FSMO szerepkörök az Active Directory – ban: mik azok és hogyan működnek

az Active Directory (AD) a Microsoft által létrehozott címtárszolgáltatás, amely a Windows Server operációs rendszerek legtöbb verziójában folyamatok és szolgáltatások halmazaként jelenik meg.

a hirdetést úgy képzelheti el, mint egy adatbázist vagy egy biztonságos helyet, amely tárolja a felhasználók összes attribútumát, például felhasználóneveket, jelszavakat stb. Ez a központi adattár számos feladatot automatizál, például a felhasználói adatok kezelését, a biztonság biztosítását és a más könyvtárakkal való műveleteket.

az AD kezdeti verzióiban sok esély volt a konfliktusokra. Tegyük fel például, hogy egy tartományvezérlő új alkalmazottat adott hozzá az adatbázishoz. Mivel a hirdetés megváltozott, az egész vállalkozásban tükröződött, és ez rendben van. Néhány másodperccel később egy másik tartományvezérlő törölni akarta azon alkalmazottak nyilvántartását, akik már nem dolgoztak a vállalkozásban. Véletlenül törölte ezt az alkalmazottat a hirdetésből is.

az akkor létező konfliktuskezelő rendszer az “utolsó író nyer” házirendet követte, így a második tartományvezérlő által végrehajtott módosítás érvényes volt, míg az első tartományvezérlő által végrehajtott módosítást elvetették. Ez azt jelenti, hogy az új alkalmazott már nem volt a rendszerben, és nem tudott hozzáférni a rendszer erőforrásaihoz, ami nyilvánvalóan nem helyes.

az ilyen konfliktusok megelőzése érdekében egy master modellt vezettek be. Ebben a modellben csak egy tartományvezérlő (DC) képes végrehajtani egy adott típusú frissítést. A fenti esetben, ha csak az első DC volt felelős az alkalmazottak felvételéért és eltávolításáért, a második pedig a biztonságért, akkor ilyen konfliktus nem történt volna meg.

ez azonban korlátozásokkal is járt. Mi történik, ha az első DC lemegy? Nem lehet hozzáadni vagy törölni az alkalmazottak, amíg jön vissza újra. Az egyetlen vezérlőtől való ilyen súlyos függőség működési szempontból soha nem jó.

tehát a Microsoft egy kicsit tovább ment a későbbi verziókban, hogy minden DC-hez több szerepet is belefoglaljon, és minden DC-nek lehetőséget adjon arra, hogy a teljes szerepet átvigye bármely más DC-re ugyanazon vállalkozáson belül. A nyilvánvaló előnye itt nincs szerepe kötődik egy adott DC, így ha az egyik lemegy, akkor automatikusan át ezt a szerepet egy másik működő DC.

mivel egy ilyen modell nagy rugalmasságot kínál, rugalmas Single Master Operation (FSMO) néven hívják.

gyakorlatilag az FSMO egy multimaster modell, amely egyértelmű szerepeket és felelősségeket rendel minden DC-hez, ugyanakkor rugalmasságot biztosít a szerepek átviteléhez, ha szükséges.

FSMO szerepek

az FSMO nagyjából öt szerepre oszlik, és ezek:

  • Schema master
  • Domain naming master
  • RID master
  • PDC emulátor
  • Infrastructure master

ezek közül az első két FSMO szerep az erdő szintjén érhető el, míg a fennmaradó három minden tartományhoz szükséges.

erdő és tartomány szintű FSMO szerepek

távoli kiterjesztések

most nézzük meg alaposan az egyes FSMO szerepeket.

Sémamester

Sémamester, ahogy a neve is sugallja, a hirdetés teljes sémájának írható-olvasható másolatát tartalmazza. Ha kíváncsi arra, hogy mi a séma, akkor a felhasználói objektumhoz társított összes attribútum tartalmazza a jelszót, a szerepkört, a kijelölést és az alkalmazotti azonosítót, hogy csak néhányat említsünk.

tehát, ha meg akarja változtatni az alkalmazott azonosítóját, akkor ezt ebben a DC-ben kell megtennie. Alapértelmezés szerint az erdőbe telepített első vezérlő a séma mester lesz.

a tartománynév-mester

a tartománynév-mester felelős a tartományok ellenőrzéséért, tehát minden erdőhöz csak egy van. Ez azt jelenti, hogy ha egy teljesen új tartományt hoz létre egy meglévő erdőben, ez a vezérlő biztosítja, hogy egy ilyen tartomány még nem létezik. Ha a domainnevezési mester valamilyen okból nem működik, nem hozhat létre új domaint.

mivel gyakran nem hoz létre domaineket, egyes vállalatok inkább a sémagyártót és a tartománynevezési mestert részesítik előnyben ugyanazon vezérlőn belül.

RID master

minden alkalommal, amikor létrehoz egy biztonsági elvet, legyen az Felhasználói fiók, csoportfiók vagy mesterfiók, hozzá szeretne adni hozzáférési engedélyeket. De nem teheti meg egy felhasználó vagy csoport neve alapján, mert ez bármikor megváltozhat.

tegyük fel, hogy Andy különleges szerepet kapott, és elhagyta a céget. Szóval lezárta Andy számláját, és helyette behozta Timet. Most pedig le kell cserélned Andyt Timre minden forrás biztonsági listájában.

ez nem praktikus, mivel időigényes és hibákra hajlamos.

ezért társít minden biztonsági elvet valami úgynevezett biztonsági azonosítóval vagy SID-vel. Így, még akkor is, ha Andy Timre vált, a SID ugyanaz marad, tehát csak egy változtatást kell végrehajtania.

ennek az SID-nek van egy speciális mintája, amely biztosítja, hogy a rendszer minden SID-je egyedi legyen. Mindig az “S” betűvel kezdődik, amelyet a verzió (1-gyel kezdődik) és az azonosító jogosultság értéke követ. Ezt követi a tartomány vagy a helyi számítógép neve, amely az ugyanazon a tartományon belül található összes SIDs esetében gyakori. Végül a domain nevet követi az úgynevezett relatív azonosító vagy RID.

lényegében a RID az az érték, amely biztosítja az egyediséget az active directory különböző objektumai között.

egy SID így fog kinézni: S-1-5-32365098609486930-1029. Itt az 1029 az a RID, amely egyedivé teszi a SID-t, míg a hosszú számsor a domain neve.

de ez konfliktusokhoz is vezethet. Tegyük fel, hogy egyszerre két felhasználói fiókot hozunk létre. Ez konfliktust okozhat, mivel mindkét objektumnak ugyanaz a SID-je lehet.

az ütközés elkerülése érdekében a RID mester 500-as blokkokat rendel minden tartományvezérlőhöz. Így a DC1 1-től 500-ig, a DC2 501-től 1000-ig terjed, és így tovább. Amikor egy tartományvezérlő elfogy a RIDs-ből, kapcsolatba lép a RID-mesterrel, és ez a RID-mester egy másik 500-as blokkot rendel hozzá.

RID Master FSMO szerep

tehát a RID master felelős a DCs RID pool kéréseinek egyetlen tartományon belüli feldolgozásáért annak biztosítása érdekében, hogy minden SID egyedi legyen.

PDC emulátor

a PDC az elsődleges tartományvezérlőt jelenti, és abból az időből származik, amikor csak egy tartományvezérlőnek volt írás-olvasás másolata a sémáról. A fennmaradó tartományvezérlők biztonsági másolatot készítettek ehhez a PDC-hez. Tehát, ha meg akarja változtatni a jelszót, akkor el kell mennie a PDC-hez.

ma már nincs több PDC. De néhány szerepét, például az időszinkronizálást és a jelszókezelést egy PDC emulátor nevű tartományvezérlő veszi át.

nézzük meg először a jelszó kezelését.

tegyük fel, hogy elmegyek egy tartományvezérlőhöz, és visszaállítom a jelszavamat, mert lejárt. Ezután bejelentkezem egy másik gépre egy másik Webhelyhez, és mondjuk egy másik tartományvezérlővel lép kapcsolatba a hitelesítéshez. Előfordulhat, hogy a bejelentkezésem sikertelen lesz, mert előfordulhat, hogy az első tartományvezérlő nem replikálta a jelszavam megváltoztatását más vezérlőkre.

a PDC emulátor elkerüli ezeket a zavarokat azáltal, hogy a jelszó visszaállításának vezérlője. Tehát az ügyfelem kapcsolatba lép a PDC emulátorral, ha a bejelentkezés sikertelen, hogy ellenőrizze, történt-e jelszó-változás. Ezen a PDC emulátoron a rossz jelszavak miatti összes fiókzárolás is feldolgozásra kerül.

a jelszókezelésen kívül a PDC emulátor szinkronizálja az időt egy vállalati rendszerben. Ez egy fontos funkció, mivel az AD-hitelesítés a kerberos nevű protokollt használja a biztonság érdekében. Ennek a protokollnak a fő feladata annak biztosítása, hogy az adatcsomagokat ne vegyék le a hálózatról vagy ne módosítsák az átvitel során.

tehát, ha a hitelesítési folyamat során legalább öt perc különbség van a szerver órája és a rendszer között, a kerberos úgy gondolja, hogy ez egy támadás, és nem fog hitelesíteni.

rendben, de mi itt a PDC emulátor szerepe?

Nos, a helyi rendszer szinkronizálja az idejét a tartományvezérlővel, a tartományvezérlő pedig szinkronizálja az idejét a PDC emulátorral. Ily módon a PDC emulátor a tartomány összes tartományvezérlőjének fő órája.

Microsoft

amikor ez a vezérlő nem működik, a biztonság néhány fokkal csökken, és a jelszavakat sebezhetővé teszi a támadásokkal szemben.

Infrastructure master

az infrastructure master alapvető funkciója a tartományon belüli összes helyi felhasználó és hivatkozás hivatkozása. Ez a vezérlő megérti a domain általános infrastruktúráját, beleértve azt is, hogy milyen objektumok vannak jelen.

felelős az objektumhivatkozások helyi frissítéséért, valamint biztosítja, hogy naprakész legyen más tartományok másolataiban. Ezt a frissítési folyamatot egy egyedi azonosítón, esetleg egy SID-en keresztül kezeli.

az Infrastructure master hasonló a globális katalógus (GC) nevű másik hirdetési eszközhöz. Ez a GC olyan, mint egy index, amely tudja, hol van minden, az active directory belsejében. Az infrastruktúra-mester viszont a GC kisebb verziója, mivel egyetlen tartományon belül van korlátozva.

miért fontos itt tudni a GC-ről? Mivel a GC és az infrastructure master nem helyezhető el ugyanabban a tartományvezérlőben. Ha ez megtörténik, az infrastruktúra-mester leáll, mivel a GC elsőbbséget élvez.

általában, ha csak egy tartományvezérlője van, ez nem számít annyira. De ha nagy erdője van több tartományvezérlővel, akkor mind a GC, mind az infrastructure master jelenléte problémákat okoz.

Vegyünk egy helyzetet itt. Több domainünk van, amelyek Felnéznek egy GC szerverre. Egy domainen belül módosítjuk a csoporttagságot, és az infrastruktúra-mester tud erről a változásról. De nem frissíti a GC szervert, mert a változtatás nem univerzális csoportra történt. Ez azt jelenti, hogy van esély arra, hogy a GC és az infrastructure master nincs szinkronban, és ez viszont hitelesítési problémákat okozhat. Ezért győződjön meg arról, hogy minden tartományhoz van-e infrastruktúra-mester vagy GC, de nem mindkettő.

összefoglaló

mint látható. Az FSMO szerepkörök megakadályozzák az ütközéseket az active directory-ban, ugyanakkor rugalmasságot biztosítanak az active directory különböző műveleteinek kezeléséhez. Nagyjából öt szerepre oszthatók, amelyek közül az első kettő az egész erdőre vonatkozik, míg a fennmaradó három egy adott tartományra vonatkozik.

alkalmaztál FSMO szerepeket a szervezetedben? Kérjük, ossza meg velünk gondolatait.

fotó: Wikimedia

Leave a Reply