FSMO-роль хозяин схемы (Schema master) является одной из двух ролей, функционирующих на уровне леса Active Directory. То есть во всем лесе AD необходимо иметь лишь одного хозяина схемы.
Основная статья по Active Directory – Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций – FSMO — Fexible Single Master Operations.
Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике Windows Server на моем блоге.
Содержание
Schema master – Хозяин схемы Active Directory
А вы знали, что при повреждении схемы AD придется восстанавливать все КД во всем лесу? А ведь это действительно так, вот почему будьте очень аккуратны при внесении изменений в схему. А пока немного теории.
Теория
Поскольку хозяин схемы – роль уровня леса, то в каждом конкретном лесе AD она существует всегда в единственном экземпляре. Другими словами существует только один контроллер домена, который имеет право вносить изменения/обновления в схему, тем не менее реплика схемы присутствует на каждом контроллере домена и при необходимости роль может быть захвачена принудительно любым DC, но об этом позже. На практике изменения схемы происходят крайне редко, например при установке сервера Exchange или других приложений, которые хранят некоторые свои данные (например объекты конфигурации) в AD.
Все-таки что такое схема AD 1? Это прежде всего набор объектов и их атрибутов, которые используются для хранения данных. Мало кому это определение что-то объясняет, попробую рассказать более детально на примере. Что такое объект? Например объектами являются учетные записи пользователей или компьютеров. В данном случае в схеме AD находится класс user, который определяет все атрибуты объекта учетной записи пользователя:
Каждая учетная запись пользователя в домене будет иметь все эти атрибуты. Но значения атрибутов могут быть и не заданы. Можно проверить какие атрибуты и их значения имеет моя недавно созданная учетная запись администратора домена. Чтобы это сделать, необходимо зайти в консоль adsiedit.msc и открыть контекст именования по умолчанию. В иерархии находим объект пользователя и открываем его свойства:
Вы можете увидеть, что объект имеет все атрибуты, которые определены в классе user. Если вы сами решили убедиться в сказанном мной и информация у вас различается, то обратите внимание на кнопку Фильтр, возможно у вас показываются не все атрибуты. Например можно сделать так, чтобы отображались атрибуты только имеющие значения. Администрировать объекты через adsiedit.msc не лучшая затея, делайте это через соответствующие оснастки.
Для интереса можно посмотреть атрибуты объекта сервера Exchange 2013, ведь Exchange вносит множество новых классов в схему:
В большинстве случаев вопросы касательно мастера схемы обходят стороной и достаточно лишь знать, что эта роль отвечает за внесение изменений в схему AD. Тем не менее схема изначально создавалась таким образом, чтобы в неё мог вносить изменения кто угодно. То есть сторонние компании могут разрабатывать свои приложения таким образом, чтобы они хранили свои данные в AD. Для этого на официальных источниках есть множество объемных гайдов 2 3 4, некоторые из них доступны и на русском 5 языке.
Лучшие практики
Схема AD имеет принципиально важное значение для работоспособности Active Directory, а потому нуждается в соответствующем администрировании, хоть и о ней в большинстве случаев просто забывают. Ниже сформулированы лучшие практики администрирования схемы.
1) Перед изменением схемы всегда делайте резервное копирование. Перед процессом изменения схемы вы можете отключать все контроллеры домена, разумеется кроме одного, который является хозяином этой роли. После этого делаете резервную копию контроллера домена, выполняете все необходимы изменения и если все прошло удачно, то просто включаете заглушенные ранее DC. Если же что-то пошло не так, просто поднимаете единственный работающий на это время контроллер из резервной копии, включаете остальные и далее исследуете проблему;
2) Рекомендуется держать роли мастера именования доменов и хозяина схемы на одном и том же контроллере домена 6 7:
На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.
Таким образом, контроллер домена, поддерживающий роль хозяина схемы, должен также отвечать за роль мастера именования доменов и являться глобальным каталогом.
3) Если вы по каким-либо причинам лишились сервера-хозяина схемы, то на любом другом контроллере домена вы можете принудительно захватить эту роль, но помните, что после этого изначальный хозяин схемы не должен появиться в сети.
4) Без крайней на то необходимости не выполняйте изменения схемы вручную. Если это все же нужно сделать в любом случае, см. пункт 1.
От теории плавно переходим к практике.
Администрирование схемы
Прежде всего стоит сказать, что для управления схемой необходимо иметь как минимум права Администратора Схемы (Schema Admin). Все остальные авторизованные пользователи имеют права только на чтение, хотя в принципе разрешения можно и изменить 8. Большинство задач администрирования выполняются в оснастке для управления схемой Active Directory, которая недоступная по умолчанию и чтобы её активировать 9, необходимо зарегистрировать библиотеку schmmgmt.dll. Для этого запускаем командную строку с правами администратора и выполняем:
1 |
regsvr32 schmmgmt.dll |
Получаем оповещение:
После этого в консоли MMC вы сможете найти оснастку Схема Active Directory. Выполнять команду необходимо на каждом контроллере домена, на котором планируется заниматься администрированием схемы.
Допустим у вас два контроллера домена и вы хотите перенести роль хозяина схемы с DC01 на DC02:
- Открываем оснастку на DC01, правой кнопкой нажимаем на Схема Active Directory и выбираем Сменить контроллер домена Active Directory;
- Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это DC02, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;
- Снова правой кнопкой на Схема Active Directory, но уже выбираем Хозяин операций…;
- Нажимаем кнопку Сменить.
После этого необходимо подтвердить выбор и получить уведомление об успешном переносе роли.
На этом обзор fsmo-роли хозяин схемы завершен, возможно в ближайшем будущем дополню статью инструкцией по принудительному захвату роли другими контроллерами домена.
Notes:
- What Is the Active Directory Schema? ↩
- Active Directory Schema Technical Reference ↩
- How the Active Directory Schema Works ↩
- Active Directory Schema ↩
- Схема Active Directory ↩
- Размещение и оптимизация FSMO на контроллерах домена Active Directory ↩
- AD DS: The schema master role and the domain naming master role should be owned by the same domain controller in the forest ↩
- Apply Active Directory Schema Administrative Permissions ↩
- Install the Active Directory Schema Snap-In ↩