Active Directory FSMO-Funktionen in Windows

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 197132 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Hinweis
Dieser Artikel bezieht sich auf Windows 2000. -Für Windows 2000 endet am 13. Juli 2010. Die Windows 2000 End-of-Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie unter der Microsoft Support Lifecycle-Richtlinien.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Active Directory ist der zentrale Speicherort, an dem alle Objekte in einem Unternehmen und die dazugehörigen Attribute gespeichert werden. Es ist eine hierarchische, mehrere Master aktivierte Datenbank, Millionen von Objekten gespeichert. Da mehrere master aktiviert ist, können Änderungen an der Datenbank auf einem beliebigen angegebenen Domänencontroller (DC) im Unternehmen unabhängig davon, ob der DC verbunden ist oder vom Netzwerk getrennt verarbeitet werden.

Weitere Informationen

Multimaster-Modell

Ein Multi-master-Datenbank, wie z. B. Active Directory, bietet Flexibilität, so dass Änderungen an jedem Domänencontroller im Unternehmen auftritt, birgt aber auch die Möglichkeit von Konflikten, die potenziell zu Problemen führen kann, wenn die Daten mit dem Rest des Unternehmens repliziert werden. Windows behandelt wurden widersprüchliche Änderungen unidirektional ist, indem er einen Algorithmus zur Konfliktlösung Diskrepanzen in Werte durch Auflösen auf dem DC, Änderungen geschrieben wurden, zuletzt (d. h. "der letzte Writer Wins"), und verwerfen die Änderungen an alle anderen Domänencontroller. Obwohl diese Methode zur Namensauflösung in manchen Fällen akzeptabel sein kann, gibt es Zeiten, wenn Konflikte auflösen mit dem Ansatz "last Writer wins" einfach zu schwierig sind. In solchen Fällen ist es am besten, den Konflikt zu vermeiden, anstatt zu versuchen, es im Nachhinein aufzulösen.

Für bestimmte Arten von, Änderungen wendet Windows Methoden für Active Directory wurden widersprüchliche Änderungen zu verhindern.

Single-Master-Modell

Um Aktualisierungskonflikte in Windows zu vermeiden, führt Active Directory Aktualisierungen an bestimmten Objekten in einem Einzelmastermodell. In einem Einzelmastermodell darf nur ein Domänencontroller im ganzen Verzeichnis Aktualisierungen verarbeiten. Dies ist vergleichbar mit der Rolle auf einem primären Domänencontroller (PDC) in früheren Versionen von Windows (wie z. B. Microsoft Windows NT 3.51 und 4.0), in dem der PDC für die Verarbeitung aller Aktualisierungen in einer bestimmten Domäne verantwortlich ist.

Active Directory erweitert das Einzelmastermodell gefunden, die in früheren Versionen von Windows enthalten mehrere Rollen und die Möglichkeit, Rollen auf jedem Domänencontroller (DC) im Unternehmen übertragen werden. Da die Funktion von Active Directory nicht an einen Domänencontroller gebunden ist, wird es als Flexible Single Master Operation (FSMO) Rolle bezeichnet. In Windows gibt es derzeit fünf FSMO-Funktionen:

  • Schemamaster
  • Domänennamen-master
  • RID-master
  • PDC-emulator
  • Infrastruktur-master

FSMO-Funktion Schemamaster

Der Schema-master-FSMO-Funktionsinhaber ist der DC für Performingupdates im Verzeichnisschema zuständig ist (d. h. das Schema naming Context OrLDAP://cn=schema, Cn = Configuration, dc =<domain>). Dieser Domänencontroller ist diejenige nur Aktualisierungen für das Verzeichnisschema verarbeiten kann. Nachdem das Schema updatewird beendet wurde, wird sie vom Schemamaster auf alle anderen Domänencontroller im Verzeichnis repliziert. Es gibt nur einen Schemamaster pro Verzeichnis.</domain>

Domain Naming Master-FSMO-Funktion

Der Domain naming master FSMO-Funktionsinhaber wird den verantwortlichen Formaking DC gesamtstrukturweiten Domänennamespace des Verzeichnisses ändert (d.h. Partition\Konfiguration-Namenskontext Kontext OrLDAP://CN=Partitions, CN = Configuration, DC =<domain>). Ist dies der einzige, der kann hinzufügen oder entfernen eine Domäne aus dem Verzeichnis. Sie können auch Addor entfernen Sie Querverweise zu Domänen in externen Verzeichnissen.</domain>

RID-Master-FSMO-Funktion

Der RID-master-FSMO-Funktionsinhaber ist der einzelnen DC verantwortlich Forprocessing RID-Pools Anforderungen von allen Domänencontrollern in einer bestimmten Domäne. Es setzung für ein Objekt aus seiner Domäne entfernen und ihn bei einer Objektverschiebung inanother Domäne verantwortlich ist.

Wenn ein Domänencontroller einen Sicherheitsprinzipal-Objekt wie ein Benutzer oder eine Gruppe von Itattaches eine eindeutige Sicherheit Sicherheitskennung (SID) für das Objekt erstellt. Diese SID besteht aus Adomain SID (identisch für alle in einer Domäne erstellten SIDs), und einer relativen ID(RID), die für jede SID eindeutig ist in einer Domäne erstellt.

Jeder Windows-Domänencontroller in einer Domäne wird einen Pool zugeordnet, den er den Sicherheitsprincipals zuweisen RID erstellt. Wenn ein Domänencontroller zugeordnet unterschreitet, DC, RID-Master der Domäne eine Anforderung für zusätzliche RIDs gibt einen Schwellenwert RID-Pool. RID-Master der Domäne antwortet auf die Anforderung, indem er RIDs aus der Domäne nicht zugewiesenen RID-Pool und weist sie dem Pool des anfordernden DC. Es gibt einen RID-Master pro Domäne in einem Verzeichnis.

PDC-Emulator-FSMO-Funktion

Der PDC-Emulator ist notwendig, in einem Unternehmen zu synchronisieren. Windows enthält die W32Time (Windows Zeitdienst), das vom Kerberos-Authentifizierungsprotokoll erforderlich ist. Alle Windows-basierten Computer innerhalb einer Organisation verwenden eine gemeinsame Zeit. Die der Zeitdienst soll sicherstellen, dass der Windows-Zeitdienst eine hierarchische Beziehung, die kontrollieren der Autorität und lässt keine Schleifen verwendet zu entsprechenden Einsatz.

Der PDC-Emulator einer Domäne ist für die Domäne autorisierend. Der PDC-Emulator am Stamm der Gesamtstruktur wird für die gesamte und erfassen die Zeit von einer externen Quelle konfiguriert werden soll. Alle PDC-FSMO Rolleninhaber folgen bei der Auswahl ihrer in Zeitpartner der Domänenhierarchie.

In einer Windows-Domäne behält der Inhaber der PDC-Emulator die folgenden Funktionen:
  • Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden bevorzugt auf den PDC-Emulator repliziert.
  • Fehler bei der Authentifizierung, die auf einem bestimmten Domänencontroller in einer Domäne aufgrund eines fehlerhaften Kennwortes auftreten werden an den PDC-Emulator weitergeleitet, bevor eine Fehlermeldung Ungültiges Kennwort an den Benutzer gemeldet wird.
  • Kontosperrung wird auf dem PDC-Emulator verarbeitet.
  • Der PDC-Emulator führt alle Funktionen, die ein Microsoft Windows NT 4.0-basierter PDC oder einen älteren PDC für Windows NT 4.0- oder früheren Clients ausführt.
Dieser Teil der Funktion der PDC-Emulator wird nicht erforderlich, wenn alle Arbeitsstationen, Mitgliedsserver und Domänencontroller, die unter Windows NT 4.0 oder früher sind alle auf Windows 2000 aktualisiert. Der PDC-Emulator führt noch andere Funktionen, wie in einer Windows 2000-Umgebung beschrieben.

Die folgenden Informationen beschreiben die Änderungen, die während der Aktualisierung auftreten:
  • Windows-Clients (Arbeitsstationen und Mitgliedsserver) und kompatible Clients, auf denen das Clientpaket für verteilte Dienste installiert haben führen Verzeichnisschreibzugriffe (wie z. B. die Änderung von Kennwörtern) bevorzugt auf dem Domänencontroller, der sich als PDC bekannt gemacht hat Sie verwenden alle Domänencontroller für die Domäne.
  • Sobald die Sicherungsdomänencontroller (BDCs) in kompatiblen Domänen auf Windows 2000 aktualisiert werden, erhält der PDC-Emulator keine Anforderungen für kompatible Replikationen.
  • Windows-Clients (Arbeitsstationen und Mitgliedsserver) und kompatible Clients, auf denen das Clientpaket für verteilte Dienste installiert verwenden Active Directory, um Netzwerkressourcen zu suchen. Sie benötigen nicht den Windows NT-Browser-Dienst.

Infrastruktur-FSMO-Funktion

Wenn ein Objekt in einer Domäne durch ein anderes Objekt im Anotherdomain verwiesen wird, dann ist diese Referenz durch die GUID, der SID (für zweiten Sicherheitsprinzipale) und den DN des Objekts, auf die verwiesen wird. Theinfrastructure FSMO-Funktionsinhaber ist der DC, der für die Aktualisierung des Anobject SID und des distinguished Name in einem domänenübergreifenden Objektverweis verantwortlich ist.

Hinweis: der Infrastruktur Master (IM)-Rolle sollte durch einen Domänencontroller, der keinem globalen Katalog server(GC) stattfinden. Wenn der Infrastrukturmaster auf einem Globalkatalogserver ausgeführt wird beendet Objektinformationen aktualisieren, da sie keine Verweise auf Objekte enthält, die er nicht enthält. Dies ist ein Globalkatalogserver ein Teilreplikat jedes Objekts in der Gesamtstruktur enthält. Daher verweist Cross-Domain-Objekt, dass Domäne nicht aktualisiert wird, und eine Warnung zu diesem Zweck im Ereignisprotokoll des DC protokolliert.

Wenn alle Domänencontroller in einer Domäne, auch den globalen Katalog hosten, die Domänencontroller haben die aktuellen Daten, und es ist unwichtig, welcher Domänencontroller die Funktion des Infrastrukturmasters ausübt.

Wenn die Funktion Recycle Bin aktiviert ist, ist jeder DC seine domänenübergreifende Objektreferenzen aktualisieren, wenn das Objekt verschoben, umbenannt oder gelöscht wird verantwortlich. In diesem Fall gibt es keine Aufgaben im Zusammenhang mit der Infrastruktur-FSMO-Rolle, und es ist unwichtig, welcher Domänencontroller die Funktion des Infrastrukturmasters hat. Weitere Informationen finden Sie unter 6.1.5.5 Infrastruktur-FSMO-Rolle auf http://msdn.Microsoft.com/en-us/library/cc223753.aspx

Eigenschaften

Artikel-ID: 197132 - Geändert am: Mittwoch, 23. April 2014 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter x64 Edition
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise x64 Edition
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows Server 2012 Standard
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows Server 2012 R2 Standard
Keywords: 
kbinfo kbmt KB197132 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 197132
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com