Operation Masters

I en domänmiljö genereras miljoner AD-objekt och när de ändras felaktigt kan flera konflikt uppstå och verka direkt mot domänens funktionalitet. Master-roller hindrar felaktiga förändringar och ser till att uppdateringar har rätt information genom att tilldela domänkontrollanter roller som styr ändringar i AD t.ex. ändringar av lösenord, skapa nya objekt, tillägg eller radering av en domän, ändringar i AD DS-schemat.

Active Directory Domain Services (AD DS) definierar fem master-roller på skog- och domän-nivå:

  • Skog (Forest): Schema master och Domain Naming
  • Domän: RID, PDC Emulator och Infrastructure master

När du installerar AD DS på den första domänkontrollanten i en ny skog, får denne alla fem master-roller. När fler domänkontrollanter läggs till domänen kan var och en av rollerna föras över till en annan domänkontrollant. Underdomänen får var och en sina egna domän masterroller, men Schema master och Domain Naming finns bara en i hela skogen.

Schema Master – en per skog

Denna masterroll ansvarar för att utföra uppdateringar till AD DS-schemat. Varje objekt i en domän måste definieras och registreras i en del av databas med namnet Schema master. Den domänkontrollanten som innehar denna masterroll är den enda som styr uppdatering av schemat. När ändringar till Schema databasen har hanteras replikeras de till alla andra domänkontrollanter i skogen. Att bara ha en schema master server för varje skog hindrar eventuella konflikter som skulle uppstå om två eller flera domänkontrollanter försöker att uppdatera schemat samtidigt.

Domain Naming Master – en per skog

Denna masterroll styr tillägg och borttagning av domäner och AD-partitioner i skogshierarkin. Domänkontrollanten som innehar denna masterroll kontrollerar är den enda som kan lägga till eller ta bort en domän från AD-databasen. Det kan också lägga till eller ta bort referenser till domäner i externa AD-databaser.

Du kan överföra denna roll till någon annan domänkontrollant i skogen.

Bild 1: FSMO Domain Naming Master

Domänkontrollanten som har denna serverroll måste vara tillgänglig för att kunna utföra följande åtgärder:

  • Lägg till nya domäner eller AD-partitioner till skogen.
  • Ta bort befintliga domäner eller AD-partitioner från skogen.
  • Lägg till kopior av befintliga AD-partitioner till ytterligare domänkontrollanter.
  • Lägg till eller ta bort referensobjekt till eller från externa partitioner

RID Master

Denna masterroll allokerar block av RID till varje domänkontrollant i en domän. RID är ett identifikationsnummer för varje objekt i en domän. När i en domänkontrollant skapas en ny användare eller grupp tilldelas dessa objekt en unik säkerhetsidentifierare (SID) och en relativ ID (RID) som är unikt för varje objekt. När objekt flyttas från en domän till en annan behöver också ändras SID så att den associeras till den nya domänen.

Bild 2: FSMO RID Master

En SID kan se ut så här: S-1-5-32365098609486930-1029 där 1029 är den relativa ID (RID)

PDC-emulatorn

Denna masterroll behövs för tidssynkronisering i en domän. Windows inkluderar en tidstjänst som används av Kerberos autentiseringsprotokoll. Alla Windows-datorer måste använda denna tidstjänsten så att inte uppstår motsägande konfigurationer och uppdateringar. Till exempel när ett lösenord ska ändras måste PDC-emulatorn tillåta ändringen och associera till en viss källa inom en viss tid.

Av alla masterroller har PDC-emulator den högsta inverkan på domänkontrollantens prestanda eftersom PDC-emulatorn styr också replikeringar mellan domänkontrollanter.

Bild 3: FSMO ODC Emulator Master

PDC emulatorn högst upp i ett Microsoft Windows domänsystem styr replikering mellan domänkontrollanter. En PDC emulator server på skog-nivå är referenser för alla andra domänkontrollanter. En extern PDC emulator kan komma överens med antingen en PDC på skog-nivå eller med en PDC på domän-nivå. Windows klientdatorer har för tidsreferens den lokala domänkontrollanten som innehar PDC emulator rollen.

Infrastructure Master – en per domän

Denna serverroll är ansvarig för att uppdatera objektreferenser i sin domän som pekar på objekt i en annan domän. Infrastrukturmästaren uppdaterar objektreferenser lokalt och använder replikering för att sprida ut dessa ändringar till alla domänkontrollanter i en domän.

Objektreferensen innehåller objektets globalt unikt identifierare (GUID) associerat till ett namn och ett SID. Namnet och SID på objektreferensen uppdateras periodiskt för att återspegla ändringar som gjorts till det aktuella objektet. Dessa ändringar inkluderar omplaceringar inom och mellan domäner samt att objektet raderas. Om infrastrukturmastern inte är tillgänglig fördröjas uppdateringar av objektreferenser tills den återkommer online vilket innebär att ändringar sker inte direkt.

Bild 4: FSMO Infrastructure Master

När ett objekt i en domän refereras av ett annat objekt i en annan domän representerar den referensen av GUID, SID och DN för objektet som refereras. Bilden ovan illustrerar att en grupp från en viss domän görs medlen i en annan grupp som finns i en annan domän.

Obs! Rollen för infrastrukturmastern (IM) ska innehas av en domänkontrollant som inte är Global Catalog Server (GC). Om infrastrukturmästaren körs på en global katalogserver kommer den att sluta uppdatera objektinformation eftersom den inte innehåller några referenser till objektet. Det beror på att en Global Catalog-server har en partiell kopia av varje objekt i skogen.