Сколько ролей FSMO?

Стандартный ответ, который администраторы Windows дали на этот вопрос: пять:

Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)

Но оказывается, что есть две другие роли, которые обычно не имеют значения, но могут вызвать проблема, если сервер, которому они были назначены, отключен.

Напоминание - что такое роли FSMO?

Active Directory в основном использует модель с несколькими главными серверами для обновлений каталогов: любой контроллер домена может обновить свою локальную копию каталог, а затем эти изменения будут реплицированы на все другие контроллеры домена.

ОДНАКО, есть некоторые обновления, которые более важны, и они выполняются в режиме одного главного устройства: только один контроллер домена может выполнять эти обновления, и они реплицироваться с этого DC на другие. Возможность делать одно из этих критических обновлений называется ролью, и эти роли назначаются одному DC за раз (один главный), но довольно легко переместить роль на другой DC (гибкий), что приводит к имя «Гибкая роль с одним главным оператором».

Пять перечисленных выше ролей FSMO описаны в этой статье, включая краткое объяснение того, за какой тип обновлений каталога отвечает каждый держатель роли FSMO (например, Мастер схемы - единственный контроллер домена, который может вносить изменения в схему AD.)

Роль (роли) хозяина инфраструктуры

Оказывается, что даже с одним доменом существует более одной роли хозяина инфраструктуры. В упомянутой выше статье MS говорится:

Для каждого раздела приложения создается отдельный хозяин инфраструктуры, включая разделы приложения по умолчанию для всего леса и домена, созданные контроллерами домена Windows Server 2003 и более поздних версий. .

Я не собираюсь объяснять разделы каталога и разделы каталога приложений в AD (ссылки ведут на документ TechNet, который объясняет их лучше, чем я мог бы), достаточно знать, что они существуют.

Итак, если у вас один домен AD, у вас есть 3 мастера инфраструктуры, всего семь ролей FSMO.

Вызывают ли дополнительные роли проблемы?

Иногда ...

I не может найти однозначного ответа, но есть веские косвенные доказательства того, что «лишние» роли FSMO можно перемещать только вручную, например Сообщение об ошибке при запуске команды «Adprep / rodcprep» в Windows Server 2008: «Adprep не удалось связаться с репликой для раздела DC = DomainDnsZones, DC = Contoso, DC = com»

Наиболее частая причина этого ошибка заключается в том, что при настройке домена первый контроллер домена содержит все 7 ролей, но две дополнительные роли хозяина инфраструктуры не перемещаются обычными инструментами (DCPROMO и т. д.). Итак, если исходный DC когда-либо удаляется, нет сервера, выполняющего эти роли, и подготовка RODC терпит неудачу, потому что ему нужно разговаривать с ними.

Я столкнулся с дополнительными ролями в Samba 4: утилита samba-tool может передавать роли FSMO в другой DC, и до версии 4.3 он сообщал вам, что все роли были переданы, но когда вы пытались понизить DC, он жаловался, что DC все еще имеет 2 роли FSMO. Сейчас это исправлено.