Schemamaster – Active Directory-Schemamaster


Schema-MasterDie FSMO-Rolle des Schemamasters ist eine von zwei Rollen, die auf der Gesamtstrukturebene von Active Directory funktionieren. Das heißt, in der gesamten AD-Gesamtstruktur muss nur ein Schemamaster vorhanden sein.


Der Hauptartikel zu Active Directory ist Active Directory-Domänendienste. Lesen Sie auch andere Artikel über die Rollen der Master of Operations – FSMO – Fexible Single Master Operations.

Wenn Sie an Windows Server-Themen interessiert sind, empfehlen wir Ihnen, die Windows Server-Spalte in meinem Blog zu lesen.


Schemamaster – Active Directory-Schemamaster

Wussten Sie, dass Sie bei einer Beschädigung des AD-Schemas alle CDs in der gesamten Gesamtstruktur wiederherstellen müssen? Dies ist jedoch in der Tat der Fall, weshalb Sie beim Ändern des Schemas sehr vorsichtig sein müssen. In der Zwischenzeit eine kleine Theorie.

Theorie

Da der Schemabesitzer eine Rolle auf Gesamtstrukturebene ist, ist er immer in jeder bestimmten AD-Gesamtstruktur vorhanden. in einer einzigen Kopie… Mit anderen Worten, es gibt nur einen Domänencontroller, der das Recht hat, Änderungen / Aktualisierungen am Schema vorzunehmen. Auf jedem Domänencontroller ist jedoch eine Replik des Schemas vorhanden, und bei Bedarf kann die Rolle von jedem gewaltsam übernommen werden DC, aber dazu später mehr. In der Praxis sind Schemaänderungen äußerst selten, beispielsweise bei der Installation von Exchange Server oder anderen Anwendungen, in denen einige ihrer Daten (z. B. Konfigurationsobjekte) in AD gespeichert sind.

Obwohl Was ist ein AD-Schema? ? Es handelt sich in erster Linie um eine Reihe von Objekten und deren Attributen, die zum Speichern von Daten verwendet werden. Diese Definition erklärt nur sehr wenigen Menschen etwas. Ich werde versuchen, es Ihnen anhand eines Beispiels näher zu erläutern. Was ist ein Objekt? Beispielsweise sind die Objekte Benutzer- oder Computerkonten. In diesem Fall enthält das AD-Schema die Klasse NutzerHiermit werden alle Attribute des Benutzerkontoobjekts definiert:

Schema Master 04

Jedes Benutzerkonto in der Domäne verfügt über alle diese Attribute. Es können jedoch Attributwerte angegeben werden oder nicht. Sie können überprüfen, welche Attribute und deren Werte mein neu erstelltes Domänenadministratorkonto hat. Dazu müssen Sie zur Konsole gehen adsiedit.msc und öffnen Sie den Standardbenennungskontext. Suchen Sie das Benutzerobjekt in der Hierarchie und öffnen Sie seine Eigenschaften:

Schema Master 05

Sie können sehen, dass das Objekt alle Attribute hat, die in der Klasse definiert sind Nutzer… Wenn Sie selbst entschieden haben, sicherzustellen, dass das, was ich gesagt habe, und die Informationen, die Sie haben, unterschiedlich sind, achten Sie auf die Schaltfläche FilterEs ist möglich, dass nicht alle Attribute für Sie angezeigt werden. Sie können beispielsweise festlegen, dass nur Attribute mit Werten angezeigt werden. Objekte verwalten über adsiedit.msc Nicht die beste Idee, machen Sie es durch die entsprechenden Rigs.

Bei Interesse können Sie sich die Attribute des Exchange 2013-Serverobjekts ansehen, da Exchange dem Schema viele neue Klassen hinzufügt:

Schema Master 06

In den meisten Fällen werden Fragen zum Schema-Assistenten umgangen, und Sie müssen nur wissen, dass diese Rolle für Änderungen am AD-Schema verantwortlich ist. Das Schema wurde jedoch ursprünglich so entworfen, dass jeder Änderungen daran vornehmen kann. Das heißt, Drittanbieter können ihre Anwendungen so gestalten, dass sie ihre Daten in AD speichern. Zu diesem Zweck haben offizielle Quellen viele umfangreiche Leitfäden. Einige von ihnen sind auch in russischer Sprache erhältlich Sprache.

Best Practices

Das AD-Schema ist für den Zustand von Active Directory von grundlegender Bedeutung und muss daher ordnungsgemäß verwaltet werden, obwohl es in den meisten Fällen einfach vergessen wird. Best Practices für die Schemaverwaltung sind unten aufgeführt.

1) Vor dem Umschalten immer Erstelle eine Sicherung… Vor dem Schemaänderungsprozess können Sie alle Domänencontroller herunterfahren, außer natürlich denjenigen, der diese Rolle beherrscht. Erstellen Sie anschließend eine Sicherungskopie des Domänencontrollers, nehmen Sie alle erforderlichen Änderungen vor. Wenn alles ordnungsgemäß funktioniert hat, schalten Sie einfach den zuvor stummgeschalteten Domänencontroller ein. Wenn etwas schief gelaufen ist, heben Sie einfach den einzigen Controller, der zu diesem Zeitpunkt arbeitet, aus der Sicherungskopie, schalten Sie den Rest ein und untersuchen Sie das Problem weiter.

2) Es wird empfohlen, die Domänennamen-Master- und Schema-Master-Rollen auf demselben Domänencontroller zu belassen ::

Auf Gesamtstrukturebene müssen sich die Schemamaster- und Domänennamen-Masterrollen auf demselben Domänencontroller befinden (sie werden selten verwendet und sollten streng kontrolliert werden). Darüber hinaus muss ein Controller, dem die Masterrolle für die Domänenbenennung zugewiesen wurde, auch ein globaler Katalogserver sein. Andernfalls schlagen einige Vorgänge mit dem Domänennamen-Master (z. B. das Erstellen von Enkelkindern) möglicherweise fehl.

Somit ein Domänencontroller, der unterstützt Die Schema-Master-Rolle muss auch für die Domain-Namens-Master-Rolle verantwortlich sein und der globale Katalog sein.

3) Wenn Sie aus irgendeinem Grund den Master-Server des Schemas verloren haben, können Sie diese Rolle auf jedem anderen Domänencontroller zwangsweise übernehmen. Denken Sie jedoch daran, dass danach das Original vorhanden ist Der Schemabesitzer sollte nicht im Netzwerk angezeigt werden.

4) Sofern nicht unbedingt erforderlich Nehmen Sie Schemaänderungen nicht manuell vor… Wenn dies in jedem Fall noch getan werden muss, siehe Punkt 1.

Wir bewegen uns reibungslos von der Theorie in die Praxis.

Schemaverwaltung

Zunächst sollte gesagt werden, dass Sie mindestens die Rechte haben müssen, um das System zu verwalten Schema Admin… Alle anderen autorisierten Benutzer haben schreibgeschützte Rechte, obwohl die Berechtigungen grundsätzlich geändert werden können. … Die meisten Verwaltungsaufgaben werden im Snap-In ausgeführt, um das standardmäßig nicht verfügbare Active Directory-Schema zu verwalten und zu aktivieren müssen Sie die Bibliothek registrieren schmmgmt.dll… Führen Sie dazu die Befehlszeile mit Administratorrechten aus und führen Sie Folgendes aus:

Schema Master 01

Wir erhalten eine Benachrichtigung:

Schema Master 02

Danach in der Konsole MMC Sie können einen Schnappschuss finden Activeема Active Directory… Der Befehl muss auf jedem Domänencontroller ausgeführt werden, auf dem Sie das Schema verwalten möchten.

Angenommen, Sie haben zwei Domänencontroller und möchten die Schema-Master-Rolle von DC01 nach DC02 verschieben:

  1. Öffnen Sie den Snap auf DC01 und klicken Sie mit der rechten Maustaste auf Activeема Active Directory und wähle Active Directory-Domänencontroller ändern;
  2. Wählen Sie als Nächstes den Domänencontroller aus, auf den die Rolle übertragen werden soll (für mich ist es DC02, standardmäßig ist immer der Server ausgewählt, dem die Rolle gehört). Wir bestätigen die Warnung;
  3. Klicken Sie erneut mit der rechten Maustaste auf Activeема Active Directory, aber wir wählen schon Operations Master …;;
  4. Klicken Sie auf die Schaltfläche Ändern.

Schema Master 03

Danach müssen Sie Ihre Auswahl bestätigen und eine Benachrichtigung über die erfolgreiche Übertragung der Rolle erhalten.

Dies vervollständigt die Übersicht über die Schema-Master-Fsmo-Rolle. Vielleicht werde ich den Artikel in naher Zukunft mit Anweisungen ergänzen, wie die Übernahme der Rolle durch andere Domänencontroller erzwungen werden kann.

Kommentare bereitgestellt von HyperComments

Leave a Reply

Your email address will not be published. Required fields are marked *