Портал о персональных компьютерах
FSMO-роль эмулятор первичного контроллера домена (PDC emulator) является второй ролью (из трех) уровня домена. То есть в одном домене должен быть один PDC emulator, но во всем лесу AD их может быть несколько, в зависимости от количества доменов.
Основная статья по Active Directory — . Читайте также другие статьи по ролям хозяев операций — .
Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике на моем блоге.
Чтобы лучше понимать функционал данной роли FSMO, необходимо сначала обратиться к истории его появления.
Немного истории
Роль эмулятора PDC необходима прежде всего для обеспечения совместимости с версиями Windows ниже 2000. В смешанной среде с клиентами Windows NT, 95, 98 PDC emulator выполняет следующие задачи:
- Участвует в процессе смены паролей учетных записей пользователей и компьютеров;
- Реплицирует обновления на резервные контроллеры домена (backup domain controllers);
- Выполняет задачи хозяина обозревателя сети домена (Domain Master Browser).
Для доменов Windows NT 3.51, 4 эмулятор первичного контроллера домена выполнял очень важную функцию и при его отказе весь домен фактически переходил в режим «только чтение»:
- Пользователи не смогли бы изменить пароли (выдавалась бы ошибка «Unable to change password on this account. Please contact your system administrator» );
- При создании учетной записи вы получили бы ошибку («could not find domain controller for this domain» );
- На резервных контроллерах домена были бы ошибки репликации (связано с тем, что резервные контроллеры домена реплицировали изменения только с PDC. Чтобы можно было вносить изменения в базу BDC, его необходимо сделать первичным контроллером домена).
С развитием технологии упор делался на взаимозаменяемость и равноправность всех контроллеров домена и таким образом домен Windows 2003 уже представлял из себя совершенно другую структуру, основу которой составляла репликация с несколькими хозяевами. Хоть и «вторичные» (некоторое подобие BDC) контроллеры домена остались, первичные контроллеры как таковые перестали существовать.
Современное назначение
Сегодня роль эмулятора PDC на мой взгляд менее важна, по сравнению с другими хозяевами операций, но все же она нужна для ряда задач, которые так или иначе упрощают администрирование и добавляет некоторые удобства:
1) Репликация паролей идет на PDC emulator в приоритетном режиме . То есть, если пользователь изменил пароль (а сделать это он может на любом DC), то контроллер домена первым делом обращается к эмулятору PDC, чтобы сообщить о факте смены пароля. В свою очередь другие DC, если авторизация с измененным паролем идет через них, не отказывают пользователю, а обращаются к эмулятору первичного контроллера домена, чтобы просмотреть возможные изменения и получив их, авторизуют пользователя с новым паролем.
При недоступности PDC вы просто не сможете залогиниться в систему c новым паролем при авторизации через другой контроллер домена и получите увеличение счетчика попыток входа. Конечно такая ситуация будет наблюдаться совсем небольшой промежуток времени, пока изменения не реплицируются на другие DC , а в реальности на практике вообще не встречается;
То же касается и блокировок учетных записей — первым делом они реплицируются на эмулятор PDC.
2) Для предупреждения конфликтов изменения групповых политик, все изменения GPO в реальности происходят именно на эмуляторе PDC и не важно где конкретно вы работаете с оснасткой;
3)
В Windows Server 2003 включены некоторые дополнительные объекты безопасности по умолчанию. При обновлении инфраструктуры с версии Windows Server 2000 сам процесс обновления вы должны начать непосредственно с эмулятора PDC
, чтобы эти группы и учетные записи первым делом появились на нем и уже потом реплицировались на другие контроллеры. Сами объекты хранятся в контейнере CN=WellKnown Security Principals,CN=Configuration,DC=
4) Механизм SDProp (Security Descriptor propagator) запускается именно на PDC эмуляторе . Этот механизм «приводит в порядок» списки контроля доступа (ACL’s) у объектов Active Directory. У критически важных объектов безопасности домена (эти объекты имеют выставленное в 1 значение атрибута adminCount ) образцовые ACL хранятся в специальном контейнере, который называется AdminSDHolder.
Кстати, вот полный список наиболее важных объектов безопасности для только что созданного домена:
Разумеется учетная запись bissquit создана мной вручную, у вас она будет отличаться;
5) Во время установки первого контроллера домена служба NetLogon создает SRV-запись DNS _ldap._tcp.pdc._msdcs.DnsDomainName . Эта запись позволяет клиентам обнаруживать эмулятор PDC. Только владелец этой роли может изменять эту запись;
6) На эмуляторе первичного контроллера домена выполняются изменения пространства имен DFS (Distributed File System). Если PDC emulator не будет найден, то DFS будет работать некорректно;
7) Процесс повышения функционального уровня домена или леса выполняется на эмуляторе PDC .
8) Пожалуй одной из самых важных функций является распространение времени по всему домену . Подробнее про настройку времени в домене вы можете прочитать в моей статье .
Лучшие практики
Многие лучшие практики администрирования эмулятора первичного домена соответствуют другим ролям хозяев операций:
Администрирование
Специальная оснастка для управления работой эмулятора PDC отсутствует.
Изменить владельца роли вы можете с помощью оснастки . Для этого:
- Открываем оснастку на DC01, правой кнопкой нажимаем на Active Directory — Пользователи и компьютеры и выбираем Сменить контроллер домена Active Directory ;
- Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это DC02, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;
- Снова правой кнопкой на Active Directory — Пользователи и компьютеры , но уже выбираем Хозяин операций… ;
- Нажимаем кнопку Изменить… .
После этого необходимо подтвердить выбор и получить уведомление об успешном переносе роли.
На этом обзор fsmo-роли PDC эмулятор завершен.
Иногда случается что по тем или иным причинам необходимо передать или же насильно забрать роли FSMO с главного контроллера домена на резервный / новый контроллер домена. Рассмотрим на примере как это можно сделать.
Мы имеем:
- Главный контроллер домена на базе Windows Server 2012 R2 (DC1, jakonda.local, 192.168.0.2)
- Дополнительный контроллер домена на базе Windows Server 2012 R2 (DC2, jakonda.local, 192.168.0.3)
- Главный контроллер домена DC1 начал глючить и необходимо передать права FSMO на резервный DC2. Понизить DC1 до уровня обычного сервера и вывести его использования.
- Главный контроллер домена DC1 приказал долго жить и необходимо принудительно забрать роли FSMO на резервный DC2. На DC2 подчистить все упоминания о DC1.
Добровольная передача ролей FSMO с главного на резервный контроллер домена.
Перед тем как начать, нужно проверить состоит ли пользователь от которого будут выполнятся действия, в группах Domain Admins , Schema Admin . Запускаем от администратора командную строку на дополнительном контроллере домена DC2 (рекомендуется выполнять все действия на контроллере домена, которому назначаются роли FSMO). Смотрим список имеющихся контроллеров домена:
Dsquery server -forest
Проверим кто является владельцем ролей FSMO :
Netdom query fsmo
Видим что владельцем является DC1.jakonda.local
Переносить роли будем в командной строке при помощи утилиты NTDSUTIL (инструмент управления и обслуживания каталога Active Directory).
Перед тем как переносить FSMO роли на дополнительный контроллер домена, необходимо предварительно зарегистрировать в системе библиотеку управления схемой Active Directory . Если этого не сделать, то роль Schema перенести не удастся.
В командной строке вбиваем:
Regsvr32 schmmgmt.dll
Библиотека подключена.
Теперь приступаем к переносу ролей. В командной строке запущенную от администратора вбиваем:
Ntdsutil
Выбираем сервер котором назначать роли:
После подключения к серверу DC2 мы получаем приглашение к управлению ролями (fsmo maintenance ) и передаем ему роли:
Transfer naming master transfer infrastructure master transfer rid master transfer schema master transfer pdc q
Аналогично проделанные выше операции по передачи ролей, можно проделать с помощью графического интерфейса. Запускаем оснастку , нажимаем правой кнопкой мыши на домене и выбираем Operation Masters…
Во всех трех вкладках (RID , PDC , Infrastructure ) нажимаем Change… и выбираем кому передать права, в моем случае dc2.jakonda.local
По такой же схеме заходим в оснастку Active Directory Domain and Trusts , нажимаем Operations Master… и передаем права на dc2.jakonda.local
А для того чтобы передать права на роль Active Directory Schema , запускаем консоль управления Windows (MMC ), нажимаем Win + R , вбиваем mmc . В консоли управления добавляем оснастку, нажимаем File — Add/Remove Snap-in…
Выделяем оснастку Active Directory Schema , нажимаем Add > и подтверждаем добавление, ОК .
И теперь так же как и в предыдущих оснастках выполняем передачу роли.
После того как роли переданы, проверим кто теперь является владельцем всех ролей. В командной строке вбиваем:
Netdom query fsmo
Все роли переданы DC2.jakonda.local , как нам и нужно было.
Теперь понижаем роль AD DS на DC1 до обычного сервера. В Windows Server 2012 R2 понизить роль можно через PowerShell либо через Server Manager . Понижать роль будем через PowerShell , т.к. это удобней и быстрей. Запускаем PowerShell на DC1 и вводим:
Uninstall-ADDSDomainController
Будет предложено задать пароль Администратора, задаем его и подтверждаем удаление AD DS (Y ).
Запустится процесс удаления AD DS , по окончании появится уведомление и системам перезагрузится.
После понижения роли на DC1 , службы AD DS не удаляются и при желании можно вновь повысить DC1 до уровня контроллера домена. Теперь осталось на DC2 почистить оставшиеся следы от DC1 .
На DC2 открываем оснастку Service Manager — Tools — . Разворачиваем сайт где находился пониженный сервер DC1 , выделяем его и выбираем Delete .
Подтверждаем два раза удаление сервера DC1 . Нажимаем Yes , Yes .
Открываем оснастку Service Manager — Tools — Active Directory Users and Computers . Переходим в каталог Domain Controllers , если там отображается только наш DC2 , то все нормально. А если в данном каталоге присутствует DC1 , то его необходимо удалить из каталога (Мало вероятно что он там будет, после проделанных выше операций, но проверить стоит).
Открываем оснастку Service Manager — Tools — DNS . И удаляем все PTR и A DC1 .
Вот и все, мы полностью удалили из DNS и Active Directory неисправный контроллер домена и все ресурсы, связанные с ним. DC2 стал главным контроллером домена, а DC1 выведен из эксплуатации.
Принудительный захват ролей FSMO с главного на резервный контроллер домена.
Принудительный захват ролей FSMO выполняется практически аналогично, добровольной передачи ролей. Только в нашем случае главный DC1 сломался, не включается и т.д. Все действия по захвату ролей будем производить на исправном DC2 .
Перед тем как начать, нужно проверить наличие состоит ли пользователя от которого будут выполнятся действия, в группах Domain Admins , Schema Admin .
Регистрируем в системе библиотеку управления схемой Active Directory . Запускаем от администратора командную строку и вбиваем:
Regsvr32 schmmgmt.dll
Выполняем захват ролей с неисправного DC1 . В командной строке запущенную от администратора вбиваем:
Ntdsutil
Входим в управление ролями и подключаемся к серверу (DC2 ) на который будем захватывать роли:
Roles connections connect to server DC2 q
После подключения к серверу DC2 захватываем роли:
Seize naming master seize infrastructure master seize rid master seize schema master seize pdc q
В процессе переноса каждой роли будет запрошено подтверждение.
Входим в управление очисткой мета-данных и подключаемся к серверу (DC2 ):
Metadata cleanup connections connect to server DC2 q
Смотрим список имеющихся сайтов:
Select operation target list sites
Выбираем сайт на котором у нас находится вышедший из строя контроллер домена DC1 и выводим список контроллеров домена в этом сайте:
Select site 0 list servers in site
Выбираем неисправный контроллер домена DC1 и выводим список доменов:
Select server 0 list domains
Выбираем домен и возвращаемся в меню metadata cleanup :
Select domain 0 q
Выполняем удаление выбранного сервера DC1 :
Remove selected server
Теперь подчищаем оставшиеся данные от удаленного контроллера домена DC1 на DC2 , как делали выше, при добровольной смене ролей FSMO.
Открываем оснастку Service Manager - Tools - Active Directory Sites and Services . Разворачиваем сайт где находился удаленный сервер DC1 , выделяем его и выбираем Delete . Подтверждаем два раза удаление сервера DC1 . Нажимаем Yes , Yes .
Открываем оснастку Service Manager - Tools - DNS . И удаляем все PTR и A записи оставшиеся от сервера DC1 .
Таким образом мы принудительно забрали права на роли FSMO с неисправного DC1 и полностью удалили следы его существования из DNS и Active Directory на DC2 и он же стал главным контроллером домена.
Служба Active Directory содержит в себе роли FSMO (Flexible Single Master Operations — гибкие операции с одним хозяином), которые применяются для выполнения различных задач внутри леса и домена. Существуют две роли на уровне леса и три роли на уровне домена.
1. Schema Master (Хозяин схемы) / Лес
/ Содержит в себе схему леса
2. Domain Namiпg Master (Хозяин именования доменов) / Лес
/ Управляет именами доменов
3. lnfrastructure Master Домен (Хозяин инфраструктуры) / Домен
/ Обеспечивает меж-доменные ссылки на объекты
4. PDC Emulator (Эмулятор основного контроллера домена) / Домен
/ Отвечает за время в лесе
Обрабатывает изменения паролей, Является точкой подключения для управления объектами GPO, Блокирует учетные записи.
5. RID Master (Хозяин относительных идентификаторов (RID)) / Домен
/ Управляет и пополняет пулы RID (relative identifier — относительный идентификатор)
В некоторых ситуациях, например, при выводе из эксплуатации контроллера домена, модернизации домена или в случае возникновения проблем с производительностью, понадобится передать FSMO роли новому контроллеру домена. Каждая из указанных ролей должна быть все время доступной в Active Directory. Один из способов переноса или передач.и этих ролей новому контроллеру домена предусматривает использование утилиты NTDSUtil .
Чтобы передать роли FSMO домена, выполните описанные далее шаги:
1 . Откройте окно командной строки (cmd.eхе)
. введите NTDSUtil
и нажмите
2. Введите roles
и нажмите
3 . Введите connections
и нажмите
connect to server
[Имя_сервера
] и нажмите
5. Введите quit
и нажмите
6. Первой будет передаваться роль PDС Emulator. Введите transfer pdc
и нажмите
transfer rid master
и нажать
8. При необходимости можно ввести transfer infrastructure master
и нажать
9. Теперь, когда передача всех ролей FSMO домена завершена, введите quit
и нажмите
Разумеется, приведенные шаги должны быть выполнены в каждом домене.
Если вы решите передать роли FSMO уровня леса, выполните следующие шаги:
Откройте окно командной строки (cmd.eхе
), введите NTDSUtil
и нажмите
2. Введите roles
и нажмите
3. Введите connections
и нажмите < Enter>.
4. Теперь необходимо подключиться к серверу, который в будущем будет содержать эти роли FSMO. Введите connect to server
[ Имя:_сервера
] и нажмите
5. Введите quit
и нажмите
6. Первой будет передаваться роль Schema Master. Введите transfer schema master
и нажмите
7. При необходимости можно ввести transfer naming master
и нажать
8. Теперь, когда передача всех ролей FSMO леса завершена, введите quit
и нажмите
Доменные службы AD поддерживают пять ролей мастеров операций:
1 Владелец доменных имён (Domain Naming Master);
2 Владелец схемы (Schema Master);
3 Владелец относительных идентификаторов (Relative ID Master);
4 Владелец инфраструктуры домена (Infrastructure Master);
5 Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Владелец доменных имён (Domain Naming Master).
Роль предназначена для добавления и удаления доменов в лесу. Если контроллер с этой ролью недоступен во время добавления или удаления доменов в лесу возникнет ошибка операции.
В лесу используется только один контроллер домена с ролью - владелец доменных имён (Domain Naming Master).
Для того, что бы посмотреть какой из контроллеров домена у вас выполняет роль Владельца доменных имен, необходимо запустить оснастку Active Directory - Домены и доверие щелкнуть правой кнопкой на корневой узел и выбрать "Хозяин операции "
В строке Хозяин именования доменов вы увидите какой контроллер домена выполняет эту роль.
Владелец схемы (Schema Master).
Контроллер с ролью владелец схемы отвечает за внесение всех изменений в схему леса. Все остальные домены содержат реплики схемы только для чтения.
Роль Владелец схемы уникальна во всем лесу и может быть определена только на одном контроллере домена.
Для того, что бы посмотреть контроллер домена выполняющий роль владельца схемы необходимо запустить оснастку Схема Active Directory , но для того что бы это сделать необходимо зарегистрировать эту оснастку. Для этого запускаем командную строку и вводим команду
regsvr32 schmmgmt.dll
После этого нажимаем "Пуск " выбераем команду "Выполнить " и вводим "mmc " и нажмите кнопку "ОК ". Далее в меню нажимаем "Файл " выбаем команду "Добавить или удалить оснастку ". В группе Доступные оснастки выбираем "Схема Active Directory ", нажимаем кнопку "Добавить ", а затем кнопку "ОК ".
Щелкните правой кнопкой мыши корневой узел оснастки и выберите "Хозяин операции ".
В строке Текущий хозяин схемы (в сети) увидите имя контроллера домена выполняющую эту роль.
Владелец относительных идентификаторов (Relative ID Master).
Эта роль обеспечивает всех пользователей, компьютеров и групп уникальными SID (Security Identifier- структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера)
Роль мастера RID уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца идентификатора, необходимо запустить оснастку "Хозяин операции ".
Во вкладке RID увидите имя сервера выполняющую роль RID
Владелец инфраструктуры домена (Infrastructure Master).
Эта роль актуальна при использовании нескольких доменов в лесу. Основная ее задача заключается в управлении фантомными объектами. Фантомный объект - объект который создается в другом домене для предоставления каких либо ресурсов.
Роль инфраструктуры домена уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца инфраструктуры домена, необходимо запустить оснастку "Active Directory- пользователи и компьютеры ", кликнуть на домене правой кнопкой мыши и выберать "Хозяин операции ".
Во вкладке "Инфраструктура " увидите контроллер выполняющий эту роль в домене.
Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Роль PDC- эмулятора несколько важных функций (здесь указаны не все- только основные):
Участвует в репликации обновления паролей. Каждый раз когда пользователь меняет пароль эта информация сохраняется на контроллере домена с ролью PDC. При вводе пользователя неправильного пароля проверка подлинности направляется на PDC- эмулятор для получения возможно изменившегося пароля учетной записи (поэтому при вводе не правильного пароля вход проверка пароля происходит дольше в сравнении с вводом правильного пароля).
Участвует в обновлении групповой политики в домене. В частности когда изменяется групповая политика на разных контроллерах домена в одно время PDC- эмулятор действует как точка фокуса всех изменений групповой политики. При открытии редактора управлениями групповыми политиками она привязывается к контроллеру домена, выполняющую роль PDC- эмулятора. Поэтому все изменения групповых политик по умолчанию вносятся в PDC- эмулятор.
PDC- эмулятор является главным источником времени для домена. PDC- эмуляторы в каждом домене синхронизирует свое время с PDC эмулятором корневого домена леса. Другие контролеры синхронизируют свое время с PDC- эмулятором домена, компьютеры и сервера синхронизируют время с контролера домена.
Что бы увидеть какой контролер в домене выполняет роль PDC- эмулятора, необходимо запустить оснастку "Active Directory- пользователи и компьютеры ", кликните на домене правой кнопкой мыши и выберите "Хозяин операции ".
Во вкладке PDC увидите контроллер выполняющий эту роль.
| Название | Оригинальное название | Пределы уникальности | Возможность появления в сети старого владельца после захвата роли новым | Описание |
|---|---|---|---|---|
| Владелец схемы | Schema Master | Лес доменов | Недопустимо | Отвечает за внесение изменений в схему Active Directory. Эта роль необходима для предотвращения противоречивых изменений с двух серверов. |
| Владелец доменных имён | Domain Naming Master | Лес доменов | Недопустимо | Отвечает за состав леса, принимает и удаляет домены. |
| Владелец относительных идентификаторов | Relative ID Master | Домен | Недопустимо | Выдает и удаляет относительные идентификаторы любых объектов (пользователей, компьютеров, принтеров) в домене. |
| Эмулятор основного контроллера домена | Primary Domain Controller Emulator | Домен | Возможно | Эмулирует основной контроллер домена для приложений, работающих с возможностями домена Windows NT. |
| Владелец инфраструктуры домена | Infrastructure Master | Домен | Возможно | Поддерживает идентификаторы удаляемых или перемещаемых объектов на время репликации изменений (с удалением или перемещением) между контроллерами домена. |
Захват и передача роли
Все роли могут быть переданы от одного контроллера домена другому при условии работоспособности обоих серверов. В случае, когда один из серверов не может продолжать работу, используется процедура захвата (англ. seize ) роли другим сервером. В этом случае не производится обращений к прежнему владельцу роли. Новый контроллер домена просто "приступает к исполнению обязанностей". Необходимо помнить, что появление в сети прежнего владельца роли после её захвата новым не допустимо для трёх из пяти ролей (владелец схемы, владелец доменных имен, владелец относительных идентификаторов).
Каждый контроллер домена содержит в себе достаточно информации для выполнения любой роли в домене, любой домен в лесе содержит достаточно информации для выполнения любой роли в пределах леса.
Те роли, которые связаны с внесением изменений в структуру каталога, должны в обязательном порядке сохранять уникальность. Например, если два различных владельца относительных идентификаторов выдадут одному и тому же объекту разные идентификаторы, это вызовет противоречивость и нарушение целостности каталога. Роли, использующиеся для обеспечения атомарности операций (владелец инфраструктуры домена) или для совместимости со старыми приложениями (эмулятор основного контроллера домена), не требуют обязательной уникальности. Каждый из серверов сможет успешно выполнить свою задачу. Тем не менее, структура каталога предписывает для каждой FSMO-роли единственный сервер.
В случае захвата роли у работающего контроллера домена этот контроллер теряет возможность исполнять эту роль навсегда, точнее - до вывода сервера из домена и смены
Назначение ролей
По-умолчанию, при создании домена все роли назначаются первому созданному контроллеру домена, в случае создания леса доменов, все роли (уровня леса) исполняет начальный (корневой) домен.
Источники
- Алексей Выгодский Microsoft Exchange 2003 Server, Питер, 2006, ISBN 5-469-00386-8
- http://support.microsoft.com/kb/324801/ru
Wikimedia Foundation . 2010 .
Смотреть что такое "Роль (Active Directory)" в других словарях:
- («Активные директории», AD) LDAP совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения… … Википедия
В Викисловаре есть статья «роль» Роль в широком смысле, это описание ограниченного множества действий, выполняемых кем то или чем то в рамках определённого процесса … Википедия
Логотип Exchange 2010 Microsoft Exchange Server программный продукт для обмена сообщениями и совместной работы. Основные функции Microsoft Exchange: Обработка и пересылка почтовых сообщений … Википедия
У этого термина существуют и другие значения, см. Windows Server. Windows Server 2003 … Википедия