Cosa sono i FSMO Roles in Active Directory?

da | Mag 11, 2011

Active directory è molto di più di uno strumento che permette di creare utenti su un server attraverso un Wizard. La gran parte degli utenti ignora teorie fondamentali su questo argomento.

Spesso si sente parlare di FSMO (Flexible Single Master Operation). Questi ruoli sono basilari per il funzionamento di un dominio Active Directory. Ma cosa sono?

Ora, in Active Directory tutti i controller di dominio sono uguali e una modifica fatta su uno viene aggiornata su tutti gli altri (nell’arco di 5 minuti di norma e non ci sono errori di replica!). Per prevenire certi aggiornamenti che potrebbero creare conflitti esistono i cosidetti Operation Masters.

Visto che il ruolo di Operation Master può essere spostato da un server all’altro questo deve essere flessibile e può esistere un solo Operation Master. I ruoli FSMO (che in inglese viene pronunciato fizz-mo) sono: Schema Master, RID Master, Domain Naming Master, PDC Emulator e Infrastructure Master.

Schema Master – Questo ruolo ha il controllo completo sugli aggiornamenti dello schema. Gli aggiornamenti effettuati allo schema di Active Directory sullo Schema Master sono replicati sugli altri domain controller nel dominio. Se devi installare software che comportano modifiche allo schema (come Exchange Server) controllare che lo Schema Master sia online. Per ogni Forest può esistere un solo Schema Master.

Domain Naming Master – Questo ruolo si occupa dell’aggiunta o rimozione di domini da una foresta. Se hai difficoltà ad aggiungere nuovi domini o child domain controlla che il tuo Domain Naming Master si online e operativo.

Infrastructure Master – Il ruolo di Infrastructure Master è il responsabile degli aggiornamenti degli oggetti SID e DN. Questo ruolo NON può essere inserito dove è in funzione il Global Catalog a meno che tutti i DC non siano Global Catalog. Se è installato su un Global Catalog non verrà replicato. Questo perchè replica unicamente modifiche che non hanno un riferimento e perchè il Global Catalog detiene informazioni su tutti gli oggetti non vedrà mai oggetti senza riferimento.
PDC Emulator – Uno dei ruoli più importanti è il PDC Emulator. Se stai utilizzando un ambiente in cui sono inseriti ancora dei server Windows NT4 BDC (aka Backup Domain Controller) questo ruolo emula il PDC (aka Primary Domain Controller). Se stai utilizzando Domain Controller con server windows 2000 / 2003 questo ruolo non è importante. Il PDC Emulator si occupa di modifiche password, blocco account e log password errate. Può esistere un solo PDC Emulator per dominio.
RID Master – Il RID (Relative Identifier) Master ha due ruoli: il primo è responsabile della gestyione dei RID pools sui DC. Quando un DC viene avviato gli viene dato un set di RID per inserire gli oggetti creati su di esso. Quando questi finiscono il RID Master gli conferisce un nuovo blocco di RID. I RID sono usati come SID per i domini per creare un unico SID per i nuovi oggetti. Il RID Master gestisce anche il movimento di oggetti tra un dominio e un altro. Può esistere un solo RID master per Forest

Per determinare i ruoli che detiene il tuo server utilizza ntdsutil.exe:

]ntdsutil
domain management
connections
connect to server {servername}
quit
select operations target
list roles for connected server

Scritto da Raffaele Chiatto

Sono Raffaele Chiatto, un appassionato di informatica a 360 gradi.
Tutto è iniziato nel 1996, quando ho scoperto il mondo dell'informatica grazie a Windows 95, e da quel momento non ho più smesso di esplorare e imparare.
Ogni giorno mi dedico con curiosità e passione a scoprire le nuove frontiere di questo settore in continua evoluzione.

Articoli Recenti

Veeam Backup

Monitoring

Friends

  • My English Lab  English School
  • ChrSystem   Infrastrutture IT
  • ACT For Cange  Mental Coach
  • Since 01  Kreative Graphics

Database

Networking

Autori

  • Raffaele Chiatto  Amministratore
  • Marco Valle  Autore Collaboratore

Related Post

6 Commenti

  1. WebMaster

    Grazie per la precisazione ….

  2. I primi due ruoli sono di foresta, gli altri di dominio 🙂

  3. WebMaster

    Dimenticavo di dirti che di solito la disposizione dei ruoli varia molto in base all architettura dell infrastruttura e alle esigenze del cliente. Ciao

  4. WebMaster

    Sarebbe bene che tutti i DC siano GC così in caso di fault di uno qualsiasi dei DC avrai il ruolo global catalog su un altro senza doverti preoccupare di promuoverlo all occorrenza. https://technet.microsoft.com/it-it/library/cc678193.aspx
    A questo link ti spiega meglio il tutto ma personalmente preferisco promuovere tutti i DC o quasi a GC così da avere una copia su tutti i domain controller . Ciao

  5. è possibile chiarire questo: “L’Infrastructure Master non deve mai essere lo stesso Domain Controller che ricopre il ruolo di Global Catalog”.
    Generalmente mi capita che installo un server principale che ricopre i 5 ruoli fsmo ed è anche GC, poi nel tempo aggiungo dc aggiuntivi di solito sono anche loro GC… ma non è detto.
    Per una “best pratice” è bene quindi spostare il ruolo Infrastructure Master su un server non GC oppure assicurarsi che tutti i DC siano GC ?
    Grazie

  6. Puo’ esistere un solo RID Master per Dominio e non per foresta…

    Ottima guida..

    Ciao
    Daniel

Invia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Virtualizzazione

Linux

Microsoft

Apple

Backup

Database

Security

Automazione