¿Cuántos roles FSMO hay?

12

Siempre he entendido que hay cinco roles FSMO, pero a veces veo algo que dice que hay siete. ¿Cuántos hay realmente?

Ward - Restablece a Monica
fuente

Respuestas:

13

La respuesta estándar que los administradores de Windows han dado a esta pregunta es cinco:

Schema Master (One per forest)
Domain Naming Master (One per forest)
PDC Emulator (One per domain)
RID Master (One per domain)
Infrastructure Master (One per domain)

Pero resulta que hay otros dos roles que generalmente no importan, pero que pueden causar problemas si el servidor al que fueron asignados se desconecta.

Recordatorio: ¿cuáles son los roles de FSMO?

Active Directory utiliza principalmente un modelo multimaestro para las actualizaciones de directorio: cualquier controlador de dominio puede actualizar su copia local del directorio y luego esos cambios se replicarán en todos los demás DC.

SIN EMBARGO, hay algunas actualizaciones que son más críticas y se realizan de una manera maestra única: solo un DC puede hacer estas actualizaciones y se replican de ese DC a los demás. La capacidad de realizar una de estas actualizaciones críticas se denomina rol y estos roles se asignan a un DC a la vez (maestro único), pero es bastante fácil mover un rol a un DC diferente (flexible), lo que conduce a nombre "Rol de operación flexible de un solo maestro".

Las cinco funciones de FSMO enumeradas anteriormente se describen en este artículo, incluida una breve explicación de qué tipo de actualizaciones de directorio es responsable de cada titular de función de FSMO (por ejemplo, el maestro de esquema es el único DC que puede realizar cambios en el esquema de AD).

Rol de maestro de infraestructura

Resulta que incluso con un solo dominio, hay más de un rol de maestro de infraestructura. En el artículo de MS mencionado anteriormente, dice:

Se crea un maestro de infraestructura separado para cada partición de aplicaciones, incluidas las particiones de aplicaciones predeterminadas de todo el bosque y de todo el dominio creadas por Windows Server 2003 y controladores de dominio posteriores.

No voy a explicar las particiones de directorio y las particiones de directorio de aplicaciones en AD (los enlaces son a un documento de TechNet que las explica mejor de lo que podría), es suficiente saber que existen.

Entonces, si tiene un solo dominio de AD, tiene 3 maestros de infraestructura, para un total de siete roles FSMO.

¿Los roles adicionales causan problemas?

A veces...

No puedo encontrar una respuesta definitiva, pero existe una fuerte evidencia circunstancial de que los roles "extra" de FSMO solo se pueden mover manualmente, por ejemplo, un mensaje de error cuando ejecuta el comando "Adprep / rodcprep" en Windows Server 2008: "Adprep no pudo contactar una réplica para la partición DC = DomainDnsZones, DC = Contoso, DC = com "

La razón más común para ese error es que cuando se configura un dominio, el primer DC tiene los 7 roles, pero los dos roles maestros de infraestructura adicionales no se mueven por ninguna de las herramientas habituales (DCPROMO, etc.) Entonces, si el original DC se retiró alguna vez, no hay ningún servidor que tenga esos roles y la preparación de RODC falla porque necesita hablar con ellos.

El lugar donde me encontré con los roles adicionales fue con Samba 4: la utilidad samba-tool puede transferir roles FSMO a un DC diferente y antes de la versión 4.3 le diría que todos los roles habían sido transferidos, pero cuando intentó degradar un DC se quejaría de que el DC todavía tenía 2 roles FSMO. Esto se ha solucionado ahora.

Ward - Restablece a Monica
fuente
1
Eres muy correcto Hay un maestro de infraestructura para cada dominio y aplicación NC en un directorio, como dice MS-ADTS: msdn.microsoft.com/en-us/library/cc223753.aspx La razón por la cual esto rara vez causa problemas es porque los NC no dominios no puede contener objetos parciales, por lo que no hay fantasmas para actualizar. Sin embargo, todavía puede ver este recorte cuando intenta degradar un controlador de dominio que todavía hace referencia a un IM para un NC que no es de dominio que ya no existe. En ese caso, solo actualice ese atributo para que apunte al dominio NC IM. No hay problema. Esta respuesta es buena
Ryan Ries