none
Роли КД RRS feed

  • Общие обсуждения

  •  Доброго дня.

    Объясните пож-то: На данный момент было 2 КД на 2008 R2.

    Затем этот КД ушел в неизвестность, т.е. просто удален (был на виртуальной машине). Остался второй КД с глобальным каталогом.

     Все роли АД были на уничтодженом КД. Но я по прежнему могу подключать новые машины к домену использую второй КД.

    Прошу помочь в объяснении, как это может работать, если все роли отсутсвуют на втором КД и они не захвачены!

    Утилита netdom query fsmo  указывает что все роли висят на не существующем теперь уже первом КД.

    13 июня 2012 г. 6:21

Все ответы

  • Выделенный оставшемуся КД пул RID еще не исчерпан.
    13 июня 2012 г. 6:30
    Отвечающий
  • Выделенный оставшемуся КД пул RID еще не исчерпан.
    а как же авторизация клиентов?
    13 июня 2012 г. 6:39
  • Выделенный оставшемуся КД пул RID еще не исчерпан.

    а как же авторизация клиентов?

    Не совсем понял вас. В вопросах аутентификации клиентов каждый КД, кроме RODC - самостоятелен.
    13 июня 2012 г. 6:48
    Отвечающий
  • Выделенный оставшемуся КД пул RID еще не исчерпан.

    а как же авторизация клиентов?

    Не совсем понял вас. В вопросах аутентификации клиентов каждый КД, кроме RODC - самостоятелен.

    я имел ввиду вопрос, если нет КД со всеми ролями АД, как вообще тогда функционирут АД?
    13 июня 2012 г. 6:51

  • я имел ввиду вопрос, если нет КД со всеми ролями АД, как вообще тогда функционирут АД?

    Как я понял из вашего первоначального вопроса, вы интересовались, почему вы еще можете присоединять машины к домену (создавать УЗ ). Каждой из УЗ присваивается при создании SID, в том числе, последняя часть записи SID, она же различающаяся для всех участников безопасности - это есть RID - вот для обеспечения его уникальности и служит единый центр выдачи пулов этих RID - это есть RID мастер. В вашем случае пул выданный RID мастером - еще не закончился, следовательно вы еще можете создавать учетки. Когда этот пул будет закончен - вы этого делать не сможете, пока не сделаете seize этой роли на оставшийся КД.
    Domain naming master - обеспечивает уникальность имен доменов в лесу - и нужен только тогда, когда создается\изменяется домен.

    Мастер схемы нужен - только тогда, когда изменяется схема

    и. т. д. То есть роли нужны не постоянно, а по мере надобности. Почитайте где-нибудь про назначение ролей FSMO.

    13 июня 2012 г. 7:05
    Отвечающий

  • я имел ввиду вопрос, если нет КД со всеми ролями АД, как вообще тогда функционирут АД?

    Как я понял из вашего первоначального вопроса, вы интересовались, почему вы еще можете присоединять машины к домену (создавать УЗ ). Каждой из УЗ присваивается при создании SID, в том числе, последняя часть записи SID, она же различающаяся для всех участников безопасности - это есть RID - вот для обеспечения его уникальности и служит единый центр выдачи пулов этих RID - это есть RID мастер. В вашем случае пул выданный RID мастером - еще не закончился, следовательно вы еще можете создавать учетки. Когда этот пул будет закончен - вы этого делать не сможете, пока не сделаете seize этой роли на оставшийся КД.
    Domain naming master - обеспечивает уникальность имен доменов в лесу - и нужен только тогда, когда создается\изменяется домен.

    Мастер схемы нужен - только тогда, когда изменяется схема

    и. т. д. То есть роли нужны не постоянно, а по мере надобности. Почитайте где-нибудь про назначение ролей FSMO.


    Спасибо))Про назначение ролей я знаю, а вот принцип их работы меня как раз и завел в тупик...Т.е. при падении основного КД я смогу полноценно работать еще какое то время, пока будет хватать пула идентификаторов и пока я не буду добовлять новые домены и менять схему, а затем мне по любому необходимо будет захватывать все роли -правельно?
    13 июня 2012 г. 8:39
  • Правильно, в вашем случае да.

    Только не стоит забывать про обязанности PDC-эмулятора. Его услуги нужны постоянно и без него работать неудобно и небезопасно.

    13 июня 2012 г. 8:58
    Отвечающий
  • Правильно, в вашем случае да.

    Только не стоит забывать про обязанности PDC-эмулятора. Его услуги нужны постоянно и без него работать неудобно и небезопасно.


    да вот я и хочу спросить, а почему сейчас все работате если pdc  не доступен?
    13 июня 2012 г. 9:08
  • Можно работать и без функционала PDC- эмулятора. Но повторюсь неудобно и небезопасно. Например, он является истиной в последней инстанции для паролей пользователей - все изменения мнгновенно, не дожидаясь репликации транслируются на него, можно жить и без этого функционала, но тогда по каждому изменению пароля пользователя или состоянию его учетки придется ждать окончания репликации.

    http://technet.microsoft.com/en-us/library/cc773108(v=ws.10).aspx

    The PDC emulator role is used in the following ways:

    • To provide consistent password experience for users across sites (can be turned off with AvoidPdcOnWan registry parameter) - The PDC emulator is used as a reference DC to double-check incorrect passwords and it also receives new password changes.  When the PDC is reachable, users can use a new password immediately and consistently across the environment.  For more information about AvoidPdcOnWan see, New Password Change and Conflict Resolution Functionality in Windows (http://go.microsoft.com/fwlink/?LinkId=202451)
    • As a preferred point of administration for services (examples are Group Policy and Distributed File System, DFS) - For more information about DFS see, DFS Management (http://go.microsoft.com/fwlink/?LinkId=202456). For more information about DCs and Group Policy see, Specifying a Domain Controller for Editing Group Policy (http://go.microsoft.com/fwlink/?LinkId=202457).
    • As a point of contact for applications hard-coded to the PDC (often written for Windows NT 4.0 and older domains) - The legacy API often used for this is NetGetDcName. It is strongly suggested to change applications to use the new API to locate DCs. DsGetDcName by default does not target the PDC, and has more options that allows you to pick the type of DC needed to perform the operation.  For more information about locating DCs from applications see, DSGetDcName Function (http://go.microsoft.com/fwlink/?LinkId=202455).
    • As a default time server for all other DCs in the domain - The time server configuration of a PDC requires manual consideration and should be reviewed when you change the owner of the PDC role.

    13 июня 2012 г. 9:13
    Отвечающий