Takaisin verkkotunnuksen nimeämisen pääsyntaksi on virheellinen. FSMO-roolien hallinta Ntdsutililla. PDC Transfer, RID Pool Manager, Infrastructure Master

Hyvää iltapäivää, rakkaat blogisivuston lukijat ja vieraat, tänään tulee erittäin tärkeä ja sataprosenttisesti käytännöllinen artikkeli ja se on omistettu trabshootingille Active Directory. Ei niin kauan sitten kerroin, kuinka viallinen tai saavuttamaton toimialueen ohjain poistetaan oikein, kaikki on kunnossa, mutta voi syntyä tilanne, että se on FSMO-roolin kantaja, ja ennen sen poistamista sinun on suoritettava pakottaa Active Directory -toimintojen pääroolien haltuunotto.

Suoritetaan seuraava komento komentorivillä:

netdom-kysely fsmo

Kolme tarvitsemani alempaa roolia kuuluvat dc10:lle. Viemme ne pois. Tätä varten sinun on oltava vähintään verkkotunnuksen järjestelmänvalvoja.

Tässä on esimerkki todellisesta tilanteesta, kun ennen toimialueen ohjaimen poistamista minun piti tarttua väkisin toimintojen päärooleihin.

Toiminnan pääroolia ei voida siirtää seuraavasta syystä: Vaadittu FSMO-toiminto epäonnistui. FSMO:n nykyiseen omistajaan ei ole yhteyttä.

Näin tämän Active Directory - Käyttäjät ja tietokoneet -laajennuksessa, kun yritin siirtää RID-roolin oikein.

Jos yrität saada PDC-emulaattoriroolin saavuttamattomalla ohjaimella, se antaa sinun tehdä sen ADUCissa, mutta näet varoituksen.

Vaadittu FSMO-toiminto epäonnistui. FSMO:n nykyiseen omistajaan ei ole yhteyttä. Nykyiseen toimintojen pääkäyttäjään ei voida ottaa yhteyttä tämän roolin siirtämiseksi toiseen tietokoneeseen. Joissakin tapauksissa pakotettu roolin siirto on sallittu. Haluatko suorittaa loppuun?

Sanomme "Kyllä"

Kaikki PDC-roolit vastaanotetaan.

Teemme samoin infrastruktuuripäällikön kanssa. Suoritettuamme uudelleen kyselyn komentorivillä siitä, kenellä on FSMO-roolit, havaitsemme, että tämä koskee jo kahta alempaa roolia, dc7, uusi ohjain.

Tartutaan nyt RID-rooliin, ntdsutil-apuohjelma auttaa meitä tässä. Avaaminen komentorivi pakkokaappausta varten.

• Annamme ntdsutil, pääsemme ajonaikainen ympäristö.
• Seuraavaksi kirjoitetaan rooleja
• fsmo-ylläpidossa: kirjoita yhteydet
• palvelinyhteyksissä: kirjoita yhteys palvelimeen, palvelimeni nimi on dc7
• palvelinyhteydet: q
• kirjoita fsmo-huoltoon: ota RID-master

He kirjoittavat sinulle: Yritetään siirtää RID FSMO turvallisesti ennen sieppausta. ldap_modify_sW-virhe, virhekoodi 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Näyttöön tulee ikkuna, joka vahvistaa toiminnon, napsauta "Kyllä". Tämän seurauksena rooli siirtyy edelleen, tämä näkyy heti ADUCissa.

Jos sinun on pakko kaapata jäljellä olevat roolit ntdsutil-komennolla, niiden avaimet viimeiselle komennolle:

• koko PDC
• tarttua infrastruktuurin päällikkö
• seize domain nameing master (Seize naming master)
• tartu skeemapäällikkö

Näin päätoimintojen roolien pakkosiirto Active Directoryssa tapahtuu oikein, jos sinulla on kysyttävää, kirjoita ne kommentteihin.

Hei kaikki, tänään kerron sinulle, kuinka fsmo-roolit siirretään toiseen Active Directory -toimialueen ohjaimeen. Lue täältä, mitkä fsmo-roolit ovat. Olemme myös jo tarkastelleet, kuinka FSMO-operaatioisännät määritetään. Tehtävä on seuraava: meillä on Active Directory -toimialue Windows Server 2008R2 -toimialueen ohjaimilla, olemme asentaneet Windows Server 2012 R2 -käyttöjärjestelmää käyttävän ohjaimen. Meidän on siirrettävä fsmo-roolit sille ja korvattava kaikki W2008R2 W2012R2:lla tulevaisuudessa.

Toimialueita on 3: dc01 ja dc02 on Windows 2008 r2 -toimialueen ohjain ja dc3 on uusi, jossa on Windows Server 2012 R2.

netdom-kysely fsmo

Näemme, että kaikki 5 roolia (Schema Master, Domain Naming Master, PDC, RID Pool Manager, Infrastructure Master) sijaitsevat dc01.msk.site-sivustolla.

Ensimmäinen menetelmä, jota käsitellään ensimmäisessä osassa, on lisäosien kautta.

Fsmo-roolien siirtäminen toiseen Active Directory -toimialueen ohjaimeen laajennusosien kautta

Fsmo-roolien siirtäminen laajennusten kautta on nopein ja intuitiivisin tapa.

PDC Transfer, RID Pool Manager, Infrastructure Master.

Avaa Active Directoryn käyttäjät ja tietokoneet -laajennus; tämä voidaan tehdä Käynnistä-toiminnolla kirjoittamalla dsa.msc.

Näemme 3 DC-ohjainta, dc3:ssa on Windows Server 2012 R2

Napsauta hiiren kakkospainikkeella toimialuetasoa ja valitse Operation Masters

Näemme, että todellinen PDC, RID-poolin hallinnoija, infrastruktuurin omistaja omistaa DC01:n

Jos napsautat Muokkaa-painiketta, näkyviin tulee virheilmoitus:

Tämä toimialueen ohjain on toimintojen päällikkö. Jos haluat siirtää toimintojen pääroolin toiseen tietokoneeseen, sinun on ensin muodostettava yhteys siihen.

Tästä seuraa, että sieppaamiseksi meidän on valittava ohjain, johon siirrämme roolit, minulle se on dc3.

Mene dc3:een ja avaa myös ADUC

Toiminnan omistajien valinta

Näemme, että RID:n nykyinen omistaja on dco1 ja kenelle siirrämme sen dc3:lle, napsauta muuta.

Vahvistaa

Roolin siirto onnistui

Näemme, että nyt RID:n omistaja on dc3.msk.site

Teemme samoin PDC-masterilla.

ja infrastruktuurin kanssa

Katsotaanpa, kuka on roolien omistaja, tämä tehdään komentorivin komennolla:

netdom-kysely fsmo

ja näemme kolme fsmo-roolia kuuluvan dc3:lle

Siirretään Schema master

Avaa Active Directory Schema -laajennus, lue kuinka lisäät sen Active Directory -skeemaan täältä.

napsauta juuri ja valitse Operations Master

Yhdistämme dc01:een. Napsauta muuta

ja saamme varoituksen: Nykyinen Active Directory -toimialueen ohjain on toimintojen päällikkö. Jos haluat siirtää toimintojen pääroolin toiseen DC:hen, sinun on kohdistettava AD-skeema kyseiseen DC:hen.

Suljetaan se. Napsauta hiiren kakkospainikkeella juuria uudelleen ja valitse Change Active Directory Domain Controller.

Näkyviin tulee ikkuna, jossa on viesti AD-skeeman laajennusta ei ole yhdistetty skeematoimintojen isäntälaitteeseen. Muutoksia ei voi tehdä. Kaaviomuutoksia voidaan tehdä vain FSMO:n omistajan skeemaan.

Valitsemme järjestelmän omistajan uudelleen ja näemme, että sen avulla voimme nyt vaihtaa.

siirretty onnistuneesti.

Katsotaanpa, kuka on roolien omistaja, tämä tehdään komentorivin komennolla:

netdom-kysely fsmo

ja näemme jo 4 roolia dc3:lle

Verkkotunnuksen nimeämispääkäyttäjän siirto

Avaa Active Directory Domains and Trusts -laajennus

Toiminnan omistajan valinta

Muuttaa

Roolin siirto onnistui

Tarkistetaan

netdom-kysely fsmo

Nyt kaikki FSMO-roolit ovat Windows 2012 r2 -toimialueen ohjaimessa.

Näin voit yksinkertaisesti siirtää fsmo-roolit toiseen Active Directory -toimialueen ohjaimeen. Suosittelen lukemaan Kuinka fsmo-roolit siirretään toiseen Active Directory -toimialueen ohjaimeen - osa 2 komentorivin kautta.

Joskus Active Directory -toimialueen järjestelmänvalvojan on nopeasti selvitettävä, mitkä ohjaimet tällä hetkellä sijaitsevat FSMO:n roolit – Joustava yhden päällikön käyttö eli kuka heistä on tietyn toiminnon niin kutsuttu isäntä tai omistaja. Nopein tapa määrittää tämä on käyttää sisäänrakennettua Netdom-komentoa.

Netdom-tiimin FSMO-roolien katselu

Käynnistä cmd ja suorita seuraava komento:

netdom-kysely fsmo

Se näyttää nykyisen toimialueen toimintojen omistajien roolit. Jos haluat tarkastella toisen toimialueen FSMO-rooleja, sinun on käytettävä toimialueen avainta:

netdom-kysely fsmo /domain:domain name

Muistutetaan, että AD:ssa on vain viisi tällaista roolia. Kaksi metsälle ominaista roolia:

• Schema master – skeemasätäjän rooli. GUI:n kautta se näkyy Active Directory Schema -laajennuksessa.
• Verkkotunnuksen nimeämisen isäntä – verkkotunnuksen pääkäyttäjän rooli. GUI:n kautta se löytyy Active Directory Domains and Trusts -laajennuksesta.

Ja kolme roolia on yksilöllinen jokaiselle verkkotunnukselle:

• RID pool manager – RID poolin omistajan rooli (suhteelliset tunnisteet).
• PDC-emulaattori – PDC-emulaattorin (primary domain controller) rooli.
• Infrastruktuurin päällikkö – infrastruktuurin omistajan rooli.

Nämä roolit voidaan tarkistaa graafisen käyttöliittymän kautta Active Directoryn käyttäjät ja tietokoneet -laajennuksesta.

Saat lisätietoja joustavasta yhden päällikön toiminnasta

FSMO, tai Joustava yhden päällikön toiminta(single-executor operations) ovat toimialueen ohjauskoneiden suorittamia toimintoja Active Directory (AD), jotka edellyttävät pakollista palvelimen yksilöllisyyttä jokaiselle toiminnolle. Toiminnan tyypistä riippuen ainutlaatuisuus FSMO tarkoittaa yhden toimialueen tai toimialuemetsän sisällä. Erilaisia ​​tyyppejä FSMO voidaan suorittaa yhdessä tai useammassa toimialueen ohjauskoneessa. Esitys FSMO kutsutaan palvelimeksi rooli palvelimia, ja palvelimet itse ovat toimintojen mestareita.

Suurin osa operaatioista ILMOITUS voidaan tehdä millä tahansa toimialueen ohjaimella. Replikointipalvelu ILMOITUS kopioi muutokset muihin toimialueen ohjaimiin varmistaen tietokannan identiteetin ILMOITUS kaikissa saman toimialueen ohjaimissa. Ristiriitojen ratkaiseminen tapahtuu seuraavasti - se, joka teki viimeiset muutokset, on oikeassa.

On kuitenkin useita toimintoja (esimerkiksi skeeman muuttaminen ILMOITUS), joissa konflikteja ei voida hyväksyä. Siksi on palvelimia, joilla on roolit FSMO. Heidän tehtävänsä - estää tällaisia ​​konflikteja. Näin ollen roolien merkitys FSMO seuraavassa - jokainen rooli voidaan suorittaa vain yhdellä palvelimella kerrallaan. Ja tarvittaessa se voidaan siirtää toiselle toimialueen ohjaimelle milloin tahansa.

Metsässä on viisi roolia FSMO. Aluksi annan niistä lyhyen kuvauksen. :

• Järjestelmän omistaja ( Schema Master) - vastaa kaavion muutosten tekemisestä Active Directory. Niitä voi olla vain yksi koko toimialuepuulle.
• Verkkotunnuksen nimeämisen isäntä ( Verkkotunnuksen nimeämisen mestari) - vastaa metsässä luotujen verkkotunnusten ja sovellusosien nimien ainutlaatuisuudesta. Niitä voi olla vain yksi koko toimialuepuulle.
• Infrastruktuurin omistaja ( Infrastruktuurin mestari) - tallentaa tietoja muiden verkkotunnusten käyttäjistä, jotka ovat oman verkkotunnuksensa paikallisten ryhmien jäseniä. Niitä voi olla yksi jokaiselle metsän verkkotunnukselle.
• Hallita EROON (RID-mestari) - vastaa yksilöllisten suhteellisten tunnisteiden allokoinnista ( EROON) tarvitaan verkkotunnustilejä luotaessa. Niitä voi olla yksi jokaiselle metsän verkkotunnukselle.
• Emulaattori PDC (PDC-emulaattori) - vastaa verkkotunnuksen yhteensopivuudesta NT4 ja asiakkaita Windows 2000. Niitä voi olla yksi jokaiselle metsän verkkotunnukselle.

Tarkastellaan nyt jokaista roolia lähemmin ja selvitetään, kuinka tärkeitä ne ovat toiminnan kannalta Active Directory.

Schema Master

Schema Master- vastaa muutosten tekemisestä skeemaan, jossa on kaikkien luokkien ja attribuuttien kuvaukset Active Directory. Kaavaa muutetaan erittäin harvoin, esimerkiksi verkkotunnuksen tasoa vaihdettaessa, asennuksessa Vaihto ja joskus muitakin sovelluksia. Tämä rooli voi sijaita missä tahansa metsän toimialueen ohjaimessa. Jos ei ole saatavilla Schema Master muuta kaavaa ILMOITUS tulee olemaan mahdotonta.

Verkkotunnuksen nimeämisen mestari

Verkkotunnuksen nimeämisen mestari vastaa verkkotunnuksiin liittyvistä toiminnoista ILMOITUS. hänen tehtäviensä luettelo on kuitenkin hieman pidempi :

• Verkkotunnusten lisääminen ja poistaminen metsässä. Vain ohjain, jolla on rooli, saa lisätä ja poistaa toimialueita Verkkotunnuksen nimeämisen mestari. Se varmistaa, että lisättävä verkkotunnus on ainutlaatuinen metsässä NETBIOS-Nimi. Jos Nimeämismestari ei ole saatavilla, on mahdotonta lisätä tai poistaa verkkotunnusta metsässä.
• Osioiden luominen ja poistaminen. Alkaen Windows 2003 tuli mahdolliseksi luoda erilliset osiot - Sovellushakemistoosiot, joita käytetään varastointiin ILMOITUS mielivaltaisia ​​tietoja. Esimerkiksi tietojen tallentamiseen DNS-palvelimet osioissa ForestDnsZones Ja DomainDnsZones. Osioiden hallinta, kun ne eivät ole käytettävissä Verkkotunnuksen nimeämisen mestari mahdotonta.
• Ristiviittausten luominen ja poistaminen. Ristiviittausta käytetään etsimään hakemistosta, jos palvelin, johon asiakas on yhteydessä, ei sisällä haluttua kopiota hakemistosta, ja voit viitata myös metsän ulkopuolisiin toimialueisiin, jos ne ovat saatavilla. Ristiviittaukset tallennetaan ( crossRef) astiassa Väliseinät osio Kokoonpano, mutta vain Verkkotunnuksen nimeämisen mestari on oikeus muuttaa tämän pakkauksen sisältöä. Jos ei ole saatavilla Verkkotunnuksen nimeämisen mestari Uutta ristiviittausta ei voi luoda tai tarpeetonta poistaa.
• Verkkotunnuksen uudelleennimeämisen hyväksyminen. Voit nimetä verkkotunnuksen uudelleen käyttämällä apuohjelmaa rendom.exe. Hän kirjoittaa skriptin ohjeineen, jotka on suoritettava uudelleennimeämisprosessin aikana. Tämä skripti sijoitetaan säilöön Väliseinät osio Kokoonpano. Koska vain rekisterinpitäjällä, jolla on rooli, on oikeus muuttaa tämän säilön sisältöä Verkkotunnuksen nimeämisen mestari, sitten hän on vastuussa ohjeiden ja ominaisuuksien tallentamisesta.

Tämä rooli voi sijaita missä tahansa metsän toimialueen ohjaimessa.

Infrastruktuurin mestari

Jos palvelin ei ole globaali hakemisto ( G.C.), sen tietokanta ei sisällä tietoja muiden verkkotunnusten käyttäjistä. Voimme kuitenkin lisätä käyttäjiä muista verkkotunnuksista verkkotunnuksen paikallisiin ryhmiin. Ja ryhmä on tietokannassa ILMOITUS on oltava fyysisesti linkit kaikkiin käyttäjiin. Tämä ongelma ratkaistiin luomalla kuvitteellinen esine - haamu ( haamu). Valeobjektit ovat erityinen sisäinen tietokantaobjekti, jota ei voi tarkastella ADSI tai LDAP. Infrastruktuurimestari käsittelee haamuja.

Toinen tämän roolin ominaisuus on, että toimiakseen moitteettomasti usean toimialueen ympäristössä infrastruktuurin isäntänä toimiva toimialueen ohjain ei saa olla globaali luettelopalvelin. Jos roolin omistaja Infrastruktuurin mestari on myös palvelin G.C., valeobjekteja ei luoda tai päivitetä tässä toimialueen ohjaimessa. Tämä johtuu siitä, että yleinen luettelo sisältää jo osittaisia ​​replikoita kaikille esineitä sisään Active Directory eikä hän tarvitse haamuja .

RID-mestari

Jokaisella verkkotunnuksen tilillä (käyttäjä, tietokone, ryhmä) on oltava yksilöllinen suojaustunniste ( SID), joka yksilöi tämän tilin ja erottaa käyttöoikeudet. Näyttää SID seuraavalla tavalla:

S-1-5-Y1-Y2-Y3-Y4, Missä

• S-1 - SID versio 1. Tällä hetkellä vain tämä versio on käytössä.
• 5 - Osoittaa SID:n myöntäjän. 5 tarkoittaa NT viranomainen. Kuitenkin niin sanotut "tutut tunnisteet" SID (tunnettu SID) voi sisältää 0, 1 ja joitain muita arvoja tässä osassa.
• Y1-Y2-Y3- Sen verkkotunnuksen tunnus, johon tili kuuluu. Sama kaikille objekteille turvallisuusperiaate yhden verkkotunnuksen sisällä.
• Y4- Suhteellinen tunniste ( Suhteellinen tunnus, RID) tietylle tilille. Korvattu suhteellisista verkkotunnuksen tunnisteista tilin luomishetkellä.

Verkkotunnuksen ohjain rooliineen RID-mestari on vastuussa ainutlaatuisen sekvenssin tunnistamisesta EROON jokaiseen toimialueensa ohjaimeen sekä objektien siirtämisen oikeellisuudesta toimialueesta toiseen. Verkkotunnuksen ohjaimilla on yhteinen joukko suhteellisia tunnisteita ( RID-allas), EROON josta kukin säädin on jaettu 500 kappaleen osissa. Kun niiden lukumäärä loppuu (tulossa alle 100), ohjain pyytää uutta osaa. Tarvittaessa myönnettyjen määrä EROON ja pyyntökynnystä voidaan muuttaa.

Toinen vastuualue RID-mestari- siirtää esineitä verkkotunnusten välillä. Tarkalleen RID-mestari varmistaa, että yhtä objektia ei voi siirtää kahteen eri toimialueeseen samanaikaisesti. Muuten tilanne on mahdollinen, kun kahdella alueella on kaksi objektia, joilla on sama GUID, joka on täynnä odottamattomimpia seurauksia.

Jos RID-mestari ei ole saatavilla, sitten ilmaisen päätyttyä EROON Uuden tilin luominen tulee mahdottomaksi, ja objektien siirtäminen nykyisestä toimialueesta toiseen on myös mahdotonta.

PDC-emulaattori

Aluksi päätehtävä Primary Domain Controller (PDC) -emulaattori yhteensopivuus aikaisempien versioiden kanssa varmistettiin Windows. Sekaisessa ympäristössä, jossa asiakkaat tapaavat Windows NT4.0/ 95/98 ja toimialueen ohjaimet NT4, PDC-emulaattori suorittaa (vain heille) seuraavat toiminnot:

• "Salasanan vaihto" -toiminnon käsittely käyttäjille ja tietokoneille;
• Päivitysten replikointi kohteeseen BDC (Varmuuskopioi Domain Controller);
• Network Explorer (hae verkkoresursseja).

Alkaen verkkotunnustasolta Windows 2000 ja hän tuli vanhemmaksi kuin työnsä. Verkkotunnuksen ohjain rooliineen PDC-emulaattori suorittaa seuraavat toiminnot:

• Vastaat salasanojen vaihtamisesta ja käyttäjäkiellon valvonnasta salasanavirheiden sattuessa. Minkä tahansa muun toimialueen ohjaimen vaihtama salasana replikoidaan ensin PDC-emulaattori. Jos todennus ei onnistu millä tahansa muulla toimialueen ohjaimella, pyyntö toistetaan PDC-emulaattori. Jos tilin todennus onnistuu välittömästi epäonnistuneen yrityksen jälkeen, PDC-emulaattori siitä ilmoitetaan ja epäonnistuneiden yritysten laskuri nollataan. On tärkeää huomata, että jos ei ole saatavilla PDC-emulaattori tiedot salasanan vaihtamisesta leviävät edelleen koko verkkotunnukselle, se tapahtuu vain hieman hitaammin.
• Ryhmäkäytäntöeditori muodostaa oletuksena yhteyden palvelimeen PDC-emulaattori, ja siihen tapahtuu muutoksia. Jos PDC-emulaattori ei ole saatavilla, sinun on kerrottava editorille, mihin toimialueen ohjaimeen muodostaa yhteys.
• Oletuksena se on PDC-emulaattori on toimialueen tarkka aikapalvelin asiakkaille. PDC-emulaattori metsän juuriverkkotunnus on oletusaikapalvelin PDC-emulaattori alatason verkkotunnuksissa.
• Nimiavaruuden muutokset Hajautettu tiedostojärjestelmä (DFS), syötetään toimialueen ohjaimeen roolilla PDC-emulaattori. Pääpalvelimet DFS pyytää siltä säännöllisesti päivitettyjä metatietoja tallentamalla ne muistiinsa. Käytettävyys PDC-emulaattori voi johtaa virheelliseen toimintaan DFS.
• SISÄÄN Active Directory Siellä on niin sanottuja "sisäänrakennettuja suojausosallistujia" ( Tunnetut turvallisuusjohtajat). Esimerkkejä ovat tilit Kaikki, todennetut käyttäjät, järjestelmä, itse Ja Tekijän omistaja. Niitä kaikkia hallinnoi toimialueen ohjain, jolla on rooli PDC-emulaattori. Tarkemmin sanottuna muutoksilla ILMOITUS PDC-emulaattori tarkistaa ja päivittää säiliön sisällön CN = Tunnetut suojausperiaatteet, CN = Määritykset, DC = >”.
• Jokaisella metsäalueella Active Directory on hallinnollisten suojauskuvausten omistaja - AdminSDHolder. Se tallentaa tietoja suojausasetuksista niin sanotuille suojatuille ryhmille ( suojattuja ryhmiä). Tietyin väliajoin tämä mekanismi pyytää luetteloa kaikista näiden ryhmien jäsenistä ja antaa heille oikeudet pääsynhallintaluettelonsa mukaisesti. Täten AdminSDHolder Suojaa hallintoryhmiä muutoksilta. Esitetty AdminSDHolder toimialueen ohjaimessa, jolla on rooli PDC-emulaattori.

AD Domain Services tukee viittä Operations Master -roolia:

1 Domain Naming Master;

2 Schema Master;

3 Suhteellisten tunnisteiden omistaja (Relative ID Master);

4 Verkkoalueen infrastruktuurin omistaja (Infrastructure Master);

5 Primary Domain Controller Emulator (PDC-emulaattori).

Verkkotunnuksen nimeämisen mestari.

Rooli on suunniteltu lisäämään ja poistamaan verkkotunnuksia metsässä. Jos ohjain, jolla on tämä rooli, ei ole käytettävissä, kun lisäät tai poistat toimialueita metsässä, toiminto epäonnistuu.

Metsässä on vain yksi toimialueen ohjain, jonka rooli on Domain Naming Master.

Jotta näet, mikä toimialueen ohjain sinulla on verkkotunnuksen omistajana, sinun on suoritettava laajennus Active Directory - Domains and Trust napsauta juurisolmua hiiren kakkospainikkeella ja valitse " Operaation omistaja"

Domain Naming Master -rivillä näet, mikä toimialueen ohjain suorittaa tämän roolin.

Schema Master.

Ohjain, jolla on Schema Owner -rooli, on vastuussa kaikkien metsäskeeman muutosten tekemisestä. Kaikki muut toimialueet sisältävät skeeman vain luku -kopioita.

Schema Owner -rooli on ainutlaatuinen koko metsässä, ja se voidaan määrittää vain yhdessä toimialueen ohjaimessa.

Jotta voit tarkastella skeeman omistajana toimivaa toimialueen ohjausyksikköä, sinun on suoritettava laajennus Active Directory Schema, mutta tehdäksesi tämän sinun on rekisteröitävä tämä laite. Voit tehdä tämän käynnistämällä komentorivin ja kirjoittamalla komennon

regsvr32 schmmgmt.dll

Napsauta sen jälkeen " alkaa"valitse joukkue" Suorittaa"ja sisään" mmc" ja napsauta "-painiketta OK". Napsauta seuraavaksi valikossa " Tiedosto"valitaan joukkue" Lisää tai poista laajennus". Ryhmässä Saatavilla lisävarusteita valitse " Active Directory Schema", painaa nappia " Lisätä" ja sitten "-painike OK".

Napsauta hiiren kakkospainikkeella laajennuksen juurisolmua ja valitse " Operaation omistaja".

Nykyinen skeeman omistaja (online) -rivillä näet tämän roolin suorittavan toimialueen ohjaimen nimen.

Suhteellisten tunnisteiden omistaja (Relative ID Master).

Tämä rooli tarjoaa kaikille käyttäjille, tietokoneille ja ryhmille ainutlaatuisen SID-tunnuksen (turvatunniste - muuttuvapituinen tietorakenne, joka tunnistaa käyttäjän, ryhmän, toimialueen tai tietokonetilin)

RID-päällikön rooli on ainutlaatuinen toimialueen sisällä.

Jos haluat nähdä, mikä toimialueen ohjain toimii tunnisteen omistajana, sinun on suoritettava " Operaation omistaja".

RID-välilehdellä näet RID-roolia suorittavan palvelimen nimen

Verkkotunnuksen infrastruktuurin omistaja (Infrastructure Master).

Tämä rooli on tärkeä, kun metsässä käytetään useita verkkotunnuksia. Sen päätehtävänä on hallita haamuobjekteja. Phantom-objekti on objekti, joka luodaan toiselle toimialueelle resurssien tarjoamiseksi.

Toimialueen infrastruktuurin rooli on verkkotunnukselle ainutlaatuinen.

Jos haluat nähdä, mikä toimialueen ohjain toimii toimialueen infrastruktuurin omistajana, sinun on suoritettava " Active Directory - Käyttäjät ja tietokoneet", napsauta verkkotunnusta hiiren kakkospainikkeella ja valitse " Operaation omistaja".

"välilehdellä" Infrastruktuuri"Näet ohjaimen suorittamassa tätä roolia toimialueella.

Primary Domain Controller Emulator (PDC-emulaattori).

PDC-emulaattorin rooli on useita tärkeitä toimintoja (kaikkia ei ole lueteltu tässä, vain tärkeimmät):

Osallistuu salasanan päivityksen replikointiin. Aina kun käyttäjä vaihtaa salasanansa, nämä tiedot tallennetaan toimialueen ohjaimeen, jolla on PDC-rooli. Kun käyttäjä syöttää väärän salasanan, todennus lähetetään PDC-emulaattorille tilin mahdollisesti muuttuneen salasanan saamiseksi (joten jos käyttäjä antaa väärän salasanan, kirjautumistarkistus kestää kauemmin kuin oikean salasanan syöttäminen).

Osallistuu toimialueen ryhmäkäytäntöpäivityksiin. Erityisesti kun ryhmäkäytäntö muuttuu eri toimialueen ohjauskoneissa samanaikaisesti, PDC-emulaattori toimii kaikkien ryhmäkäytäntömuutosten keskipisteenä. Kun avaat ryhmäkäytäntöjen hallintaeditorin, se sitoutuu toimialueen ohjaimeen, joka toimii PDC-emulaattorina. Siksi kaikki ryhmäkäytäntöjen muutokset tehdään oletusarvoisesti PDC-emulaattoriin.

PDC-emulaattori on toimialueen tärkein aikalähde. Jokaisen toimialueen PDC-emulaattorit synkronoivat aikansa metsän juuriverkkotunnuksen PDC-emulaattorin kanssa. Muut ohjaimet synkronoivat aikansa toimialueen PDC-emulaattorin kanssa, tietokoneet ja palvelimet synkronoivat aikansa toimialueen ohjaimen kanssa.

Jos haluat nähdä, mikä toimialueen ohjain toimii PDC-emulaattorina, sinun on suoritettava " Active Directory - Käyttäjät ja tietokoneet", napsauta verkkotunnusta hiiren kakkospainikkeella ja valitse " Operaation omistaja".

PDC-välilehdellä näet ohjaimen, joka suorittaa tätä roolia.