Role FSMO ve službě Active Directory: co jsou a jak fungují

Active Directory (AD) je adresářová služba vytvořená společností Microsoft a přichází jako sada procesů a služeb ve většině verzí operačních systémů Windows Server.

reklamu si můžete představit jako databázi nebo bezpečné místo, které ukládá všechny atributy vašich uživatelů, jako jsou uživatelská jména, hesla a další. Tento centrální repozitář automatizuje mnoho úkolů, jako je správa uživatelských dat, zajištění bezpečnosti a interakce s jinými adresáři.

v počátečních verzích AD bylo mnoho šancí na konflikty. Například, řekněme, řadič domény přidal do databáze nového zaměstnance. Vzhledem k tomu, že došlo ke změně reklamy, projevilo se to v celém podniku, a to je v pořádku. O několik sekund později chtěl jiný řadič domény smazat záznamy zaměstnanců, kteří již v podniku nepracovali. Omylem smazala I tohoto zaměstnance z reklamy.

systém řízení konfliktů, který existoval, následoval politiku “Poslední writer wins” , takže změna provedená druhým řadičem domény byla platná, zatímco změna provedená prvním řadičem domény byla vyřazena. To znamená, že nový zaměstnanec již nebyl v systému a nemohl získat přístup k prostředkům systému, což samozřejmě není správné.

aby se předešlo takovým konfliktům, byl zaveden model single-master. V tomto modelu mohl určitý typ aktualizace provádět pouze jeden řadič domény (DC). Ve výše uvedeném případě, kdyby pouze první DC měl na starosti přidávání a odebírání zaměstnanců a druhý DC měl na starosti bezpečnost, pak by k takovému konfliktu nedošlo.

nicméně, to přišlo s omezeními příliš. Co se stane, když spadne první DC? Nemůžete přidávat nebo mazat zaměstnance, dokud se znovu nevrátí. Taková těžká závislost na jediném ovladači není z provozního hlediska nikdy dobrá.

takže Microsoft šel trochu dále v následujících verzích, aby zahrnoval více rolí pro každý DC a dal každému DC schopnost přenést celou roli na jakýkoli jiný DC v rámci stejného podniku. Zjevnou výhodou je, že žádná role není vázána na žádné konkrétní DC, takže když jeden klesne, můžete tuto roli automaticky přenést do jiného pracovního DC.

vzhledem k tomu, že takový model nabízí velkou flexibilitu, nazývá se Flexibilní Single Master Operation (FSMO).

efektivně je FSMO multimaster model, který přiřazuje jasné role a odpovědnosti každému DC a zároveň poskytuje flexibilitu pro přenos rolí v případě potřeby.

FSMO role

FSMO je široce rozdělena do pěti rolí a jsou:

  • Schema master
  • domain naming master
  • RID master
  • PDC emulator
  • Infrastructure master

z nich jsou první dvě role FSMO k dispozici na úrovni lesa, zatímco zbývající tři jsou nezbytné pro každou doménu.

role FSMO na úrovni lesa a domény

vzdálená rozšíření

podívejme se nyní na každou roli FSMO do hloubky.

Schema master

Schema master, Jak název napovídá, obsahuje kopii celého schématu vaší reklamy pro čtení a zápis. Pokud vás zajímá, co je schéma, jsou to všechny atributy spojené s objektem uživatele a zahrnují heslo, roli, označení a ID zaměstnance.

takže pokud chcete změnit ID zaměstnance, musíte to udělat v tomto DC. Ve výchozím nastavení bude prvním řadičem, který nainstalujete do svého lesa, hlavní schéma.

Domain naming master

Domain naming master je zodpovědný za ověření domén, takže pro každý les existuje pouze jedna. To znamená, že pokud vytváříte zcela novou doménu v existujícím lese, tento řadič zajišťuje, že taková doména již neexistuje. Pokud je váš domain naming master z jakéhokoli důvodu nefunkční, nemůžete vytvořit novou doménu.

vzhledem k tomu, že nevytváříte domény často, některé podniky dávají přednost tomu, aby měly master schématu a domain naming master ve stejném řadiči.

RID master

pokaždé, když vytvoříte princip zabezpečení, ať už jde o uživatelský účet, Skupinový účet nebo hlavní účet, Chcete k němu přidat přístupová oprávnění. Ale nemůžete to udělat na základě jména uživatele nebo skupiny, protože se to může kdykoli změnit.

řekněme, že jste měli Andyho s určitou rolí a on opustil společnost. Takže jste Andyho účet zavřela a místo toho jste přivedla Tima. Nyní budete muset jít a nahradit Andyho Timem v seznamech bezpečnostních přístupů každého zdroje.

to není praktické, protože je to časově náročné a náchylné k chybám.

proto spojujete každý princip zabezpečení s něčím, co se nazývá ID zabezpečení nebo SID. Tímto způsobem, i když Andy změní Tim, SID zůstane stejný, takže budete muset udělat jen jednu změnu.

tento SID má specifický vzor, který zajišťuje, že každý SID v systému je jedinečný. Vždy začíná písmenem ” S ” následovaným verzí (začíná 1) a hodnotou autority identifikátoru. Následuje název domény nebo místního počítače, který je společný pro všechny Sid umístěné ve stejné doméně. Konečně, název domény je následován tím, co se nazývá relativní ID nebo RID.

rid je v podstatě hodnota, která zajišťuje jedinečnost mezi různými objekty ve službě active directory.

SID bude vypadat takto: S-1-5-32365098609486930-1029. Zde 1029 je RID, který dělá Sid jedinečný, zatímco dlouhá řada čísel je název vaší domény.

ale to může vést i ke konfliktům. Řekněme, že vytvoříme dva uživatelské účty současně. To může způsobit konflikt, protože existuje možnost, že oba tyto objekty budou mít stejný SID.

aby se zabránilo tomuto konfliktu, rid master přiřadí bloky 500 každému řadiči domény. Tímto způsobem DC1 dostane ripy od 1 do 500, DC2 dostane ripy od 501 do 1 000 a tak dále. Když řadič domény vyčerpá RIDs, kontaktuje rid master a zase tento rid master přiřadí další blok 500.

RID Master FSMO role

takže RID master je zodpovědný za zpracování požadavků rid pool z DCs v rámci jedné domény, aby bylo zajištěno, že každý SID je jedinečný.

PDC emulátor

PDC je zkratka pro primární řadič domény a pochází z doby, kdy existoval pouze jeden řadič domény, který měl kopii schématu pro čtení a zápis. Zbývající řadiče domény byly zálohou tohoto PDC. Takže pokud byste chtěli změnit heslo, museli byste jít do PDC.

v současné době neexistují žádné další PDC. Ale některé z jeho rolí, jako je synchronizace času a správa hesel, jsou převzaty řadičem domény zvaným PDC emulator.

podívejme se nejprve na jeho správu hesel.

řekněme, že jdu do jednoho řadiče domény a resetuji heslo, protože vypršela platnost. Poté se přihlásím k jinému počítači pro jiný web a řekněme, že kontaktuje jiný řadič domény pro ověření. Existuje šance, že se moje přihlášení nezdaří, protože první řadič domény nemusí replikovat změnu hesla na jiné řadiče.

emulátor PDC se těmto zmatkům vyhýbá tím, že je řadičem pro resetování hesla. Takže můj klient bude kontaktovat emulátor PDC, když se přihlášení nezdaří, aby zkontroloval, zda došlo ke změně hesla. Na tomto emulátoru PDC jsou také zpracovány všechny výluky účtů kvůli nesprávným heslům.

kromě správy hesel emulátor PDC synchronizuje čas v podnikovém systému. Toto je důležitá funkce, protože ověřování reklam používá pro zabezpečení protokol s názvem kerberos. Hlavním úkolem tohoto protokolu je zajistit, aby datové pakety nebyly během přenosu odebírány ze sítě nebo manipulovány.

pokud je tedy rozdíl mezi serverovými hodinami a vaším systémem během procesu ověřování pět minut nebo více, kerberos si myslí, že se jedná o útok a nebude vás ověřovat.

v pořádku, ale jaká je role emulátoru PDC zde?

váš místní systém synchronizuje svůj čas s řadičem domény a řadič domény zase synchronizuje svůj čas s emulátorem PDC. Tímto způsobem je emulátor PDC hlavní hodiny pro všechny řadiče domény ve vaší doméně.

Microsoft

když je tento řadič vypnutý, vaše bezpečnost klesne o několik zářezů a činí hesla zranitelnými vůči útokům.

Master infrastruktury

základní funkcí master infrastruktury je odkazovat na všechny místní uživatele a odkazy v doméně. Tento řadič chápe celkovou infrastrukturu domény včetně toho, jaké objekty jsou přítomny.

je zodpovědný za místní aktualizaci odkazů na objekty a také zajišťuje, že je aktuální v kopiích jiných domén. Zpracovává tento proces aktualizace prostřednictvím jedinečného identifikátoru, případně SID.

Infrastructure master je podobný jinému reklamnímu nástroji nazvanému Global Catalog (GC). Tento GC je jako index, který ví, kde je všechno, uvnitř služby active directory. Infrastruktura master, na druhé straně, je menší verze GC, protože je omezena v rámci jedné domény.

proč je důležité vědět o GC zde? Protože GC a infrastructure master by neměly být umístěny ve stejném řadiči domény. Pokud to uděláte, mistr infrastruktury přestane pracovat, protože GC dostane přednost.

Obecně platí, že pokud máte pouze jeden řadič domény, nebude na tom tolik záležet. Pokud však máte velký les s více řadiči domény, přítomnost GC I infrastructure master způsobí problémy.

Vezměme si situaci zde. Máme více domén, které vzhlížejí k serveru GC. V rámci jedné domény provedeme změnu členství ve skupině a mistr infrastruktury o této změně ví. Server GC ale neaktualizuje, protože ke změně nedošlo u universal group. To znamená, že existuje šance, že váš GC a infrastructure master nebudou synchronizováni, a to může způsobit problémy s ověřením. To je důvod, proč se ujistěte, že máte buď master infrastruktury nebo GC pro každou doménu, ale ne obojí.

souhrn

jak vidíte. Role FSMO zabraňují konfliktům ve službě active directory a zároveň vám poskytují flexibilitu pro zpracování různých operací v rámci služby active directory. Mohou být široce rozděleny do pěti rolí, z toho, první dvě jsou pro celý les, zatímco zbývající tři se týkají určité domény.

implementovali jste ve své organizaci role FSMO? Prosím, podělte se s námi o své myšlenky.

Foto kredit: Wikimedia

Leave a Reply