What are flexible single master operation roles (FSMO roles)?

FSMO-roller: Din Guide til Active Directory

30/10/2017

Rating: 4.6 (4075 votes)

I hjertet af ethvert Windows Server-miljø ligger Active Directory (AD), en kompleks og kraftfuld tjeneste, der styrer identiteter og adgang. En af de mest kritiske, men ofte oversete, komponenter i AD er Flexible Single Master Operation (FSMO) roller. Disse roller er afgørende for et velfungerende og stabilt domæne. Når du opretter et nyt domæne, tildeles alle fem FSMO-roller automatisk til den første domænecontroller. Selvom det generelt er bedst at lade dem være, vil der uundgåeligt komme et tidspunkt, hvor du skal tilføje nye domænecontrollere og pensionere gamle. Før du tager en domænecontroller ud af drift, er det absolut nødvendigt at kontrollere og flytte eventuelle FSMO-roller, den måtte have. En fejl her kan variere fra en mindre irritation til en katastrofal hændelse, der kan kræve en fuld genoprettelse af dit domæne. Denne artikel vil guide dig igennem alt, hvad du behøver at vide om FSMO-roller, fra hvad de er, til hvordan du administrerer dem sikkert og effektivt.

Which FSMO role should be placed in the domain?
Here are the general Microsoft recommendations for FSMO role placement in the domain: All forest DCs must be Global Catalog servers since it improves AD reliability and performance. Then the Infrastructure Master role is not necessary. If you have a DC without the Global Catalog role, place the Infrastructure Master role on it.
Indholdsfortegnelse

Hvad er FSMO-roller? En dybdegående forklaring

Flexible Single Master Operation, eller FSMO, er en mekanisme i Active Directory, der sikrer, at operationer, hvor der kan opstå konflikter, håndteres af en enkelt, autoritativ domænecontroller. Mens de fleste AD-opgaver, som at oprette en bruger, kan udføres på enhver domænecontroller, og ændringerne replikeres efterfølgende, er der visse handlinger, der skal være unikke i hele domænet eller skoven. Tænk på det som at have en enkelt "chef" for specifikke opgaver for at undgå forvirring og datakorruption. Der findes i alt fem FSMO-roller, som er opdelt i to kategorier: roller, der er unikke for hele skoven, og roller, der er unikke for hvert domæne i skoven.

De to skov-dækkende roller

Disse roller er unikke for hele din Active Directory-skov. Der kan kun være én af hver i hele skoven, uanset hvor mange domæner du har.

  • Schema Master (Skemamester): Denne rolleindehaver er den eneste domænecontroller, der kan foretage ændringer i Active Directory-skemaet. Skemaet er selve grundplanen for din AD-database – det definerer, hvilke typer objekter (som brugere, grupper, computere) der kan eksistere, og hvilke attributter de kan have. Når du installerer software, der udvider AD (f.eks. Microsoft Exchange), er det Skemamesteren, der behandler disse skemaopdateringer.
  • Domain Naming Master (Domænenavngivningsmester): Denne rolle er ansvarlig for at tilføje og fjerne domæner fra skoven. Den sikrer, at hvert domæne, du opretter, har et unikt navn inden for skoven. Uden denne centrale autoritet kunne to administratorer ved et uheld forsøge at oprette domæner med samme navn, hvilket ville føre til kaos.

De tre domæne-dækkende roller

Disse tre roller er unikke inden for hvert enkelt domæne i din skov. Hvis du har tre domæner, vil der være et sæt af disse tre roller i hvert af dem.

  • PDC Emulator (Primary Domain Controller Emulator): Dette er måske den mest travle af alle rollerne. Den har flere ansvarsområder:
    • Password-synkronisering: Når en bruger ændrer sin adgangskode, replikeres denne ændring hurtigst muligt til PDC-emulatoren. Hvis en bruger forsøger at logge ind med en forkert adgangskode på en anden domænecontroller, vil denne DC dobbelttjekke med PDC-emulatoren for at sikre, at adgangskoden ikke lige er blevet ændret. Dette forhindrer login-fejl på grund af replikeringsforsinkelse.
    • Tidssynkronisering: PDC-emulatoren i skovens roddomæne fungerer som den autoritative tidsserver for hele organisationen.
    • Kompatibilitet: Den emulerer en ældre Windows NT Primary Domain Controller for at understøtte ældre systemer.
    • Group Policy-opdateringer: Den er standardserveren for redigering af Group Policy Objects (GPO'er).
  • RID Master (Relative ID Master): Hver gang du opretter et objekt i Active Directory (en bruger, gruppe osv.), får det et unikt Security Identifier (SID). Et SID består af et domæne-SID (som er det samme for alle objekter i domænet) og et Relative ID (RID), som er unikt for hvert objekt. RID-mesteren er ansvarlig for at uddele puljer af unikke RID'er til alle domænecontrollere i domænet. Hvis RID-mesteren er nede, og en DC løber tør for sin tildelte pulje af RID'er, kan den ikke oprette nye objekter.
  • Infrastructure Master (Infrastrukturmester): Denne rolle er ansvarlig for at opdatere referencer fra objekter i sit eget domæne til objekter i andre domæner. For eksempel, hvis du tilføjer en bruger fra Domæne A til en gruppe i Domæne B, er det Infrastrukturmesteren i Domæne B, der sikrer, at brugerens navn vises korrekt og ikke bare som et SID. Vigtig note: Denne rolle bør ikke placeres på en domænecontroller, der også er en Global Catalog-server, medmindre *alle* domænecontrollere i domænet er Global Catalog-servere.

Sådan finder du de nuværende FSMO-rolleindehavere

Før du kan overveje at flytte en rolle, skal du vide, hvor den befinder sig. Heldigvis er der nemme metoder til at finde denne information.

Metode 1: Brug af Kommandoprompt (Netdom)

Den hurtigste og mest ligetil metode er at bruge `netdom`-kommandoen. Åbn en kommandoprompt som administrator på en hvilken som helst domænecontroller og kør følgende kommando:

netdom query fsmo

Resultatet vil tydeligt liste alle fem roller og den server, der i øjeblikket er vært for dem:

Schema master DC01.ditdomæne.localDomain naming master DC01.ditdomæne.localPDC DC01.ditdomæne.localRID pool manager DC01.ditdomæne.localInfrastructure master DC01.ditdomæne.local

Metode 2: Brug af PowerShell

PowerShell giver en mere script-venlig tilgang, men kræver to separate kommandoer for at se alle roller.

For at finde de skov-dækkende roller, kør:

Get-ADForest | Format-Table SchemaMaster,DomainNamingMaster

For at finde de domæne-dækkende roller, kør:

Get-ADDomain | Format-Table PDCEmulator,RIDMaster,InfrastructureMaster

Begge kommandoer vil returnere en tabel, der viser de respektive roller og deres nuværende indehavere.

Overførsel vs. Beslaglæggelse: En kritisk forskel

Når du skal flytte en FSMO-rolle, er der to måder at gøre det på: overførsel (transfer) og beslaglæggelse (seizure). Det er afgørende at forstå forskellen.

  • Overførsel (Transfer): Dette er den planlagte og sikre metode. Den bruges, når både den nuværende rolleindehaver (kilden) og den nye rolleindehaver (destinationen) er online og fungerer korrekt. Processen indebærer en pæn overdragelse, hvor kildeserveren og destinationsserveren kommunikerer for at sikre en glidende overgang. Dette er altid den foretrukne metode.
  • Beslaglæggelse (Seizure): Dette er en nødprocedure, der kun bruges, når den nuværende rolleindehaver er permanent offline på grund af en hardwarefejl eller en anden katastrofe og ikke kan bringes online igen. Processen tvinger en anden domænecontroller til at overtage rollen uden at kommunikere med den oprindelige indehaver. ADVARSEL: En server, hvis FSMO-roller er blevet beslaglagt, må aldrig bringes online på netværket igen. Hvis du gør det, vil det forårsage alvorlige konflikter i dit Active Directory. Den skal geninstalleres fra bunden.

Guide til flytning af FSMO-roller med PowerShell

PowerShell er den mest effektive og anbefalede metode til at administrere FSMO-roller. Cmdlet'en `Move-ADDirectoryServerOperationMasterRole` er dit primære værktøj.

What happens if an operations master role holder fails?
If an operations master role holder has failed or been decommissioned before you can transfer the role, you must seize and transfer the role to a healthy domain controller. If you can't fix the previous role holder, or if you seized the roles, remove the previous role holder from the domain and clean up its metadata.

Planlagt overførsel af roller

For at udføre en planlagt overførsel, skal du angive destinationsserveren og den eller de roller, du vil flytte. Du kan specificere rollerne ved deres navn eller ved et indeksnummer.

Rolle NavnIndeksnummer
PDCEmulator0
RIDMaster1
InfrastructureMaster2
SchemaMaster3
DomainNamingMaster4

For eksempel, for at flytte PDC Emulator- og RID Master-rollerne til en server ved navn 'DC02', ville du køre:

Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole PDCEmulator, RIDMaster

Eller ved hjælp af indeksnumre:

Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole 0,1

Du vil blive bedt om at bekræfte handlingen. For at flytte alle fem roller på én gang:

Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole 0,1,2,3,4

Nødproceduren: Beslaglæggelse af roller

Hvis du står i en situation, hvor du er nødt til at beslaglægge en rolle fra en fejlet server, bruger du den samme kommando, men tilføjer parameteren `-Force`.

For eksempel, for at beslaglægge PDC Emulator-rollen og tvinge den over på 'DC02':

Move-ADDirectoryServerOperationMasterRole -Identity "DC02" -OperationMasterRole PDCEmulator -Force

Husk, dette er en sidste udvej. Efter en beslaglæggelse skal du udføre en "metadata cleanup" for manuelt at fjerne alle spor af den gamle, fejlede domænecontroller fra Active Directory.

Ofte Stillede Spørgsmål (FAQ)

Hvad sker der, hvis en FSMO-rolleindehaver fejler?

Konsekvenserne afhænger af rollen. Fejl på PDC Emulator eller RID Master vil have en mere øjeblikkelig indvirkning (problemer med login, oprettelse af nye objekter) end fejl på Schema Master, hvor virkningen først mærkes, næste gang du forsøger at opdatere skemaet. Uanset hvad, hvis serveren ikke kan genoprettes hurtigt, skal rollen beslaglægges af en sund domænecontroller.

Kan en Read-Only Domain Controller (RODC) have en FSMO-rolle?

Nej, absolut ikke. RODC'er er skrivebeskyttede kopier af Active Directory-databasen og kan ikke have nogen FSMO-roller, da disse roller kræver skriveadgang for at kunne udføre deres opgaver.

Hvor ofte skal jeg flytte FSMO-roller?

Meget sjældent. FSMO-roller bør kun flyttes som en del af en planlagt livscyklusstyring, f.eks. når en ældre domænecontroller skal pensioneres, eller hvis der er alvorlige performanceproblemer på den nuværende indehaver. Det er ikke en rutinemæssig vedligeholdelsesopgave.

Hvad er bedste praksis for placering af FSMO-roller?

Generelle anbefalinger er: Placer Schema Master og Domain Naming Master på en Global Catalog-server i skovens roddomæne. Placer de tre domæne-roller (PDC, RID, Infrastructure) på en kraftfuld domænecontroller med god netværksforbindelse. Undgå at placere Infrastructure Master på en Global Catalog-server, medmindre alle DC'er er GC'er.

Konklusion

Administration af FSMO-roller er en fundamental færdighed for enhver systemadministrator, der arbejder med Active Directory. Selvom de ofte kører problemfrit i baggrunden, er en dyb forståelse af deres funktion og korrekt håndtering afgørende for at opretholde et sundt, stabilt og modstandsdygtigt netværksmiljø. Ved at vide, hvordan man identificerer, overfører og, når det er absolut nødvendigt, beslaglægger disse roller, kan du proaktivt forhindre potentielle katastrofer og sikre kontinuiteten i din organisations IT-infrastruktur. Brug altid den planlagte overførselsmetode, når det er muligt, og reserver beslaglæggelse til reelle nødsituationer for at undgå de faldgruber, der kan følge med en forkert udført procedure.

Hvis du vil læse andre artikler, der ligner FSMO-roller: Din Guide til Active Directory, kan du besøge kategorien Teknologi.

Go up