Główne role operacyjne (elastyczne pojedyncze operacje główne-FSMO)
role master Operations (znane również jako flexible single master operations lub FSMO) to specjalne role przypisane do jednego lub więcej kontrolerów domeny w domenie Active Directory.
Active Directory obsługuje replikację wielostanowiskową magazynu danych katalogu między wszystkimi kontrolerami domeny w domenie. Stąd wszystkie kontrolery domeny w domenie są uważane za zasadniczo rówieśników. Jednak konflikty replikacji występują podczas replikacji usługi Active Directory. Niektóre operacje wykonywane w systemie Windows Server 2003 Active Directory mogą być szkodliwe w przypadku wystąpienia konfliktów. W przypadku tych operacji System Windows 2003 powraca do korzystania z modelu single-master. Oznacza to, że pojedynczy kontroler domeny w sieci bierze odpowiedzialność za wykonanie określonego zadania, a te kontrolery domeny są nazywane Operations Master.
istnieje pięć głównych ról operacji, z których dwie to role na poziomie lasu, a trzy to role na poziomie domeny. Poniższa tabela zawiera listę ról głównych operacji i ich zakresu.
|
Operations Master |
zakres |
|
schemat Master |
Las szeroki |
|
Mistrz nazewnictwa domen |
Las szeroki |
|
Emulator głównego kontrolera domeny (PDC) |
szeroki zakres domen |
|
identyfikator względny (RID) Master |
szeroki zakres domen |
|
Mistrz infrastruktury |
domeny |
schemat główny
schemat Active Directory określa, co może istnieć w katalogu. Zarządzanie procesem aktualizacji go o nowe obiekty i atrybuty powinno być procesem ściśle monitorowanym. Istnieje tylko jedna kopia do odczytu/zapisu schematu w sieci Windows Server 2003, przechowywana na wzorcu schematu.
kontroler domeny przypisany roli głównej schematu kontroluje wszystkie aktualizacje i modyfikacje schematu. Aby zaktualizować schemat lasu, musisz mieć dostęp do wzorca schematu.
w całym lesie jest tylko jeden mistrz schematu.
Mistrz nazewnictwa domen
wszystkie obiekty w reklamie muszą być unikalne. Nie możemy utworzyć dwóch obiektów w kontenerze o tej samej nazwie, a wyróżnione nazwy wszystkich obiektów muszą być unikalne. Mistrz nazewnictwa domen zapewnia, że nowe domeny dodane do lasu Windows Server 2003 mają unikalne nazwy.
w całym lesie jest tylko jeden mistrz nazewnictwa domen.
emulator PDC (Primary Domain Controller)
emulator PDC obsługuje klientów sieciowych, które nie mają zainstalowanego oprogramowania klienckiego Active Directory i replikuje zmiany katalogów na dowolnych kontrolerach domeny kopii zapasowych Microsoft Windows NT (BDC) w domenie.
nawet domena działa na poziomie funkcjonalnym Windows 2003, emulator PDC jest wymagany do wykonywania niektórych zadań.
emulator PDC otrzymuje preferencyjną replikację zmian haseł wykonywanych przez inne kontrolery domeny w domenie.
jeśli hasło zostało niedawno zmienione, zmiana ta wymaga czasu, aby zreplikować je do każdego kontrolera domeny w domenie. Jeśli uwierzytelnianie logowania nie powiedzie się w innym kontrolerze domeny z powodu złego hasła, kontroler domeny przekazuje żądanie uwierzytelnienia do emulatora PDC przed odrzuceniem próby logowania.
istnieje tylko Jeden Emulator PDC na domenę.
relative ID (RID) Master
Principal zabezpieczeń to obiekt Active Directory, któremu można przypisać uprawnienia w sieci Windows Server 2003. Przykładami podstawowych obiektów zabezpieczeń są Użytkownicy, Grupy i komputery. Każdemu zleceniodawcy bezpieczeństwa przypisany jest identyfikator bezpieczeństwa (Sid), dzięki czemu można go zidentyfikować.
identyfikator bezpieczeństwa (Sid) składa się z dwóch komponentów. Pierwszy komponent, SID domeny, jest wspólny dla wszystkich zasad bezpieczeństwa w domenie. Unikalność w SID pochodzi z dodania drugiej liczby, identyfikatora względnego (RID). RID jest przypisywany z puli rid przechowywanych w każdym kontrolerze domeny. Rid w tej puli są przypisywane do każdego kontrolera domeny przez rid Master.
format SID jest następujący: S-R-IA-SA-SA-RID.
• s reprezentuje identyfikator SID.
•IA reprezentuje organ wydający.
typowy użytkownik SID wygląda tak: S-1-5-21-1683771067-1221355100-624655392-1001.
rid są przypisane do każdego DC w blokach po 500 rid. Gdy blok rid jest wyczerpany, DC żąda kolejnego bloku od mistrza RID. Aby zapewnić wyjątkowość, Mistrz RID śledzi, które bloki RID zostały przypisane.
jeśli pula RID na DC jest wyczerpana, a Master RID nie jest dostępny, nie będziesz w stanie tworzyć zasad bezpieczeństwa (przykład: użytkownika) na tym serwerze.
istnieje tylko jeden Master RID na domenę.
Leave a Reply