Operations Master szerepkörök (rugalmas Single Master Operations-FSMO)
a műveleti főkiszolgálói szerepkörök (más néven rugalmas egyetlen főkiszolgálói műveletek vagy FSMO) egy Active Directory-tartomány egy vagy több tartományvezérlőjéhez rendelt speciális szerepkörök.
az Active Directory támogatja a címtáradatok tárolójának több főből álló replikációját a tartomány összes tartományvezérlője között. Ezért a tartományban lévő összes tartományvezérlőt lényegében társaknak tekintik. Replikációs ütközések azonban előfordulnak az Active Directory replikációja során. A Windows Server 2003 Active Directoryban végrehajtott egyes műveletek károsak lehetnek, ha ütközések lépnek fel. Ezen műveletek esetében a Windows 2003 visszatér az egy fő modell használatára. Ez azt jelenti, hogy a hálózaton egyetlen tartományvezérlő vállalja a felelősséget egy adott feladat elvégzéséért, és ezeket a tartományvezérlőket műveleti főnek hívják.
öt műveleti mester szerep van, ezek közül kettő erdő szintű, három pedig tartományszintű. Az alábbi táblázat felsorolja az Operation Master szerepköröket és azok hatókörét.
|
műveleti mester |
hatály |
|
séma mester |
erdő széles |
|
Domain elnevezési mester |
erdő széles |
|
elsődleges tartományvezérlő (PDC) emulátor |
Domain széles |
|
relatív Azonosító (rid) mester |
Domain széles |
|
infrastruktúra mester |
tartomány széles |
séma mester
Active Directory séma meghatározza, hogy mi létezhet a könyvtárban. Az új objektumok és attribútumok frissítésének folyamatát szorosan figyelemmel kell kísérni. A Windows Server 2003 hálózaton a sémának csak egyetlen írható/olvasható példánya van tárolva a Sémafestőn.
a sémagyártó szerepkörhöz rendelt tartományvezérlő vezérli a séma összes frissítését és módosítását. Egy erdő sémájának frissítéséhez hozzáféréssel kell rendelkeznie a sémakezelőhöz.
csak egy séma mester az egész erdőben bármikor.
Domain Naming Master
az AD-n belüli összes objektumnak egyedinek kell lennie. Nem hozhatunk létre két azonos nevű objektumot egy tárolóban, és a megkülönböztetett neveknek minden objektumnak egyedinek kell lenniük. A Domain Naming Master biztosítja, hogy a Windows Server 2003 erdőhöz hozzáadott új tartományok egyedi nevekkel rendelkezzenek.
az egész erdőben egyszerre csak egy Domain névadó mester található.
PDC (elsődleges tartományvezérlő) emulátor
a PDC emulátor olyan hálózati ügyfeleket szolgál ki, amelyek nem rendelkeznek Active Directory-ügyfélszoftverrel, és a tartomány bármely Microsoft Windows NT tartalék tartományvezérlőjére (BDC) replikálja a címtárváltozásokat.
még a tartomány működik a Windows 2003 funkcionális szinten, PDC emulátor szükséges bizonyos feladatok elvégzéséhez.
a PDC emulátor a tartomány más tartományvezérlői által végrehajtott jelszóváltozások preferenciális replikációját kapja.
ha nemrégiben módosítottak egy jelszót, a változtatás replikálása időbe telik a tartomány minden tartományvezérlőjén. Ha egy másik tartományvezérlőn hibás jelszó miatt sikertelen a bejelentkezési hitelesítés, a tartományvezérlő a bejelentkezési kísérlet elutasítása előtt továbbítja a hitelesítési kérelmet a PDC emulátornak.
tartományonként csak egyetlen PDC emulátor létezik.
Relative ID (RID) Master
a biztonsági fő egy Active Directory-objektum, amelyhez engedélyeket lehet rendelni egy Windows Server 2003 hálózaton belül. A biztonsági Főobjektumok például a felhasználók, a csoportok és a számítógépek. Minden biztonsági megbízóhoz van hozzárendelve egy biztonsági azonosító (Sid), így azonosítható.
a biztonsági azonosító (Sid) két összetevőből áll. Az első összetevő, a domain SID, a tartomány összes biztonsági megbízója számára közös. A Sid egyedisége egy második szám, a relatív Azonosító (rid) hozzáadásából származik. A RID az egyes tartományvezérlőkön tárolt rid-készletből van hozzárendelve. Az ebben a készletben található RIDs-eket a RID-mester minden tartományvezérlőhöz hozzárendeli.
a Sid formátuma a következő mintát követi: S-R-IA-SA-SA-RID.
• S egy SID azonosítót jelent.
•R jelenti a felülvizsgálatot. A Windows által generált összes SIDs 1-es revíziós szintet használ.
•IA képviseli a kibocsátó hatóságot.
egy tipikus felhasználói SID így néz ki: S-1-5-21-1683771067-1221355100-624655392-1001.
a rid-eket minden DC-hez 500 rid blokkokban rendelik. Amikor a RIDs blokk kimerült, a DC újabb blokkot kér a RID Master-től. Az egyediség biztosítása érdekében a RID mester nyomon követi, hogy mely RID blokkokat rendelték hozzá.
ha a RID készlet egy DC-n kimerült, és a rid mester nem érhető el, akkor nem hozhat létre biztonsági elemeket (például: felhasználó) az adott kiszolgálón.
tartományonként csak egy RID-mester van.
Leave a Reply