FSMO-роль господар схеми (Schema master) є однією з двох ролей, що функціонують на рівні лісу Active Directory. Тобто у всьому лісі AD необхідно мати лише одного господаря схеми.
Якщо вам цікава тематика Windows Server, рекомендую звернутися до рубрики Windows Server на моєму блозі.
Господар схеми - Теорія
Оскільки господар схеми - роль рівня лісу, то в кожному конкретному лісі AD вона існує завжди в єдиному екземплярі. Іншими словами існує тільки один контролер домену, який має право вносити зміни / оновлення в схему, проте репліка схеми присутній на кожному контролері домену і при необхідності роль може бути захоплена примусово будь-яким DC, але про це пізніше. На практиці зміни схеми відбуваються вкрай рідко, наприклад при установці сервера Exchange або інших додатків, які зберігають деякі свої дані (наприклад об'єкти конфігурації) в AD.
Все-таки що таке схема AD 1. Це перш за все набір об'єктів і їх атрибутів, які використовуються для зберігання даних. Мало кому це визначення щось пояснює, спробую розповісти більш детально на прикладі. Що таке об'єкт? Наприклад об'єктами є облікові записи користувачів або комп'ютерів. В даному випадку в схемі AD знаходиться клас user. який визначає всі атрибути об'єкта облікового запису користувача:
Ви можете побачити, що об'єкт має всі атрибути, які визначені в класі user. Якщо ви самі вирішили переконатися у сказаному мною і інформація у вас різниться, то зверніть увагу на кнопку Фільтр. можливо у вас показуються не всі атрибути. Наприклад можна зробити так, щоб відображались атрибути тільки мають значення. Адмініструвати об'єкти через adsiedit.msc не найкраща витівка, робіть це через відповідні оснастки.
У більшості випадків питання щодо майстра схеми обходять стороною і досить лише знати, що ця роль відповідає за внесення змін до схеми AD. Проте схема спочатку створювалася таким чином, щоб в неї міг вносити зміни хто завгодно. Тобто сторонні компанії можуть розробляти свої програми таким чином, щоб вони зберігали свої дані в AD. Для цього на офіційних джерелах є безліч об'ємних гайдів 2 3 4. деякі з них доступні і російською 5 мовою.
Кращі практики
Схема AD має принципово важливе значення для працездатності Active Directory, а тому потребує відповідного адмініструванні, хоч і про неї в більшості випадків просто забувають. Нижче сформульовані кращі практики адміністрування схеми.
2) рекомендується брати ролі майстра іменування доменів і господаря схеми на одному і тому ж контролері домену 6 7:
На рівні лісу ролі господаря схеми і господаря іменування доменів необхідно розташувати на одному контролері домену (вони рідко використовуються і повинні жорстко контролюватися). Крім того, контролер, якому привласнена роль господаря іменування доменів, повинен одночасно бути сервером глобального каталогу. В іншому випадку деякі операції, що використовують господар іменування доменів (наприклад створення онучатих доменів), можуть завершуватися невдало.
Таким чином контролер домену, який підтримує роль господаря схеми, повинен також відповідати за роль майстра іменування доменів і бути глобальним каталогом.
3) Якщо ви з яких-небудь причин втратили сервера-господаря схеми, то на будь-якому іншому контролері домену ви можете примусово захопити цю роль, але пам'ятайте, що після цього початковий господар схеми не повинен з'явитися в мережі.
4) Без крайньої на те необхідності не виконуйте зміни схеми вручну. Якщо це все ж потрібно зробити в будь-якому випадку, див. Пункт 1.
Від теорії плавно переходимо до практики.
адміністрування схеми
Після цього в консолі MMC ви зможете знайти оснастку Схема Active Directory. Виконувати команду необхідно на кожному контролері домена, на якому планується займатися адмініструванням схеми.
Припустимо у вас два контролера домену і ви хочете перенести роль господаря схеми з DC01 на DC02:
- Відкриваємо оснащення на DC01, правою кнопкою натискаємо на Схема Active Directory і вибираємо Змінити контролер домену Active Directory;
- Далі вибираємо контролер домену, на який ми хочемо перенести роль (у мене це DC02, за замовчуванням завжди вибирається сервер-власник ролі). Підтверджуємо попередження;
- Знову правою кнопкою на Схема Active Directory, але вже вибираємо Господар операцій ...;
- Натискаємо кнопку Змінити.
Після цього необхідно підтвердити вибір і отримати повідомлення про успішне перенесення ролі.
На цьому огляд fsmo ролі господар схеми завершено, можливо в найближчому майбутньому доповню статтю інструкцією по примусовому захоплення ролі іншими контролерами домену.