FSMO Flexible Single Master Operation
La struttura di Active Directory è di tipo multimaster, (da qui l’abbandono del concetto PDC-BDC in uso hai tempi di Windows NT Server) tuttavia ci sono alcune operazioni, tipo la gestione di conflitti nella modifica degli oggetti, che necessitano di poter contattare un’autorità e cioè un Domain Controller che nell’intero dominio può eseguire una data operazione.
Questi ruoli sono chiamati FSMO Flexible Single Master Operation ed i Domain Controller che li detengono sono definiti Operations master roles
Quali sono
I ruoli FSMO sono 5, cosi divisi
2 Relativi alla Foresta
-Schema Master
-Domain Naming Master
3 Relativi al Dominio
-PDC Emulator
-Insfrastructrure Master
-Relative Identifier (RID)
Schema Master
Responsabile della creazione e dei cambiamento dello schema della foresta. Ogni Domain Controller ne ha una copia in sola lettura.
Domain Naming Master
Viene coinvolto, quindi deve essere raggiungibile, nelle operazioni di creazione, rimozione, rinomina di domini
PDC Emulator
Questo DC si fa carico di diverse operazioni:
Master Browser. Time Master per la sincronizzazione degli orologi (Active Directory e Kerberos non tollerano differenze di oltre 5 minuti). Gestisce aggiornamenti delle Group Policy all’interno del dominio l’editor GPME verifica la presenza del PDC emulator ed ogni modifica delle GPO è eseguita da questo. Gestione password quando un account esegue un cambio password o reset il DC che ha eseguito l’operazione la replica immediatamente verso il PDC Emulator inoltre viene contattato per seconda verifica qualora una password risulti incorretta da parte di un altro DC durante la fase di autenticazione. Fornisce compatibilità verso i sistemi NT 4.0
Insfrastructrure Master
Nella gestione di ambienti con più domini l’Infrastructure Master si occupa di mantenere aggiornate e corrette le informazioni quali ad esempio il distingued name (DN) di oggetti appartenenti ad un dominio di fiducia
Relative Identifier (RID)
E’ il Domain Controller incaricato di rilasciare i pool di RID che verranno poi usati per la generazione dei SID necessari, è quindi necessario poter contattare questo DC nella fase di creazione delle identità di protezione.
E’ quindi facile capire l’importa e la disponibilità del o dei vari Domain Controller che ne detengono i ruoli.
Identificare l’Operation Master
è possibile identificare l’Operation Master da riga di comando :
netdom /quey fsmo
fornisce un output con l’associazione Single Master Role – Operation Master
tramite GUI:
–PDC emulator, RID master, and Infrastructure master: snap-in Active Directory Users And Computers, tasto destro sul nomedominio e selezionare proprietà, scheda Operations Masters.
–Domain Naming Master: snap-in Active Directory Domains And Trusts, tasto destro sul nodo principale e selezionare Operations Master
–Schema Master: registrare dll necessaria regsvr32 schmmgmt.dll, avviare mmc.exe, aggiungere lo snap-in Active Directory Schema, tasto detsro su Active Directory Schema e selezionare Operations Master
Ci sono situazioni in cui è necessario spostarli da o verso un altro domain controller, situazioni quali: migrazione verso un nuovo server, vuoi per dismissione hardware vuoi per upgrade di dominio oppure nel caso in cui il DC detentore di uno o più ruoli sia in crash e non possa più tornare on line definitivamente o in un tempo utile. E’ bene fare una distinzione tra le due circostanze di fatti le procedure di spostamento sono fondamentalmente 2 ognuna delle quali si presta ad una data situazione: Transfer o Seize
Transfer: si applica quando il Master Role è disponibile e può essere visto come un “passaggio di consegne” dove il o i ruoli vengono trasferiti al server selezionato
avviare ntdsutil
roles
connections
connect to NuovoMasterRole
quit
transfer domain naming master
transfer infrastructure master
transfer pdc
transfer rid master
transfer schema master
quit
quit
Seize: si applica nei casi in cui il Master Role non è disponibile, crash o simile, è forza il Domain Controller ad diventare Master Role del o dei ruoli indicati.
Procedura seize
avviare ntdsutil
roles
connections
connect to server DomainControllerFQDN_NuovoMaserRole
quit
seize Role
indicare il ruolo
quit
quit
Particolare attenzione va posta all’uso del Seize in quanto l’operazione non necessitando di contattare il precedente Master Role e assegnando i ruoli ad un dato Server non permette la riconciliazione di alcuni ruoli qualora il precedente Master Role torni on line. I ruoli che non permettono la riconciliazione sono:
entrambi i ruoli della foresta
Schema Master
Domain Naming Master
un ruolo del dominio
Relative Identifier (RID)
Bilanciamento dei Ruoli
Quando si hanno più Domain Controller è possibile distribuire i Master Role tra più server, questo è il bilanciamento indicato:
- Schema Master e Domain Naming Master, su Domain Controller Global Catalog
- PDC Emulator e RID Master, su Domain Controller Global Catalog
- Infrastructure master, su Domain Controller dedicato non Global Catalog
Link utili
- Operations Masters Technical Reference
- Flexible Single Master Operation Transfer and Seizure Process
- Scripting operations master role transfers
- Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller
- FSMO placement and optimization on Active Directory domain controllers
- Funzionamento e Diagnostica di Active Directory
.png)