Combien de rôles FSMO existe-t-il?


Réponses:


13

La réponse standard que les administrateurs Windows ont donnée à cette question est cinq:

Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)

Mais il s'avère qu'il y a deux autres rôles qui n'ont généralement pas d'importance, mais peuvent causer des problèmes si le serveur auquel ils ont été affectés est mis hors ligne.

Rappel - quels sont les rôles FSMO?

Active Directory utilise principalement un modèle multi-maître pour les mises à jour d'annuaire: tout contrôleur de domaine peut mettre à jour sa copie locale de l'annuaire, puis ces modifications seront répliquées sur tous les autres contrôleurs de domaine.

TOUTEFOIS, il y a des mises à jour qui sont plus critiques et celles-ci sont effectuées de manière à maître unique: un seul contrôleur de domaine est capable de faire ces mises à jour et elles sont répliquées de ce contrôleur de domaine vers les autres. La capacité d'effectuer l'une de ces mises à jour critiques est appelée un rôle et ces rôles sont attribués à un seul contrôleur de domaine à la fois (maître unique), mais il est assez facile de déplacer un rôle vers un autre contrôleur de domaine (flexible), ce qui conduit à la nom "Rôle d'opération de maître unique flexible".

Les cinq rôles FSMO répertoriés ci-dessus sont décrits dans cet article, y compris une brève explication du type de mises à jour d'annuaire dont chaque titulaire de rôle FSMO est responsable (par exemple, le maître de schéma est le seul contrôleur de domaine qui peut apporter des modifications au schéma AD.)

Rôle (s) du maître d'infrastructure

Il s'avère que même avec un seul domaine, il y a plus d'un rôle de maître d'infrastructure. Dans l' article MS mentionné ci-dessus, il dit:

Un maître d'infrastructure distinct est créé pour chaque partition d'application, y compris les partitions d'application par défaut à l'échelle de la forêt et du domaine créées par Windows Server 2003 et les contrôleurs de domaine ultérieurs.

Je ne vais pas expliquer les partitions de répertoire et les partitions de répertoire d'application dans AD (les liens sont vers un document TechNet qui les explique mieux que moi), il suffit de savoir qu'ils existent.

Donc, si vous avez un seul domaine AD, vous avez 3 maîtres d'infrastructure, pour un total de sept rôles FSMO.

Les rôles supplémentaires causent-ils des problèmes?

Parfois...

Je ne trouve pas de réponse définitive, mais il existe des preuves circonstancielles solides que les rôles FSMO "supplémentaires" ne peuvent être déplacés que manuellement, par exemple un message d'erreur lorsque vous exécutez la commande "Adprep / rodcprep" dans Windows Server 2008: "Adprep n'a pas pu contactez une réplique pour la partition DC = DomainDnsZones, DC = Contoso, DC = com "

La raison la plus courante de cette erreur est que lorsqu'un domaine est configuré, le premier contrôleur de domaine détient les 7 rôles, mais les deux rôles de maître d'infrastructure supplémentaires ne sont déplacés par aucun des outils habituels (DCPROMO, etc.). Donc, si l'original DC est jamais retiré, aucun serveur ne détient ces rôles et la préparation du RODC échoue car il doit leur parler.

L'endroit où j'ai parcouru les rôles supplémentaires était avec Samba 4: l'utilitaire samba-tool peut transférer des rôles FSMO vers un autre contrôleur de domaine et avant la version 4.3, il vous dirait que tous les rôles avaient été transférés, mais lorsque vous tentiez de rétrograder un DC, il se plaindrait que le DC détenait toujours 2 rôles FSMO. Ceci est maintenant réparé.


1
Tu as très raison. Il existe un maître d'infrastructure pour chaque domaine et application NC dans un répertoire, comme l'indique MS-ADTS: msdn.microsoft.com/en-us/library/cc223753.aspx La raison pour laquelle cela pose très rarement des problèmes est que les NC non-domaine ne peut pas contenir d'objets partiels donc il n'y a pas de fantômes à mettre à jour. Cependant, vous pouvez toujours voir ce recadrage lorsque vous essayez de rétrograder un contrôleur de domaine qui fait toujours référence à un IM pour un NC non-domaine qui n'existe plus. Dans ce cas, mettez à jour cet attribut pour pointer vers le domaine NC IM. Aucun problème. Cette réponse est bonne.
Ryan Ries
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.