Записки IT специалиста

Мифы и легенды Active Directory. Миф 2 - хозяева операций (роли FSMO)

У этого мифа очень много разновидностей, но все они сводятся к тому, что хозяева операций - некая священная корова. Почему? Да потому что так исторически сложилось.

Последствия этого мифа могут быть разные, многие плохо владеющие вопросом администраторы часто сами наживают себе проблем.

На самом деле хозяева выполняют очень важные роли, но в повседневной жизни AD участвуют мало. Отсутствия некоторых вы можете никогда и не заметить.

Всего хозяев пять. Два - уровня леса, по одному в каждом лесу. И три уровня домена, по одном в каждом домене.

Начнем с леса:

1️⃣ Хозяин именования домена. - как часто вы переименовываете домен или заводите новый в текущем лесу? Многие делают это один раз при установке AD.

2️⃣ Хозяин схемы - нужен немного чаще, раз в несколько лет, когда вы захотите ввести в домен контроллер на новой версии ОС или поставить что-то типа Exchange.

Уровень домена:

1️⃣ Хозяин инфраструктуры - самый бесполезный хозяин. Если домен один - он не нужен. Если все контроллеры являются Глобальными каталогами (как рекомендуется ныне) - он не нужен.

2️⃣ Хозяин RID - выдает идентификаторы безопасности для новых объектов, пачками по 500 штук. Если они кончатся, а хозяин будет недоступен - вы не сможете создавать новые объекты.

3️⃣ Эмулятор PDC - его отсутствие вы заметите раньше всего, так как эта роль отвечает за синхронизацию времени в домене. Также перестанут работать некоторые политики при неправильном вводе пароля, но кто на это обращает внимание?

Как видим, ничего сакрального в хозяевах нет и домен может спокойно жить без них некоторое время.

Поэтому не следует носиться с ними, как дурень с писаной торбой. Если нужно вывести контроллер - владельца ролей на некоторое время из эксплуатации, то переносить хозяев нет никакого смысла.

А захват ролей делаем только тогда, когда контроллер окончательно вышел из строя.

Ниже статья как сделать это средствами старого доброго ntdsutil.

https://sg/interface31.com.ru/tech_it/2013/08/upravlenie-rolyami-fsmo-pri-pomoshhi-ntdsutil.html

Записки IT специалиста

Управление ролями FSMO при помощи Ntdsutil.

Управление ролями FSMO при помощи стандартных оснасток MMC не совсем удобный процесс, так как для доступа к разным ролям приходится использовать различные оснастки, а к некоторым из них еще и не так просто добраться. Кроме того оснастки MMC не позволяют...

www.group-telegram.com/sg/interface31.com/4234

2.8K viewsMay 13 at 18:21

Мифы и легенды Active Directory. Миф 2 - хозяева операций (роли FSMO)

У этого мифа очень много разновидностей, но все они сводятся к тому, что хозяева операций - некая священная корова. Почему? Да потому что так исторически сложилось.

Последствия этого мифа могут быть разные, многие плохо владеющие вопросом администраторы часто сами наживают себе проблем.

На самом деле хозяева выполняют очень важные роли, но в повседневной жизни AD участвуют мало. Отсутствия некоторых вы можете никогда и не заметить.

Всего хозяев пять. Два - уровня леса, по одному в каждом лесу. И три уровня домена, по одном в каждом домене.

Начнем с леса:

1️⃣ Хозяин именования домена. - как часто вы переименовываете домен или заводите новый в текущем лесу? Многие делают это один раз при установке AD.

2️⃣ Хозяин схемы - нужен немного чаще, раз в несколько лет, когда вы захотите ввести в домен контроллер на новой версии ОС или поставить что-то типа Exchange.

Уровень домена:

1️⃣ Хозяин инфраструктуры - самый бесполезный хозяин. Если домен один - он не нужен. Если все контроллеры являются Глобальными каталогами (как рекомендуется ныне) - он не нужен.

2️⃣ Хозяин RID - выдает идентификаторы безопасности для новых объектов, пачками по 500 штук. Если они кончатся, а хозяин будет недоступен - вы не сможете создавать новые объекты.

3️⃣ Эмулятор PDC - его отсутствие вы заметите раньше всего, так как эта роль отвечает за синхронизацию времени в домене. Также перестанут работать некоторые политики при неправильном вводе пароля, но кто на это обращает внимание?

Как видим, ничего сакрального в хозяевах нет и домен может спокойно жить без них некоторое время.

Поэтому не следует носиться с ними, как дурень с писаной торбой. Если нужно вывести контроллер - владельца ролей на некоторое время из эксплуатации, то переносить хозяев нет никакого смысла.

А захват ролей делаем только тогда, когда контроллер окончательно вышел из строя.

Ниже статья как сделать это средствами старого доброго ntdsutil.

https://sg/interface31.com.ru/tech_it/2013/08/upravlenie-rolyami-fsmo-pri-pomoshhi-ntdsutil.html

BY Записки IT специалиста