Domain naming master — Хозяин именования доменов

Егор Васильев Windows , , 0 Комментариев

Хозяин именования доменовFsmo-роль хозяин именования доменов (Domain naming master) является второй ролью уровня леса (наравне с хозяином схемы), то есть в каждом конкретном лесе Active Directory должен существовать лишь один контроллер домена — владелец роли.

Основная статья по Active Directory — Active Directory Domain Services. Читайте также другие статьи по ролям хозяев операций — FSMO — Fexible Single Master Operations.

Если вам интересна тематика Windows Server, рекомендую обратиться к рубрике  Windows Server  на моем блоге.

Domain naming master — Хозяин именования доменов

Это одна из ролей FSMO, которая может потребоваться намного реже других. Тем не менее, не стоит недооценивать её значимость.

Теория

В грубом приближении хозяин именования доменов отвечает за переименование или создание новых доменов. Это действительно так, однако существуют ещё и некоторые другие задачи, выполняемые только контроллерами домена с этой ролью. Согласно официальной информации 1 на Technet, полный перечень задач выглядит следующим образом:

1) Добавление или удаление доменов. Domain naming master отвечает за уникальность имен каждого домена в лесу и не позволяет добавить домены с дублирующими именами. Все операции, связанные с изменениями именования доменов, должны получить подтверждение у владельца этой роли fsmo. Разумеется если хозяин роли по каким-либо причинам недоступен, вы не сможете добавить/удалить/изменить имя домена.

2) Добавление или удаление разделов каталогов приложений. Для начала стоит немного рассказать о разделах каталогов приложений — это специальные разделы, которые могут быть созданы на контроллерах домена (версии 2003 и выше, в 2000 — только данные конфигурации и схемы) для хранения динамических данных в ldap-хранилище. Данные в этих разделах также реплицируются на все контроллеры домена, обеспечивая таким образом повышенный уровень сохранности и доступности. Разделы приложений например использует служба DNS (именно поэтому она называется Active Directory-Integrated DNS) — при установке она создает два раздела на уровне ниже корневого домена леса в иерархии доменов. Один раздел для леса (ForestDnsZones) и один для домена (DomainDnsZones). Вы можете увидеть эти зоны в оснастке DNS:

Domain naming master 01

Использование раздела каталога приложений службами DNS дает массу преимуществ как в плане скорости и надежности репликации, так и безопасности. К тому же добавляется и некоторый новый функционал. Подробнее о интегрированных в AD службах DNS читайте в официальной документации 2 3. Напоминаю, что использовать преимущества AD-Integrated DNS вы сможете только если все DC обновлены до версии 2003 4:

Windows Server 2003 DNS Active Directory stores zone data in application directory partitions. The domain partition was the only Active Directory storage option in Windows 2000 Server, and it is available in Windows Server 2003 DNS for backward compatibility. The following DNS-specific application directory partitions are created during Active Directory installation:
— A forest-wide application directory partition, called ForestDnsZones.
— Domain-wide application directory partitions for each domain in the forest, named DomainDnsZones.

Просмотреть текущие разделы каталогов можно с помощью утилиты ntdsutil 5:

Domain naming master 02

Подробнее о принципе работы разделов каталогов приложений и их администрировании читайте на Technet 6. Как было сказано выше, функционал разделов каталогов приложений в версии Windows Server 2000 отсутствует.

Если носитель роли Domain naming master недоступен, произвести операции с разделами каталогов приложений не получится.

3) Добавление или удаление перекрестных ссылок объектов к или от внешних каталогов. Перекрестные ссылки необходимы для того, чтобы каждый контроллер домена имел представление о всех разделах директорий в лесу, а не только о тех, которые он поддерживает. Перекрестные ссылки имеют формат записи crossRef и хранятся в разделе Configuration, который распространяется на все DC в домене.

Перекрестные ссылки бывают двух типов — внутренние и внешние. Внутренние ссылки создаются автоматически системой. Например во время создания нового леса, мастер создает три раздела каталогов — первичный раздел каталога домена, раздел каталога конфигурации, раздел каталога схемы. Для каждого раздела каталога автоматически создаются перекрестные ссылки и располагаются они в контейнере CN=Partitions,CN=Configuration,DC=corp,DC=bissquit,DC=com на примере моего домена — corp.bissquit.com (или контейнера CN=partitions,CN=configuration,DC=ForestRootDomain для общего случая, где CN — общее имя, OU — раздел, DC — класс объекта домена). Похожие разделы каталогов создаются и при добавлении нового домена к существующему лесу.

Domain naming master 03

Внешние перекрестные ссылки создаются вручную администраторами при необходимости явным образом объявить расположения объектов, которые находятся вне леса AD. Создать перекрестные ссылки можно с помощью оснастки adsiedit.msc, подробнее читайте в документации 7.

4) Контроль и подтверждение инструкций на переименование доменов. Поскольку присутствует возможность переименования существующих доменов AD, этот процесс также должен жестко контролироваться и функцию контроля как раз выполняет хозяин именования доменов.  Сам процесс переименования условно делится на два этапа — подготовка к переименованию и сам по себе факт смены имени (все задачи выполняются с помощью утилиты rendom.exe). На первом этапе происходит генерация XML-скрипта, содержание которого записывается в атрибут msDS-UpdateScript контейнера CN=Partitions,CN=Configuration,DC=corp,DC=bissquit,DC=com на примере моего домена (или контейнера CN=partitions,CN=configuration,DC=ForestRootDomain для общего случая). Этот контейнер может быть обновлен только хозяином именования доменов.

Domain naming master 04

После этого новые имена каждого переименованного домена записываются в атрибут msDS-DnsRootAlias перекрестных ссылок объектов, относящихся к этим доменам. Если бы я хотел переименовать свой домен corp.bissquit.com, то этот атрибут находился бы в CN=CORP,CN=Partitions,CN=Configuration,DC=corp,DC=bissquit,DC=com:

Domain naming master 05

Этот атрибут также может быть обновлен только хозяином именования доменов. Подробнее о процессе переименования доменов читайте в официальной документации 8.

Лучшие практики

Многие лучшие практики аналогичны принципам администрирования других ролей хозяев операций, но присутствуют и советы, характерные только для хозяина именования доменов.

1) Перед любыми изменениями имен доменов, перекрестных ссылок, разделов каталогов приложений всегда делайте резервное копирование. Перед началом выполнения этих задач вы можете отключать все контроллеры домена, которые за эту роль не отвечают. После этого делаете резервную копию оставшегося контроллера домена, выполняете все необходимы изменения и если все прошло удачно, то просто включаете заглушенные ранее DC. Если же что-то пошло не так, просто поднимаете единственный работающий на это время контроллер из резервной копии, включаете остальные и далее исследуете проблему;

2) Рекомендуется держать роли хозяина именования доменов и хозяина схемы на одном и том же контроллере домена 9 10:

На уровне леса роли хозяина схемы и хозяина именования доменов необходимо расположить на одном контроллере домена (они редко используются и должны жестко контролироваться). Кроме того, контроллер, которому присвоена роль хозяина именования доменов, должен одновременно являться сервером глобального каталога. В противном случае некоторые операции, использующие хозяин именования доменов (например создание внучатых доменов), могут завершаться неудачно.

Таким образом контроллер домена, поддерживающий роль хозяина именования доменов, должен также отвечать за роль хозяина схемы и являться глобальным каталогом (или находиться на одном сайте с контроллером домена-сервером глобального каталога).

3) Если вы по каким-либо причинам лишились сервера-хозяина именования доменов, то на любом другом контроллере домена вы можете принудительно захватить эту роль, но помните, что после этого изначальный хозяин роли не должен появиться в сети.

4) В действительности в нормально работающем окружении не существует задач (или мне они не известны), при которых потребовалось бы вручную вносить изменения в перекрестные ссылки или в разделы каталогов приложений. В любом случае не делайте этого. Если все же хотите рискнуть, см. пункт 1;

5) Процесс переименования существующих доменов хоть и полностью поддерживается, но является достаточно нетривиально задачей, требующей немало времени на подготовку 11 и тестирование. Выполните эти задачи на изолированной среде и обязательно проверьте работоспособность доменнозависимых сервисов (например Exchange). В любом случае залогом отсутствия проблем с подобными задачами является изначально правильный подход к планированию именования доменов AD, подробнее об этом читайте в моей общей статье Active Directory Domain Services и непосредственно в Пара слов про именование доменов Active Directory.

Администрирование

Как и было сказано выше, все операции по управлению именами доменов выполняются в утилите командной строки rendom.exe. Пример работы программы ниже:

Domain naming master 07

Некоторые задачи администрирования выполняются через оснастку Active Directory — домены и доверие. Например переносить роль с одного контроллера домена на другой нужно именно через эту оснастку. Допустим у вас два контроллера домена и вы хотите перенести роль хозяина схемы с DC01 на DC02:

  1. Открываем оснастку на DC01, правой кнопкой нажимаем на Active Directory — домены и доверие и выбираем Сменить контроллер домена Active Directory;
  2. Далее выбираем контроллер домена, на который мы хотим перенести роль (у меня это DC02, по умолчанию всегда выбирается сервер-владелец роли). Подтверждаем предупреждение;
  3. Снова правой кнопкой на Active Directory — домены и доверие, но уже выбираем Хозяин операций…;
  4. Нажимаем кнопку Сменить.

Domain naming master 08

После этого необходимо подтвердить выбор и получить уведомление об успешном переносе роли.

На этом обзор fsmo-роли хозяин именования доменов завершен.

Notes:

  1. What are Operations Masters?
  2. Understanding DNS Zone Replication in Active Directory Domain Services
  3. Understanding Active Directory Domain Services Integration
  4. Active Directory-Integrated Zones
  5. Display application directory partition information
  6. Understanding Domains and Forests
  7. LDAP Referrals
  8. How Operations Masters Work
  9. Размещение и оптимизация FSMO на контроллерах домена Active Directory
  10. AD DS: The schema master role and the domain naming master role should be owned by the same domain controller in the forest
  11. How Domain Rename Works
comments powered by HyperComments
2healthcare
2022-07-04 21:16:50
<strong>2satellites</strong>
writing your doctoral dissertation
2022-07-05 16:09:00
<strong>uk dissertation writing service https://professionaldissertationwriting.org/</strong>
dissertation writing assistance
2022-07-05 18:52:21
<strong>dissertation review https://professionaldissertationwriting.com/</strong>
dissertation proposal writing service
2022-07-05 20:30:28
<strong>proposal and dissertation help plan https://helpwithdissertationwritinglondon.com/</strong>
doctoral dissertation writing help
2022-07-05 22:31:39
<strong>writing a dissertation methodology https://dissertationwritingcenter.com/</strong>
writing dissertation service
2022-07-06 01:54:43
<strong>a dissertation https://dissertationhelpexpert.com/</strong>
dissertation help online
2022-07-06 03:21:18
<strong>dissertation editing services https://accountingdissertationhelp.com/</strong>
dissertation writing software
2022-07-06 07:37:23
<strong>dissertation proposal writing services https://examplesofdissertation.com/</strong>
help with dissertation proposal
2022-07-06 09:56:05
<strong>psychology dissertation https://writing-a-dissertation.net/</strong>
proposal and dissertation help plan
2022-07-06 11:18:25
<strong>phd dissertation writing service https://bestdissertationwritingservice.net/</strong>
data analysis dissertation help
2022-07-06 15:54:28
<strong>how do i write a dissertation https://businessdissertationhelp.com/</strong>
custom dissertation writing service 2019
2022-07-06 22:19:53
<strong>doctoral dissertation defense https://writingadissertationproposal.com/</strong>
writing editing service
2022-07-06 23:06:46
<strong>dissertation template https://dissertationhelpspecialist.com/</strong>
dissertation writing services uk
2022-07-07 03:35:18
<strong>dissertation help free https://dissertationhelperhub.com/</strong>
writing editing service
2022-07-07 06:41:11
<strong>chapters writing room https://customthesiswritingservices.com/</strong>
casino online real money
2022-07-25 19:53:26
<strong>gamingclub online casino https://download-casino-slots.com/</strong>
reliable online casino
2022-07-25 21:11:23
<strong>casino card games online https://firstonlinecasino.org/</strong>
trusted casino online
2022-07-25 23:50:07
<strong>goldennugget online casino https://onlinecasinofortunes.com/</strong>
minimum deposit online casino
2022-07-26 03:00:55
<strong>vegas 7 online casino https://newlasvegascasinos.com/</strong>
online casino real money michigan
2022-07-26 05:04:49
<strong>10 dollar minimum deposit usa online casino https://trust-online-casino.com/</strong>
caesar online casino
2022-07-26 07:50:18
<strong>online casino real money usa https://onlinecasinosdirectory.org/</strong>
jackpot city online casino
2022-07-26 09:17:36
<strong>best online casino promotions https://9lineslotscasino.com/</strong>
delaware online casino
2022-07-26 12:30:30
<strong>online casino no deposit codes https://free-online-casinos.net/</strong>
lucky nugget online casino
2022-07-26 15:16:58
<strong>borgata online casino new jersey https://internet-casinos-online.net/</strong>
uk online casino
2022-07-26 17:27:34
<strong>river sweep online casino https://cybertimeonlinecasino.com/</strong>
fastest withdrawal online casino
2022-07-26 20:45:37
<strong>playnet.fun online casino https://1freeslotscasino.com/</strong>
platinum reels online casino
2022-07-27 02:02:58
<strong>real money casino online https://casino-online-roulette.com/</strong>
clubwpt online poker and casino
2022-07-27 03:46:33
<strong>fanduel online casino https://casino-online-jackpot.com/</strong>
ocean casino online login
2022-07-27 06:29:20
<strong>borgata online casino bonus code https://onlineplayerscasino.com/</strong>
online casino credit card
2022-07-27 09:11:15
<strong>empire online casino https://ownonlinecasino.com/</strong>
betmgm casino online
2022-07-27 12:42:14
<strong>slots wynn online casino https://all-online-casino-games.com/</strong>
online casino live
2022-07-27 15:24:19
<strong>888 online casino nj https://casino8online.com/</strong>
free vpn apk
2022-08-07 14:46:23
<strong>best vpn for binance https://freevpnconnection.com/</strong>
hotspot vpn free
2022-08-07 17:38:53
<strong>best fee vpn https://shiva-vpn.com/</strong>
surfshark vpn
2022-08-07 21:37:59
<strong>chrome vpn extension free https://ippowervpn.net/</strong>
what is the best vpn?
2022-08-07 23:50:04
<strong>best vpn for windows 2022 https://imfreevpn.net/</strong>
what does a vpn do
2022-08-08 03:38:59
<strong>free vpn server https://superfreevpn.net/</strong>
free vpn\\
2022-08-08 04:57:30
<strong>best vpn for windows https://free-vpn-proxy.com/</strong>
business vpn internet
2022-08-08 06:56:05
<strong>vpn for pc windows 10 free https://rsvpnorthvalley.com/</strong>
best gay dating app
2022-08-23 14:59:22
<strong>torrington ct gay dating https://gay-singles-dating.com/</strong>
gay grandpa dating
2022-08-23 16:36:42
<strong>dating gay macho weho https://gayedating.com/</strong>
best gay dating sites
2022-08-23 19:12:03
<strong>dating a gay porn star https://datinggayservices.com/</strong>
dating online chat and meet
2022-08-24 13:00:09
<strong>local singles near me free https://freephotodating.com/</strong>
singles singles
2022-08-24 15:22:02
<strong>top dating https://onlinedatingbabes.com/</strong>
dating services contact germany
2022-08-24 18:06:35
<strong>dating relationships https://adult-singles-online-dating.com/</strong>
our time dating website login
2022-08-24 19:04:51
<strong>dating chat https://adult-classifieds-online-dating.com/</strong>
professional dating sites
2022-08-25 00:14:47
<strong>online dating free https://speedatingwebsites.com/</strong>
100 free chat and dating for adults free
2022-08-25 02:59:46
<strong>dating games https://datingpersonalsonline.com/</strong>
local online dating
2022-08-25 05:50:39
<strong>dating sites into trampling https://wowdatingsites.com/</strong>
free local dates
2022-08-25 06:39:25
<strong>best online dating website https://lavaonlinedating.com/</strong>
dating services contact china
2022-08-25 09:33:16
<strong>100% free dating service https://freeadultdatingpasses.com/</strong>
online singles
2022-08-25 11:53:33
<strong>singles singles https://virtual-online-dating-service.com/</strong>
free dateing sites
2022-08-25 14:07:59
<strong>spanish dating site free trial https://zonlinedating.com/</strong>
shemale dating
2022-08-25 16:50:57
<strong>free local personals https://onlinedatingservicesecrets.com/</strong>
online casino usa real money
2022-08-30 09:58:49
<strong>chumba casino online gambling https://onlinecasinos4me.com/</strong>
caesars online casino
2022-08-30 11:48:52
<strong>online casino game real money https://online2casino.com/</strong>
real vegas online casino
2022-08-30 19:47:01
<strong>online casino pennsylvania https://casinosonlinex.com/</strong>
anonymous gay cam chat
2022-09-03 02:00:06
<strong>snap chat gay boy dick https://newgaychat.com/</strong>
free 60 minute trial phone chat gay
2022-09-03 03:34:29
<strong>freer gay chat rooms https://gaychatcams.net/</strong>
free 60 minute trial phone chat gay local
2022-09-03 09:48:22
<strong>gay hot chat https://gaychatspots.com/</strong>
free gay chat nrooms
2022-09-03 16:10:07
<strong>free gay random webcam chat https://gay-live-chat.net/</strong>
gay webcam chat software
2022-09-03 19:21:26
<strong>omegle gay chat https://chatcongays.com/</strong>
free gay sex chat rooms
2022-09-04 06:37:56
<strong>reddit gay sex chat room https://gaychatnorules.com/</strong>
gay annonymous chat
2022-09-04 14:35:50
<strong>ring central gay chat rooms https://free-gay-sex-chat.com/</strong>
chat to gay
2022-09-04 22:16:30
<strong>gay cam chat roulette https://gayinteracialchat.com/</strong>
gay chatroulette chat
2022-10-20 16:55:11
<strong>google zoom gay chat room https://gaymanchatrooms.com/</strong>
buying college papers online
2022-10-20 18:16:30
<strong>where to buy resume paper https://term-paper-help.org/</strong>
write my papers discount code
2022-10-20 19:46:49
<strong>paper writing website https://sociologypapershelp.com/</strong>
where to buy papers
2022-10-20 20:33:01
<strong>buy paper online https://uktermpaperwriters.com/</strong>
help with your paper
2022-10-20 22:07:41
<strong>help writing paper https://paperwritinghq.com/</strong>
paper help writing
2022-10-20 23:48:50
<strong>buy custom paper https://writepapersformoney.com/</strong>
buy papers online for college
2022-10-21 00:48:46
<strong>buy a college paper online https://write-my-paper-for-me.org/</strong>
write my paper in apa format
2022-10-21 02:47:38
<strong>write my paper for money https://doyourpapersonline.com/</strong>
write my papers discount code
2022-10-21 05:13:28
<strong>professional paper writing service https://researchpaperswriting.org/</strong>
i will pay you to write my paper
2022-10-21 06:55:44
<strong>find someone to write my college paper https://cheapcustompaper.org/</strong>
custom paper services
2022-10-21 07:32:24
<strong>buy cheap papers online https://writingpaperservice.net/</strong>
custom paper service
2022-10-21 09:18:09
<strong>pay someone to do my paper https://buyessaypaperz.com/</strong>
purchase college papers
2022-10-21 10:09:06
<strong>buy papers online for college https://mypaperwritinghelp.com/</strong>
college paper writing service reviews
2022-10-21 11:40:36
<strong>online paper writers https://writemypaperquick.com/</strong>
paper writer services
2022-10-21 13:03:47
<strong>i don't want to write my paper https://essaybuypaper.com/</strong>
write my paper for me in 3 hours
2022-10-21 14:28:02
<strong>write my thesis paper https://papercranewritingservices.com/</strong>
papers writing service
2022-10-21 16:20:28
<strong>someone to write my paper for me https://premiumpapershelp.com/</strong>
custom papers
2022-10-21 16:54:37
<strong>do my college paper for me https://ypaywallpapers.com/</strong>
best online paper writing service
2022-10-21 18:44:31
<strong>college paper service https://studentpaperhelp.com/</strong>
3sonorous
2023-01-26 05:45:54
<strong>1incorporate</strong>
coursework plagiarism checker
2023-02-05 16:02:20
<strong>coursework in english https://courseworkninja.com/</strong>
creative writing english coursework
2023-02-05 17:46:34
<strong>creative writing english coursework https://writingacoursework.com/</strong>
coursework questions
2023-02-05 20:34:02
<strong>coursework support https://courseworkdownloads.com/</strong>
coursework writing help
2023-02-05 23:04:04
<strong>coursework only degree https://coursework-expert.com/</strong>
do my coursework for me
2023-02-06 00:50:02
<strong>coursework in english https://buycoursework.org/</strong>
do my coursework
2023-02-06 02:52:52
<strong>buy coursework https://courseworkdomau.com/</strong>
dating sex
2023-02-08 13:10:42
<strong>plenty fish free dating https://freewebdating.net/</strong>
meet woman
2023-02-08 14:14:48
<strong>a dating site https://jewish-dating-online.net/</strong>
top internet dating sites
2023-02-08 15:16:09
<strong>asian dating https://jewish-dating-online.net/</strong>
free chat online singles
2023-02-08 16:26:16
<strong>free sites https://free-dating-sites-free-personals.com/</strong>
single ladies
2023-02-08 17:54:03
<strong>meet women online https://sexanddatingonline.com/</strong>
meet girls for free
2023-02-08 19:11:09
<strong>meet me dating site free https://onlinedatingsurvey.com/</strong>
single woman free
2023-02-08 20:53:41
<strong>top online dating https://onlinedatinghunks.com/</strong>
world best dating sites
2023-02-09 00:07:54
<strong>dating sites adult https://allaboutdatingsites.com/</strong>
dating singles site
2023-02-09 02:29:16
<strong>40 online dating https://freewebdating.net/</strong>
Яндекс.Метрика