07/07/2017
I hjertet af ethvert Windows Server-netværk ligger Active Directory (AD), en kompleks og kraftfuld tjeneste til administration af ressourcer. For at sikre stabilitet og undgå konflikter i et miljø, hvor flere domænecontrollere kan foretage ændringer, benytter Active Directory et system kendt som FSMO-roller (Flexible Single Master Operations). Selvom AD understøtter multi-master replikering, hvor alle domænecontrollere i princippet er ligeværdige, er der visse kritiske operationer, der kun må udføres af én enkelt server ad gangen for at forhindre kaos i systemet. Disse specialiserede opgaver tildeles domænecontrollere, der bærer en FSMO-rolle. At forstå disse roller er afgørende for at kunne designe, administrere og fejlfinde et sundt Active Directory-miljø.
Denne artikel vil dykke ned i de fem FSMO-roller, forklare deres unikke funktioner, opdele dem i deres respektive niveauer (skov-dækkende og domæne-dækkende), og give anbefalinger til, hvordan de bedst placeres i dit netværk for optimal ydeevne og redundans. Vi vil også se på, hvad konsekvenserne er, hvis en server med en FSMO-rolle bliver utilgængelig, og hvordan man kan diagnosticere problemer relateret til disse kritiske funktioner.
Hvad er FSMO Roller (Flexible Single Master Operations)?
Flexible Single Master Operations, ofte forkortet FSMO og udtalt "fizz-mo", er en mekanisme i Active Directory, der sikrer, at konfliktskabende operationer håndteres på en kontrolleret måde. I et standard multi-master replikeringsmiljø kan enhver domænecontroller foretage ændringer i AD-databasen, hvorefter disse ændringer replikeres til de andre controllere. Systemet har indbyggede mekanismer til at løse simple konflikter, f.eks. hvis to administratorer ændrer den samme brugers attributter på forskellige servere næsten samtidigt. Her vil den seneste ændring typisk vinde.
Men visse handlinger er for følsomme til denne model. Forestil dig, hvad der ville ske, hvis to administratorer forsøgte at oprette et nyt domæne med samme navn på samme tid, eller hvis der blev foretaget ændringer i selve grundstrukturen (skemaet) af Active Directory fra to forskellige steder. Resultatet ville være inkonsistens og potentiel korruption af hele AD-databasen. For at forhindre dette, tildeles ansvaret for disse operationer til en enkelt domænecontroller, der fungerer som en "Operations Master". Hver af disse fem specialiserede roller kan kun varetages af én domænecontroller ad gangen inden for dens specifikke omfang (enten hele skoven eller et specifikt domæne).
De 5 FSMO Roller: Opdelt efter Omfang
Der findes i alt fem FSMO-roller. To af disse opererer på skov-niveau, hvilket betyder, at der kun findes én af hver i hele Active Directory-skoven, uanset hvor mange domæner den indeholder. De resterende tre opererer på domæne-niveau, hvilket betyder, at der findes et sæt af disse tre roller for hvert enkelt domæne i skoven.
Tabel over FSMO Roller og deres Omfang
| Rolle | Omfang (Scope) |
|---|---|
| Schema Master | Skov-dækkende |
| Domain Naming Master | Skov-dækkende |
| PDC (Primary Domain Controller) Emulator | Domæne-dækkende |
| RID (Relative ID) Master | Domæne-dækkende |
| Infrastructure Master | Domæne-dækkende |
Skov-dækkende Roller
1. Schema Master (Skema Master)
Active Directory-skemaet er selve grundplanen for din AD-database. Det definerer, hvilke typer objekter der kan oprettes (f.eks. brugere, grupper, computere), og hvilke attributter hvert objekt kan have (f.eks. navn, e-mail, telefonnummer). Schema Master-rollen er den eneste domænecontroller, der har en skrivebar kopi af skemaet. Enhver ændring eller udvidelse af skemaet, som f.eks. ved installation af Microsoft Exchange eller opgradering af domænecontrollere til en nyere Windows Server-version, skal ske via denne specifikke server. Der er kun én Schema Master i hele skoven.
2. Domain Naming Master (Domænenavngivningsmaster)
Denne rolle sikrer, at alle domæner, der tilføjes til skoven, har unikke navne. Når du vil tilføje et nyt domæne eller fjerne et eksisterende, kontaktes Domain Naming Master for at godkende og administrere processen. Den forhindrer, at to domæner med identiske navne kan eksistere i samme skov. Ligesom Schema Master findes der kun én Domain Naming Master i hele skoven.
Domæne-dækkende Roller
3. PDC Emulator (Primary Domain Controller Emulator)
Dette er uden tvivl den mest alsidige og ofte mest kritiske af de domæne-dækkende roller. Den har flere ansvarsområder:
- Password Håndtering: Den modtager præferentiel replikering af adgangskodeændringer. Når en bruger ændrer sin adgangskode, sendes ændringen hurtigst muligt til PDC Emulatoren. Hvis en bruger forsøger at logge ind på en anden domænecontroller med en ny adgangskode, som endnu ikke er replikeret, vil denne domænecontroller kontakte PDC Emulatoren for at verificere den seneste adgangskode, før login-forsøget afvises. Dette minimerer frustration hos brugerne.
- Tidssynkronisering: PDC Emulatoren i rod-domænet fungerer som den autoritative tidskilde for hele skoven. Alle andre domænecontrollere synkroniserer deres ur med den, og klientmaskiner synkroniserer med deres lokale domænecontroller. Korrekt tid er afgørende for Kerberos-autentificering.
- Kompatibilitet: Rollen emulerer en primær domænecontroller fra ældre Windows NT-dage, hvilket sikrer kompatibilitet med ældre systemer og applikationer.
- Group Policy Management: Når Group Policy Objects (GPO'er) redigeres, foregår det som standard på den domænecontroller, der holder PDC Emulator-rollen, for at undgå redigeringskonflikter.
Der er én PDC Emulator i hvert domæne.
4. RID Master (Relative ID Master)
Hvert sikkerhedsobjekt i Active Directory (bruger, gruppe, computer) tildeles et unikt Security Identifier (SID). Et SID består af et domæne-SID (som er det samme for alle objekter i domænet) og et Relative ID (RID), som er unikt for hvert objekt. RID Master er ansvarlig for at generere og uddele puljer af unikke RID'er til alle domænecontrollere i domænet. Hver domænecontroller modtager en blok af RIDs (typisk 500 ad gangen). Når en domænecontroller er ved at løbe tør for RIDs, anmoder den om en ny blok fra RID Master. Hvis RID Master er nede, kan der ikke oprettes nye sikkerhedsobjekter, når de lokale puljer er opbrugt. Der er én RID Master i hvert domæne.
5. Infrastructure Master (Infrastrukturmaster)
Denne rolles primære funktion er at vedligeholde referencer til objekter i andre domæner (også kendt som "phantoms"). Når en bruger fra Domæne A f.eks. tilføjes til en gruppe i Domæne B, opretter Infrastructure Master i Domæne B en reference, der indeholder information som brugerens SID og navn. Den er ansvarlig for at opdatere disse referencer, hvis det oprindelige objekt omdøbes eller flyttes. I moderne miljøer, hvor alle domænecontrollere også fungerer som Global Catalog-servere, eller hvor AD Recycle Bin er aktiveret, har denne rolle dog en meget begrænset eller ingen funktion. Der er én Infrastructure Master i hvert domæne.
Bedste Praksis for Placering af FSMO Roller
Ved oprettelsen af det første domæne i en ny skov placeres alle fem FSMO-roller automatisk på den første domænecontroller. Selvom dette fungerer, er det ikke en optimal konfiguration for produktionsmiljøer med mere end én domænecontroller. Her er nogle generelle anbefalinger:
- Adskil Skov- og Domæneroller: I et simpelt setup med to domænecontrollere er det en god praksis at placere de to skov-dækkende roller (Schema Master og Domain Naming Master) på én server og de tre domæne-dækkende roller (PDC Emulator, RID Master, Infrastructure Master) på en anden.
- Saml PDC Emulator og RID Master: Disse to roller arbejder ofte tæt sammen og bør generelt placeres på den samme domænecontroller. Denne server bør være en af de mest kraftfulde og pålidelige i domænet.
- Placering af Infrastructure Master: Placer ikke Infrastructure Master-rollen på en domænecontroller, der også er en Global Catalog (GC) server, medmindre ALLE domænecontrollere i domænet er GC'er. En GC indeholder en delvis kopi af alle objekter i skoven og opdaterer derfor sine egne tværdomæne-referencer, hvilket gør Infrastructure Master-rollen overflødig på den server.
- Placer Skov-roller på en GC: De to skov-roller (Schema Master og Domain Naming Master) bør placeres på en domænecontroller, der også er en Global Catalog server.
- Fysisk placering: PDC Emulator-rollen bør placeres på en server i et centralt, vel-forbundet site for at sikre, at alle klienter har hurtig og pålidelig adgang til den for tidssynkronisering og adgangskodevalidering.
Hvad Sker Der, Hvis en FSMO Rolleholder Fejler?
Et nedbrud på en server, der holder en FSMO-rolle, medfører ikke øjeblikkeligt et totalt kollaps af dit Active Directory. Domænet vil fortsætte med at fungere for de fleste almindelige opgaver som bruger-login og adgang til ressourcer. Konsekvenserne afhænger af, hvilken rolle der er nede, og hvor længe den er utilgængelig.
| Utilgængelig Rolle | Symptom / Konsekvens | Kritikalitet |
|---|---|---|
| Schema Master | Kan ikke foretage ændringer i AD-skemaet (f.eks. ved installation af Exchange). | Lav (sjældent brugt) |
| Domain Naming Master | Kan ikke tilføje eller fjerne domæner i skoven. | Lav (sjældent brugt) |
| PDC Emulator | Tidssynkronisering stopper, adgangskodeændringer kan blive forsinket, og visse sikkerhedspolitikker kan fejle. Meget mærkbart for brugerne. | Høj (umiddelbar påvirkning) |
| RID Master | Kan ikke oprette nye brugere, grupper eller computere, når de eksisterende RID-puljer på DC'er er opbrugt. | Medium (påvirker over tid) |
| Infrastructure Master | Tværdomæne-gruppemedlemskaber opdateres muligvis ikke korrekt. Ofte ingen mærkbar effekt i moderne setups. | Meget lav |
Hvis en FSMO-rolleholder forventes at være offline i længere tid, kan rollerne flyttes til en anden domænecontroller. Hvis den oprindelige server er online, udføres en pæn overførsel (transfer). Hvis serveren er permanent nede, skal man udføre en "seizure" (beslaglæggelse), hvor en anden domænecontroller tvinges til at overtage rollen. En server, hvis FSMO-roller er blevet beslaglagt, må aldrig bringes online på netværket igen.
Ofte Stillede Spørgsmål (FAQ)
Kan alle fem FSMO-roller køre på den samme domænecontroller?
Ja, det er teknisk muligt, og det er standardkonfigurationen, når det første domæne oprettes. I små miljøer med kun én eller to domænecontrollere kan det være acceptabelt. I større eller mere komplekse miljøer anbefales det dog kraftigt at distribuere rollerne for at forbedre ydeevne og redundans.
Hvilken FSMO-rolle er den mest kritiske at have online?
PDC Emulator-rollen anses generelt for at være den mest kritiske for den daglige drift. Et nedbrud her vil hurtigst påvirke brugerne gennem problemer med login, adgangskodeændringer og tidssynkronisering, som er vital for Kerberos-autentificering.
Hvordan kan jeg se, hvilke servere der har FSMO-rollerne?
Du kan hurtigt finde ud af det ved at køre kommandoen netdom query fsmo i en kommandoprompt på en domænecontroller. Alternativt kan PowerShell-cmdlets som Get-ADDomain og Get-ADForest bruges til at hente informationen.
Hvad er forskellen på at overføre (transfer) og beslaglægge (seize) en rolle?
En overførsel er en kontrolleret og pæn proces, hvor den nuværende rolleholder og den nye rolleholder kommunikerer for at flytte rollen. Dette gøres, når begge servere er online og fungerer korrekt. En beslaglæggelse er en tvungen overtagelse, der udføres, når den nuværende rolleholder er permanent offline eller ødelagt. Den oprindelige server må aldrig komme online igen efter en beslaglæggelse, da det kan forårsage alvorlige konflikter i Active Directory.
Hvis du vil læse andre artikler, der ligner En Dybdegående Guide til FSMO Roller i Active Directory, kan du besøge kategorien Teknologi.