Każda domena AD posiada 5 ról FSMO (Flexible Single Master Operation), które są niezbędne do działania usługi katalogowej. Każda z ról może być uruchomiona tylko na jednym z kontrolerów AD. W usłudze katalogowej są to następujące role:
Role FSMO unikalne dla lasu:
- Schema Master (wzorzec schematu) – zarządza pełną wersją schematu, definiującego wszystkie atrybuty przechowywane w usłudze katalogowej. Tylko jedna kopia schematu AD DS w całym lesie AD pozwala na zapis.W całym lesie AD może być tylko jeden wzorzec schematu. W przypadku utracenia roli Schema Master stracimy możliwość edytowania schematu Active Directory w naszej domenie. Ponieważ Schemat domeny zmieniany jest tylko w wypadku zmiany poziomu lasu/domeny, dodawania nowych pól do struktury AD czy instalacji aplikacji wprowadzających zmiany, takich jak Microsoft Exchange czy Skype For Business, rola Schema Master nie jest potrzebna do ciągłego działania. Po przechwyceniu roli przez inny serwer, kontroler domeny, który poprzednio pełnił funkcję Schema Master nie może dostać ponownie włączony, ponieważ w takim wypadku dojdzie do utraty danych przechowywanych w Active Directory.
- Domain Naming Master (wzorzec nazw domen) – odpowiedzialna jest za zachowanie porządku w nazewnictwie domen w lesie. Zapewnia ona, że w żadnym lesie nie będzie dwóch domen z taką samą nazwą. Nowych domen do lasu nie dodaje się codziennie, ta rola może funkcjonować na jednym serwerze z innymi rolami. W związku z tym że rola Schema Master oraz Domain Naming Master są unikalne dla całego lasu AD, dobrym rozwiązaniem jest przechowywaniem ich na jednym kontrolerze domeny.
Role FSMO unikalne dla domeny:
- PDC Emulator – (Primary Domain Controller Emulator): Najważniejsza rola FSMO w każdej domenie Active Directory. Odpowiada za kluczowe funkcje w domenie, takie jak emulacja podstawowego kontrolera domeny Windows NT 4.0, synchronizację haseł po zmianie, aby wszystkie kontrolery domeny mogły wykorzystywać zmienione hasła do autentykacji, zarządza politykami grupy w domenie, pełni funkcję serwera czasu dla domeny.
W przypadku utraty roli PDC Emulatora, od razu możemy zauważyć problemy z prawidłowym funkcjonowaniem domeny. Mogą wystąpić problemy z logowaniem do systemu, zmiana haseł będzie działała tylko w obrębie pojedynczego kontrolera domeny, co może uniemożliwić logowanie do usług, utracimy możliwość synchronizacji czasu z serwerem oraz niektóre aplikacje, zależne od kontrolera NT, mogą przestać się uruchamiać. - RID Master– rola odpowiedzialna za przydzielanie zakresów identyfikatorów bezpieczeństwa w Active Directory. Każdy obiekt w Active Directory uzyskuje swój identyfikator, zwany jako SID (Security ID). Każdy SID składa się z identyfikatora SID domeny, który jest identyczny dla wszystkich obiektów w danej domenie i z identyfikatora RID (Relative ID). który jest unikatowy dla każdego obiektu w domenie. Podczas przydzielania SID kontroler domeny musi być w stanie przydzielić odpowiedni RID z puli, którą otrzymuje ze wzorca RID. Po wyczerpaniu tej puli żąda od wzorca ID kolejnej. Jeśli wzorzec RID jest niedostępny, możemy nie być w stanie tworzyć nowych obiektów w domenie, jeśli dany kontroler domeny wyczerpie swoją przydzieloną pulę identyfikatorów RID.
- Infrastructure Master (wzorzec infrastruktury) – zarządza odwołaniami do obiektów domen spoza własnej domeny. W przypadku niedostępności roli Infrastructure Master w domenie Active Directory możemy zauważyć, że nazwy obiektów z obcej domeny przedstawiane są jako identyfikatory SID, zamiast właściwych nazw domenowych.
Każda z ról FSMO w danej chwili może znajdować się tylko na jednym z kontrolerów domeny. Czasami istnieje potrzeba przeniesienia ról FSMO na inny serwer np. w przypadku podmiany/wymiany kontrolera AD. Aby sprawdzić na którym kontrolerze są poszczególne role uruchamiamy wiesz poleceń i wydajemy komendę
netdom query fsmoW odpowiedzi otrzymamy np. taki wynik.
Schema master DC2.domena.local
Domain naming master DC2.domena.local
PDC DC2.domena.local
RID pool manager DC2.domena.local
Infrastructure master DC2.domena.localAby przenieść role pomiędzy kontrolerami AD, najlepiej zalogować się na serwer który będzie przejmował role, uruchomić wiersz poleceń i wydać komendę ntdsutil. W nowym oknie wydajemy kolejno poleceniaroles
w odpowiedzi wiersz poleceń zmieni się na fsmo maintenance: Wydajemy polecenie connections
w odpowiedzi wiersz poleceń zmieni się na server connections:. Łączymy się z serwerem który ma przejąć roleconnect to server Nazwa_Serwera
w odpowiedzi otrzymamy informację Binding to Nazwa_Serwera
Connected to NazwaSerwera using credentials of localy logged user
wychodzimy poleceniemquit
Przejmowanie ról:Seize infrastructure master
Seize naming master
Seize PDC
Seize RID master
Seize schema master
Na koniec wychodzimy z wiersza poleceń
quit
quit