Ho sempre capito che ci sono cinque ruoli di FSMO, ma a volte vedo qualcosa che dice che ce ne sono sette. Quanti ce ne sono davvero?
Ho sempre capito che ci sono cinque ruoli di FSMO, ma a volte vedo qualcosa che dice che ce ne sono sette. Quanti ce ne sono davvero?
Risposte:
La risposta standard che gli amministratori di Windows hanno dato a questa domanda è cinque:
Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)
Ma si scopre che ci sono altri due ruoli che di solito non contano, ma che possono causare problemi se il server a cui sono stati assegnati è messo fuori linea.
Promemoria: quali sono i ruoli di FSMO?
Active Directory utilizza principalmente un modello multi-master per gli aggiornamenti delle directory: qualsiasi controller di dominio può aggiornare la propria copia locale della directory e tali modifiche verranno replicate in tutti gli altri controller di dominio.
TUTTAVIA, ci sono alcuni aggiornamenti che sono più critici e quelli sono fatti in modo da un singolo master: solo un controller di dominio è in grado di effettuare questi aggiornamenti e vengono replicati da quel controller di dominio agli altri. La capacità di eseguire uno di questi aggiornamenti critici viene definita ruolo e questi ruoli vengono assegnati a un controller di dominio alla volta (master singolo), ma è abbastanza semplice spostare un ruolo in un controller di dominio diverso (flessibile), il che porta al name "Ruolo flessibile per operazioni Single-Master."
I cinque ruoli di FSMO sopra elencati sono descritti in questo articolo, inclusa una breve spiegazione di quale tipo di aggiornamenti di directory è responsabile per ciascun detentore di ruoli di FSMO (ad esempio il Master schema è l'unico controller di dominio che può apportare modifiche allo schema AD).
Ruolo / i principale / i dell'infrastruttura
Si scopre che anche con un singolo dominio, esiste più di un ruolo di master infrastruttura. Nell'articolo di SM menzionato sopra, si dice:
Viene creato un master di infrastruttura separato per ciascuna partizione dell'applicazione, comprese le partizioni applicative predefinite a livello di foresta e di dominio create da Windows Server 2003 e controller di dominio successivi.
Non ho intenzione di spiegare le partizioni di directory e le partizioni di directory dell'applicazione in AD (i collegamenti sono a un documento TechNet che li spiega meglio di quanto potessi), è sufficiente sapere che esistono.
Quindi, se si dispone di un singolo dominio AD, si dispone di 3 master infrastruttura, per un totale di sette ruoli FSMO.
I ruoli extra causano problemi?
A volte...
Non riesco a trovare una risposta definitiva, ma ci sono forti prove circostanziali che i ruoli "extra" di FSMO possono essere spostati solo manualmente, ad esempio un messaggio di errore quando si esegue il comando "Adprep / rodcprep" in Windows Server 2008: "Adprep non è riuscito contattare una replica per la partizione DC = DomainDnsZones, DC = Contoso, DC = com "
Il motivo più comune di questo errore è che quando viene impostato un dominio, il primo controller di dominio detiene tutti e 7 i ruoli, ma i due ruoli di master infrastruttura extra non vengono spostati da nessuno dei soliti strumenti (DCPROMO, ecc.) Quindi, se l'originale DC è mai andato in pensione, non esiste un server che ricopre tali ruoli e la preparazione RODC non riesce perché deve parlare con loro.
Il posto in cui ho ricoperto i ruoli extra era con Samba 4: l'utility samba-tool può trasferire i ruoli FSMO su un controller di dominio diverso e prima della versione 4.3 ti direbbe che tutti i ruoli erano stati trasferiti, ma quando hai provato a declassare un DC si lamenterebbe che il DC avesse ancora 2 ruoli FSMO. Questo è stato risolto ora.