Operations Master Roller (flexibla single Master Operations-FSMO)

Operations master roller (även känd som flexibel single master operations, eller FSMO) är specialroller som tilldelas en eller flera domänkontrollanter i en Active Directory-domän.

Active Directory stöder multi-master replikering av katalogdatalagret mellan alla domänkontrollanter i domänen. Därför betraktas alla domänkontrollanter i en domän i huvudsak som kamrater. Men replikeringskonflikter inträffar under Active Directory-replikering. Vissa åtgärder som uppstår på en Windows Server 2003 Active Directory kan vara skadliga om konflikter skulle uppstå. När det gäller dessa operationer återgår Windows 2003 till att använda en single-master-modell. Detta innebär att en enda domänkontrollant i nätverket tar ansvar för att utföra en specifik uppgift och dessa domänkontrollanter kallas Operations Master.

det finns fem Operation Master roller och två av dem är Forest level roller och tre av dem är Domain level Roller. Följande tabell visar operationens huvudroller och deras omfattning.

Schema mästare

Active Directory schema definierar vad som kan finnas i katalogen. Att hantera processen att uppdatera den med nya objekt och attribut bör vara en noggrant övervakad process. Det finns bara en enda läs – /skrivkopia av schemat på ditt Windows Server 2003-nätverk, lagrat på Schemamästaren.

domänkontrollanten som tilldelats schemamästarrollen styr alla uppdateringar och ändringar av schemat. För att uppdatera schemat för en skog måste du ha tillgång till schemamästaren.

det finns bara en enda Schemamaster i hela skogen när som helst.

Domain Naming Master

alla objekt i AD måste vara unika. Vi kan inte skapa två objekt i en behållare med samma namn, och de utmärkta namnen alla objekt måste vara unika. Domain Naming Master säkerställer att nya domäner som läggs till i din Windows Server 2003-skog har unika namn.

det finns bara en enda Domännamnsmästare i hela skogen när som helst.

PDC (primär domänkontrollant) Emulator

PDC emulator services nätverksklienter som inte har Active Directory-klientprogramvara installerad, och det replikerar katalogändringar till alla Microsoft Windows NT backup domain controllers (BDC) i domänen.

även domänen fungerar på Windows 2003 funktionell nivå, PDC Emulator krävs för att utföra vissa uppgifter.

PDC-emulatorn får preferensreplikation av lösenordsändringar som utförs av andra domänkontrollanter i domänen.

om ett lösenord nyligen har ändrats tar ändringen tid att replikera till alla domänkontrollanter i domänen. Om en inloggningsautentisering misslyckas hos en annan domänkontrollant på grund av ett dåligt lösenord vidarebefordrar den domänkontrollanten autentiseringsbegäran till PDC-emulatorn innan den avvisar inloggningsförsöket.

det finns bara en enda PDC-Emulator per domän.

Relative ID (RID) Master

en säkerhetsprincip är ett Active Directory-objekt som kan tilldelas behörigheter i ett Windows Server 2003-nätverk. Exempel på säkerhetsobjekt är Användare, Grupper och datorer. Varje säkerhetsprincip tilldelas en Säkerhetsidentifierare (Sid) så att den kan identifieras.

en Säkerhetsidentifierare (Sid) består av två komponenter. Den första komponenten, domain SID, är gemensam för alla säkerhetsprinciper i en domän. Unikheten i SID kommer från tillägget av ett andra nummer, den relativa identifieraren (RID). RID tilldelas från en pool av rid som lagras vid varje domänkontrollant. RIDs i denna pool tilldelas varje domänkontrollant av RID-mästaren.

formatet för SID följer detta mönster: S-R-IA-SA-SA-RID.

ett typiskt användarsid ser ut så här: S-1-5-21-1683771067-1221355100-624655392-1001.

RIDs tilldelas varje DC i block med 500 RIDs. När RIDs-blocket är uttömt begär DC ett annat block från RID-mästaren. För att säkerställa unikhet håller rid-mästaren reda på vilka RID-block som har tilldelats.

om rid-poolen på en DC är uttömd och RID-Master inte är tillgänglig kommer du inte att kunna skapa säkerhetsprinciper (exempel: en användare) på den servern.

det finns bara en enda RID-Master per domän.

Infrastruktur Mästare