imenovanja domena

Majstor imenovanja domena odgovoran za poslove vezane uz nazive domena OGLAS. no popis njegovih obveza nešto je duži :

  • Dodavanje i uklanjanje domena unutar šume. Samo kontrolor s tom ulogom smije dodavati i uklanjati domene Majstor imenovanja domena. Osigurava da je domena koja se dodaje jedinstvena unutar šume NETBIOS-Ime. Ako Majstor imenovanja nije dostupna, nemoguće je dodati ili izbrisati domenu u šumi.
  • Stvaranje i brisanje particija. Počevši od Windows 2003 postalo je moguće stvoriti zasebne dijelove - Particije imenika aplikacija, koji služe za skladištenje u OGLAS proizvoljni podaci. Na primjer, pohranjivanje podataka za DNS-poslužitelji u odjeljcima ForestDnsZones I DomainDnsZones. Upravljanje particijama kada nisu dostupne Majstor imenovanja domena nemoguće.
  • Stvaranje i brisanje unakrsnih referenci. Unakrsno referenciranje se koristi za pretraživanje imenika ako poslužitelj na koji je klijent spojen ne sadrži željenu kopiju imenika, a možete se pozvati i na domene izvan šume, pod uvjetom da su dostupne. Unakrsne reference su pohranjene ( crossRef) u spremniku Pregrade odjeljak Konfiguracija, ali samo Majstor imenovanja domena ima pravo promijeniti sadržaj ovog spremnika. Ako je nedostupan Majstor imenovanja domena Neće biti moguće stvoriti novu unakrsnu referencu ili izbrisati nepotrebnu.
  • Odobrenje preimenovanja domene. Da biste preimenovali domenu, koristite uslužni program rendom.exe. Ona piše skriptu s uputama koje će se morati izvršiti tijekom procesa preimenovanja. Ova skripta je smještena u spremnik Pregrade odjeljak Konfiguracija. Budući da samo kontrolor s tom ulogom ima pravo mijenjati sadržaj ovog spremnika Majstor imenovanja domena, onda je on odgovoran za provjeru uputa i bilježenje atributa.

Ova se uloga može nalaziti na bilo kojem kontroleru domene unutar šume.

Majstor za infrastrukturu

Ako poslužitelj nije globalni imenik ( G.C.), tada njegova baza podataka ne sadrži podatke o korisnicima s drugih domena. Međutim, možemo dodati korisnike iz drugih domena u lokalne grupe domene. I grupa je u bazi podataka OGLAS moraju fizički imati poveznice do svih korisnika. Ovaj problem je riješen stvaranjem fiktivnog objekta - fantoma ( fantom). Dummy objekti su posebna vrsta internih objekata baze podataka i ne mogu se pregledavati ADSI ili LDAP. Fantomima se bavi infrastrukturni majstor.

Još jedna značajka ove uloge je da za pravilan rad u okruženju s više domena, kontroler domene koji djeluje kao glavni infrastrukturni poslužitelj ne bi trebao biti poslužitelj globalnog kataloga. Ako je vlasnik uloge Majstor za infrastrukturu također je poslužitelj G.C., lažni objekti se ne stvaraju niti ažuriraju na ovom kontroleru domene. To se događa jer globalni katalog već sadrži djelomične replike svatko objekti u Aktivni direktorij i nema potrebe za fantomima .

RID Master

Svaki račun u domeni (korisnik, računalo, grupa) mora imati jedinstveni sigurnosni identifikator ( SID), koji jedinstveno identificira ovaj račun i služi za razlikovanje prava pristupa. Izgleda kao SID na sljedeći način:

S-1-5-Y1-Y2-Y3-Y4, Gdje

  • S-1 - SID revizija 1. Trenutno se koristi samo ova revizija.
  • 5 - Označava tko je izdao SID. 5 znači NT autoritet. Međutim, takozvani "dobro poznati identifikatori" SID (dobro poznati SID) može imati 0, 1 i neke druge vrijednosti u ovom dijelu.
  • Y1-Y2-Y3- ID domene kojoj račun pripada. Isto za sve objekte ravnatelj sigurnosti unutar jedne domene.
  • Y4- Relativni identifikator ( Relativni ID, RID) specifično za određeni račun. Zamijenjeno iz skupine relativnih identifikatora domene u vrijeme stvaranja računa.

Kontrolor domene s ulogom RID Master odgovoran je za identifikaciju niza jedinstvenih OSLOBODITI svakom kontroleru domene u svojoj domeni, kao i za ispravnost premještanja objekata iz jedne domene u drugu. Kontrolori domene imaju zajednički skup relativnih identifikatora ( RID bazen), OSLOBODITI od kojih je svaki kontroler raspoređen u dijelovima od 500 komada. Kada njihov broj dođe do kraja (postane manji od 100), kontrolor zahtijeva novu porciju. Po potrebi broj izdanih OSLOBODITI a prag zahtjeva se može mijenjati.

Još jedno područje odgovornosti RID Master- pomicanje objekata između domena. Točno RID Master osigurava da se jedan objekt ne može premjestiti u dvije različite domene u isto vrijeme. U suprotnom, moguća je situacija kada će u dvije domene biti dva objekta s istim vodič, što je prepuno najneočekivanijih posljedica.

Ako RID Master neće biti dostupan, a zatim nakon završetka besplatnog OSLOBODITI Postat će nemoguće stvoriti novi račun, a također će biti nemoguće premjestiti objekte s trenutne domene na drugu.

PDC emulator

U početku glavni zadatak Emulator primarnog kontrolera domene (PDC). je osiguravanje kompatibilnosti s prethodne verzije Windows. U mješovitom okruženju gdje se klijenti susreću Windows NT4.0/ 95/98 i kontroleri domene NT4, PDC emulator obavlja (samo za njih) sljedeće funkcije:

  • Obrada operacije "promjene lozinke" za korisnike i računala;
  • Replikacija ažuriranja na BDC (Sigurnosni kontroler domene);
  • Network Explorer (traži mrežne resurse).

Počevši od razine domene Windows 2000 i on je postao stariji od svog posla. Kontrolor domene s ulogom PDC emulator obavlja sljedeće funkcije:

  • Odgovoran za promjenu lozinki i praćenje zabrana korisnika u slučaju pogrešaka lozinke. Prvo se replicira lozinka koju je promijenio bilo koji drugi kontroler domene PDC emulator. Ako autentifikacija na bilo kojem drugom kontroleru domene nije uspješna, zahtjev se ponavlja na PDC emulator. Ako je račun uspješno autentificiran odmah nakon neuspješnog pokušaja, PDC emulator dobiva obavijest i brojač neuspjelih pokušaja vraća se na nulu. Važno je napomenuti da u slučaju nedostupnosti PDC emulator informacija o promjeni lozinke i dalje će se širiti domenom, samo će se događati malo sporije.
  • Uređivač pravila grupe povezuje se s poslužiteljem prema zadanim postavkama PDC emulator, a na njemu se događaju promjene pravila. Ako PDC emulator nije dostupan, morat ćete reći uredniku na koji kontroler domene da se poveže.
  • Prema zadanim postavkama jest PDC emulator je poslužitelj točnog vremena u domeni za klijente. PDC emulator korijenska domena u šumi je zadani vremenski poslužitelj za PDC emulator u dječjim domenama.
  • Promjene imenskog prostora Distribuirani sustav datoteka (DFS), unose se na kontroleru domene s ulogom PDC emulator. Root poslužitelji DFS povremeno od njega zahtijevaju ažurirane metapodatke, pohranjujući ih u svoju memoriju. Nedostupnost PDC emulator može rezultirati neispravnim radom DFS.
  • U Aktivni direktorij Postoje takozvani "ugrađeni sigurnosni sudionici" ( Dobro poznati sigurnosni principali). Primjeri uključuju račune Svi, autentificirani korisnici, sustav, ja I Kreator Vlasnik. Svima njima upravlja kontroler domene s tom ulogom PDC emulator. Točnije, s izmjenama u OGLAS PDC emulator provjerava i ažurira sadržaj spremnika “ CN=Dobro poznati sigurnosni principali, CN=Konfiguracija, DC= >”.
  • Na svakom šumskom području Aktivni direktorij postoji vlasnik administrativnih sigurnosnih deskriptora - AdminSDHolder. Pohranjuje informacije o sigurnosnim postavkama za takozvane zaštićene grupe ( zaštićene skupine). Ovaj mehanizam u određenim intervalima traži popis svih članova tih grupa i dodjeljuje im prava u skladu sa svojom popisom kontrole pristupa. Tako AdminSDHolderŠtiti administrativne grupe od promjena. Izvedena AdminSDHolder na kontroleru domene s ulogom PDC emulator.