Передача роли FSMO является предпочтительным методом перемещения ролей FSMO между контроллерами домена и может выполняться администратором или в процессе понижения роли контроллера домена, но не автоматически самой операционной системой. Сказанное выше относится и к закрытию сервера. Роли FSMO не перемещаются автоматически при закрытии сервера, который является контроллером домена.
Корректная передача роли FSMO подразумевает сохранение всех изменений данных за счет предварительной синхронизации сервера, получающего роль, в соответствии со значениями данных на передающем сервере.
Операционные атрибуты — это атрибуты, которые преобразуются на сервере в определенное действие. Они не определяются в схеме, а хранятся на сервере и перехватываются, когда клиент пытается прочитать или записать их. Результатом чтения атрибута, как правило, является вычисленное на сервере значение, результатом записи — выполнение предварительно определенного действия на контроллере домена.
Ниже перечислены операционные атрибуты, которые служат для передачи ролей FSMO и располагаются в папке RootDSE (Root DSA Specific Entry — корневой каталог дерева Active Directory, в котором хранятся сведения об определенном контроллере домена). В процессе записи на контроллер домена операционного атрибута для получения роли FSMO автоматически происходит понижение роли прежнего и повышение роли нового контроллера домена. Вмешательство пользователя не требуется. Операционные атрибуты для передачи ролей FSMO:
becomeRidMaster
becomeSchemaMaster
becomeDomainMaster
becomePDC
becomeInfrastructureMaster
Если администратор определяет получателя роли FSMO с помощью средства Ntdsutil, передача происходит от текущего владельца роли указанному контроллеру домена.
В процессе понижения роли контроллера домена записывается операционный атрибут GiveAwayAllFsmoRoles и начинается поиск контроллеров домена для передачи ролей. Windows 2000 определяет роли, которыми владеет понижаемый контроллер, и подбирает получателя в соответствии со следующими правилами. Сервер должен располагаться в том же узле.
- Сервер должен поддерживать удаленный вызов процедур.
- Сервер должен поддерживать асинхронную передачу данных (например, по протоколу SMTP).
- Сервер должен располагаться в том же узле.
- Сервер должен поддерживать удаленный вызов процедур.
- Сервер должен поддерживать асинхронную передачу данных (например, по протоколу SMTP).
Роль, которая назначается отдельно для каждого домена, может быть передана только одному из контроллеров того же домена, другие роли — любому контроллеру домена в пределах организации.
Захват роли FSMO
Администраторам следует соблюдать осторожность при захвате роли FSMO. В большинстве случаев такая необходимость возникает только в том случае, если исходный владелец роли не может быть возвращен в прежнее окружение.
Когда администратор производит захват роли FSMO на существующем компьютере, изменяется атрибут fsmoRoleOwner объекта, который представляет корневой каталог данных, без выполнения синхронизации данных. Атрибут fsmoRoleOwner каждого из перечисленных ниже объектов записывается с различающимся именем (DN) объекта NTDS Settings (данные в Active Directory, которые определяют компьютер как контроллер домена), принимающего роль контроллера домена. Другие контроллеры домена узнают о новом владельце роли FSMO по мере репликации изменений.
Основной контроллер домена (PDC):
1 |
LDAP://DC=MICROSOFT,DC=COM |
Хозяин RID:
1 |
LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM |
Хозяин схемы:
1 |
LDAP://CN=Schema,CN=Configuration,DC=Microsoft,DC=Com |
Хозяин инфраструктуры:
1 |
LDAP://CN=Infrastructure,DC=Microsoft,DC=Com |
Хозяин именования домена:
1 |
LDAP://CN=Partitions,CN=Configuration,DC=Microsoft,DC=Com |
Так, если сервер Server1, который является основным контроллером домена (PDC) в домене Microsoft.com, вышел из строя и администратор не имеет возможности понизить его роль, необходимо назначить роль PDC серверу Server2. После захвата роли значение
1 |
CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com |
содержится в объекте
1 |
LDAP://DC=MICROSOFT,DC=COM |
Шпаргалка
NETDOM QUERY FSMO
Transfer domain naming master – Сделать подключенный сервер хозяином именования доменов
Transfer infrastructure master – Сделать подключенный сервер хозяином инфраструктуры
Transfer PDC – Сделать подключенный сервер PDC
Transfer RID master – Сделать подключенный сервер хозяином RID
Transfer schema master – Сделать подключенный сервер хозяином схемы