Fsmo внесение нового домена в схему сети

Рассмотрим, как произвести модификацию схемы AD, чтобы все новые политики сразу создавались с нужными правами. В нашем примере нам нужно добавить разрешение Read для группы Domain Computers. Originating DC – говорит о том, на каком контроллере были произведены последние действия с этим атрибутом, т.е. откуда пошло распространение. Большинство операций в AD можно делать на любом контроллере домена. Как правило, создается два Application-раздела, это ForestDNSZones и DomainDNSZones. Заметим, однако, что знание метрик, значение которых нужно отслеживать, – это лишь первый шаг. После появления второго и последующих контроллеров должны образоваться Репликационные связи (connection objects), указывающие на то, какой контроллер и откуда должен реплицировать изменения.

Опять же, поскольку объект перекрёстной ссылки хранится в контейнере Partitrions, данный объект может обновляться только на контроллере домена с ролью мастера именования доменов. Замедленная реакция или сбой при обращении к Operation Master. Репликация раздела осуществляется на все контроллеры домена в лесу Active Directory. Чистить метаданные вы можете при помощи утилиты Ntdsutil с командой Metadata Cleanup; После удаления метаданных вам нужно подключить сервер к сети, присоединить к домену, а затем повысить сервер до контроллера домена; На последнем шаге просто передайте роль этому контроллеру домена. Это распространенная ошибка. За создание связей, базируясь на определенной логике, отвечает служба KCC (Knowledge Consistency Checker). Самостоятельное создание связей чревато возникновением ошибок и дальнейшей путаницей. Несмотря на то, что в наше время сервера и клиентские компьютеры с операционными системами ниже Windows 2000 встретить практически невозможно, эмулятор PDC все ещё остаётся важнейшей ролью мастеров операций.
Если сразу на двух контроллерах происходит изменение атрибута, в первую очередь будет произведено сравнение номера версии. Следовательно, приходится только захватывать маркёр операций посредством отзыва роли. Но стоит помнить, что захват роли является самым радикальным методом и выполнять его нужно только в том случае, когда обладатель ролей мастеров операций вышел из строя. Внимательный читатель может задаться следующим вопросом: а что же мне делать, если мёртвый контроллер домена удалось реанимировать и как мне вернуть на этот контроллер домена обратно владение захваченной ролью?

Похожие записи: