Operations Master Rollen (Flexible Single Master Operations – FSMO)
Betriebsmasterrollen (auch als flexible Single Master Operations oder FSMO bezeichnet) sind spezielle Rollen, die einem oder mehreren Domänencontrollern in einer Active Directory-Domäne zugewiesen sind.
Active Directory unterstützt die Multimaster-Replikation des Verzeichnisdatenspeichers zwischen allen Domänencontrollern in der Domäne. Daher werden alle Domänencontroller in einer Domäne im Wesentlichen als Peers betrachtet. Bei der Active Directory-Replikation treten jedoch Replikationskonflikte auf. Einige Vorgänge, die in einem Windows Server 2003 Active Directory ausgeführt werden, können schädlich sein, wenn Konflikte auftreten. Bei diesen Vorgängen verwendet Windows 2003 wieder ein Single-Master-Modell. Dies bedeutet, dass ein einzelner Domänencontroller im Netzwerk die Verantwortung für die Ausführung einer bestimmten Aufgabe übernimmt und diese Domänencontroller als Operations Master bezeichnet werden.
Es gibt fünf Operationsmasterrollen und zwei davon sind Rollen auf Gesamtstrukturebene und drei davon sind Rollen auf Domänenebene. In der folgenden Tabelle sind die Operationsmasterrollen und deren Umfang aufgeführt.
|
Operations Master |
Geltungsbereich |
|
Schemamaster |
Wald breit |
|
Domänennamen-Master |
Wald breit |
|
Primärer Domänencontroller (PDC)-Emulator |
Domänenweit |
|
Relativer Identifikator (RID) Master |
Domänenweit |
|
Infrastruktur Master |
Domänenweit |
Schema Master
Active Directory-Schema definiert, was innerhalb des Verzeichnisses vorhanden sein kann. Die Verwaltung des Aktualisierungsprozesses mit neuen Objekten und Attributen sollte ein genau überwachter Prozess sein. Es gibt nur eine einzige Lese- / Schreibkopie des Schemas in Ihrem Windows Server 2003-Netzwerk, die auf dem Schemamaster gespeichert ist.
Der Domänencontroller, dem die Schemamaster-Rolle zugewiesen ist, steuert alle Aktualisierungen und Änderungen am Schema. Um das Schema einer Gesamtstruktur zu aktualisieren, müssen Sie Zugriff auf den Schemamaster haben.
Es gibt zu jeder Zeit nur einen einzigen Schemamaster in der gesamten Gesamtstruktur.
Domänenbenennungsmaster
Alle Objekte in AD müssen eindeutig sein. Wir können nicht zwei Objekte in einem Container mit demselben Namen erstellen, und die definierten Namen aller Objekte müssen eindeutig sein. Domänenbenennungsmaster stellt sicher, dass neue Domänen, die Ihrer Windows Server 2003-Gesamtstruktur hinzugefügt wurden, eindeutige Namen haben.
Es gibt zu jeder Zeit nur einen einzigen Domänennamensmaster in der gesamten Gesamtstruktur.
PDC-Emulator (Primärer Domänencontroller)
Der PDC-Emulator bedient Netzwerkclients, auf denen keine Active Directory-Clientsoftware installiert ist, und repliziert Verzeichnisänderungen auf alle Microsoft Windows NT-Sicherungsdomänencontroller (BDCs) in der Domäne.
Selbst wenn die Domäne auf Windows 2003-Funktionsebene ausgeführt wird, ist der PDC-Emulator erforderlich, um bestimmte Aufgaben auszuführen.
Der PDC-Emulator empfängt die bevorzugte Replikation von Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden.
Wenn ein Kennwort kürzlich geändert wurde, dauert es einige Zeit, bis diese Änderung auf jedem Domänencontroller in der Domäne repliziert wird. Wenn eine Anmeldeauthentifizierung auf einem anderen Domänencontroller aufgrund eines falschen Kennworts fehlschlägt, leitet dieser Domänencontroller die Authentifizierungsanforderung an den PDC-Emulator weiter, bevor der Anmeldeversuch abgelehnt wird.
Es gibt nur einen einzigen PDC-Emulator pro Domäne.
Relative ID (RID) Master
Ein Sicherheitsprinzipal ist ein Active Directory-Objekt, dem Berechtigungen in einem Windows Server 2003-Netzwerk zugewiesen werden können. Beispiele für Sicherheitsprinzipalobjekte sind Benutzer, Gruppen und Computer. Jedem Sicherheitsprinzipal wird eine Sicherheits-ID (SID) zugewiesen, damit er identifiziert werden kann.
Ein Security Identifier (SID) besteht aus zwei Komponenten. Die erste Komponente, die Domänen-SID, ist allen Sicherheitsprinzipalen in einer Domäne gemeinsam. Die Eindeutigkeit in SID ergibt sich aus der Hinzufügung einer zweiten Zahl, der relativen Kennung (RID). Die RID wird aus einem Pool von RIDs zugewiesen, die auf jedem Domänencontroller gespeichert sind. Die RIDs in diesem Pool werden jedem Domänencontroller vom RID-Master zugewiesen.
Das Format von SID folgt diesem Muster: S-R-IA-SA-SA-RID.
* S steht für einen SID-Bezeichner.
•R repräsentiert die Revision. Alle von Windows generierten SIDs verwenden eine Revisionsstufe von 1.
*IA repräsentiert die ausstellende Behörde.
•SA stellt eine Unterbehörde dar, und
•RID ist die relative ID
Eine typische Benutzer-SID sieht folgendermaßen aus: S-1-5-21-1683771067-1221355100-624655392-1001.
RIDs werden jedem DC in Blöcken von 500 RIDs zugewiesen. Wenn der Block der RIDs erschöpft ist, fordert der DC einen weiteren Block vom RID-Master an. Um die Eindeutigkeit zu gewährleisten, verfolgt der RID-Master, welche RID-Blöcke zugewiesen wurden.
Wenn der RID-Pool auf einem DC erschöpft ist und der RID-Master nicht verfügbar ist, können Sie keine Sicherheitsprinzipale (Beispiel: ein Benutzer) auf diesem Server erstellen.
Es gibt nur einen einzigen RID-Master pro Domäne.
Leave a Reply