Ruoli Master Operations (operazioni master singole flessibili-FSMO)
I ruoli Operations master (noti anche come flexible Single master operations o FSMO) sono ruoli speciali assegnati a uno o più controller di dominio in un dominio Active Directory.
Active Directory supporta la replica multi-master dell’archivio dati directory tra tutti i controller di dominio nel dominio. Quindi tutti i controller di dominio in un dominio sono considerati essenzialmente pari. Tuttavia, i conflitti di replica si verificano durante la replica di Active Directory. Alcune operazioni che si verificano su Windows Server 2003 Active Directory potrebbero essere dannose in caso di conflitti. Nel caso di queste operazioni, Windows 2003 torna a utilizzare un modello single-master. Ciò significa che un singolo controller di dominio sulla rete si assume la responsabilità di eseguire un’attività specifica e questi controller di dominio vengono chiamati come operazioni master.
Ci sono cinque ruoli Master di operazione e due di loro sono ruoli a livello di foresta e tre di loro sono ruoli a livello di dominio. La tabella seguente elenca i ruoli principali dell’operazione e il loro ambito.
Master Operazioni |
Ambito di applicazione |
Master Schema |
Foresta ampia |
Master dei nomi di Dominio |
Foresta ampia |
Controller di Dominio Primario (PDC) Emulatore |
a livello di Dominio |
RID Master |
a livello di Dominio |
Master Infrastrutture |
a livello di Dominio |
Schema Master
Active Directory schema definisce ciò che può esistere all’interno della directory. Gestire il processo di aggiornamento con nuovi oggetti e attributi dovrebbe essere un processo strettamente monitorato. Esiste solo una singola copia di lettura / scrittura dello schema sulla rete Windows Server 2003, memorizzata nello schema Master.
Il controller di dominio assegnato al ruolo master dello schema controlla tutti gli aggiornamenti e le modifiche allo schema. Per aggiornare lo schema di una foresta, è necessario avere accesso allo schema master.
C’è solo un singolo schema Master in tutta la foresta in qualsiasi momento.
Domain Naming Master
Tutti gli oggetti all’interno di AD devono essere univoci. Non è possibile creare due oggetti in un contenitore con lo stesso nome e i nomi distinti di tutti gli oggetti devono essere univoci. Domain Naming Master assicura che i nuovi domini aggiunti alla foresta di Windows Server 2003 abbiano nomi univoci.
C’è un solo Domain Naming Master in tutta la foresta in qualsiasi momento.
Emulatore PDC (Primary Domain Controller)
I client di rete PDC emulator services che non hanno installato il software client Active Directory e replicano le modifiche alle directory in qualsiasi controller di dominio di backup di Microsoft Windows NT (BDC) nel dominio.
Anche il dominio funziona a livello funzionale di Windows 2003, è necessario l’emulatore PDC per eseguire determinate attività.
L’emulatore PDC riceve la replica preferenziale delle modifiche della password eseguite da altri controller di dominio nel dominio.
Se una password è stata modificata di recente, tale modifica richiede tempo per essere replicata a tutti i controller di dominio nel dominio. Se un’autenticazione di accesso non riesce in un altro controller di dominio a causa di una password errata, tale controller di dominio inoltra la richiesta di autenticazione all’emulatore PDC prima di rifiutare il tentativo di accesso.
Esiste un solo emulatore PDC per dominio.
Relativo ID (RID) Master
Un Principal di sicurezza è un oggetto Active Directory a cui è possibile assegnare le autorizzazioni all’interno di una rete Windows Server 2003. Esempi di oggetti principali di sicurezza sono utenti, gruppi e computer. A ogni entità di sicurezza viene assegnato un identificatore di sicurezza (SID) in modo che possa essere identificato.
Un identificatore di sicurezza (SID) è costituito da due componenti. Il primo componente, il dominio SID, è comune a tutti i principi di sicurezza in un dominio. L’unicità in SID deriva dall’aggiunta di un secondo numero, l’Identificatore relativo (RID). Il RID viene assegnato da un pool di RID memorizzati in ogni controller di dominio. I RID in questo pool vengono assegnati a ciascun controller di dominio dal Master RID.
Il formato di SID segue questo schema: S-R-IA-SA-SA-RID.
• S rappresenta un identificatore SID.
•R rappresenta la Revisione. Tutti i SID generati da Windows utilizzano un livello di revisione pari a 1.
•IA rappresenta l’autorità emittente.
•SA rappresenta una sotto-autorità e
•RID è l’ID relativo
Un SID utente tipico ha il seguente aspetto: S-1-5-21-1683771067-1221355100-624655392-1001.
I RID vengono assegnati a ciascun DC in blocchi di 500 RID. Quando il blocco di RID è esaurito, il DC richiede un altro blocco dal Master RID. Per garantire l’unicità, il Master RID tiene traccia di quali blocchi RID sono stati assegnati.
Se il pool RID su un DC è esaurito e il Master RID non è disponibile, non sarà possibile creare principi di sicurezza (esempio: un utente) su quel server.
Esiste un solo Master RID per dominio.
Leave a Reply