FSMO
Flexible Single Master Operations (FSMO) oder operations masters (Betriebsmaster) sind spezielle Aufgaben, die Domain Controller innerhalb des Active Directorys der Firma Microsoft übernehmen. Die Aufgaben können auf verschiedene Server verteilt werden, jedoch darf keine dieser Rollen von mehreren Servern gleichzeitig übernommen werden.
Rollen
[Bearbeiten | Quelltext bearbeiten]Flexible Single Master Operations umfasst die im Folgenden genannten ‚Rollen‘.
Standardmäßig werden dem ersten Domain Controller in einem Forest alle fünf FSMO-Rollen zugewiesen. Ein Domain Controller in einer Sub-Domain bekommt standardmäßig die 3 domainweiten Funktionen übertragen. Die gesamtstrukturweiten Rollen können nur Domänen-Controllern der ersten Stammdomäne der Gesamtstruktur zugewiesen werden.
Domain Naming Master
[Bearbeiten | Quelltext bearbeiten]- Gesamtstruktur-weite Rolle.
- Es kann nur einen Domain Controller in der Gesamtstruktur geben, der die Möglichkeit hat, Domain-Namen zu vergeben, und diese zu verwalten.
- Wenn ein Administrator versucht eine neue Domäne oder Subdomäne anzulegen, wird dieser eine Fehlermeldung bekommen, da im Netzwerk keine Domäne oder Subdomäne angelegt werden kann, wenn der Domain Naming Master nicht bestätigt, dass dieser Name noch nicht belegt ist. Gleiches gilt für das Einbinden eines neuen Domaincontrollers. Mit dem Domain Naming Master gibt es nur einen Domain Controller, der die Freigabe eines neuen Namens akzeptieren kann.
Schema-Master
[Bearbeiten | Quelltext bearbeiten]- Gesamtstruktur-weite Rolle.
- Das Schema definiert die Klassen-Schablonen für die Active-Directory-Objekte wie Benutzer, Computer oder Ressourcen, genauso wie die Attribute, die den einzelnen Objekten zugewiesen werden können.
- Der Schema-Master ist verantwortlich, wenn das Active-Directory-Schema verändert werden soll, d. h. dem Schema weitere Objektklassen und Attribute hinzugefügt werden sollen. Dies ist z. B. der Fall bei der ersten Installation eines Exchange Servers, der Exchange-spezifische Attribute wie den Homeserver und den Postfachnamen für jeden Benutzer hinzufügt. Damit die Änderungen vollzogen werden können, muss der Schema-Master verfügbar sein.
RID (Relative ID)-Master
[Bearbeiten | Quelltext bearbeiten]- Domain-weite Rolle.
- SIDs im Active Directory sind Kennungen, die zum Beispiel einem User zugewiesen werden, wenn er bei Login einer bestimmten Gruppe angehört.
- Sie haben (vereinfacht) folgendes Schema: Local-ID – Relative-ID (RID), wobei diese RID eine fortlaufende Nummer ist, beginnend bei 1000. Es muss nun sichergestellt sein, dass die fortlaufenden Nummern der RID einmalig sind, um die Eindeutigkeit der Security ID (SID) zu gewährleisten. Da aber verschiedene Domain Controller verschiedene Gruppen und Objekte anlegen können, muss ein zentraler Domain Controller die Aufgabe übernehmen, für jeden Domain Controller gewisse „RID-Pools“ bereitzustellen.
PDC (Primary Domain Controller)-Emulator
[Bearbeiten | Quelltext bearbeiten]- Domain-weite Rolle
- Die Replizierung von Änderungen in der Active Directory-Datenbank kann bis zu 20 Minuten dauern, da es bis zu 3 Replizierungssprünge geben kann, bei denen jeder 5 Minuten dauern darf. Um das Zurücksetzen von Benutzerpasswörtern zu beschleunigen, werden diese Änderungen direkt zum PDC-Emulator der Domain repliziert. Stellt ein Domain Controller nun einen fehlerhaften Anmeldeversuch fest, weist er den Client nicht direkt ab, sondern prüft das Passwort noch gegen den PDC. Somit ist sichergestellt, dass eine Passwortänderung nach spätestens 5 Minuten gültig ist.
- Außerdem ist der PDC-Emulator der Zeitgeber für alle Server und Clients der Domain, bei denen kein anderer Zeitserver eingestellt wurde.
- Bei Windows NT 4 gab es eine Unterscheidung der Domain Controller in PDCs und BDCs (Backup Domain Controllers). Der PDC war der einzige Domain Controller mit Schreibzugriff auf die Datenbank. Um in einer gemischten Umgebung mit Windows NT und Windows 2000 oder späteren Versionen die Kompatibilität mit NT 4-Clients und -Servern sicherzustellen, gibt sich der Inhaber der PDC-Rolle gegenüber allen Prä-Windows-2000-PCs als Primary Domain Controller aus.
Domain Infrastructure Master
[Bearbeiten | Quelltext bearbeiten]- Domain-weite Rolle
- Der Infrastructure Master (ISM) ist verantwortlich, die referentielle Integrität zwischen verlinkten Active Directory-Objekten sicherzustellen.
- Verlinkte Objekte sind Objekte, die in irgendeiner Weise miteinander in Verbindung stehen (ein Beispiel wären die Attribute „Members“ und „MemberOf“ einer Gruppe).
- Die Aufgabe des Domain Infrastructure Master ist sicherzustellen, dass bei Änderung eines dieser Objekte die Änderung auch auf das jeweils andere Objekt übertragen wird, und zwar domainübergreifend.
- Diese Rolle sollte niemals zusammen mit dem "Globalen Katalog" auf einem Domain Controller ausgeführt werden (es sei denn alle Domain Controller der jeweiligen Domain halten den Globalen Katalog), da sich der Dienst sonst deaktiviert und schwerwiegende Replikationsfehler auftreten. Diese Fehlfunktion ist an Fehlermeldungen 1419 im Event-Log zu erkennen.
Übertragung einer Rolle auf einen anderen Domain Controller
[Bearbeiten | Quelltext bearbeiten]FSMO-Rollen können von Domain Controller (DC) zu Domain Controller beliebig übertragen werden (daher „Flexible“ im Namen). Dabei muss jedoch unterschieden werden, ob die Rolle übergeben oder übernommen werden soll. Wird die Rolle übergeben, sind beide beteiligten Domain Controller online und bekommen diesen Transfer mit. Die Rolle wird dabei auf dem Quell-DC deaktiviert und auf dem Ziel-DC aktiviert. Beide Domain Controller können im Netzwerk verbleiben. Im Notfall ist es allerdings nicht immer der Fall, dass beide Domain Controller online sind. In diesem Fall kann die Rolle nur übernommen werden. Das Übernehmen ist ein erzwungenes Übertragen des Masters, was bedeutet, dass nicht beide Domain Controller an dem Rollentransfer beteiligt sind. Dies darf nur als letzte Aktion ausgeführt werden, wenn sichergestellt ist, dass der alte Server, der von der erzwungenen Übernahme nichts weiß, nie wieder online kommt. Aus diesen Gründen lässt Microsoft diese Übertragung nicht über GUI-Tools, sondern bewusst nur über Kommandozeilentools zu, und auch dort nur mit vielen ausdrücklichen Warnhinweisen, damit der Administrator sich des Schrittes bewusst wird. Als Beistellserver kann die Installation jedoch genutzt werden, wenn zuvor ein DCPROMO /forceremoval (natürlich ohne Netzwerk) gemacht wurde. Einen solchen Beistellserver wünscht sich jedoch niemand wirklich und ergibt nur Sinn, wenn noch andere Daten auf dem Server gespeichert sind und diese in das Netzwerk übernommen werden sollen. Die beste Lösung ist jedoch, den Server neu aufzusetzen. Dann kann das Gerät auch wieder Domain Controller werden.