- Fsmo
-
Flexible Single Master Operations (FSMO) oder operations masters sind spezielle Aufgaben, die Domain Controller innerhalb des Active Directorys der Firma Microsoft übernehmen. Die Aufgaben können auf verschiedene Server verteilt werden, jedoch darf keine dieser Rollen von mehreren Servern gleichzeitig übernommen werden.
Flexible Single Master Operations umfasst folgende ‚Rollen‘:
- Domain Naming Master
- Gesamtstruktur-weite Rolle.
- Es kann nur einen Domain Controller in der Gesamtstruktur geben, der die Möglichkeit hat, Domain-Namen zu vergeben, und diese zu verwalten.
- Legen zum Beispiel zwei Administratoren im selben Zeitraum (bevor eine Replikation auf andere Domain Controller stattfindet) jeweils eine gleichnamige Domain an, könnte es ohne diesen Betriebsmaster passieren, dass plötzlich zwei Domains oder Subdomains mit gleichem Namen in der Domain vorhanden sind. Mit dem Domain Naming Master gibt es nur einen Domain Controller, der die Freigabe eines neuen Namens akzeptieren kann, so kann dieser bei Bedarf auf diese Situation angemessen reagieren.
- Schema-Master
- Gesamtstruktur-weite Rolle.
- Das Schema definiert die Klassen-Schablonen für die Active-Directory-Objekte wie Benutzer, Computer oder Ressourcen, genauso wie die Attribute, die den einzelnen Objekten zugewiesen werden können.
- Der Schema-Master ist verantwortlich, wenn ein Active-Directory-Objekt geändert werden soll, d.h. dem Objekt weitere Attribute hinzugefügt werden sollen. Dies ist z.B. der Fall bei der ersten Installation eines Exchange Servers, der Exchange-spezifische Attribute wie den Homeserver und den Postfachnamen für jeden Benutzer hinzufügt. Damit die Änderungen vollzogen werden können, muss der Schema-Master verfügbar sein.
- RID-Master
- Domain-weite Rolle.
- SIDs (Security Ids) in Active Directory sind Kennungen, die zum Beispiel einem User zugewiesen werden, wenn er bei Login einer bestimmten Gruppe angehört.
- Sie haben (vereinfacht) folgendes Schema: Local-ID – Reference-ID (RID), wobei diese RID eine fortlaufende Nummer ist, beginnend bei 1000. Es muss nun sichergestellt sein, dass die fortlaufenden Nummern der RID einmalig sind, um die Eindeutigkeit der Security ID zu gewährleisten. Da aber verschiedene Domain Controller verschiedene Gruppen und Objekte anlegen können, muss ein zentraler Domain Controller die Aufgabe übernehmen, für jeden Domain Controller gewisse „RID-Pools“ bereit zu stellen.
- PDC (Primary Domain Controller)-Emulator
- Domain-weite Rolle
- Die Replizierung von Änderungen in der Active Directory-Datenbank kann bis zu 20 Minuten dauern, da es bis zu 4 Replizierungssprünge geben kann, bei denen jeder 5 Minuten dauern darf. Um das Zurücksetzen von Benutzerpasswörtern zu beschleunigen, werden diese Änderungen direkt zum PDC-Emulator der Domain repliziert. Stellt ein Domain Controller nun einen fehlerhaften Anmeldeversuch fest, weist er den Client nicht direkt ab, sondern prüft das Passwort noch gegen den PDC. Somit ist sichergestellt, dass eine Passwortänderung nach spätestens 5 Minuten gültig ist.
- Außerdem ist der PDC-Emulator der Zeitgeber für alle Server und Clients der Domain, bei denen kein anderer Zeitserver eingestellt wurde.
- Bei Windows NT 4 gab es eine Unterscheidung der Domain Controller in PDCs und BDCs (Backup Domain Controllers). Der PDC war der einzige Domain Controller mit Schreibzugriff auf die Datenbank. Um in einer gemischten Umgebung mit Windows NT und Windows 2000 oder späteren Versionen die Kompatibilität mit NT 4-Clients und -Servern sicherzustellen, gibt sich der Inhaber der PDC-Rolle gegenüber allen Prä-Windows-2000-PCs als Primary Domain Controller aus.
- Domain Infrastructure Master
- Domain-weite Rolle
- Der Domain Infrastructure Master (DIM) ist verantwortlich, die referentielle Integrität zwischen verlinkten Active Directory-Objekten sicherzustellen.
- Verlinkte Objekte sind Objekte, die in irgendeiner Weise miteinander in Verbindung stehen (ein Beispiel wären die Attribute „Members“ und „MemberOf“ einer Gruppe).
- Die Aufgabe des Domain Infrastructure Master ist sicherzustellen, dass bei Änderung eines dieser Objekte die Änderung auch auf das jeweils andere Objekt übertragen wird, und zwar domainübergreifend.
- Diese Rolle sollte niemals zusammen mit dem "Globalen Katalog" auf einem Domain Controller ausgeführt werden (es sei denn alle Domain Controller der jeweiligen Domain halten den Globalen Katalog), da sich der Dienst sonst deaktiviert und schwerwiegende Replikationsfehler auftreten. Diese Fehlfunktion ist an Fehlermeldungen 1419 im Event-Log zu erkennen.
Standardmäßig werden dem ersten Domain Controller in einem Forest alle fünf FSMO-Rollen zugewiesen. Ein Domain Controller in einer Sub-Domain bekommt standardmäßig die 3 domainweiten Funktionen übertragen. Die gesamtstrukturweiten Rollen können nur Domänen-Controllern der ersten Stammdomäne der Gesamtstruktur zugewiesen werden.
Übertragung einer Rolle auf einen anderen Domain Controller
FSMO-Rollen können von Domain Controller (DC) zu Domain Controller beliebig übertragen werden (daher „Flexible“ im Namen). Dabei muss jedoch unterschieden werden, ob die Rolle übergeben oder übernommen werden soll. Wird die Rolle übergeben, sind beide beteiligten Domain Controller online und bekommen diesen Transfer mit. Die Rolle wird dabei auf dem Quell-DC deaktiviert und auf dem Ziel-DC aktiviert. Beide Domain Controller können im Netzwerk verbleiben. Im Notfall ist es allerdings nicht immer der Fall, dass beide Domain Controller online sind. In diesem Fall kann die Rolle nur übernommen werden. Das Übernehmen ist ein erzwungenes Übertragen des Masters, was bedeutet, dass nicht beide Domain Controller an dem Rollentransfer beteiligt sind. Dies darf nur als letzte Aktion ausgeführt werden, wenn sichergestellt ist, dass der alte Server, der von der erzwungenen Übernahme nichts weiß, nie wieder online kommt. Aus diesen Gründen lässt Microsoft diese Übertragung nicht über GUI-Tools, sondern bewusst nur über Kommandozeilentools zu, und auch dort nur mit vielen ausdrücklichen Warnhinweisen, damit der Administrator sich des Schrittes bewusst wird. Als Beistellserver kann die Installation jedoch genutzt werden, wenn zuvor ein DCPROMO /forceremoval (natürlich ohne Netzwerk) gemacht wurde. Einen solchen Beistellserver wünscht sich jedoch niemand wirklich und ergibt wirklich nur Sinn, wenn noch andere Daten auf dem Server gespeichert sind und diese in das Netzwerk übernommen werden sollen. Die beste Lösung ist jedoch, den Server neu aufzusetzen. Dann kann das Gerät auch wieder Domain Controller werden.
Weblinks
Wikimedia Foundation.