RID master - Господар відносних ідентифікаторів

FSMO-роль господар відносних ідентифікаторів (R & доме; хазяїн цієї ролі. Враховуючи той факт, що в одному лісі AD може бути кілька доменів, то в кожному лісі може бути мінімум один RID master, а максимальна їх кількість дорівнює кількості доменів у лісі .

Якщо вам цікава тематика Windows Server, рекомендую звернутися до рубрики Windows Server на моєму блозі.

RID master - Господар відносних ідентифікаторів

Важливо розуміти особливості функціонування господаря відносних ідентифікаторів та ті наслідки, які можуть бути при неправильному поводженні з ним. Саме тому теоретичний розділ як ніколи величезний.

Кожному обліковому запису в домені Active Directory присвоюється унікальний ідентифікатор безпеки, який називається SID (Secure IDentifier). Цей ідентифікатор1 складається з кількох числових значень, розділених дефісом:

master

Саме за видачу цих унікальних для домену ідентифікаторів відповідає господар RID — він видає «пачки» ідентифікаторів безпеки по 500 штук за раз (за замовчуванням) кожному контролеру в домені. Коли пул закінчується, сервер звертається до господаря RID і він генерує йому новий пул тощо. Максимальне значення становить трохи більше 1 млрд. і в продакшен зазвичай не повинно досягатися навіть на 1/10 від максимуму. Проте теоретично досягнення цього порогу цілком можливе у зв'язку з некоректним налаштуванням, непередбачуваними помилками тощо. У будь-якому разі, при максимальному значенні ідентифікатора доведеться проводити резервне відновлення лісу або переїжджати на інший домен. Варто зазначити, що у версії Windows Server 2012 впроваджено значні покращення2 для попередження цих ситуацій, атакож існує можливість розблокування 31-го біта у разі вичерпання пулу.

Варто розповісти трохи про формат SID. Загальні його вигляд являє собою наступний запис:

  • S - префікс SID;
  • R – номер ревізії. На даний момент існує лише ревізія №1;
  • X – ідентифікатор центру видачі. Наприклад, S-1-5 означає, що SID виданий службами AD DS;
  • Y1-Y2-Yn-1-Yn - повний ланцюжок проміжних центрів видачі, що складається мінімум з 1 і максимум з 14 ідентифікаторів. У разі домену AD використовується тризначний ідентифікатор (Y1-Y2-Y3), унікальний для всього домену. Тобто, всі ідентифікатори Y1-Y2-Y3 будь-якого об'єкта безпеки в домені завжди ідентичні. Останнім значенням (у випадку з доменом Y4) є RID;

Наприклад, ось список користувачів домену:

відносних

Існують деякі унікальні ключі ідентифікатора безпеки, які є спільними для тих чи інших груп. Наприклад, група адміністраторів схеми має формат S-1-5-root domain-518, де root domain — ідентифікатор центру видачі кореневого домену лісу. На скріншоті нижче ви легко знайдете SID групи адміністраторів схеми:

домену

Група з RID 512 - група адміністраторів домену. Детальнішу інформацію про інші групи безпеки ви зможете знайти в офіційній документації3 4.

Варто розповісти про ще одну роль господаря відносних ідентифікаторів. Уважний читач звернув увагу, що в кожному домені існує один господар R>переходить з одного домену в інший?

Коли об'єкт безпеки переходить з одного домену до іншого (наприклад, з corp.bissquit.com в test.corp.bissquit.com), в цільовому домені йому присвоюється новий ідентифікатор безпеки SID, а старийзалишається для історії та записується у спеціально створений для цього атрибут - sIDHistory. Цей атрибут зберігає всю історію зміни ідентифікаторів безпеки, тобто може містити більше значення.

Кращі практики

Кращі практики адміністрування контролера домену-господаря RID включають наступні пункти:

1) Тримайте ролі господар RID і PDC емулятор на одному контролері домену5 6 :

Розміщуйте ролі господаря RID та емулятора PDC на одному контролері домену. Крім того, FSMO легше відстежувати, якщо вони зібрані на мінімальній кількості комп'ютерів.

Для зниження навантаження на основний FSMO-сервер ролі господаря RID та емулятора основного контролера домену можна розташувати на різних контролерах одного домену та сайту Active Directory, які є прямими партнерами реплікації.

2) Якщо ви з яких-небудь причин втратили сервер-господар R >господар RID не повинен з'явитися в мережі ;

3) Слідкуйте за подіями 16653-16658. Вони сигналізують про проблеми у роботі господаря відносних ідентифікаторів.

Очевидною проблемою стане відсутність можливості додати нові об'єкти безпеки в домен. Однак помітити це ви зможете через дуже великий час (бекапи в більшості таких випадків будуть марними) або взагалі факт порушення працездатності господаря RID залишиться невідомим. Адже пули ідентифікаторів включають 500 SID. Треба врахувати, що у багатьох організаціях може працювати і сто чоловік і тоді цей поріг навіть на одному контролері домену може бути ніколи не досягнуто. Саме тому важливо відстежувати зазначені вище події;

4) Використовуйте останні версії ОС, оскільки вони надають нові інструменти моніторингу стан господаря RID та мають більш досконалімеханізми усунення проблем. У будь-якому разі реальних причин втручатися в механізми видачі ідентифікаторів безпеки відсутні.

Адміністрація

Спеціальне оснащення для керування роботою господаря RID відсутнє. Ви можете використовувати низку утиліт для діагностики несправностей, головною з яких є Dcdiag.exe.

Змінити власника ролі можна за допомогою оснастки Active Directory — Користувачі та комп'ютери. Для цього:

  1. Відкриваємо оснащення на DC01, правою кнопкою натискаємо на Active Directory - Користувачі та комп'ютери та вибираємо Змінити контролер домену Active Directory;
  2. Далі вибираємо контролер домену, на який ми хочемо перенести роль (у мене це DC02, завжди вибирається сервер-власник ролі). Підтверджуємо попередження;
  3. Знову правою кнопкою на Active Directory – Користувачі та комп'ютери, але вже вибираємо Господар операцій…;
  4. Натискаємо кнопку Змінити….

master

Після цього необхідно підтвердити вибір та отримати повідомлення про успішне перенесення ролі.