Я всегда понимал, что есть пять ролей FSMO, но иногда я вижу что-то, что говорит, что их семь. Сколько их на самом деле?
Стандартный ответ, который администраторы Windows дали на этот вопрос: пять:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
Но оказывается, что есть две другие роли, которые обычно не имеют значения, но могут вызвать проблемы, если сервер, которому они были назначены, отключен.
Напоминание - что такое роли FSMO?
Active Directory в основном использует модель с несколькими главными серверами для обновлений каталогов: любой контроллер домена может обновить свою локальную копию каталога, а затем эти изменения будут реплицированы на все остальные контроллеры домена.
ОДНАКО, есть некоторые обновления, которые более важны, и они выполняются в режиме одного главного: только один DC может делать эти обновления, и они реплицируются с этого DC на другие. Возможность делать одно из этих критических обновлений называется ролью, и эти роли назначаются одному DC за раз (один главный), но довольно легко переместить роль на другой DC (гибкий), что приводит к name «Гибкая роль одной ведущей операции».
Пять перечисленных выше ролей FSMO: описанный в этой статье, включая краткое объяснение того, за какой тип обновлений каталога отвечает каждый держатель роли FSMO (например, Schema Master - единственный DC, который может вносить изменения в схему AD).
Роль (и) хозяина инфраструктуры
Оказывается, что даже в одном домене существует более одной роли хозяина инфраструктуры. в Упомянутую выше статью MS, он говорит:
Для каждого раздела приложения создается отдельный хозяин инфраструктуры, включая разделы приложений по умолчанию на уровне леса и домена, созданные контроллерами домена Windows Server 2003 и более поздних версий.
Я не буду объяснять разделы каталога и разделы каталога приложений в AD (ссылки ведут на документ TechNet, который объясняет их лучше, чем я мог бы), достаточно знать, что они существуют.
Таким образом, если у вас есть один домен AD, у вас есть 3 мастера инфраструктуры, всего семь ролей FSMO.
Дополнительные роли вызывают проблемы?
Иногда...
Я не могу найти однозначного ответа, но есть веские косвенные доказательства того, что «лишние» роли FSMO можно перемещать только вручную, например Сообщение об ошибке при запуске команды «Adprep / rodcprep» в Windows Server 2008: «Adprep не удалось связаться с репликой для раздела DC = DomainDnsZones, DC = Contoso, DC = com»
Наиболее частая причина этой ошибки заключается в том, что при настройке домена первый DC выполняет все 7 ролей, но две дополнительные роли хозяина инфраструктуры являются не перемещается с помощью любого из обычных инструментов (DCPROMO и т. д.). Таким образом, если исходный контроллер домена когда-либо будет выведен из эксплуатации, сервер, выполняющий эти роли, не окажется, и подготовка контроллера домена только для чтения завершится неудачно, потому что ему нужно поговорить с ними.
Я столкнулся с дополнительными ролями в Samba 4: утилита samba-tool может передавать роли FSMO на другой DC, а до версии 4.3 она сказать Вы сказали, что все роли были переданы, но когда вы попытаетесь понизить роль DC, он пожалуется, что DC все еще имеет 2 роли FSMO. Сейчас это исправлено.