Domain-Namensmaster – Domain-Namensmaster


Domain-NamensmasterDer Domänennamen-Master für die fsmo-Rolle ist die zweite Rolle auf Gesamtstrukturebene (zusammen mit dem Schema-Master), dh, in jeder bestimmten Gesamtstruktur muss Active Directory Es gibt nur einen Domänencontroller – den Eigentümer der Rolle.


Der Hauptartikel zu Active Directory ist Active Directory-Domänendienste. Lesen Sie auch andere Artikel über die Rollen der Master of Operations – FSMO – Fexible Single Master Operations.

Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, die Windows Server-Spalte in meinem Blog zu lesen.


Domain-Namensmaster – Domain-Namensmaster

Dies ist eine der FSMO-Rollen, die möglicherweise viel seltener als andere benötigt werden. Unterschätzen Sie jedoch nicht seine Bedeutung.

Theorie

In grober Näherung ist der Domänennamen-Master für das Umbenennen oder Erstellen neuer Domänen verantwortlich. Dies ist wahr, aber es gibt einige andere Aufgaben, die nur von Domänencontrollern in dieser Rolle ausgeführt werden. Nach offiziellen Angaben Auf Technet lautet die vollständige Liste der Aufgaben wie folgt:

1) Hinzufügen oder Entfernen von Domains. Der Domänennamen-Master ist für die Eindeutigkeit der Namen jeder Domäne in der Gesamtstruktur verantwortlich und erlaubt nicht das Hinzufügen von Domänen mit doppelten Namen. Alle Vorgänge im Zusammenhang mit Änderungen der Domänennamen müssen vom Eigentümer dieser fsmo-Rolle bestätigt werden. Wenn der Rolleninhaber aus irgendeinem Grund nicht verfügbar ist, können Sie den Domänennamen natürlich nicht hinzufügen / entfernen / ändern.

2) Hinzufügen oder Entfernen von Partitionen von Anwendungsverzeichnissen. Zunächst lohnt es sich, ein wenig über Anwendungsverzeichnispartitionen zu erzählen. Hierbei handelt es sich um spezielle Partitionen, die auf Domänencontrollern (Versionen 2003 und höher, 2000 – nur Konfigurations- und Schemadaten) erstellt werden können, um dynamische Daten im LDAP-Speicher zu speichern. Die Daten in diesen Partitionen werden auch auf alle Domänencontroller repliziert, wodurch ein höheres Maß an Sicherheit und Verfügbarkeit gewährleistet wird. Beispielsweise werden Anwendungspartitionen von DNS verwendet (weshalb sie als Active Directory-integriertes DNS bezeichnet werden). Bei der Installation werden zwei Partitionen unterhalb der Gesamtstruktur-Stammdomäne in der Domänenhierarchie erstellt. Eine Partition für die Gesamtstruktur (ForestDnsZones) und eine für die Domäne (DomainDnsZones). Sie können diese Zonen im DNS-Snap-In sehen:

Domain-Namensmaster 01

DNS bietet viele Vorteile in Bezug auf Replikationsgeschwindigkeit, Zuverlässigkeit und Sicherheit bei Verwendung der Application Directory-Partition. Zusätzlich werden einige neue Funktionen hinzugefügt. Weitere Informationen zu AD-integrierten DNS-Diensten finden Sie in der offiziellen Dokumentation … Ich möchte Sie daran erinnern, dass Sie AD-Integrated DNS nur nutzen können, wenn alle Domänencontroller auf Version 2003 aktualisiert wurden ::

Windows Server 2003 DNS Active Directory speichert Zonendaten in Anwendungsverzeichnispartitionen. Die Domänenpartition war die einzige Active Directory-Speicheroption in Windows 2000 Server und ist aus Gründen der Abwärtskompatibilität in Windows Server 2003 DNS verfügbar. Die folgenden DNS-spezifischen Anwendungsverzeichnispartitionen werden während der Active Directory-Installation erstellt:
– Eine gesamtstrukturweite Anwendungsverzeichnispartition namens ForestDnsZones.
– Domänenweite Anwendungsverzeichnispartitionen für jede Domäne in der Gesamtstruktur mit dem Namen DomainDnsZones.

Sie können die aktuellen Verzeichnispartitionen mit dem Dienstprogramm ntdsutil anzeigen ::

Domain-Namensmaster 02

Lesen Sie mehr über das Funktionsprinzip von Anwendungskatalogabschnitten und deren Verwaltung auf Technet … Wie oben erwähnt, ist die Funktionalität von Anwendungsverzeichnispartitionen in Windows Server 2000 nicht verfügbar.

Wenn das Master-Rollenmedium für die Domänenbenennung nicht verfügbar ist, schlagen Vorgänge mit Anwendungsverzeichnispartitionen fehl.

3) Hinzufügen oder Entfernen von Querverweisen von Objekten zu oder aus externen Verzeichnissen. Querverweise sind erforderlich, damit jeder Domänencontroller alle Verzeichnispartitionen in der Gesamtstruktur versteht, nicht nur die von ihm unterstützten. Querverweise liegen im Datensatzformat vor crossRef und sind im Abschnitt gespeichert AufbauDies gilt für alle Domänencontroller in der Domäne.

Es gibt zwei Arten von Querverweisen: interne und externe. Interne Links werden vom System automatisch generiert. Wenn Sie beispielsweise eine neue Gesamtstruktur erstellen, erstellt der Assistent drei Verzeichnispartitionen – die primäre Domänenverzeichnispartition, die Konfigurationsverzeichnispartition und die Schemaverzeichnispartition. Querverweise werden automatisch für jeden Abschnitt des Katalogs erstellt und befinden sich im Container CN = Partitionen, CN = Konfiguration, DC = corp, DC = bissquit, DC = com am Beispiel meiner Domain – corp.bissquit.com (oder Container CN = Partitionen, CN = Konfiguration, DC = ForestRootDomain für den allgemeinen Fall, in dem CN der gebräuchliche Name ist, OU der Abschnitt ist, DC die Klasse des Domänenobjekts ist). Ähnliche Verzeichnispartitionen werden erstellt, wenn einer vorhandenen Gesamtstruktur eine neue Domäne hinzugefügt wird.

Domain-Namensmaster 03

Externe Querverweise werden von Administratoren manuell erstellt, wenn sie die Speicherorte von Objekten außerhalb der AD-Gesamtstruktur explizit deklarieren müssen. Mit dem Snap-In können Sie Querverweise erstellen adsiedit.mscLesen Sie mehr in der Dokumentation .

4) Kontrolle und Bestätigung von Anweisungen zum Umbenennen von Domains. Da es möglich ist, vorhandene AD-Domänen umzubenennen, muss dieser Prozess ebenfalls streng kontrolliert werden und die Steuerfunktion wird vom Domänennamen-Master ausgeführt. Der Umbenennungsprozess selbst ist bedingt in zwei Phasen unterteilt: Vorbereitung auf die Umbenennung und Änderung des Namens an sich (alle Aufgaben werden mit dem Dienstprogramm ausgeführt rendom.exe). In der ersten Phase wird ein XML-Skript generiert, dessen Inhalt in das Attribut geschrieben wird msDS-UpdateScript Container CN = Partitionen, CN = Konfiguration, DC = corp, DC = bissquit, DC = com mit meiner Domain (oder Container) CN = Partitionen, CN = Konfiguration, DC = ForestRootDomain für den allgemeinen Fall). Dieser Container kann nur vom Domänennamen-Master aktualisiert werden.

Domain-Namensmaster 04

Die neuen Namen für jede umbenannte Domäne werden dann in das Attribut msDS-DnsRootAlias ​​der Querverweise von Objekten geschrieben, die zu diesen Domänen gehören. Wenn ich meine Domain corp.bissquit.com umbenennen wollte, wäre dieses Attribut in CN = CO, CN = Partitionen, CN = Konfiguration, 600 = Corp, bissquit = 600, 600 = com::

Domain-Namensmaster 05

Dieses Attribut kann auch nur vom Domänennamen-Master aktualisiert werden. Weitere Informationen zum Umbenennen von Domains finden Sie in der offiziellen Dokumentation .

Best Practices

Viele Best Practices ähneln denen für die Verwaltung anderer Betriebsmaster-Rollen, es gibt jedoch auch Tipps, die für einen Domänennamen-Master spezifisch sind.

1) Vor Änderungen an Domainnamen, Querverweisen und Anwendungsverzeichnisabschnitten immer sichern… Bevor Sie diese Aufgaben starten, können Sie alle Domänencontroller herunterfahren, die nicht für diese Rolle verantwortlich sind. Erstellen Sie danach eine Sicherungskopie des verbleibenden Domänencontrollers, nehmen Sie alle erforderlichen Änderungen vor. Wenn alles gut gelaufen ist, schalten Sie einfach den zuvor stummgeschalteten DC ein. Wenn etwas schief gelaufen ist, heben Sie einfach den einzigen Controller, der zu diesem Zeitpunkt arbeitet, aus der Sicherungskopie, schalten Sie den Rest ein und untersuchen Sie das Problem weiter.

2) Es wird empfohlen, die Domänennamen-Master- und Schema-Master-Rollen auf demselben Domänencontroller zu belassen ::

Auf Gesamtstrukturebene müssen sich die Schemamaster- und Domänennamen-Masterrollen auf demselben Domänencontroller befinden (sie werden selten verwendet und sollten streng kontrolliert werden). Darüber hinaus muss ein Controller, dem die Masterrolle für die Domänenbenennung zugewiesen wurde, auch ein globaler Katalogserver sein. Andernfalls schlagen einige Vorgänge mit dem Domänennamen-Master (z. B. das Erstellen von Enkelkindern) möglicherweise fehl.

Daher der Domänencontroller, der die Rolle unterstützt Der Domänennamen-Master muss auch für die Schema-Master-Rolle verantwortlich sein und der globale Katalog sein (oder sich am selben Standort wie ein globaler Katalogserver-Domänencontroller befinden).

3) Wenn Sie aus irgendeinem Grund Ihren Master-Server für die Domänenbenennung verloren haben, können Sie diese Rolle auf jedem anderen Domänencontroller zwangsweise übernehmen. Denken Sie jedoch daran, dass Sie danach Der ursprüngliche Eigentümer der Rolle darf nicht im Netzwerk angezeigt werden.

4) In der Realität gibt es in einer normal arbeitenden Umgebung keine Aufgaben (oder mir sind sie nicht bekannt), die manuelle Änderungen an Querverweisen oder Abschnitten von Anwendungsverzeichnissen erfordern würden. Tu es trotzdem nicht… Wenn Sie dennoch das Risiko eingehen möchten, lesen Sie Absatz 1;

5) Das Umbenennen vorhandener Domänen ist zwar vollständig unterstützt, aber keine triviale Aufgabe, deren Vorbereitung viel Zeit in Anspruch nimmt und testen. Führen Sie diese Aufgaben in einer isolierten Umgebung aus und stellen Sie sicher, dass Sie dies tun Überprüfen Sie die Leistung domänenabhängiger Dienste (zum Beispiel Exchange). In jedem Fall ist die Garantie für das Fehlen von Problemen mit solchen Aufgaben der anfangs korrekte Ansatz für die Planung der Benennung von AD-Domänen. Weitere Informationen hierzu finden Sie in meinem allgemeinen Artikel zu Active Directory-Domänendiensten und direkt in einigen Worten zur Benennung von Active Directory Domänen.

Verwaltung

Wie oben erwähnt, werden alle Vorgänge zum Verwalten von Domänennamen im Befehlszeilenprogramm rendom.exe ausgeführt. Ein Beispiel für die Funktionsweise des Programms:

Domain-Namensmaster 07

Über das Active Directory-Snap-In werden mehrere Verwaltungsaufgaben ausgeführt – Domänen und Vertrauensstellungen. Beispielsweise müssen Sie über dieses Snap-In eine Rolle von einem Domänencontroller auf einen anderen übertragen. Angenommen, Sie haben zwei Domänencontroller und möchten die Schema-Master-Rolle von DC01 nach DC02 verschieben:

  1. Öffnen Sie den Snap auf DC01 und klicken Sie mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen und wähle Ändern Sie den Active Directory-Domänencontroller;;
  2. Wählen Sie als Nächstes den Domänencontroller aus, auf den die Rolle übertragen werden soll (für mich ist es DC02, standardmäßig ist immer der Server ausgewählt, dem die Rolle gehört). Wir bestätigen die Warnung;
  3. Klicken Sie erneut mit der rechten Maustaste auf Active Directory-Domänen und -Vertrauensstellungen, aber wir wählen schon Operations Master …;;
  4. Klicken Sie auf die Schaltfläche Ändern.

Domain-Namensmaster 08

Danach müssen Sie Ihre Auswahl bestätigen und eine Benachrichtigung über die erfolgreiche Übertragung der Rolle erhalten.

Damit ist die Übersicht über die fsmo-Rolle des Domänennamen-Masters abgeschlossen.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *