Operațiuni roluri de Master (operațiuni unice de master flexibile-FSMO)
rolurile principale ale operațiunilor (cunoscute și sub numele de operațiuni master unice flexibile sau FSMO) sunt roluri speciale atribuite unuia sau mai multor controlere de domeniu dintr-un domeniu Active Directory.
Active Directory acceptă replicarea multi-master a depozitului de date director între toate controlerele de domeniu din domeniu. Prin urmare, toate controlerele de domeniu dintr-un domeniu sunt considerate în esență colegi. Dar, conflictele de replicare apar în timpul replicării Active Directory. Unele operațiuni care au loc pe un Windows Server 2003 Active Directory ar putea fi dăunătoare dacă ar apărea conflicte. În cazul acestor operațiuni, Windows 2003 revine la utilizarea unui model cu un singur master. Aceasta înseamnă că un singur controler de domeniu din rețea își asumă responsabilitatea pentru efectuarea unei sarcini specifice, iar aceste controlere de domeniu sunt numite Master Operations.
există cinci roluri de master de operare și două dintre ele sunt roluri la nivel de pădure și trei dintre ele sunt roluri la nivel de domeniu. Următorul tabel listează rolurile principale de operare și domeniul lor de aplicare.
|
operațiuni Master |
domeniu de aplicare |
|
Schema Master |
pădure largă |
|
Domain Naming Master |
pădure largă |
|
Emulator de controler de domeniu primar (PDC) |
domeniu larg |
|
identificator relativ (RID) Master |
domeniu larg |
|
Master infrastructură |
domeniu larg |
Schema Master
schema Active Directory definește ce poate exista în director. Gestionarea procesului de actualizare cu obiecte și atribute noi ar trebui să fie un proces monitorizat îndeaproape. Există doar o singură copie de citire/scriere a schemei în rețeaua Windows Server 2003, stocată în Schema Master.
controlerul de domeniu atribuit rolului principal al schemei controlează toate actualizările și modificările schemei. Pentru a actualiza schema unei păduri, trebuie să aveți acces la Schema master.
există un singur maestru de schemă în întreaga pădure în orice moment.
Domain Naming Master
toate obiectele din AD trebuie să fie unice. Nu putem crea două obiecte într-un container cu același nume, iar numele distinse toate obiectele trebuie să fie unice. Domain Naming Master asigură că noile domenii adăugate la Windows Server 2003 forest au nume unice.
există un singur maestru de denumire a domeniului în întreaga pădure în orice moment.
PDC (primary Domain Controller) Emulator
emulatorul PDC servicii clienții de rețea care nu au software-ul client Active Directory instalat, și se reproduce modificările director la orice controlere de domeniu de backup Microsoft Windows NT (BDCs) în domeniu.
chiar și domeniul funcționează la nivel funcțional Windows 2003, emulatorul PDC este necesar pentru a efectua anumite sarcini.
emulatorul PDC primește replicarea preferențială a modificărilor de parolă efectuate de alte controlere de domeniu din domeniu.
dacă o parolă a fost modificată recent, această modificare necesită timp pentru a se reproduce la fiecare controler de domeniu din domeniu. Dacă o autentificare de conectare eșuează la un alt controler de domeniu din cauza unei parole proaste, acel controler de domeniu transmite cererea de autentificare către emulatorul PDC înainte de a respinge încercarea de conectare.
există doar un singur Emulator PDC pe domeniu.
relativă Id (RID) Master
un Principal de securitate este un obiect Active Directory care pot fi atribuite permisiuni într-o rețea Windows Server 2003. Exemple pentru obiectele principale de securitate sunt utilizatorii, grupurile și computerele. Fiecărui Principal de securitate i se atribuie un identificator de securitate (Sid), astfel încât să poată fi identificat.
un identificator de securitate (Sid) este alcătuit din două componente. Prima componentă, domeniul SID, este comună tuturor directorilor de securitate dintr-un domeniu. Unicitatea în SID provine din adăugarea unui al doilea număr, identificatorul relativ (RID). RID este atribuit dintr-un grup de RIDs stocate la fiecare controler de domeniu. RIDs în acest pool sunt atribuite fiecărui controler de domeniu de Master RID.
formatul SID urmează acest model: S-R-IA-SA-SA-RID.
• S reprezintă un identificator SID.
•IA reprezintă autoritatea emitentă.
•SA reprezintă o subautoritate și
•RID este ID-ul relativ
un utilizator tipic Sid arată astfel: S-1-5-21-1683771067-1221355100-624655392-1001.
RIDs sunt atribuite fiecărui DC în blocuri de 500 RIDs. Când blocul de RIDs este epuizat, DC solicită un alt bloc de la Maestrul RID. Pentru a asigura unicitatea, Maestrul RID ține evidența blocurilor RID care au fost atribuite.
dacă pool-ul RID de pe un DC este epuizat și rid Master nu este disponibil, nu veți putea crea principii de securitate (exemplu: un utilizator) pe acel server.
există doar un singur Master RID pe domeniu.
Leave a Reply