узнать какой контроллер домена основной
Узнать какой контроллер домена основной
В этой статье хочу описать роли контроллера домена или FSMO (Flexible single-master operations- операции с одним исполнителем). Эта статья позволит вам понять сколько существует ролей, зачем нужна каждая из них и каким образом посмотреть какой сервер, какую роль выполняет. Особенно пригодится тем у кого большой домен с несколькими контроллерами домена, сайтами.
Не понимание сути ролей может привести вас к непониманию тех или иных ошибок в Active Directory и как следствие к невозможности их решить.
Доменные службы AD поддерживают пять ролей мастеров операций:
1 Владелец доменных имён (Domain Naming Master);
2 Владелец схемы (Schema Master);
3 Владелец относительных идентификаторов (Relative ID Master);
4 Владелец инфраструктуры домена (Infrastructure Master);
5 Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Владелец доменных имён (Domain Naming Master).
Роль предназначена для добавления и удаления доменов в лесу. Если контроллер с этой ролью недоступен во время добавления или удаления доменов в лесу возникнет ошибка операции.
В строке Хозяин именования доменов вы увидите какой контроллер домена выполняет эту роль.
Владелец схемы (Schema Master).
Контроллер с ролью владелец схемы отвечает за внесение всех изменений в схему леса. Все остальные домены содержат реплики схемы только для чтения.
Роль Владелец схемы уникальна во всем лесу и может быть определена только на одном контроллере домена.
Для того, что бы посмотреть контроллер домена выполняющий роль владельца схемы необходимо запустить оснастку Схема Active Directory, но для того что бы это сделать необходимо зарегистрировать эту оснастку. Для этого запускаем командную строку и вводим команду
regsvr32 schmmgmt.dll
После этого нажимаем «Пуск» выбераем команду «Выполнить» и вводим «mmc» и нажмите кнопку «ОК«. Далее в меню нажимаем «Файл» выбаем команду «Добавить или удалить оснастку«. В группе Доступные оснастки выбираем «Схема Active Directory«, нажимаем кнопку «Добавить«, а затем кнопку «ОК«.
Щелкните правой кнопкой мыши корневой узел оснастки и выберите «Хозяин операции«.
В строке Текущий хозяин схемы (в сети) увидите имя контроллера домена выполняющую эту роль.
Владелец относительных идентификаторов (Relative ID Master).
Эта роль обеспечивает всех пользователей, компьютеров и групп уникальными SID (Security Identifier- структура данных переменной длины, которая идентифицирует учетную запись пользователя, группы, домена или компьютера)
Роль мастера RID уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца идентификатора, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликните на домене правой кнопкой мыши и выберите «Хозяин операции«.
Во вкладке RID увидите имя сервера выполняющую роль RID
Владелец инфраструктуры домена (Infrastructure Master).
Роль инфраструктуры домена уникальна в домене.
Что бы увидеть какой контролер в домене выполняет роль владельца инфраструктуры домена, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликнуть на домене правой кнопкой мыши и выберать «Хозяин операции«.
Во вкладке «Инфраструктура» увидите контроллер выполняющий эту роль в домене.
Эмулятор основного контроллера домена (Primary Domain Controller Emulator (PDC Emulator)).
Роль PDC- эмулятора несколько важных функций (здесь указаны не все- только основные):
— Участвует в репликации обновления паролей. Каждый раз когда пользователь меняет пароль эта информация сохраняется на контроллере домена с ролью PDC. При вводе пользователя неправильного пароля проверка подлинности направляется на PDC- эмулятор для получения возможно изменившегося пароля учетной записи (поэтому при вводе не правильного пароля вход проверка пароля происходит дольше в сравнении с вводом правильного пароля).
— Участвует в обновлении групповой политики в домене. В частности когда изменяется групповая политика на разных контроллерах домена в одно время PDC- эмулятор действует как точка фокуса всех изменений групповой политики. При открытии редактора управлениями групповыми политиками она привязывается к контроллеру домена, выполняющую роль PDC- эмулятора. Поэтому все изменения групповых политик по умолчанию вносятся в PDC- эмулятор.
— PDC- эмулятор является главным источником времени для домена. PDC- эмуляторы в каждом домене синхронизирует свое время с PDC эмулятором корневого домена леса. Другие контролеры синхронизируют свое время с PDC- эмулятором домена, компьютеры и сервера синхронизируют время с контролера домена.
Что бы увидеть какой контролер в домене выполняет роль PDC- эмулятора, необходимо запустить оснастку «Active Directory- пользователи и компьютеры«, кликните на домене правой кнопкой мыши и выберите «Хозяин операции«.
Во вкладке PDC увидите контроллер выполняющий эту роль.
Узнать какой контроллер домена основной
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Ответы
// Что значит выбирает случайным образом? Механизм какой?
Андрей, будьте внимательны. Автор спрашивает, и я ему отвечаю, что контроллер домена выбирается случайным образом. Автору, по всей видимости, не интересно, как именно обнаруживается контроллер!
Все ответы
Не правильно. Любой из контроллеров домена несет смысловую нагрузку и отвечает по меньшей мере за аутентификацию пользователей.
По теме: клиент определяет какой из контроллеров домена использовать при помощи SRV записей в DNS.
Для чего вы хотите освободить один из них? Использование 2-ух контроллеров в пределах одного сайта нормальная практика.
Компьютер под управлением Windows XP выбирает контроллер случайным образом из тех, что принадлежат к сайту, в котором размещен компьютер, и домену, в котором компьютер определен. Системы под управлением Windows Vista / Windows 7 также выбирают контроллер тем же случайным образом, но с делают это более интеллектуально, у них NLA усовершенствована.
Не мешайте процесс обнаружения работоспособного и ближайшего «своего» контроллера домена и процессы, связанные с регистрацией в системе и другими взаимодействиями с контроллерами домена.
Тагир, Ваша «задача» противоречит штатной модели функционирования доменных служб Active Directory.
Что значит выбирает случайным образом? Механизм какой?
Рабочая станция, которая входит на домен под управлением Windows, запрашивает у DNS-сервера SRV-записи в следующем формате:
В ОС Windows NT 4.0 и более ранних версиях «обнаружение» – это процесс поиска контроллера домена для проверки подлинности в основном домене или в доверенном домене.
Видите где-то надпись про случайность? Да и причем она здесь? Если КД > 1 нужен механизм определения единственного из них это да.
Просмотр и передача ролей FSMO
В этой статье описывается, как просматривать и передавать роли FSMO.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 324801
Сводка
В этой статье описывается передача ролей гибких однообъекторных операций (FSMO) (также известных как главные роли операций) с помощью средств snap-in Active Directory в консоли управления Майкрософт (MMC) в Windows Server 2003.
Роли FSMO
В лесу существует не менее пяти ролей FSMO, которые назначены одному или более контроллерам домена. Пять ролей FSMO:
Роли FSMO можно передать с помощью Ntdsutil.exe командной строки или с помощью средства оснастки MMC. В зависимости от роли FSMO, которую вы хотите передать, можно использовать один из следующих трех средств привязки MMC:
Функция оснастки Active Directory Schema
Активная привязка доменов и трастов каталогов
Активные пользователи каталога и компьютеры оснастки
Если компьютер больше не существует, роль должна быть захвачена. Чтобы захватить роль, используйте Ntdsutil.exe утилиту.
Дополнительные сведения о том, как использовать Ntdsutil.exe для захвата ролей FSMO, щелкните номер статьи ниже, чтобы просмотреть статью в базе знаний Майкрософт:
255504 использование Ntdsutil.exe для захвата или передачи ролей FSMO в домен
Чтобы передать главную роль схемы, используйте оснастку Active Directory Master. Прежде чем использовать эту привязку, необходимо зарегистрировать Schmmgmt.dll файл.
Регистрация Schmmgmt.dll
Передача главную роль схемы
Передача роли «Имя домена»
Нажмите кнопку Начните, указать на административные средства и нажмите кнопку Active Directory Domains and Trusts.
Щелкните правой кнопкой мыши Домены Active Directory и трасты, а затем нажмите кнопку Подключение контроллер домена.
Вы должны выполнить этот шаг, если вы не находитесь на контроллере домена, на который вы хотите перенести роль. Вам не нужно выполнять этот шаг, если вы уже подключены к контроллеру домена, роль которого необходимо перенести.
Сделайте одно из следующих действий:
В дереве консоли щелкните правой кнопкой мыши Active Directory Domains and Trusts и нажмите кнопку Мастер операций.
Нажмите кнопку Изменить.
Нажмите кнопку ОК, чтобы подтвердить, что вы хотите передать роль, а затем нажмите кнопку Закрыть.
Передача главных ролей rid, PDC Emulator и инфраструктуры
Нажмите кнопку Начните, указать на административные средства и нажмите кнопку Active Directory Users and Computers.
Щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory, а затем нажмите кнопку Подключение контроллер домена.
Вы должны выполнить этот шаг, если вы не находитесь на контроллере домена, на который вы хотите перенести роль. Вам не нужно выполнять этот шаг, если вы уже подключены к контроллеру домена, роль которого необходимо перенести.
Сделайте одно из следующих действий:
В дереве консоли щелкните правой кнопкой мыши Пользователи и компьютеры Active Directory, укажи все задачи, а затем щелкните Мастер операций.
Щелкните соответствующую вкладку для роли, которую необходимо перенести (RID, PDC или Infrastructure), а затем нажмите кнопку Изменить.
Нажмите кнопку ОК, чтобы подтвердить, что вы хотите передать роль, а затем нажмите кнопку Закрыть.
Поиск контролеров домена Active Directory
При проведении внутреннего тестирования на проникновение требуется определить цели атаки.
Одними из главных целей являются контроллеры домена Active Directory. Найти контроллеры домена можно множеством способов.
Получение имени домена
Для начала нам нужно узнать имя домена. Как правило оно передается в параметрах DHCP сервера domain-name (5) и или domain-search (119). Посмотреть значения этих параметров можно в файле /etc/resolv.conf.
Пример файла resolv.conf:
# Generated by NetworkManager
search pentestlab.lan
nameserver 192.168.1.1
nameserver 192.168.1.2
nameserver 172.16.2.2
соответствено, скорее всего, имя домена — pentestlab.lan.
После получения имени домена, мы можем запросить у DNS сервера список всех контроллеров домена.
Первый способ
Запрос ldap SRV записей.
Второй способ
Запрос kerberos записей.
dig any _kerberos._tcp.полное_имя_домена
dig any _kerberos._tcp.pentestlab.lan
Третий способ
Запрос A записей.
Четвертый способ
Запрос c использованием nltest.
Данный способ работает только с АРМ, который уже входит в состав домена.
Не все способы применимы ко всем доменам, но один из них сработает точно.
Заказать Аудит Безопасности или Пентест Вашей IT-инфраструктуры
Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.
Роли FSMO Active Directory в Windows
В этой статье в основном вы узнаете о ролях гибкой единой основной операции (FSMO) в Active Directory.
Применяется к: Windows Server 2012 R2
Исходный номер КБ: 197132
Сводка
Active Directory — это центральный репозиторий, в котором хранятся все объекты предприятия и соответствующие атрибуты. Это иерархическая база данных с поддержкой нескольких мастеров, которая может хранить миллионы объектов. Изменения в базе данных могут обрабатываться в любом контроллере домена (DC) на предприятии независимо от того, подключен или отключен dc от сети.
Многомастерская модель
База данных с несколькими мастерами, например Active Directory, обеспечивает гибкость, позволяющую вносить изменения в любой dc на предприятии. Но он также вводит возможность конфликтов, которые потенциально могут привести к проблемам после репликации данных на остальную часть предприятия. Одновековая Windows конфликтующих обновлений — это наличие алгоритма разрешения конфликтов, который обрабатывает несоответствия в значениях. Это делается путем решения в DC, к которому были написаны последние изменения, который является последним автором выигрывает. Изменения во всех остальных DCs удаляются. Хотя этот метод может быть приемлем в некоторых случаях, иногда конфликты слишком сложно разрешить с помощью последнего метода победы автора. В таких случаях лучше предотвратить конфликт, а не пытаться устранить его после факта.
Для некоторых типов изменений Windows методы предотвращения конфликтов с обновлениями Active Directory.
Одномастерная модель
Чтобы предотвратить конфликтующие обновления в Windows, Active Directory выполняет обновления для определенных объектов одним способом. В односерийной модели обработка обновлений разрешена только одному dc во всем каталоге. Она похожа на роль основного контроллера домена (PDC) в более ранних версиях Windows, таких как Microsoft Windows NT 3.51 и 4.0. В более ранних версиях Windows, PDC отвечает за обработку всех обновлений в заданном домене.
Active Directory расширяет единую модель, найденную в более ранних версиях Windows, включая несколько ролей, а также возможность передачи ролей в любой DC на предприятии. Поскольку роль Active Directory не привязана к единой DC, ее называют ролью FSMO. В настоящее время Windows существует пять ролей FSMO:
Роль мастера схемы FSMO
Роль магистра FSMO для имен домена
Роль master FSMO RID
Держатель роли master FSMO RID — это единственный dc, отвечающий за обработку запросов пула RID из всех DCs в заданном домене. Он также отвечает за удаление объекта из домена и его размещение в другом домене во время перемещения объекта.
Когда dc создает основной объект безопасности, например пользователь или группа, он прикрепит к объекту уникальный ИД безопасности (SID). Этот SID состоит из:
Каждому Windows dc в домене выделяется пул РИД, который разрешено назначать создамые им принципы безопасности. Если выделенный пул RID в DC опускается ниже порогового значения, dc выдает запрос на дополнительные riD-решения мастеру RID домена. Мастер rid домена отвечает на запрос, ирисуя RID из неуловимого пула RID домена, и назначает их пулу запрашиваемого DC. В каталоге есть один мастер RID для каждого домена.
Роль FSMO эмулятора PDC
Эмулятор PDC необходим для синхронизации времени на предприятии. Windows включает службу времени W32Time (Windows время), требуемую протоколом проверки подлинности Kerberos. Все Windows компьютеры на предприятии используют общее время. Цель службы времени — убедиться, что служба Windows времени использует иерархическую связь, контролируемую полномочиями. Это не позволяет циклам обеспечить надлежащее общее использование времени.
Эмулятор PDC домена является авторитетным для домена. Эмулятор PDC в корне леса становится авторитетным для предприятия и должен быть настроен для сбора времени из внешнего источника. Все держатели ролей PDC FSMO следуют иерархии доменов при выборе своего связанного партнера по времени.
В домене Windows роль эмулятора PDC сохраняет следующие функции:
Эта часть роли эмулятора PDC становится ненужной в следующей ситуации:
Все рабочие станции, серверы членов и контроллеры доменов, работающие Windows NT 4.0 или более ранних, обновлены до 2000 Windows 2000.
Эмулятор PDC по-прежнему выполняет другие функции, описанные в Windows 2000.
В следующих сведениях описываются изменения, которые происходят в процессе обновления:
Роль магистра инфраструктуры FSMO
Если объект в одном домене ссылается на другой объект в другом домене, он представляет ссылку по:
Держатель ролей FSMO инфраструктуры — это dc, ответственный за обновление SID объекта и его отличительное имя в ссылке на объект с перекрестным доменом.
Роль Мастера инфраструктуры (IM) должна быть у dc, которая не является сервером глобального каталога (GC). Если мастер инфраструктуры работает на сервере глобального каталога, он прекратит обновление сведений об объектах, так как не содержит ссылок на объекты, которые он не удерживает. Это потому, что сервер глобального каталога содержит частичную реплику каждого объекта в лесу. В результате ссылки на объекты меж домена в этом домене не будут обновляться, и в журнал событий DC будет входить предупреждение об этом.
Если все DCs в домене также имеют глобальный каталог, все DCs имеют текущие данные. Не важно, какая dc-компания занимает главную роль в инфраструктуре.
При включении необязательной функции Recycle Bin каждый dc несет ответственность за обновление ссылок на объекты с перекрестным доменом при перемещении, переименовании или удалении ссылок на ссылаемого объекта. В этом случае не существует задач, связанных с ролью инфраструктуры FSMO. И не важно, какой контроллер домена владеет ролью Мастер инфраструктуры. Дополнительные сведения см. в 6.1.5.5.5 Infrastructure FSMO Role.