Home > Active Directory, Guide, Sistemista@Work > FSMO Flexible Single Master Operation

FSMO Flexible Single Master Operation

7 Dicembre 2011

La struttura di Active Directory è di tipo multimaster, (da qui l’abbandono del concetto PDC-BDC in uso hai tempi di Windows NT Server) tuttavia ci sono alcune operazioni, tipo la gestione di conflitti nella modifica degli oggetti, che necessitano di poter contattare un’autorità e cioè un Domain Controller che nell’intero dominio può eseguire una data operazione.

Questi ruoli sono chiamati FSMO Flexible Single Master Operation ed i Domain Controller che li detengono sono definiti Operations master roles

Quali sono

I ruoli FSMO sono 5, cosi divisi

2 Relativi alla Foresta

-Schema Master

-Domain Naming Master

3 Relativi al Dominio

-PDC Emulator

-Insfrastructrure Master

-Relative Identifier (RID)

 

 

 

Schema Master

Responsabile della creazione e dei cambiamento dello schema della foresta. Ogni Domain Controller ne ha una copia in sola lettura.

Domain Naming Master

Viene coinvolto, quindi deve essere raggiungibile, nelle operazioni di creazione, rimozione, rinomina di domini

PDC Emulator

Questo DC si fa carico di diverse operazioni:

Master Browser. Time Master per la sincronizzazione degli orologi (Active Directory e Kerberos non tollerano differenze di oltre 5 minuti). Gestisce aggiornamenti delle Group Policy all’interno del dominio l’editor GPME  verifica la presenza del PDC emulator ed ogni modifica delle GPO è eseguita da questo. Gestione password quando un account esegue un cambio password o reset il DC che ha eseguito l’operazione la replica immediatamente verso il PDC Emulator inoltre viene contattato per seconda verifica qualora una password risulti incorretta da parte di un altro DC durante la fase di autenticazione. Fornisce compatibilità verso i sistemi NT 4.0

Insfrastructrure Master

Nella gestione di ambienti con più domini l’Infrastructure Master si occupa di mantenere aggiornate e corrette le informazioni quali ad esempio il distingued name (DN) di oggetti appartenenti ad un dominio di fiducia

Relative Identifier (RID)

E’ il Domain Controller incaricato di rilasciare i pool di RID che verranno poi usati per la generazione dei SID necessari, è quindi necessario poter contattare questo DC nella fase di creazione delle identità di protezione.

 

E’ quindi facile capire l’importa e la disponibilità del o dei vari Domain Controller che ne detengono i ruoli.

Identificare l’Operation Master

è possibile identificare l’Operation Master da riga di comando :

netdom  /quey fsmo

fornisce un output con l’associazione Single Master Role – Operation Master

netdom_query

tramite GUI:

PDC emulator, RID master, and Infrastructure master: snap-in Active Directory Users And Computers, tasto destro sul nomedominio e selezionare proprietà, scheda Operations Masters.

ADUC_composito

Domain Naming Master: snap-in Active Directory Domains And Trusts, tasto destro sul nodo principale e selezionare  Operations Master

DMTRUST_composito

Schema Master: registrare dll necessaria regsvr32 schmmgmt.dll, avviare mmc.exe, aggiungere lo snap-in Active Directory Schema, tasto detsro su Active Directory Schema e selezionare  Operations Master

SCHEMA_COMPOSITO

Ci sono situazioni in cui è necessario spostarli da o verso un altro domain controller, situazioni quali: migrazione verso un nuovo server, vuoi per dismissione hardware vuoi per upgrade di dominio oppure nel caso in cui il DC detentore di uno o più ruoli sia in crash e non possa più tornare on line definitivamente o in un tempo utile. E’ bene fare una distinzione tra le due circostanze di fatti le procedure di spostamento sono fondamentalmente 2 ognuna delle quali si presta ad una data situazione: Transfer o Seize

Transfer: si applica quando il Master Role è disponibile e può essere visto come un “passaggio di consegne” dove il o i ruoli vengono trasferiti al server selezionato

avviare  ntdsutil


roles
connections
connect to NuovoMasterRole
quit

transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master

quit
quit

 

Seize: si applica nei casi in cui il Master Role non è disponibile, crash o simile, è forza il Domain Controller ad diventare Master Role del o dei ruoli indicati.

Procedura seize

avviare ntdsutil

roles
connections
connect to server DomainControllerFQDN_NuovoMaserRole
quit
seize Role
indicare il ruolo
quit
quit


Particolare attenzione va posta all’uso del Seize in quanto l’operazione non necessitando di contattare il precedente Master Role e assegnando i ruoli ad un dato Server non permette la riconciliazione di alcuni ruoli qualora il precedente Master Role torni on line. I ruoli che non permettono la riconciliazione sono:

entrambi i ruoli della foresta

Schema Master

Domain Naming Master

un ruolo del dominio

Relative Identifier (RID)

 

Bilanciamento dei Ruoli

Quando si hanno più Domain Controller è possibile distribuire i Master Role tra più server, questo è il bilanciamento indicato:

  • Schema Master e Domain Naming Master, su Domain Controller  Global Catalog
  • PDC Emulator e RID Master, su Domain Controller Global Catalog
  • Infrastructure master, su Domain Controller dedicato non Global Catalog

Link utili

 

32.024 Visualizzazioni