Il tuo indirizzo IP è 162.158.62.162     

Ruoli Master Operazioni (FSMO)

Scritto da Alessio Carta il . Inserito in Windows Server

Active Directory supporta la replica multimaster dell'archivio dati della directory tra tutti i controller di dominio nel dominio: a partire da Windows 2000 infatti tutti i controller di dominio sono uguali e una modifica fatta su uno viene aggiornata su tutti gli altri. Non esistono più i concetti di controller di dominio primario e di backup.

Trasferimento forzato dei ruoli master operazioni

Scritto da Alessio Carta il . Inserito in Windows Server

Alcuni ruoli di master operazioni, detti anche FSMO (Flexible Single Master Operations), sono fondamentali per il funzionamento della rete. Se un master operazioni non è disponibile a causa di un errore del computer o di problemi di rete, è possibile requisirne il ruolo.


Questa operazione, conosciuta anche come seize di ruoli FSMO, non è altro che un trasferimento forzato del ruolo di master operazioni. Ovviamente è sconsigliato requisire un ruolo se esiste la possibilità di trasferirlo.Il trasferimento forzato di un ruolo di master operazioni è in genere un intervento drastico, da prendere in considerazione solo se il master operazioni corrente non sarà più disponibile. E’ importante non riportare mai in linea un controller di dominio il cui ruolo master sia stato requisito.


Le operazioni di seize vengono effettuate con lo strumento da riga di comando Ntdsutil.exe, che fornisce funzionalità di gestione avanzata per Active Directory, consentendo di eseguire operazioni di manutenzione del database di Active Directory, gestire e controllare operazioni per singolo master ed eliminare i metadati residui di controller di dominio che sono stati rimossi dalla rete senza essere stati disinstallati correttamente. Questo strumento è stato sviluppato per amministratori esperti.

 

Nelle tabelle sottostanti descriveremo le procedure di seize per i cinque ruoli FSMO:

 

 

Master schema

 

L'assenza temporanea del master schema non è visibile agli utenti della rete. Neanche gli amministratori della rete sono in grado di rilevare questa condizione, a meno che non tentino di modificare lo schema o installare un'applicazione che modifica lo schema durante l'installazione.

Per requisire il ruolo di master schema, accedere a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo amministratori.


Digitare:

ntdsutil

Al prompt dei comandi "ntdsutil" digitare:

roles

Al prompt dei comandi "fsmo maintenance" digitare:

connections

Al prompt dei comandi "server connections" digitare:

connect to server ControllerDominio

Al prompt dei comandi "server connections" digitare:

quit

Al prompt dei comandi "fsmo maintenance" digitare:

seize schema master

N.B.: Il valore ControllerDominio identifica il controller di dominio al quale si desidera assegnare il nuovo ruolo di master operazioni.

 

 

Master dei nomi di dominio

 

La perdita temporanea del master dei nomi di dominio non è visibile agli utenti della rete. Neanche gli amministratori della rete sono in grado di rilevare tale condizione, a meno che non tentino di aggiungere un dominio all'insieme di strutture o di rimuovere un dominio dall'insieme.

Per requisire il ruolo di master dei nomi di dominio, accedere a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo amministratori. Prima di requisire il ruolo di master dei nomi di dominio, utilizzare lo strumento della riga di comando repadmin per verificare se il nuovo master operazioni ha ricevuto aggiornamenti eseguiti dal precedente titolare del ruolo, quindi rimuovere il master operazioni corrente dalla rete.


Dalla riga di commando, digitare:

ntdsutil

Al prompt dei comandi "ntdsutil" digitare:

roles

Al prompt dei comandi "fsmo maintenance" digitare:

connections

Al prompt dei comandi "server connections" digitare:

connect to server ControllerDominio

Al prompt dei comandi "server connections" digitare:

quit

Al prompt dei comandi "fsmo maintenance" digitare:

seize domain naming master

N.B.: Il valore ControllerDominio identifica il controller di dominio al quale si desidera assegnare il nuovo ruolo di master operazioni.

 

 

Master RID

 

La perdita temporanea del master RID non è visibile agli utenti della rete. Neanche gli amministratori della rete sono in grado di rilevare tale condizione, a meno che non tentino di creare degli oggetti in un dominio in cui non sono più disponibili ID relativi (RID).

Per requisire il ruolo di master RID, accedere a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo amministratori. Prima di requisire il ruolo di master RID, utilizzare lo strumento della riga di comando repadmin per verificare se il nuovo master operazioni ha ricevuto aggiornamenti eseguiti dal precedente titolare del ruolo, quindi rimuovere il master operazioni corrente dalla rete.

 

Dalla riga di commando, digitare:

ntdsutil

Al prompt dei comandi "ntdsutil" digitare:

roles

Al prompt dei comandi "fsmo maintenance" digitare:

connections

Al prompt dei comandi "server connections" digitare:

connect to server ControllerDominio

Al prompt dei comandi "server connections" digitare:

quit

Al prompt dei comandi "fsmo maintenance" digitare:

seize RID master

N.B.: Il valore ControllerDominio identifica il controller di dominio al quale si desidera assegnare il nuovo ruolo di master operazioni.

 

 

Master emulatore PDC

 

La perdita del master emulatore PDC (Primary Domain Controller) influisce sulle attività degli utenti della rete. Pertanto, quando il master emulatore PDC non è disponibile è possibile che sia necessario requisire immediatamente il ruolo.

Per requisire il ruolo di master emulatore PDC, accedere a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo amministratori. Prima di requisire il ruolo di master emulatore PDC, utilizzare lo strumento della riga di comando repadmin per verificare se il nuovo master operazioni ha ricevuto aggiornamenti eseguiti dal precedente titolare del ruolo, quindi rimuovere il master operazioni corrente dalla rete.

 

Dalla riga di commando, digitare:

ntdsutil

Al prompt dei comandi "ntdsutil" digitare:

roles

Al prompt dei comandi "fsmo maintenance" digitare:

connections

Al prompt dei comandi "server connections" digitare:

connect to server ControllerDominio

Al prompt dei comandi "server connections" digitare:

quit

Al prompt dei comandi "fsmo maintenance" digitare:

seize PDC

N.B.: Il valore ControllerDominio identifica il controller di dominio al quale si desidera assegnare il nuovo ruolo di master operazioni.

 

 

Master infrastrutture

 

La perdita temporanea del master infrastrutture non è visibile agli utenti della rete. Neanche gli amministratori della rete sono in grado di rilevare tale condizione, a meno che non abbiano recentemente spostato o rinominato un numero elevato di account.

Se il master infrastrutture non è disponibile per un periodo di tempo eccessivamente lungo, è possibile requisire il ruolo per trasferirlo a un controller di dominio che non sia un catalogo globale.

Per requisire il ruolo di master infrastrutture, accedere a un controller di dominio basato su Windows 2000 Server o Windows Server 2003 presente nell'insieme di strutture in cui devono essere trasferiti i ruoli FSMO. Si consiglia di effettuare l'accesso al controller di dominio a cui si stanno assegnando i ruoli FSMO. L'utente connesso deve essere un membro del gruppo amministratori. Prima di requisire il ruolo di master infrastrutture, utilizzare lo strumento della riga di comando repadmin per verificare se il nuovo master operazioni ha ricevuto aggiornamenti eseguiti dal precedente titolare del ruolo, quindi rimuovere il master operazioni corrente dalla rete.

 

Dalla riga di commando, digitare:

ntdsutil

Al prompt dei comandi "ntdsutil" digitare:

roles

Al prompt dei comandi "fsmo maintenance" digitare:

connections

Al prompt dei comandi "server connections" digitare:

connect to server ControllerDominio

Al prompt dei comandi "server connections" digitare:

quit

Al prompt dei comandi "fsmo maintenance" digitare:

seize infrastructure master

N.B.: Il valore ControllerDominio identifica il controller di dominio al quale si desidera assegnare il nuovo ruolo di master operazioni.

 


Active Directory e i domini - definizioni

Scritto da Alessio Carta il . Inserito in Windows Server

Un servizio di directory identifica tutte le risorse nella rete e fa sì che le informazioni siano disponibili agli utenti e alle applicazioni, in maniera centralizzata e distribuita. I servizi di directory sono importanti perché forniscono l'accesso ai nomi dei dispositivi in rete, alle descrizioni di oggetti, alle zone protette o a libero accesso, agli accessi stessi, alla gestione degli utenti, e mettono in sicurezza le informazioni su tutte queste risorse.


Active Directory è il servizio di directory in tutta la famiglia Windows server 2003: fornisce dunque le funzionalità per organizzare, gestire e controllare in maniera centralizzata l'accesso alle risorse di rete, in maniera trasparente rispetto alla topologia di rete ed al protocollo utilizzato.


La struttura logica di Active Directory

Dominio

L'unità centrale della struttura logica in Active directory è il dominio. Un dominio è un gruppo di oggetti (computer, stampanti, gruppi, etc..) che condivide un unico database di servizio directory. Un dominio Active Directory corrisponde al dominio DNS, ovvero può condividere la stessa struttura gerarchica dei nomi: è proprio sul DNS che Active Directory basa tutto il suo funzionamento, infatti per ogni nuovo dominio Active Directory dev'esserci almeno un server DNS.

Albero

Un albero è un insieme di domini nella foresta che condividono uno spazio dei nomi contiguo. Vi è una relazione di fiducia transitiva tra domini padre e figlio: quando si aggiunge un nuovo dominio ad un albero, il nuovo dominio viene chiamato dominio figlio. Per esempio: support.microsoft.com e download.microsoft.com sono alberi con il nome DNS microsoft.com in comune.

  • Support = dominio figlio
  • Microsoft = dominio padre
  • .com = top level domain

La combinazione dei nomi del dominio figlio insieme al dominio padre formano il nome DNS. Il top level domain è chiamato Root Domain.

Foresta

Una foresta rappresenta uno più domini che condividono una configurazione, uno schema o un catalogo globale comuni. In pratica è un insieme di più alberi che non condividono lo stesso spazio dei nomi.

Unità organizzativa (OU, organizational unit)

È un contenitore di oggetti utilizzato per organizzare gli oggetti stessi dentro un dominio. L'unità organizzativa può essere usata per organizzare oggetti come utenti, gruppi, computer, stampanti, e altre unità organizzative.

Global Catalog (GC)

Contiene le informazioni relative agli oggetti presenti in Active directory, informazioni costituite da una replica completa di tutti gli oggetti di directory nel dominio host e una parziale di tutti gli oggetti di directory in tutti i domini della struttura. Il global catalog permette all'utente di autenticarsi ed accedere alla rete e al dominio. Poiché contiene informazioni sugli oggetti in tutto l'insieme di strutture, consente la ricerca di oggetti fornendo informazioni sulle ubicazioni in cui è possibile trovare l'oggetto.

In ogni domino è necessario avere almeno un GC e per impostazione predefinita al primo DC del dominio è assegnato automaticamente tale ruolo. E' possibile configurare un DC come GC e aggiungere altri GC ad un dominio per accelerare i tempi di risposta per le richieste di accesso e di ricerca.

Siti

I siti sono un raggruppamento logico di PC o server in base al loro indirizzo IP e alla sottorete di appartenenza.

 

DNS con zona in due partizioni diverse - ID evento 4515

Scritto da Alessio Carta il . Inserito in Windows Server

Può capitare che dopo aver dismesso un vecchio server in favore di uno nuovo, oppure inserendo nel dominio un nuovo controller di dominio, si presentino degli errori DNS sul registro eventi, con ID 4515, che recitano in questo modo:

"La zona dominio.xxx è stata caricata in precedenza dalla partizione di directory MicrosoftDNS, ma nella partizione di directory DomainDnsZones.dominio.xxx è stata trovata un'altra copia della zona. Il server DNS ignorerà questa nuova copia della zona. Risolvere il conflitto appena possibile."

L'elaborazione dei Criteri di gruppo non funziona

Scritto da Alessio Carta il . Inserito in Windows Server

Mi è capitato di visualizzare, sul log eventi di un server Windows 2003 controller di dominio, continui errori di tipo "Usernv" sulla sezione ApplicazionitipoInoltre, facenti riferimento all'impossibilità di reperire informazioni dai Criteri di gruppo. Il problema può verificarsi se il processo Winlogon tenta di elaborare i Criteri di gruppo prima dell'esecuzione degli altri componenti.

Utilizzando questo sito accetti l'uso di cookie per analisi, contenuti personalizzati e pubblicità mirata (tramite Google AdSense). Clicca qui per maggiori informazioni