Operations Master szerepkörök (rugalmas Single Master Operations-FSMO)

a műveleti főkiszolgálói szerepkörök (más néven rugalmas egyetlen főkiszolgálói műveletek vagy FSMO) egy Active Directory-tartomány egy vagy több tartományvezérlőjéhez rendelt speciális szerepkörök.

az Active Directory támogatja a címtáradatok tárolójának több főből álló replikációját a tartomány összes tartományvezérlője között. Ezért a tartományban lévő összes tartományvezérlőt lényegében társaknak tekintik. Replikációs ütközések azonban előfordulnak az Active Directory replikációja során. A Windows Server 2003 Active Directoryban végrehajtott egyes műveletek károsak lehetnek, ha ütközések lépnek fel. Ezen műveletek esetében a Windows 2003 visszatér az egy fő modell használatára. Ez azt jelenti, hogy a hálózaton egyetlen tartományvezérlő vállalja a felelősséget egy adott feladat elvégzéséért, és ezeket a tartományvezérlőket műveleti főnek hívják.

öt műveleti mester szerep van, ezek közül kettő erdő szintű, három pedig tartományszintű. Az alábbi táblázat felsorolja az Operation Master szerepköröket és azok hatókörét.

műveleti mester

hatály

séma mester

erdő széles

Domain elnevezési mester

erdő széles

elsődleges tartományvezérlő (PDC) emulátor

Domain széles

relatív Azonosító (rid) mester

Domain széles

infrastruktúra mester

tartomány széles

séma mester

Active Directory séma meghatározza, hogy mi létezhet a könyvtárban. Az új objektumok és attribútumok frissítésének folyamatát szorosan figyelemmel kell kísérni. A Windows Server 2003 hálózaton a sémának csak egyetlen írható/olvasható példánya van tárolva a Sémafestőn.

a sémagyártó szerepkörhöz rendelt tartományvezérlő vezérli a séma összes frissítését és módosítását. Egy erdő sémájának frissítéséhez hozzáféréssel kell rendelkeznie a sémakezelőhöz.

csak egy séma mester az egész erdőben bármikor.

Domain Naming Master

az AD-n belüli összes objektumnak egyedinek kell lennie. Nem hozhatunk létre két azonos nevű objektumot egy tárolóban, és a megkülönböztetett neveknek minden objektumnak egyedinek kell lenniük. A Domain Naming Master biztosítja, hogy a Windows Server 2003 erdőhöz hozzáadott új tartományok egyedi nevekkel rendelkezzenek.

az egész erdőben egyszerre csak egy Domain névadó mester található.

PDC (elsődleges tartományvezérlő) emulátor

a PDC emulátor olyan hálózati ügyfeleket szolgál ki, amelyek nem rendelkeznek Active Directory-ügyfélszoftverrel, és a tartomány bármely Microsoft Windows NT tartalék tartományvezérlőjére (BDC) replikálja a címtárváltozásokat.

még a tartomány működik a Windows 2003 funkcionális szinten, PDC emulátor szükséges bizonyos feladatok elvégzéséhez.

a PDC emulátor a tartomány más tartományvezérlői által végrehajtott jelszóváltozások preferenciális replikációját kapja.

ha nemrégiben módosítottak egy jelszót, a változtatás replikálása időbe telik a tartomány minden tartományvezérlőjén. Ha egy másik tartományvezérlőn hibás jelszó miatt sikertelen a bejelentkezési hitelesítés, a tartományvezérlő a bejelentkezési kísérlet elutasítása előtt továbbítja a hitelesítési kérelmet a PDC emulátornak.

tartományonként csak egyetlen PDC emulátor létezik.

Relative ID (RID) Master

a biztonsági fő egy Active Directory-objektum, amelyhez engedélyeket lehet rendelni egy Windows Server 2003 hálózaton belül. A biztonsági Főobjektumok például a felhasználók, a csoportok és a számítógépek. Minden biztonsági megbízóhoz van hozzárendelve egy biztonsági azonosító (Sid), így azonosítható.

a biztonsági azonosító (Sid) két összetevőből áll. Az első összetevő, a domain SID, a tartomány összes biztonsági megbízója számára közös. A Sid egyedisége egy második szám, a relatív Azonosító (rid) hozzáadásából származik. A RID az egyes tartományvezérlőkön tárolt rid-készletből van hozzárendelve. Az ebben a készletben található RIDs-eket a RID-mester minden tartományvezérlőhöz hozzárendeli.

a Sid formátuma a következő mintát követi: S-R-IA-SA-SA-RID.

• S egy SID azonosítót jelent.

•R jelenti a felülvizsgálatot. A Windows által generált összes SIDs 1-es revíziós szintet használ.

•IA képviseli a kibocsátó hatóságot.

egy tipikus felhasználói SID így néz ki: S-1-5-21-1683771067-1221355100-624655392-1001.

a rid-eket minden DC-hez 500 rid blokkokban rendelik. Amikor a RIDs blokk kimerült, a DC újabb blokkot kér a RID Master-től. Az egyediség biztosítása érdekében a RID mester nyomon követi, hogy mely RID blokkokat rendelték hozzá.

ha a RID készlet egy DC-n kimerült, és a rid mester nem érhető el, akkor nem hozhat létre biztonsági elemeket (például: felhasználó) az adott kiszolgálón.

tartományonként csak egy RID-mester van.

Infrastruktúra-Mester

Leave a Reply