http://support.microsoft.com/kb/223787/ru
В этой статье описан процесс передачи роли FSMO (Flexible Single Master Operations) другому контроллеру домена, а также принудительное назначение (захват) этой роли в случае недоступности контроллера домена, который ее выполняет.
За дополнительной информацией о ролях FSMO обратитесь к следующей статье Microsoft Knowledge Base:
197132 (http://support.microsoft.com/kb/197132/RU/ ) Роли FSMO службы Active Directory в Windows 2000
За дополнительной информацией о правильном распределении ролей FSMO обратитесь к следующей статье Microsoft Knowledge Base:
223346 (http://support.microsoft.com/kb/223346/RU/ ) Расположение и оптимизация ролей FSMO на контроллерах домена под управлением Windows 2000
Передача роли FSMO
Передача роли FSMO является предпочтительным методом перемещения ролей FSMO между контроллерами домена и может выполняться администратором или в процессе понижения роли контроллера домена, но не автоматически самой операционной системой. Сказанное выше относится и к закрытию сервера. Роли FSMO не перемещаются автоматически при закрытии сервера, который является контроллером домена.
Корректная передача роли FSMO подразумевает сохранение всех изменений данных за счет предварительной синхронизации сервера, получающего роль, в соответствии со значениями данных на передающем сервере.
Операционные атрибуты — это атрибуты, которые преобразуются на сервере в определенное действие. Они не определяются в схеме, а хранятся на сервере и перехватываются, когда клиент пытается прочитать или записать их. Результатом чтения атрибута, как правило, является вычисленное на сервере значение, результатом записи — выполнение предварительно определенного действия на контроллере домена.
Ниже перечислены операционные атрибуты, которые служат для передачи ролей FSMO и располагаются в папке RootDSE (Root DSA Specific Entry — корневой каталог дерева Active Directory, в котором хранятся сведения об определенном контроллере домена). В процессе записи на контроллер домена операционного атрибута для получения роли FSMO автоматически происходит понижение роли прежнего и повышение роли нового контроллера домена. Вмешательство пользователя не требуется. Операционные атрибуты для передачи ролей FSMO:
becomeRidMaster
becomeSchemaMaster
becomeDomainMaster
becomePDC
becomeInfrastructureMaster
Если администратор определяет получателя роли FSMO с помощью средства Ntdsutil, передача происходит от текущего владельца роли указанному контроллеру домена.
В процессе понижения роли контроллера домена записывается операционный атрибут GiveAwayAllFsmoRoles и начинается поиск контроллеров домена для передачи ролей. Windows 2000 определяет роли, которыми владеет понижаемый контроллер, и подбирает получателя в соответствии со следующими правилами.
- Сервер должен располагаться в том же узле.
- Сервер должен поддерживать удаленный вызов процедур.
- Сервер должен поддерживать асинхронную передачу данных (например, по протоколу SMTP).
Захват роли FSMO
Администраторам следует соблюдать осторожность при захвате роли FSMO. В большинстве случаев такая необходимость возникает только в том случае, если исходный владелец роли не может быть возвращен в прежнее окружение.
Когда администратор производит захват роли FSMO на существующем компьютере, изменяется атрибут fsmoRoleOwner объекта, который представляет корневой каталог данных, без выполнения синхронизации данных. Атрибут fsmoRoleOwner каждого из перечисленных ниже объектов записывается с различающимся именем (DN) объекта NTDS Settings (данные в Active Directory, которые определяют компьютер как контроллер домена), принимающего роль контроллера домена. Другие контроллеры домена узнают о новом владельце роли FSMO по мере репликации изменений.
Основной контроллер домена (PDC):
LDAP://DC=MICROSOFT,DC=COM
Хозяин RID:
LDAP://CN=Rid Manager$,CN=System,DC=MICROSOFT,DC=COM
Хозяин схемы:
LDAP://CN=Schema,CN=Configuration,DC=Microsoft,DC=Com
Хозяин инфраструктуры:
LDAP://CN=Infrastructure,DC=Microsoft,DC=Com
Хозяин именования домена:
LDAP://CN=Partitions,CN=Configuration,DC=Microsoft,DC=Com
Так, если сервер Server1, который является основным контроллером домена (PDC) в домене Microsoft.com, вышел из строя и администратор не имеет возможности понизить его роль, необходимо назначить роль PDC серверу Server2. После захвата роли значение
CN=NTDS Settings,CN=SERVER2,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=Microsoft,DC=Com
содержится в объекте
LDAP://DC=MICROSOFT,DC=COM
Комментариев нет:
Отправить комментарий