Что происходит, когда держатель FSMO выходит из строя?

JustAGuy

04.03.2023, 11:23

Допустим, у меня есть 2 контроллера домена, и один из них, который содержит все роли FSMO, выходит из строя.

Пожалуйста, поправьте меня, если я ошибаюсь, но из того, что я понимаю:

Без мастера схемы = без обновления сведений о пользователе, без создания новых пользователей\компьютеров\групп\групповых политик.
Без RIF Master = без применения изменения или добавления новых разрешений к файлам\пользователям\группам.
Нет мастера именования доменов = нет добавления новых доменов в лес.
Нет эмулятора PDC = нет синхронизации времени, смены или сброса пароля, блокировки учетной записи.
Нет мастера инфраструктуры = нет перекрестных ссылок на объекты между доменами, но только там, где у вас есть неглобальный каталог DC. Также не происходит удаление объектов.

Кроме того, давайте предположим, что контроллер домена, содержащий все роли FSMO, отключился на 1 час и вернулся в сеть. Я полагаю, что изменения, которые были выполнены за это время, будут перезаписаны?

160

0 + 0

фсмо

Рейтинг:1

Server

TomTom

04.03.2023, 12:14

Вы буквально должны прочитать документацию. Он расскажет, как обстоят дела, и устранит множество недоразумений.

То есть:

Нет Мастера Схемы - вы НЕПРАВИЛЬНЫ. Мастер схемы отвечает за СХЕМУ. Обновление сведений о пользователе не меняет схему. Обновления схемы (т.е. добавление поля в пользовательский объект).

Нет RIF master (именно RID, а не RIF) - вы можете добавлять разрешения как хотите, так как это не создает RID. Мастер RID отвечает за выдачу RID. Например, когда ПОЛЬЗОВАТЕЛЬ СОЗДАЕТСЯ (новый объект). Вот в чем дело - весь DC НЕИСПОЛЬЗУЕТСЯ RID КЭША.Таким образом, мастер RID, отключающийся на час, в основном не является проблемой, если вы не попытаетесь создать тысячи пользователей на другом контроллере домена в течение этого времени.

Нет эмулятора PDC: синхронизация времени не уверена (поскольку это делается через эмулятор PDC), но зачем менять или сбрасывать PW? У вас настолько старые машины с Windows, что они используют старую концепцию / API PDC? Потому что иначе для этого нет причин. Я нахожу информацию, говорящую об обратном, не обязательно в текущей технической информации, поэтому - немного сложно.

Список можно продолжить. Кажется, вы придумываете ограничения, потому что похоже, что вы понятия не имеете, что делают эти роли.

В любом случае, точная документация, которую вы ищете, находится здесь:

https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/fsmo-roles

Как правило, предполагается, что роли не обязательно должны работать все время — во многих случаях система будет работать с ограничениями (т. е. нет обновлений, требующих обновления схемы, когда мастер схемы находится в автономном режиме, но вы МОЖЕТЕ обновлять ОБЪЕКТЫ, поскольку это не схема). Обновить).

0 + 0

JustAGuy

04.03.2023, 12:22

Я прочитал тот же самый документ, о котором вы упомянули, и о PDC говорится: «Изменения паролей, выполненные другими контроллерами домена в домене, предпочтительно реплицируются на эмулятор основного контроллера домена. Блокировка учетной записи обрабатывается на эмуляторе PDC». Если нет PDC, который мог бы принять сброс или блокировку, что тогда? Также "Эмулятор PDC необходим для синхронизации времени на предприятии". Я думаю, что мои серверы не так уж и стары...

Ответить

TomTom

04.03.2023, 12:38

Да, но pw change - вы понимаете значение слова "предпочтительно"? Вы переходите от этого к «ТРЕБУЕТСЯ PDC» - это НЕ ЧТО ПРЕДПОЧТИТЕЛЬНО ЗНАЧИТ. "тогда что делает"?" - ЛЮБОЙ DC. Изменение PW может затем реплицироваться. Также вы идете от меня, говоря, что рабочие станции старые к вашим старым серверам? Да ладно, НЕКОТОРЫЙ здравый смысл. Я имею в виду старые машины с Windows как старые - до нового активного каталога , Эти машины не используют Kerberos и будут подключаться к PDC, поскольку не было мультимастера.

Ответить

JustAGuy

04.03.2023, 12:55

Этот документ, который вы мне прислали, относится к Win 2012 R2. Это НАМНОГО после начала эры Multi-Master. Тем не менее, в нем по-прежнему говорится, и я цитирую: «Эмулятор PDC необходим для синхронизации времени на предприятии». Они это придумали?

Ответить

TomTom

04.03.2023, 12:56

Нет это не так. Это НАМНОГО позже начала мультимастера, но когда вы говорите о предприятии, ДАЖЕ СЕЙЧАС вокруг все еще много старых машин. В противном случае - я выхожу. Извините, вы получили ответ. ОБСУЖДЕНИЕ со мной вы должны платить. Тратить время на то, чтобы учить вас истории, не мое хобби.

Ответить

Admin

Этот вопрос на других языках:

EN: What happens when a FSMO holder goes down?

TH: จะเกิดอะไรขึ้นเมื่อตัวยึด FSMO หยุดทำงาน

RO: Ce se întâmplă atunci când un deținător FSMO scade?

RU: Что происходит, когда держатель FSMO выходит из строя?

VI: Điều gì xảy ra khi chủ sở hữu FSMO ngừng hoạt động?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.