23/03/2004
Siden de første dage med Active Directory har konceptet om FSMO-roller (Flexible Single Master Operator) været et centralt emne for IT-professionelle. Disse roller er fundamentale for at sikre stabilitet, konsistens og forebygge konflikter i et multi-master replikeringsmiljø som Active Directory. Uden FSMO-roller ville domænecontrollere kunne foretage modstridende ændringer samtidigt, hvilket ville føre til datakorruption og kaos i netværket. Forståelsen af disse fem roller, deres specifikke opgaver og den optimale placering er derfor afgørende for enhver systemadministrator, der ønsker at opretholde et sundt og effektivt IT-miljø.
I denne artikel vil vi dykke ned i hver af de fem FSMO-roller. Vi vil opdele dem i deres respektive kategorier – skovdækkende og domænedækkende – og detaljeret forklare, hvilke ansvarsområder hver rolle har. Fra styring af skemaændringer til synkronisering af tid i hele virksomheden, spiller hver rolle en unik og uundværlig rolle. Vi vil også se på bedste praksis for placering af rollerne for at sikre maksimal ydeevne og redundans.
Hvad er FSMO-roller? En grundlæggende introduktion
Active Directory er bygget på en multi-master model, hvilket betyder, at de fleste ændringer kan foretages på enhver domænecontroller (DC) i domænet. Denne model giver stor fleksibilitet og fejltolerance. Men visse kritiske operationer kan ikke håndteres sikkert i en multi-master model, da det kan skabe konflikter. Forestil dig, at to administratorer opretter to forskellige domæner med samme navn på samme tid på to forskellige DC'er. Hvilken skal have forrang? For at løse dette problem introducerede Microsoft FSMO-modellen.
FSMO-modellen sikrer, at disse konfliktfølsomme operationer kun kan udføres på én enkelt, autoritativ domænecontroller. Denne DC holder en specifik "master"-rolle for den pågældende opgave. Der er i alt fem FSMO-roller, som er opdelt i to kategorier:
- Skovdækkende roller: Der findes kun én af hver af disse roller i hele Active Directory-skoven.
- Domænedækkende roller: Der findes én af hver af disse roller for hvert domæne i skoven.
Dette betyder, at i en simpel skov med kun ét domæne, vil der være i alt fem FSMO-roller. I en mere kompleks skov med f.eks. tre domæner, vil der være to skovdækkende roller plus tre domænedækkende roller for hvert af de tre domæner, hvilket giver i alt 11 FSMO-roller (2 + 3*3).
De skovdækkende roller: Hele skovens fundament
Disse to roller er unikke for hele Active Directory-skoven og håndterer operationer, der påvirker alle domæner. De er typisk mindre aktive i den daglige drift, men deres funktion er kritisk, når der foretages store strukturelle ændringer.
Schema Master
Schema Master-rollen er måske den mest ligetil at forstå. Dens eneste ansvar er at håndtere alle opdateringer og ændringer til Active Directory-skemaet. Skemaet er selve grundplanen for AD-databasen; det definerer alle de objekttyper (f.eks. brugere, grupper, computere) og attributter (f.eks. telefonnummer, e-mailadresse, medarbejder-ID), der kan eksistere i dit AD. Enhver ændring, såsom tilføjelse af en ny attribut til brugerobjekter eller installation af software, der udvider skemaet (som f.eks. Microsoft Exchange), skal skrives direkte til den DC, der holder Schema Master-rollen. Når ændringen er gennemført, replikeres den ud til alle andre DC'er i skoven. Selvom alle DC'er har en skrivebeskyttet kopi af skemaet, er det kun Schema Master, der kan autorisere ændringer.
Domain Naming Master
Den anden skovdækkende rolle er Domain Naming Master. Som navnet antyder, er denne rolle ansvarlig for at administrere domænenavneområdet i skoven. Dens primære opgaver er:
- Tilføjelse af nye domæner til skoven.
- Fjernelse af eksisterende domæner fra skoven.
- Sikring af, at der ikke oprettes domæner med identiske navne.
- Håndtering af tilføjelse og fjernelse af applikationspartitioner.
I de fleste organisationer er dette ikke en rolle, der bruges ofte, da strukturen af skoven sjældent ændres. Men når der sker en fusion, opkøb eller en større omstrukturering, er tilgængeligheden af Domain Naming Master afgørende.
De domænedækkende roller: Den daglige drift
Disse tre roller findes i hvert eneste domæne i skoven og er langt mere aktive i den daglige administration og funktion af Active Directory.
RID Master (Relative ID Master)
Hver gang der oprettes et sikkerhedsobjekt (en bruger, gruppe eller computer) i Active Directory, tildeles det et unikt Security Identifier (SID). Et SID består af et domæne-SID (som er det samme for alle objekter i domænet) og et Relative ID (RID), som er unikt for hvert objekt inden for domænet. RID Master-rollens opgave er at uddele puljer af unikke RID'er til hver domænecontroller i domænet. Når en DC er ved at løbe tør for RID'er i sin tildelte pulje, anmoder den om en ny pulje fra RID Master. Dette centraliserede system sikrer, at to DC'er aldrig kan oprette to forskellige objekter med det samme SID. Hvis RID Master er nede i en længere periode, vil DC'er til sidst løbe tør for RID'er og vil ikke længere kunne oprette nye sikkerhedsobjekter.
PDC Emulator (Primary Domain Controller Emulator)
PDC Emulator er uden tvivl den travleste og mest kritiske af alle FSMO-roller. Den har en lang række ansvarsområder, der er afgørende for den daglige drift:
- Tidssynkronisering: PDC Emulator i et domæne fungerer som den autoritative tidskilde for alle andre DC'er, medlems-servere og klientcomputere i domænet. I en multi-domæne skov synkroniserer PDC Emulator i hvert barnedomæne sin tid med PDC Emulator i roddomænet. Korrekt tid er afgørende for Kerberos-autentificering, som har en indbygget tolerance på typisk kun 5 minutter.
- Håndtering af adgangskoder: Når en brugers adgangskode ændres, replikeres denne ændring med høj prioritet til PDC Emulator. Hvis en bruger forsøger at logge ind på en DC, der endnu ikke har modtaget den seneste adgangskodeændring, vil denne DC videresende godkendelsesanmodningen til PDC Emulator for at verificere adgangskoden. Dette minimerer login-fejl efter en nylig adgangskodeændring.
- Account Lockout: Behandling af kontolåsninger sker på PDC Emulator.
- Group Policy-opdateringer: Som standard redigeres Group Policy Objects (GPO'er) på den DC, der holder PDC Emulator-rollen, for at undgå redigeringskonflikter.
- Bagudkompatibilitet: Oprindeligt var rollen designet til at emulere en Windows NT Primary Domain Controller for ældre klienter, men denne funktion er i dag stort set irrelevant.
På grund af dens mange kritiske funktioner, bør PDC Emulator altid placeres på en kraftfuld og vel-forbundet server.
Infrastructure Master
Infrastructure Master er den mest misforståede FSMO-rolle. Dens opgave er at vedligeholde referencer til objekter på tværs af domæner (cross-domain object references). Når en bruger fra Domæne A f.eks. tilføjes til en gruppe i Domæne B, oprettes der en såkaldt "phantom"-post i Domæne B. Infrastructure Master i Domæne B er ansvarlig for at holde denne reference (brugerens SID, GUID og Distinguished Name) opdateret, hvis brugerobjektet i Domæne A flyttes eller omdøbes.
Der er en meget vigtig regel for denne rolle: Infrastructure Master må ikke placeres på en domænecontroller, der også er en Global Catalog (GC) server, medmindre *alle* DC'er i domænet er GC'er. Grunden er, at en GC-server indeholder en delvis kopi af alle objekter i hele skoven og derfor ikke har brug for phantom-poster. Hvis Infrastructure Master kører på en GC, vil den tro, at alle referencer er lokale og vil derfor aldrig udføre sit opdateringsjob, hvilket kan føre til forældede cross-domain gruppemedlemskaber. Denne regel er dog irrelevant, hvis Active Directory Recycle Bin er aktiveret, da hver DC så selv håndterer opdateringen af referencer.
Oversigt og bedste praksis for placering
Korrekt placering af FSMO-roller er afgørende for ydeevnen og stabiliteten af dit Active Directory. Her er en tabel, der opsummerer rollerne, samt nogle generelle anbefalinger.
| FSMO-rolle | Omfang | Primær funktion | Anbefalet placering |
|---|---|---|---|
| Schema Master | Skov | Opdaterer AD-skemaet | På PDC Emulator i roddomænet. |
| Domain Naming Master | Skov | Administrerer domænenavne | På PDC Emulator i roddomænet. |
| RID Master | Domæne | Uddeler RID-puljer | På domænets PDC Emulator. |
| PDC Emulator | Domæne | Tidssynkronisering, adgangskoder, GPO | En kraftfuld, vel-forbundet DC i et centralt site. |
| Infrastructure Master | Domæne | Opdaterer cross-domain referencer | På en DC, der ikke er en Global Catalog (medmindre alle er det). |
Ofte Stillede Spørgsmål (FAQ)
Hvad er den vigtigste FSMO-rolle?
Selvom alle roller er nødvendige, betragtes PDC Emulator generelt som den mest kritiske i den daglige drift. Et nedbrud på PDC Emulator vil have en øjeblikkelig og mærkbar indvirkning på brugerne, især i forhold til login-problemer efter adgangskodeændringer og tidssynkronisering, hvilket kan forhindre Kerberos-autentificering i at fungere korrekt.
Hvad sker der, hvis en FSMO-rolleholder går ned?
Konsekvenserne afhænger af rollen. Hvis Schema Master er nede, kan du ikke opdatere skemaet, men den daglige drift påvirkes ikke. Hvis PDC Emulator eller RID Master er nede, vil det hurtigt skabe problemer. Hvis en rolleholder er permanent nede, skal rollen "seizes" (tvangsovertages) af en anden DC. Hvis det er en planlagt nedetid, kan rollen "transferred" (overføres) elegant til en anden DC.
Hvorfor bør Infrastructure Master ikke være på en Global Catalog-server?
En Global Catalog (GC) server indeholder en delvis kopi af alle objekter i hele skoven. Derfor har den ikke brug for at vedligeholde "phantom"-referencer til objekter i andre domæner, da den allerede har informationen. Hvis Infrastructure Master-rollen er placeret på en GC, vil den se, at den ikke har nogen phantom-poster at opdatere, og vil derfor ikke udføre sit arbejde. Dette kan føre til, at referencer på tværs af domæner ikke bliver opdateret korrekt, f.eks. når en brugers navn ændres.
Hvis du vil læse andre artikler, der ligner De 5 FSMO-roller i Active Directory forklaret, kan du besøge kategorien Teknologi.