FSMO szerepkörök az Active Directoryban

Windows 2000 / 2003 Multi-Master modell

Az Active Directory olyan adatbázis, amely egy Windows hálózatban több szerveren helyezkedik el. (Ezeket a szervereket a Microsoft szlengjében Domain Controllernek, azaz DC-nek hívjuk.) Mindegyik szerveren kezdeményezni lehet az adatok változását. A szerverek időnként (alapesetben 15 percenként) automatikusan közlik a többi szerverrel a változásokat. A frissítés során az adatbázis példányok ellentmondásba kerülhetnek egymással. Az ellentmondást úgy oldja fel az AD, hogy minden változtatás egy időbélyeget kap, és az ellentmondásba kerül? tények közül mindig az utolsó tény lesz a nyerő, azaz a többi törlődik. A szinkronizálást a Windos szerverek esetén replikációnak hívják.

A Windows 2000 / 2003 / 2008 hálózat ilyen alapon dönti szinkronizálja a változások többségét.

Windows 2000 / 2003 Single-Master modell

Ebben a modellben a DC-ket megkülönböztetjük Elsődleges tartományvezérlő (Primary Domain Controller = PDC) és másodlagos tartományvezérlő néven (DC). Ilyenkor a változások csakis a PDC-n folyhatnak le és az azon bekövetkező változásokat szinkronizálja a rendszer a többi DC-re.

Ilyen volt a Windows NT 4 szerveres hálózat Domain modellje.

Néhány fogalom az Active Directory-val kapcsolatban:

Forest (erdő)

A legmagasabb szintű Active Directory tároló neve erdő. Az erdő közös sémát (Schema) és globális katalógust (Global Catalog = GC) használ, és egy vagy több tartományt foglal magába. Az erdő Első tartományát az erdő gyökértartományának hívják.

Fa (Tree)

Ha az erdő több tartománya összefüggő DNS-tartományneveket használ, vagyis egymás gyermek, illetve szül?tartományai, akkor a struktúrát tartományfának nevezzük (ceg.local szülő domain).

Tartomány (Domain)

A tartomány az Active Directory alapvető szervezeti és biztonsági egysége. A tartomány olyan ügyfelek, kiszolgálók és egyéb hálózati erőforrások gyűjteménye, amelyek közös címtáradatbázist alkotnak, és egyben a replikáció alapegységét képezik. Egy adott tartomány minden tartományvezérlője fogad módosításokat, és azokat a tartomány többi tartományvezérlőjére replikálja. Az Active Directory-címtárban minden tartományt egy-egy DNS-tartománynév azonosít, és minden tartomány legalább egy tartományvezérlőt tesz szükségessé (pl. telephely1.ceg.local, telephely2.ceg.local, a szerver pedig fs1.tartomány1.ceg.local).

Szervezeti egység (Organizational Unit = OU)

A szervezeti egységek az Active Directory objektumtárolói, amelyekbe felhasználók, csoportok, számítógép-objektumok, illetve más szervezeti egységek helyezhetők. A szervezeti egységek rendkívül fontos szerepet játszanak a csoportházirend érvényesítésével és a felügyeleti jogok delegálásával kapcsolatban is. A szervezeti egységek használatával a tartományon belüli hierarchia pontosan megfelelhet az adott szervezet hierarchikus felépítésének.

Címtárpartíciók

Az Active Directory partíció az Active Directory részfája, amely egy egységként replikálódik ugyanannak az erdőnek ugyanazt a részfáját tartalmazó más DC-k között.

Az AD-ben minden ilyen tartományvezérlő az alábbi négy címtárpartícióval rendelkezik:

  • Séma adatok (Schema partition) - A séma partíció az osztályok és attribútum definíciókat tartalmazza, azaz a formális leírásokat. A partíció minden Tartományvezérlőn (DC) és minden globális katalógusban (GC) megtalálható. A séma az egész erdőre vonatkozóan azonos.

  • Konfigrációs adatok (Configuration partition) - Ez a partíció a címtár topológiájára vonatkozó adatokat tárolja. Megtalálhatók benne a tartományokra, a fákra és az erdőre vonatkozó információk, valamint itt tárolódik a replikációs topológia, és az ehhez kapcsolódó metaadatok is. A konfigurációs adatok az egész erdőre vonatkoznak, és  megtalálhatók az erdő valamennyi tartományvezérlőjén.

  • Tartomány partíció (Domain Partition) - itt találhatjuk meg a felhasználókra, számítógépekre, csoportokra és egyéb tartomány szintű objektumokra vonatkozó adatokat. A partíció az adott tartomány minden tartományvezérlőjén (DC) megtalálható.

Alkalmazás partíció (Application Partition) - a Windows Server 2003 rendszert futtató tartományvezérlők a fentieken kívül egy vagy több alkalmazás-címtári partíciót is tárolhatnak.

Egyedi f?kiszolgáló műveletek (FSMO)

A Windows Server 2003 tartományvezérlői funkcióinak legnagyobb részét elosztottan valósították meg, ezek a funkciók az összes tartományvezérlőn elérhetők és használhatók. Öt funkció azonban továbbra is csak a tartomány, illetve a teljes erdő egyetlen kiszolgálójához kapcsolható, mivel ezek elosztott megvalósítása nem lehetséges. Az egyes szerepköröket önálló kiszolgálókon is elhelyezhetjük, de akár egyetlen tartományvezérlő is megvalósíthatja valamennyit.

Az öt úgynevezett egyedi főkiszolgáló-művelet (Flexibile Single Master Operations, FSMO) a következő:

  • RID-f?kiszolgáló (RID Master) - Tartományszintű műveleti főkiszolgáló szerepkör, vagyis minden tartományban legfeljebb egy lehet belőle. A szerepkörrel ellátott tartományvezérlő saját, vagy valamelyik másik tartományvezérlő kérésére egy létrehozandó új objektum (felhasználói fiók, csoport stb.) számára kiad egy relatív azonosító (Relative Identifier, RID) részt a leendő objektum biztonsági azonosítójához. A biztonsági azonosító neve SID (= Security Identifier). A RID Mastertől a tartományvezérlők 200-as csomagokban (RID Pool) kapják a relatív azonosítókat, amivel azután önállóan gazdálkodnak. Az ütközések elkerülése érdekében a sorszámokat egy központ bocsátja ki. A relatív azonosító rész egyértelműen azonosítja az objektumot a tartományon belül. Ha nem érhető el a RID-főkiszolgáló, csak addig lehet a tartományban új objektumokat létrehozni, amíg a korábban kiosztott RID Poolok el nem fogynak (max 200).

  • PDC-emulátor (PDC Emulator) Tartományszintű műveleti főkiszolgáló szerepkör, minden tartományban csak egy lehet belőle. A Windows 2000 előtti ügyfelek számára Elsődleges Windows NT tartományvezérlőként (Primary Domain Controller, PDC) működik, vagyis feldolgozza az ügyfelek bejelentkezéseit, jelszóváltozásait, és replikálja a változásokat a többi tartományvezérlő felé. Feladatai közé tartozik még a tartomány összes tartományvezérlője által mutatott idő automatikus szinkronizálása a Windows Time szolgáltatás segítségével.

  • Infrastruktúra-f?kiszolgáló (Infrastructure Master) Szintén tartományszintű műveleti f?kiszolgáló szerepkör, amelyből szintén egy lehet a tartományon belül, de csak akkor van rá szükség, ha a hálózat több tartományból áll. Feladata a saját tartományának objektumai és a többi tartományban található objektumok közötti hivatkozások frissítése. Ha nem érhető el, a tartományon belül nem veszünk észre változást, azonban a többi tartománnyal való kapcsolattartás során frissítési problémák keletkeznek.

  • Tartománynév-nyilvántartási főkiszolgáló (Domain Naming Master) Erdőszintű műveleti-f?kiszolgáló szerepkör, amelyből az erdőben kizárólag egy lehet. A speciális szereppel bíró tartományvezérlő szabályozza az erdőben a tartományok hozzáadását és törlését. A tartományfákkal kapcsolatos változtatások nem hajtódnak végre, ha a szerepet megvalósító tartományvezérlő nem érhető el.

  • Séma-főkiszolgáló (Schema Master) Erdőszintű műveleti-főkiszolgáló szerepkör, központosítva végzi el a séma összes frissítését és módosítását. Amennyiben az erdő sémáját frissíteni kívánjuk, hozzáférési joggal kell rendelkeznünk a séma-f?kiszolgálóhoz. Az előző szerephez hasonlóan séma-f?kiszolgálóból is csak egy lehet az erdőben, és szintén nem vesszük észre a hiányát, egészen addig, amíg nem kerül sor a séma frissítésére, vagy bővítésére.

Az erdő első tartományvezérlőjének (ez egyben az elsőként létrehozott tartomány első tartományvezérlője is) telepítésekor valamennyi erdő és tartomány szintű szerepkör erre a kiszolgálóra kerül, de később - ha már több tartományvezérlőnk is van - az egyes szerepeket tetszés szerint bárhová áthelyezhetjük. Ha egy adott szerepkört megvalósító tartományvezérlőt lefokozunk, illetve eltávolítunk a tartományból, akkor az adott szerepkör áthelyezéséről (lehetőleg még akkor, amikor a régi kiszolgáló is elérhető) mindenképpen gondoskodnunk kell. A tartományszintű szerepkörök

(RID Master, PDC Emulator, Infrastructure Master) áthelyezésére az Active Directory Users and Computers (Active Directory - felhasználók és számítógépek) konzol használható.

A Domain Naming Master szerepkört az Active Directory Domains and Trusts (Active Directory - tartományok és bizalmi kapcsolatok),a Schema Master szerepet pedig az Active Directory Schema (Active Directory Séma) MMC-modul használatával adhatjuk át másik tartományvezérlőnek.

Az FSMO átadásának lépéseit itt lehet megtekinteni: http://www.fzolee.hu/fw/fsmo