How many operations master roles are there in a domain?

Active Directory's Helbred: De 5 Vitale Roller

28/11/2015

Rating: 4.63 (1488 votes)

Tænk på dit firmas Active Directory (AD) netværk som en kompleks, levende organisme. Ligesom den menneskelige krop har den forskellige systemer, der arbejder sammen for at opretholde liv og funktion. Hver domænecontroller kan ses som et vigtigt nervecenter, der kan håndtere mange opgaver. Dette kaldes multimaster-replikering – en model, hvor mange centre kan modtage og dele information samtidigt. Men ligesom kroppen har brug for specialiserede organer til kritiske, unikke opgaver – som hjertet, der pumper blod, eller hjernen, der styrer overordnede funktioner – har Active Directory også brug for specialiserede roller for at undgå kaos og sikre stabilitet. Disse unikke ansvarsområder kaldes Operations Master Roles, eller mere teknisk, Flexible Single Master Operations (FSMO). At forstå disse fem vitale roller er essentielt for at diagnosticere, vedligeholde og sikre dit digitale økosystems sundhed.

How many operations master roles are there in a domain?
Three operations master roles (also known as flexible single master operations or FSMO) exist in each domain: The primary domain controller (PDC) emulator operations master processes all password updates.
Indholdsfortegnelse

Netværkets Nervesystem: Multimaster vs. Single Master

I et sundt Active Directory-miljø kan de fleste ændringer, såsom at nulstille en brugers adgangskode eller oprette en ny computerkonto, foretages på enhver domænecontroller. Informationen vil derefter blive replikeret, eller spredt, til de andre controllere over tid, ligesom signaler spredes gennem nervesystemet. Dette er utroligt effektivt og robust. Men hvad sker der, hvis to administratorer forsøger at foretage den samme grundlæggende, strukturelle ændring på to forskellige steder på samme tid? Resultatet ville være digital anarki. For at forhindre dette er fem specifikke opgaver centraliseret til én enkelt domænecontroller ad gangen. Disse FSMO-roller sikrer, at kritiske operationer udføres på en ordnet og konfliktfri måde, hvilket garanterer hele systemets integritet.

De Fem Vitale Organer: FSMO-rollerne Forklaret

Disse fem roller er opdelt i to kategorier: To, der opererer på tværs af hele 'skoven' (hele organisationens AD-struktur), og tre, der er unikke for hvert 'domæne' (en specifik afdeling eller region i organisationen). Lad os dissekere hver enkelt funktion.

Roller for Hele Skoven: Kroppens Overordnede Styring

Disse to roller er unikke for hele din Active Directory-skov. Der findes kun én af hver, uanset hvor mange domæner du har.

Skemamesteren (Systemets DNA)

Skemamesteren er vogteren af Active Directory's DNA. Skemaet er den grundlæggende plan, der definerer, hvilke typer objekter (f.eks. brugere, grupper, computere) der kan eksistere i dit netværk, og hvilke attributter (f.eks. navn, e-mail, telefonnummer) hvert objekt kan have. Enhver ændring i dette DNA, såsom at installere software der udvider skemaet (f.eks. Microsoft Exchange), er en fundamental operation. For at sikre, at denne 'genetiske kode' ikke bliver korrupt, er det kun domænecontrolleren med Skemamester-rollen, der har tilladelse til at skrive ændringer til skemaet. Alle andre controllere har en skrivebeskyttet kopi. Hvis Skemamesteren er offline, kan du ikke foretage skemaopdateringer, men det daglige liv i netværket fortsætter uforstyrret.

Domænenavngivningsmesteren (Hjernens Navigationscenter)

Dette er den rolle, der administrerer skovens overordnede landkort. Når du skal tilføje et nyt domæne til din skov eller fjerne et eksisterende, er det Domænenavngivningsmesteren, der autoriserer og administrerer processen. Den sikrer, at hvert domæne har et unikt navn i hele skoven, og forhindrer dermed navnekonflikter, der kunne skabe alvorlig forvirring i systemet. Uden adgang til denne rolle er det umuligt at udvide eller reducere den overordnede struktur af din organisationens digitale fodaftryk.

Is Active Directory a MultiMaster database?
Active Directory is a multimaster database. Which means it has no single master – any of the domain controllers (the read-write ones) can make changes to the Active Directory database. However, there are some tasks that necessarily need a single domain controller to be the one in charge.

Roller for det Enkelte Domæne: Organsystemets Specialister

For hvert domæne i din skov findes der tre unikke roller. Hvis du har tre domæner, vil du have tre sæt af disse roller – i alt ni domænespecifikke roller.

RID-mesteren (Celle-identifikationssystemet)

Hver gang du opretter et sikkerhedsobjekt som en bruger eller en gruppe, tildeles det et unikt Security Identifier (SID). Dette SID består af et domæne-ID (fælles for alle i domænet) og et Relative ID (RID), som er unikt for det specifikke objekt. For at sikre, at ingen to objekter nogensinde får det samme ID, fungerer RID-mesteren som en central bank for RID'er. Den udsteder puljer af unikke RID'er (typisk 500 ad gangen) til hver domænecontroller. Når en controller har brugt sin pulje, anmoder den om en ny fra RID-mesteren. Hvis RID-mesteren er nede, kan controllere, der løber tør for RID'er, ikke oprette nye brugere, grupper eller computere. Dette er en kritisk funktion for at undgå identitetsforvirring i systemet.

PDC-emulatoren (Refleks- og Sikkerhedscentret)

Dette er uden tvivl den travleste og mest kritiske rolle i det daglige arbejde. PDC-emulatoren har flere vitale funktioner:

  • Adgangskode-specialist: Når en bruger ændrer sin adgangskode, sendes ændringen fortrinsvis til PDC-emulatoren. Hvis en bruger forsøger at logge ind på en anden domænecontroller med en ny adgangskode, der endnu ikke er replikeret, vil den controller kontakte PDC-emulatoren for at verificere den seneste adgangskode, før den afviser login-forsøget. Dette forhindrer frustration og login-fejl på grund af replikeringsforsinkelse.
  • Tidsmester: PDC-emulatoren i hvert domæne fungerer som den autoritative tidskilde for alle andre maskiner i domænet. En korrekt og synkroniseret tid er afgørende for sikkerhedsprotokoller som Kerberos.
  • Kontolåsning: Behandling af kontolåsninger sker på PDC-emulatoren for at sikre, at en bruger, der er låst ude, er låst ude i hele domænet med det samme.

På grund af disse kritiske funktioner er PDC-emulatorens tilgængelighed afgørende for en problemfri brugeroplevelse.

Infrastrukturmesteren (Lymfesystemet)

Denne rolles opgave er at rydde op og vedligeholde referencer mellem objekter i forskellige domæner. Forestil dig, at en bruger fra Domæne A bliver medlem af en gruppe i Domæne B. Gruppen i Domæne B gemmer en reference til brugeren. Hvis brugeren i Domæne A senere bliver omdøbt eller slettet, hvordan ved Domæne B så besked? Det er her, Infrastrukturmesteren kommer ind i billedet. Den sammenligner jævnligt information om objekter fra andre domæner med en global reference (Global Catalog) og opdaterer lokale referencer, hvis de er forældede. Dette forhindrer 'spøgelsesobjekter' i grupper og adgangslister. En vigtig regel er, at Infrastrukturmesteren ikke må placeres på en server, der også er en Global Catalog-server, medmindre alle domænecontrollere i domænet er Global Catalogs. Årsagen er, at en Global Catalog-server allerede har opdateret information om alle objekter og derfor aldrig vil opdage uoverensstemmelser, hvilket gør Infrastrukturmester-rollen ineffektiv.

Sammenligning af de Vitale Funktioner

For at give et hurtigt overblik, her er en tabel, der sammenligner de fem FSMO-roller ved hjælp af vores kropsanalogi.

How are operations master roles assigned?
The five operations master roles are assigned automatically when the first domain controller in a given domain is created. Two forest-level roles are assigned to the first domain controller created in a forest and three domain-level roles are assigned to the first domain controller created in a domain.
Rolle (Organ)Omfang (Rækkevidde)Primær Funktion (Opgave)Kropsanalogi
SkemamesterHele skovenÆndrer den grundlæggende struktur (skema)Kroppens DNA
DomænenavngivningsmesterHele skovenTilføjer/fjerner domænerHjernens navigationscenter
RID-mesterÉt domæneTildeler unikke ID'er (RID'er)Celle-identifikationssystem
PDC-emulatorÉt domæneHåndterer passwords, tid, kontolåsningRefleks- og sikkerhedscenter
InfrastrukturmesterÉt domæneOpdaterer referencer mellem domænerLymfesystemet

Ofte Stillede Spørgsmål om Dit Netværks Helbred (FAQ)

Hvor mange 'hjerter' (PDC-emulatorer) er der i et domæne?

Der er kun én PDC-emulator pr. domæne. Det er en unik og centraliseret rolle for at sikre konsistens, især med hensyn til adgangskoder og tid.

Hvad sker der, hvis 'DNA'et' (Skemamesteren) er utilgængeligt?

Hvis den server, der holder Skemamester-rollen, er offline, vil dit Active Directory fortsætte med at fungere normalt for daglige opgaver som login og adgang til ressourcer. Du vil dog ikke kunne foretage ændringer i selve skemaet, f.eks. ved installation af ny software, der kræver det, før serveren er online igen, eller rollen er flyttet til en anden server.

Kan ét 'organ' (domænecontroller) have flere roller?

Ja, absolut. I mindre miljøer er det meget almindeligt, at den første domænecontroller, der oprettes i skoven, holder alle fem FSMO-roller. I større, mere komplekse miljøer anbefales det at distribuere rollerne på tværs af flere robuste servere for at forbedre ydeevnen og redundansen.

Hvorfor er det en dårlig idé at placere Infrastrukturmesteren og Global Catalog på samme server?

For at bruge analogien: Lymfesystemet (Infrastrukturmesteren) har til opgave at rense referencer til celler, som den ikke kender lokalt, ved at tjekke en global fortegnelse. Hvis serveren selv er en Global Catalog, har den allerede en kopi af alle celler i kroppen. Derfor vil den konkludere, at den kender alt, og den vil aldrig udføre sin oprydningsfunktion. Dette kan føre til, at forældede referencer forbliver i systemet.

Hvis du vil læse andre artikler, der ligner Active Directory's Helbred: De 5 Vitale Roller, kan du besøge kategorien Sundhed.

Go up