Operations Master roolit (joustava yhden Master Operations – FSMO)
Operations master-roolit (tunnetaan myös nimellä flexible single master operations, tai FSMO) ovat erikoistehtäviä, jotka on osoitettu yhdelle tai useammalle toimialueohjaimelle Active Directory-toimialueessa.
Active Directory tukee hakemistotietosäilön monistamista kaikkien toimialueen ohjaimien välillä. Näin ollen kaikki toimialueen ohjaimet toimialueen pidetään pohjimmiltaan vertaisia. Mutta, replikaatio ristiriitoja esiintyy aikana Active Directory replikointi. Jotkin Windows Server 2003 Active Directoryn toiminnot voivat olla haitallisia, jos ristiriitoja esiintyy. Näiden toimintojen tapauksessa Windows 2003 palaa käyttämään yhden master-mallia. Tämä tarkoittaa, että yksi verkon toimialueen ohjain ottaa vastuun tietyn tehtävän suorittamisesta ja näitä toimialueen ohjaimia kutsutaan Operaatiomestareiksi.
Operation Master-rooleja on viisi ja niistä kaksi on Forest-tason rooleja ja kolme Domain-tason rooleja. Seuraavassa taulukossa on lueteltu Operaatiomestarin tehtävät ja niiden laajuus.
|
Operaatiomestari |
soveltamisala |
|
Skeemamestari |
Forest wide |
|
toimialueen Nimeämismestari |
Forest wide |
|
ensisijainen toimialueen ohjain (PDC) emulaattori |
toimialueen leveys |
|
Relative Identifier (rid) Master |
toimialueen leveys |
|
Infrastruktuurimestari |
toimialueen leveys |
skeema Master
Active Directory skeema määrittelee, mitä hakemistossa voi olla. Prosessin päivittäminen uusilla objekteilla ja attribuuteilla olisi tarkoin seurattava prosessi. Windows Server 2003-verkossa on vain yksi luku – /kirjoituskopio skeemasta, joka on tallennettu skeema Masteriin.
skeeman päärooliin valittu toimialueen ohjain ohjaa kaikkia skeemaan tehtäviä päivityksiä ja muutoksia. Jos haluat päivittää metsän skeeman, sinulla on oltava pääsy skeemamestariin.
koko metsässä on kerrallaan vain yksi Skeemamestari.
Domain Naming Master
kaikkien AD: n kohteiden tulee olla uniikkeja. Emme voi luoda kahta esinettä saman nimiseen astiaan, ja kaikkien esineiden nimien on oltava ainutlaatuisia. Verkkotunnuksen Nimeämismestari varmistaa, että Windows Server 2003 Forestiin lisätyillä uusilla verkkotunnuksilla on ainutlaatuiset nimet.
koko metsässä on kerrallaan vain yksi verkkotunnuksen Nimeäjä.
PDC (Primary Domain Controller) emulaattori
PDC emulator services verkkoasiakkaat, joissa ei ole Active Directory-asiakasohjelmistoa asennettuna, ja se toistaa hakemistomuutokset mille tahansa Microsoft Windows NT backup domain Controllerille (BDCs) verkkotunnuksessa.
vaikka verkkotunnus toimii Windows 2003 toiminnallisella tasolla, PDC-emulaattoria tarvitaan tiettyjen tehtävien suorittamiseen.
PDC-emulaattori vastaanottaa etuoikeutetun replikaation salasanamuutoksista, joita verkkotunnuksen muut ohjaimet tekevät.
jos salasana on äskettäin muutettu, tämän muutoksen toistaminen jokaiselle verkkotunnuksen ohjaimelle vie aikaa. Jos kirjautumistodennus epäonnistuu toisella toimialueen ohjaimella huonon salasanan vuoksi, kyseinen toimialueen ohjain välittää todennuspyynnön PDC-emulaattorille ennen kirjautumisyrityksen hylkäämistä.
yhtä toimialuetta kohden on vain yksi PDC-emulaattori.
Relative ID (RID) Master
a Security Principal on Active Directory-olio, jolle voidaan määrittää käyttöoikeudet Windows Server 2003-verkossa. Esimerkkejä tietoturvan Pääobjektit ovat Käyttäjät, Ryhmät ja tietokoneet. Jokaiselle päämiehelle annetaan Suojaustunniste (Security Identifier, SID), jotta se voidaan tunnistaa.
turvatunniste (Sid) koostuu kahdesta osasta. Ensimmäinen komponentti, verkkotunnuksen SID, on yhteinen kaikille tietoturvaperiaatteiden verkkotunnuksen. Sid: n ainutlaatuisuus tulee lisäämällä toinen numero, suhteellinen tunniste (rid). RID on määritetty kuhunkin toimialueen ohjaimeen tallennetusta rid-poolista. Rid-päällikkö määrittää tämän altaan rid-tiedostot kullekin Domain-ohjaimelle.
SID: n muoto noudattaa tätä kaavaa: S-R-IA-SA-SA-RID.
• s edustaa SID-tunnistetta.
* R edustaa revisiota. Kaikki Windowsin luomat Kätkytkuolemat käyttävät versiotasoa 1.
tyypillinen käyttäjän SID näyttää tältä: S-1-5-21-1683771067-1221355100-624655392-1001.
Ridit jaetaan jokaiselle DC: lle 500 Ridin lohkoina. Kun rids-lohko on käytetty loppuun, DC pyytää RID-mestarilta uutta blokkia. Ainutlaatuisuuden varmistamiseksi rid-päällikkö pitää kirjaa siitä, mitkä rid-lohkot on määritetty.
jos DC: n rid-pooli on käytetty loppuun eikä RID-Masteria ole saatavilla, et voi luoda tietoturvaperiaatteita (esimerkki: käyttäjä) kyseiselle palvelimelle.
yhtä verkkotunnusta kohden on vain yksi rid-Master.
Leave a Reply