R33NET BLOG Rotating Header Image

FSMO – Betriebsmaster

FSMO ist die Abkürzung für Flexible Single Master Operations. (Betriebsmaster)

Während man beliebig viele DC´s verwenden kann, die auch weitgehend unabhängig voneinander redundant arbeiten können, so gibt es in jeder Gesamtstruktur 5 Betriebsmasterrollen, die zwar auf einzelne DC´s verteilt werden aber als Rolle nur ein einziges mal existent sind.

Diese Betriebsmasterollen wirken Gesamtstruktursweit:
– Schemamaster
– Domänennamensmaster

Diese Betriebsmasterrollen wirken Domänenweit:
– RID – Master
– PDC – Emulator
– Infrastrukturmaster

Schemamaster

Diese Funktion überwacht und konfiguriert das Schema des Active Directory. Diese Änderung kann notwendig werden wenn eine Software (z.B. Exchange Server) einige Attribute braucht die das Schema nicht bietet. Ein klassisches Beispiel ist das einfügen eines Windows 2003 Domänencontrollers in eine Windows 2000 Struktur. Um diese Änderungen durchführen zu können muß man in der Gruppe Schemaadmins oder Organisationsadmins sein. Alle Änderungen des Schemas können nicht mehr rückgängig gemacht werden.

Um herauszufinden welcher DC die Rolle des Schemamasters hat oder diese Betriebsmasterrolle zu übertragen startet man eine mmc und fügt das Snap in Active Directory Schema dazu. Unter Betriebsmaster findet man die Funktion. Das Snap in muß vorher allerdings installiert werden, das geht am einfachsten wenn man die Support Tools von der CD installiert.

Domänennamensmaster

Diese Betriebsmasterfunktion überwacht und regelt das hinzufügen von Domänen in die Gesamtstruktur. Im Gegensatz zu Windows 2000 ist ein globaler Katalog auf dem DC der als Domänennamensmaster fungiert nicht mehr notwendig. Um den Domännamensmaster zu ermitteln oder zu verschieben geht man über das Snap in Active Directory-Domänen und -Vertrauensstellungen und wählt im Kontextmenü die Option Betriebsmaster.

RID Master

Der RID-Master ordnet den AD Objekten eindeutige ID´s bzw. SID´s zu. Diese Sicherheitskennung setzt sich aus einer Domänen SID und einer relativen Objektbezogenen ID zusammen. Die RID´s werden den Domäncontrollern in Blöcken von gut 500 Stück zur Verfügung gestellt, sind weniger als 100 noch verfügbar, wird ein neuer Block von 500 RID´s geliefert. Darum können auch bei einem Ausfall der RID-Master Funktion noch Objekte in AD erstellt werden, bis alle ID´s verbraucht sind. Tip: Will man Objekte über Domänen hinaus verschieben, macht man dies vom DC aus der die RID-Master Funktion hat, mit dem Tool movetree.exe. Um den RID-Master zu identifizieren oder die Funktion zu verschieben geht man über das Snap in Active Directory Benutzer und -Computer. Im Kontextmenü der rechten Mouse Taste findet sich die Option Betriebsmaster.

PDC-Emulator

Wie der Name bereits verrät emuliert diese Betriebsmasterrolle einen NT-PDC bzw. einen BDC um die Downlevelfähigkeit zu garantieren.Außerdem verarbeitet der DC mit dieser Funktion Kennwortänderungen. Sollte sich ein User aufgrund einer Kennwortänderung mit dem auf 5 Minuten beschränkten Kerberos Ticket mangels Replikation nicht anmelden können wird der PDC Emulator zur Authentifizierung herangezogen. Eine weitere Funktion ist die sofortige Replikation von Attributen die schneller als der normale Replikationszyklus bereitgestellt werden müssen. Der PDC Emulator ist auch für die Zeitsynchronisation der DC´s untereinander verantwortlich, mit dem Befehl
net time \\ servername /setsntp: Zeitquelle kann eine Synchronisation mit einem anderen Server angestartet werden. Als Authentifizierungsmethoden kann der PDC-Emulator Kerberos V5 und NTLM verwenden. Über das Snap in Active Directory Benutzer und -Computer (Betriebsmaster) kann diese Rolle identifiziert und verschoben werden.

Infrastrukturmaster

Der Infrastrukturmaster verwaltet die Objektreferenzen seiner Domäne und gleicht diese mit anderen Domänen ab. Er aktualisiert die Global Catalogs der anderen DC . Wenn auf dem DC der als Infrastruktur Betriebsmaster ausgelegt ist ein Globaler Katalog installiert ist, dann funktioniert diese Betriebsmasterrolle nicht. Der Infrastrukturmaster verwaltet und überwacht die Zuordnung von Benutzern zu Gruppen, und verteilt Änderungen mittels Multimasterreplikation auf die anderen DC´s. Das identifizieren und verschieben dieser Betriebsmasterrolle geht über das Snap in Active Directory Benutzer und -Computer (Betriebsmaster).

Global Catalog

Dieses Feature steht in unmittelbaren Zusammenhang mit den FSMO Rollen, ein GC kann im Prinzip auf jedem DC vorhanden sein (ausgenommen Infrastrukturmaster). Im Gegensatz zu Windows 2000 sind die Anmeldeinformationen auch ohne aktiviertem Global catalog auf den DC´s verfügbar (caching) , was die Notwendigkeit zur Benutzeranmeldung überflüssig macht .Microsoft empfiehlt pro Forrest den Einsatz von 2 Global Catalog Servern, und begründet dies mit einer erhöhten Ausfallsicherheit. Der GC speichert ab Server 2003 auch die universellen Gruppenmitgliedschaften. Im GC ist eine Kopie aller AD Objekte der eigenen und Teile der AD Informationen der anderen Domänen gespeichert. (siehe Abbildung)

Das aktivieren eines Global Catalogs geht über das Snap in Active Directory Standorte und Dienste über die NTDS Settings.

Falls als Funktionsebene nicht Windows Server 2003 festgelegt ist, wird beim Hinzufügen eines neuen Attributs eine vollständige Synchronisierung des globalen Katalogs angestoßen, was erheblichen Traffic verursachen kann.

Globale Gruppen oder universelle Gruppen sollten Vorrang vor lokalen Domänengruppen haben.

Der Vorteil eines Global Catalogs ist durch das cachen der Anmeldeinformationen nach meiner Meinung kaum mehr gegeben, lediglich eine geringe Bandbreite der WAN Toppologie mehrerer Standorte ist ein Argument. Der Nachteil liegt bei einer erhöhten zum größten Teil unnötigen Netzwerktraffic. Das zwischenspeichern von universellen Gruppenmitgliedschaften ist ein neues Feature ab Server 2003, und stellt eine echte Alternative dar.

RID Master und PDC Emulator sollten auf einem DC zusammen sein. Global Catalog und Infrastrukturmaster sollten getrennt sein.

Auf der Gesamtstrukturebene sollten die Schemamaster- und Domänennamen-Master auf dem gleichen Domänencontroller betrieben werden. Außerdem sollte der Domänennamenmaster-FSMO auch ein globaler Katalogserver sein. Bestimmte Vorgänge, die den Domänennamensmaster verwenden, z. B. die Erstellung von untergeordneten Domänen, schlagen fehl, wenn das nicht der Fall ist.

Achtung

Während das übertragen von Betriebsmasterfunktionen im laufenden Betrieb von einem auf den anderen DC ein kalkulierbares Risiko darstellt ist das übernehmen ein drastischer Schritt, der nur in Erwägung gezogen werden sollte wenn der Betriebsmaster ausfällt.
In so einem Fall darf der alte Betriebsmaster nie wieder online gehen.

Schreibe einen Kommentar