Active Directory (AD) ist ein Verzeichnisdienst, der zentrale Authentifizierungs- und Autorisierungsdienste bereitstellt. Organisationen hosten AD auf Domänencontrollern (DCs), die Informationen in einer Multi-Master-Konfiguration zwischen ihnen replizieren. Flexible Single Master Operation (FSMO)-Rollen gewährleisten konsistente und zuverlässige Daten über alle Datenquellen hinweg.
FSMO-Rollen helfen, die AD-Replikation reibungslos zu gestalten und sicherzustellen, dass viele andere wichtige Dienste wie beabsichtigt funktionieren. In diesem Artikel erfahren Sie, was FSMO-Rollen sind, wie sie sich auf AD auswirken und wie Sie sie sicher in einer AD-Forest manipulieren können.
Am Ende dieses Artikels werden Sie ein besseres Verständnis für FSMO-Rollen und deren Verwaltung für eine gesunde AD-Umgebung haben.
Was sind FSMO-Rollen?
FSMO-Rollen sind Dienste, die unabhängig voneinander auf einem DC in einem AD-Forest gehostet werden. Jede Rolle hat einen bestimmten Zweck, wie z.B. die Synchronisierung der Zeit über Geräte hinweg, das Verwalten von Sicherheitskennungen (SIDs) usw.
FSMO-Rollen sind entweder auf Forest- oder Domain-Ebene begrenzt und sind für diesen Bereich eindeutig, wie unten gezeigt. Zum Beispiel wird ein Forest mit zwei Domänen einen DC in jeder Domäne (insgesamt zwei) haben, der die RID-Master-Rolle hostet, während nur ein DC die Schema-Master-Rolle hostet.
| FSMO Role | Scope |
| Schema Master | Forest |
| Domain Naming Master | Forest |
| Primary Domain Controller Emulator | Domain |
| RID Master | Domain |
| Infrastructure Master | Domain |
A DC can hold multiple roles at one time.
Schema-Master
A critical component of AD is the database. The database, like all other databases, has a schema that dictates its structure with various partitions or naming contexts. The AD schema is a database partition that contains metadata about AD objects. For example, it contains classes like person, group, or msPKI-Key-RecoveryAgent and attributes like phone number, badPwdCount, or dNS-HostName.
Das AD-Schema ist die „empfindlichste“ Partition in der Active Directory-Datenbank.
AD benötigt einen Dienst zur Verwaltung des Schemas, daher die Rolle des Schema-Masters. Der Schema-Master hat die Aufgabe, Änderungen am AD-Schema zu steuern. Wenn Sie jemals das AD-Schema erweitert haben, um Produkte wie Exchange zu installieren oder ein Forest-Funktionslevel zu erhöhen, haben Sie mit der Rolle des Schema-Masters gearbeitet.
Änderungen am AD-Schema sollten Sie nur unter strengen Bedingungen auf einem einzigen DC über die Rolle des Schema-Masters durchführen. Sie möchten keine Änderungen auf zwei DCs vornehmen und auf die Replikation warten, um zu sehen, welche Änderung durch die Replikation „gewinnt“.
Domain Naming Master
Eine AD-Datenbank enthält mehrere Partitionen sowohl im Forest- als auch im Domain-Bereich. AD nimmt gelegentlich Änderungen an diesen Partitionen vor und benötigt dafür einen Dienst, daher die FSMO-Rolle des Domain Naming Masters.
Wenn Sie Änderungen am Forest-Domain-Bereich vornehmen (Partitionen zum Forest hinzufügen), schreibt der Domain Naming Master diese Änderungen in Configuration\\Partitions Diese Aktivität findet beispielsweise statt, wenn ein Domain Controller hoch- oder herabgestuft wird.
Primary Domain Controller Emulator (PDCe)
Arguably ist die PDCe-Rolle die wichtigste FSMO-Rolle in AD. Die PDCe-Rolle ist verantwortlich für Aufgaben wie Passwortänderungssynchronisationen, Account-Sperren (und Entsperrungen), Zeitsynchronisation und vieles mehr.
Zurück in den frühen Tagen von Active Directory (Windows NT) war der Primäre Domänencontroller (PDC) der einzige beschreibbare DC in einer AD-Domäne. Alle anderen DCs waren Backup-Domänencontroller (BDCs), die nur für Authentifizierungsanfragen verwendet wurden.
Ab Windows 2000 wurden alle DCs beschreibbar, mit Ausnahme von read-only Domain Controllern (RODCs), die in Windows Server 2008 eingeführt wurden. Da AD immer noch die Funktionalität des PDC benötigte, aber technisch gesehen keinen PDC mehr hatte, führte Microsoft die Rolle des PDC Emulators (PDCe) ein.
Weiterleitung von Legacy-Anwendungen
Eine der grundlegendsten Funktionen der PDCe-Rolle besteht darin, für Legacy-Anwendungen verfügbar zu sein und sie darüber zu informieren, dass der DC, auf dem sie gehostet wird, Änderungen an AD vornehmen kann. Wenn Sie zum Beispiel das Pech haben, immer noch mit einem Windows NT-Dienst zu arbeiten und dieser Dienst nicht weiß, wo er Änderungen an der AD-Datenbank vornehmen soll, wird er sich an den PDCe wenden, um Unterstützung zu erhalten.
Zeitsynchronisation
Es ist wichtig, dass alle Geräte, die einer Domäne beigetreten sind, eine konsistente Zeit beibehalten. Kerberos-Authentifizierung (der Standardauthentifizierungsmodus) erfordert eine maximale Zeitdifferenz von fünf Minuten zwischen einem Client und einem DC oder zwischen DC-Replikationspartnern.
Die PDCe-Rolle ist die zentrale Zeitquelle für alle anderen Computer in einem AD-Forest.
- Alle Client-Computer synchronisieren die Zeit vom DC, bei dem sie sich anmelden.
- Alle DCs synchronisieren die Zeit von der PDCe in ihrer Domäne.
- In multi-domain AD-Forests synchronisieren DCs, die die PDCe-Rolle hosten, ihre Zeit von der PDCe in der übergeordneten Domäne.
- Die PDCe-Rolle in der Stamm-Domäne verwendet dann eine zuverlässige externe Zeitquelle zur Synchronisierung.
Verwaltung von Passwortänderungen
Wenn eine AD-Änderung vorgenommen wird, wird diese Änderung nicht sofort auf alle DCs repliziert; sie folgt stattdessen dem AD-Replikationsplan. Passwortänderungen werden jedoch etwas anders repliziert. Passwortänderungen werden immer zuerst vom ursprünglichen DC zum DC mit der PDCe-Rolle repliziert und dann zu den anderen DCs in der Topologie.
Wenn zum Beispiel ein DC das aktuellste Passwort nicht hat und ein Benutzer versucht, sich mit dem alten Passwort anzumelden, nimmt der authentifizierende DC zunächst Kontakt mit dem DC auf, der die PDCe-Rolle innehat, um nach einem aktualisierten Passwort zu suchen, bevor er die Authentifizierung ablehnt.
Sie werden sofort Probleme mit der PDCe feststellen, wenn Sie feststellen, dass Benutzer, die das Passwort geändert haben, Probleme haben, sich mit anderen DCs zu verbinden, die das neue Passwort noch nicht repliziert haben.
Verarbeitung von Kontosperrungen
Die PDCe-Rolle verarbeitet auch Kontosperren. Im Gegensatz zu Passwortänderungen folgen Kontosperren nicht den regulären Replikationsintervallen. Kontosperren werden sofort über einen Mechanismus namens Einzelobjekt replizieren an die anderen DCs repliziert. Dies ist eine Sicherheitsmaßnahme, um sicherzustellen, dass ein gesperrtes Konto sich nicht bei einem anderen DC anmelden kann, der noch nicht repliziert hat.
Standardziel für die Gruppenrichtlinienverwaltungskonsole (GPMC)
Die Verwaltung von Gruppenrichtlinien erfolgt mit dem Tool Gruppenrichtlinienverwaltungskonsole (GPMC). Um Änderungen an AD vorzunehmen, muss die GPMC eine Verbindung zu einem DC herstellen. Standardmäßig stellt die GPMC immer eine Verbindung zum DC her, der die PDCe-Rolle innehat, auch wenn er sich in einem anderen AD-Standort befindet. Wenn die PDCe nicht erreichbar ist, erhalten Sie eine Warnung, dass die PDCe-Rolle nicht erreichbar ist, und die GPMC fordert Sie auf, einen anderen DC auszuwählen.
Verwandt: Was sind Gruppenrichtlinien und wie funktionieren sie (im Detail)
Bereitstellen von Informationen zum verteilten Dateisystem (DFS)-Namespace
Um die Funktionalität der PDCe-FSMO-Rolle abzurunden, stellt die PDCe-Rolle Informationen zum DFS-Namespace bereit. Periodisch fordern DFS-Root-Server aktualisierte DFS-Namespace-Informationen von der PDCe an, die autoritative DFS-Informationen enthält.
Während normalerweise keine übermäßige Belastung für die PDCe-FSMO-Rolle besteht, ändern Sie das standardmäßige DFS-Namespace-Lookup-Verhalten in Umgebungen mit einer großen Anzahl von DFS-Servern.
RID-Master
Jedes Objekt in einer AD-Domäne muss eine eindeutige ID haben, um es von allen anderen ähnlichen Objekten zu unterscheiden. Es ist entscheidend, dass AD jeder neuen Objekt stets eine eindeutige ID zuweist, die als Sicherheitskennung oder SID bezeichnet wird.
Jede SID besteht aus mehreren Komponenten: S (für SID), die Revisionsnummer, I – die Identifier-Behörde -, die Domänen-ID und die relative ID. Die Domänen-ID ist eindeutig für jede Domäne in einem Wald. Die relative ID ist eindeutig für jedes Objekt in einer Domäne. Eine SID sieht wie folgt aus, wobei eine DomainId die Domänen-ID und eine RelativeId die relative ID darstellt.
Die Relative-ID (RID)-Masterrolle stellt sicher, dass die SID, die jedem AD-Objekt zugewiesen ist, eindeutig ist.
Einige RIDs sind für spezielle Konten und bekannte Gruppen reserviert.
Der erste DC in der Domäne wird automatisch zum RID-Meister und sorgt dafür, dass die RID-Vergabe kontrolliert erfolgt.
Der DC, der die Rolle des RID-Meisters innehat, spielt hauptsächlich bei drei verschiedenen Ereignissen eine Rolle:
DC-Beförderung/Degradierung
Jedes Mal, wenn ein neuer DC befördert wird, weist der RID-Meister ihm einen Block von 500 RIDs zu. Diese RIDs werden dann (in aufsteigender Reihenfolge) zugewiesen, wenn ein neues Konto, das eine SID benötigt, auf diesem DC erstellt wird.
Zum Beispiel, wenn der letzte zugewiesene RID-Block von 5501 bis 6000 stammt, wird der nächste DC, der einen Block benötigt (entweder ein neu beförderter DC oder ein DC, der seinen aktuellen Block erschöpft hat), …6001 bis …6500 und so weiter erhalten.
Wenn ein DC aus der AD-Datenbank entfernt wird, erkennt der RID-Meister dies und stellt sicher, dass keine der RIDs, die der DC hatte, zugewiesen werden, um Duplikate von SIDs zu verhindern.
RID-Erschöpfung
Wenn ein DC 50% der RID-Kapazität erreicht, geht er zum RID-Meister und fordert einen neuen Block von RIDs an. DCs fordern neue RIDs bei 50% an, für den Fall, dass der RID-Meister offline ist, was ihm ausreichend Pufferzeit gibt, um sicherzustellen, dass die RID-Zuweisung nicht erschöpft ist.
RID-Meister-Rollenübernahme
Administratoren können Rollen von einem DC auf einen anderen übernehmen oder übertragen. Wenn ein Administrator die Rolle des RID-Meisters von einem DC auf einen anderen verschiebt, wird die nächste verfügbare RID-Nummer um 10000 erhöht.
Verwandt: Wie man FSMO-Rollen überträgt (GUI und PowerShell)
Das Inkrementieren der nächsten verfügbaren RID um 10000 ist ein Sicherheitsmechanismus, der implementiert wurde, um doppelte SIDs zu vermeiden. Wenn beispielsweise ein Administrator die RID-Master-Rolle übernimmt und der alte RID-Master wieder online geht, kann dieser möglicherweise doppelte SIDs zusammen mit dem neuen RID-Master ausgeben.
Infrastrukturmaster
Jedes AD-Objekt hat eine SID, die vom RID-Master-FSMO-Rollenzugeteilt wird. Wenn Sie Benutzer, Gruppen und andere AD-Informationen anzeigen, möchten wir Menschen einen Namen sehen und keine SID. Hier kommt die Rolle des Infrastrukturmasters ins Spiel.
Standardmäßig ist jeder DC als globaler Katalog (GC) konfiguriert. Ein GC enthält Informationen aus allen Domänen in einem Forest. Eine Möglichkeit, den Replikationsverkehr zwischen Standorten zu reduzieren, bestand darin, einige DCs so zu konfigurieren, dass sie keine GCs sind.
Wenn Sie an einem DC authentifiziert sind, der kein GC ist, ist der Infrastrukturmaster dafür verantwortlich, SIDs aus anderen Domänen in benutzerfreundliche Namen zu übersetzen.
Zum Beispiel überprüfen Sie von einem domänenverbundenen Computer aus das Sicherheits- oder Freigabe-Tabellenblatt eines Ordners im Windows Explorer mit für Konten in einer anderen Domäne eingerichteten Berechtigungen. Sie sehen die Namen von Benutzern, Computern und Gruppen, nicht ihre SIDs. Wenn Ihr Computer den Infrastrukturmaster in der Domäne nicht finden kann, sehen Sie nur die SIDs von Konten in anderen Domänen.
Wenn Sie die Active Directory-Papierkorb aktivieren, verhalten sich alle DCs technisch gesehen wie der Infrastrukturmaster. Der AD-Papierkorb rendert die Rolle des Infrastrukturmasters in den Worten von Microsoft als nicht wichtig.
Verwandte: Wie man mit dem Active Directory Papierkorb sein Speck rettet
Schlussfolgerung
AD-FSMO-Rollen sind ein entscheidender Bestandteil, um sicherzustellen, dass das AD weiterhin wie vorgesehen funktioniert. Obwohl Sie sich die meiste Zeit keine Gedanken über FSMO-Rollen machen müssen, ist es dennoch wichtig, zu verstehen, wie sie funktionieren, wenn es soweit ist!