Schema principală FSMO (Schema master) este unul dintre cele două roluri care funcționează la nivelul pădurii Active Directory. Adică, în întreaga pădure AD este necesar să existe un singur maestru al schemei.
Dacă sunteți interesat de obiectul Windows Server, vă recomandăm să consultați secțiunea Windows Server de pe blogul meu.
Master Scheme - Teorie
Deoarece comandantul schemei este rolul nivelului de pădure, în fiecare pădure AD specifică există întotdeauna într-o singură instanță. Cu alte cuvinte, există doar un singur controler de domeniu, care are dreptul de a modifica circuitul / actualizare cu toate acestea, circuitul replica este prezent pe fiecare controler de domeniu și, dacă este rolul adecvat poate fi capturat de orice forță DC, dar mai târziu. În practică, modificări de schemă apar rar, cum ar fi atunci când instalați Exchange Server, sau alte aplicații care stochează o parte din date (de exemplu, obiecte de configurare) în AD.
La urma urmei, care este schema AD 1. Acesta este în primul rând un set de obiecte și atributele acestora care sunt utilizate pentru stocarea datelor. Puțini oameni această definiție explică ceva, voi încerca să-i spun mai în detaliu prin exemplu. Ce este un obiect? De exemplu, obiectele sunt conturi de utilizator sau de computer. În acest caz, clasa AD este utilizatorul clasei. care definește toate atributele obiectului contului de utilizator:
Puteți vedea că obiectul are toate atributele definite în clasa de utilizatori. Dacă voi v-ați decis să vă asigurați de ceea ce am spus și informațiile pe care le aveți sunt diferite, atunci acordați atenție butonului Filtru. este posibil să nu afișați toate atributele. De exemplu, puteți face ca numai atributele care au valori să fie afișate. Administrarea obiectelor prin intermediul adsiedit.msc nu este cea mai bună idee, faceți-o prin intermediul modulelor snap-in corespunzătoare.
În majoritatea cazurilor, întrebările despre masterul schemei sunt ocolite și trebuie doar să știe că acest rol este responsabil pentru modificarea schemei AD. Cu toate acestea, schema a fost inițial creată astfel încât oricine să o poată schimba. Adică, companiile terțe își pot dezvolta aplicațiile în așa fel încât să își păstreze datele în AD. Pentru a face acest lucru, sursele oficiale au o mulțime de ghiduri volumetrice 2 3 4. unele dintre ele sunt disponibile și în 5 limbi rusești.
Cele mai bune practici
Schema AD este de o importanță fundamentală pentru funcționalitatea Active Directory și, prin urmare, necesită o administrare adecvată, deși este în cea mai mare parte uitată în majoritatea cazurilor. Mai jos sunt formulate cele mai bune practici de administrare a schemei.
2) Se recomandă păstrarea masterului de numire a domeniului și a rolurilor principale ale schemelor pe același controler de domeniu 6 7:
La nivelul rolului de master gazdă schema de pădure și denumiri de domeniu trebuie să fie plasat pe un controler de domeniu (acestea sunt rar utilizate și ar trebui să fie bine controlat). În plus, controlerul căruia i se atribuie rolul principal al numelui de domeniu trebuie să fie, de asemenea, un server de catalog global. În caz contrar, unele operații care utilizează maestrul de numire a domeniului (de exemplu, crearea de domenii mari) pot eșua.
Prin urmare, un controler de domeniu care acceptă rolul principal al schemei trebuie, de asemenea, să fie responsabil de rolul masterului de numire a domeniului și să fie un catalog global.
3) Dacă pentru un motiv sau altul au pierdut un sistem de server gazdă, în orice alt controler de domeniu poate fi obligat să profite de acest rol, dar amintiți-vă că, după proprietarul inițial al schemei nu ar trebui să apară în rețea.
4) Fără necesități extreme, nu efectuați manual schimbarea circuitelor. Dacă acest lucru trebuie făcut în orice caz, a se vedea paragraful 1.
Din teoria pe care ne întoarcem cu ușurință la practică.
Administrarea schemelor
Apoi, în consola MMC, puteți găsi programul snap-in Active Directory Schema. Trebuie să executați comanda pe fiecare controler de domeniu unde intenționați să administrați schema.
Să presupunem că aveți două controlere de domeniu și doriți să transferați rolul de gazdă al schemei de la DC01 la DC02:
- Deschideți modulul snap-in pe DC01, faceți clic dreapta pe schema Active Directory și selectați Change Active Directory Domain Controller;
- Apoi, selectați controlerul de domeniu la care vrem să transferăm rolul (am acest DC02, în mod implicit, proprietarul serverului este selectat). Confirmați avertismentul;
- Faceți din nou clic din nou pe schema Active Directory, dar selectați deja Host Hosts ...;
- Apăsați pe butonul Schimbați.
După aceasta, trebuie să confirmați selecția și să primiți o notificare privind transferul reușit al rolului.
In aceasta revizuire rol de master FSMO-schemă este finalizată, eventual, în viitorul apropiat, pentru a adăuga articolul de instrucțiuni privind confiscarea obligatorie a rolului celelalte controlere de domeniu.