Windows 2000 Active Directory - FSMO-Funktionen

Das Microsoft Windows 2000 Active Directory ist der zentrale Speicherort, an dem alle Objekte eines Unternehmens und die dazugehörigen Attribute gespeichert werden. Dabei handelt es sich um eine hierarchische, für mehrere Master aktivierte Datenbank (Multimaster), in der Millionen von Objekten gespeichert werden können. Da die Datenbank für mehrere Master aktiviert ist, können Änderungen der Datenbank auf jedem beliebigen Domänencontroller (DC) im Unternehmen verarbeitet werden, unabhängig davon, ob der DC mit dem Netzwerk verbunden oder von ihm getrennt ist.

Windows 2000-Multimaster-Modell

Eine für mehrere Master aktivierte Datenbank (Multimaster), wie das Active Directory, bietet Flexibilität, so dass Änderungen an jedem Domänencontroller im Unternehmen zulässig sind. Dabei können jedoch gegebenenfalls Konflikte auftreten, die nach dem Replizieren der Daten im übrigen Unternehmen Probleme verursachen können. Bei Aktualisierungen, die Konflikte verursachen, besteht eine Möglichkeit der Konfliktlösung darin, dass Windows 2000 einen Algorithmus zur Konfliktlösung einsetzt. Dieser behandelt unterschiedliche Werte, indem er den Konflikt zu Gunsten des Domänencontrollers auflöst, auf den zuletzt Änderungen geschrieben wurden (d. h. die letzte Änderung hat Vorrang), die Änderungen auf allen anderen DCs werden in diesem Fall verworfen. Fälle, in denen Konflikte komplex sind und nicht einfach mit dem Verfahren "die jüngste Änderung gewinnt" gelöst werden können. In diesen Fällen ist es besser, den Konflikt von vornherein zu vermeiden, statt eine Konfliktlösung nach dem Auftreten zu versuchen.

Für bestimmte Arten von Änderungen wendet Windows 2000 Methoden an, die verhindern, dass Aktualisierungen von Active Directory vorgenommen werden, die Konflikte verursachen.

Windows 2000 Einzelmastermodell

Um zu verhindern, dass bei Aktualisierungen in Windows 2000 Konflikte auftreten, führt das Active Directory Aktualisierungen für bestimmte Objekte nach dem Einzelmastermodell durch. In einem Einzelmastermodell darf nur ein Domänencontroller im ganzen Verzeichnis Aktualisierungen verarbeiten. Dieses Modell ähnelt der Funktion, die in früheren Versionen von Windows (wie Microsoft Windows NT 3.51 und 4.0) der primäre Domänencontroller (PDC - Primary Domain Controller) ausübte, wobei der PDC für die Verarbeitung aller Aktualisierungen in einer Domäne verantwortlich war.

Mit Windows 2000 Active Directory wird das Einzelmastermodell der früheren Versionen von Windows erweitert, so dass jetzt mehrere Funktionen ausgeführt werden und Funktionen auf einen beliebigen Domänencontroller (DC) im Unternehmen übertragen werden können. Eine Funktion von Active Directory ist also nicht an einen Domänencontroller gebunden, dementsprechend wird sie als FSMO-Funktion (FSMO - Flexible Single Master Operation) bezeichnet. Momentan gibt es in Windows 2000 die folgenden fünf FSMO-Funktionen:

• Schemamaster
• Domänennamen-Master
• RID-Master
• PDC-Emulator
• Infrastrukturdaemon

Die FSMO-Funktion Schemamaster

Der Inhaber der FSMO-Funktion Schemamaster ist der DC, der für das Ausführen von Aktualisierungen im Verzeichnisschema zuständig ist (d. h. der Schemanamenkontext oder LDAP://cn=schema,cn=configuration,dc=<Domäne>). Dabei handelt es sich um den einzigen DC, der Aktualisierungen für das Verzeichnisschema verarbeiten kann. Wenn die Schemaaktualisierung abgeschlossen ist, wird sie vom Schemamaster aus auf alle anderen Domänencontroller im Verzeichnis repliziert. In einem Verzeichnis gibt es immer nur einen Schemamaster.

Die FSMO-Funktion Domänennamen-Master

Der Inhaber der FSMO-Funktion Domänennamen-Master ist der Domänencontroller, der für das Ausführen von Änderungen im gesamtstrukturübergreifenden Domänennamespace des Verzeichnisses zuständig ist (d.h. Partition\Konfiguration-Namenskontext oder LDAP://CN=Partitions, CN=Configuration, DC=<Domäne>). Nur dieser Domänencontroller kann eine Domäne zum Verzeichnis hinzufügen oder aus diesem entfernen. Er kann auch Querverweise zu Domänen in externen Verzeichnissen hinzufügen oder aus diesen entfernen.

Die FSMO-Funktion RID-Master

Der Inhaber der FSMO-Funktion RID-Master ist der DC, der für das Verarbeiten von Anforderungen für den RID-Pool von allen DCs in einer bestimmten Domäne zuständig ist. Darüber hinaus ist er dafür zuständig, ein Objekt aus seiner Domäne zu entfernen und es bei einer Objektverschiebung in eine andere Domäne zu versetzen.

Wenn ein Domänencontroller ein Sicherheitsprincipalobjekt erstellt, wie z. B. einen Benutzer oder eine Gruppe, dann hängt er dem Objekt eine eindeutige Sicherheitskennung (SID) an. Diese SID besteht aus einer Domänen-SID (die für alle SIDs identisch ist, die in einer Domäne erstellt werden) und einer RID (Relative ID), die für jede SID, die in einer Domäne erstellt wird, eindeutig ist.

Jedem Windows 2000-Domänencontroller in einer Domäne wird ein RID-Pool zugeordnet, den er den Sicherheitsprincipals zuweisen kann, die er erstellt. Wenn der einem Domänencontroller zugewiesene RID-Pool einen Grenzwert unterschreitet, dann sendet der DC dem RID-Master der Domäne eine Anforderung für zusätzliche RIDs. Der RID-Master der Domäne antwortet auf die Anforderung, indem er RIDs aus dem Pool der nicht zugeordneten RIDs der Domäne abruft und diese dem Pool des DCs zuweist, vom dem die Anforderung kam. In einem Verzeichnis gibt es immer nur einen RID-Master pro Domäne.

Die FSMO-Funktion PDC-Emulator

Der PDC-Emulator wird für die Synchronisierung der Uhrzeit innerhalb einer Firmenumgebung benötigt. Windows enthält "W32Time" (Windows Zeitdienst), das vom Kerberos-Authentifizierungsprotokoll benötigt wird. Alle Windows 2000-Computer innerhalb einer Firmenumgebung verwenden die gleiche Uhrzeit. Der Einsatz eines Zeitdienstes gewährleistet, dass der Windows Zeitdienst eine hierarchische Kontrollinstanz verwendet und dass beim Zeitabgleich keine unnötigen Verzögerungen auftreten.

Der PDC-Emulator einer Domäne ist für die Domäne zuständig. Der PDC-Emulator am Stamm der Gesamtstruktur ist für die gesamte Firmenumgebung zuständig und sollte so konfiguriert sein, dass er die Zeit mit einer externen Quelle abgleicht. Alle PDC-FSMO Rolleninhaber folgen bei der Auswahl ihrer eingehenden Zeitpartner der Domänenhierarchie.

In einer Windows 2000-Domäne ist der Inhaber der Funktion des PDC-Emulators für folgende Funktionen zuständig:

• Kennwortänderungen, die von anderen Domänencontrollern in der Domäne ausgeführt werden, werden bevorzugt auf den PDC-Emulator repliziert.
• Fehler bei der Authentifizierung, die auf einem bestimmten Domänencontroller in einer Domäne aufgrund eines fehlerhaften Kennwortes auftreten, werden dem PDC-Emulator weitergeleitet, bevor dem Benutzer eine Meldung zu einem Kennwortfehler angezeigt wird.
• Die Kennwortsperrung wird auf dem PDC-Emulator verarbeitet.
• Der PDC-Emulator übernimmt alle Aufgaben, die ein Microsoft Windows NT 4.0-basierter PDC (oder früher) für alle Windows NT 4.0-Clients (oder früher) ausfüllt.

Beachten Sie, dass die Rolle des PDC-Emulators überflüssig wird, wenn alle Arbeitsstationen, Mitgliedsserver und Domänencontroller von Windows NT 4.0 (oder früher) auf Windows 2000 aktualisiert werden. Der PDC-Emulator erfüllt weiterhin einige andere Funktionen, die in der Windows 2000-Umgebung definiert werden.

Die folgenden Informationen enthalten die Änderungen, die während der Aktualisierung auftreten:

• Windows 2000-Clients (Arbeitsstationen und Mitgliedsserver) und kompatible Clients, auf denen das Clientpaket für verteilte Dienste installiert ist, führen Verzeichnisschreibzugriffe (wie z. B. die Änderung von Kennwörtern) nicht bevorzugt auf dem Domänencontroller durch, der sich als PDC bekannt gemacht hat. Sie verwenden dazu einen beliebigen Domänencontroller der Domäne.
• Wenn die Sicherungsdomänencontroller (BDCs) in kompatiblen Domänen auf Windows 2000 aktualisiert werden, dann gehen beim PDC-Emulator keine Anforderungen für kompatible Replikationen mehr ein.
• Windows 2000-Clients (Arbeitsstationen und Mitgliedsservices) und kompatible Clients, auf denen das Clientpaket für verteilte Dienste installiert ist, verwenden das Active Directory, um Netzwerkressourcen zu suchen. Sie benötigen nicht den Windows NT-Suchdienst.

Die FSMO-Funktion Infrastruktur-Daemon

Wenn auf ein Objekt in einer Domäne durch ein anderes Objekt in einer anderen Domäne verwiesen wird, dann ist diese Referenz in der GUID (Globally Unique Identifier), der SID (für Verweise auf Sicherheitsprincipals) und im DN (Distinguished Name) des Objekts vertreten, auf das verwiesen wird. Der Inhaber der FSMO-Funktion Infrastruktur ist der DC, der dafür verantwortlich ist, die SID eines Objekts und dessen DN in einer domänenübergreifenden Referenz zu aktualisieren.

Hinweis: Die Infrastructure Master (IM)-Rolle sollte von einem Domänencontroller ausgeführt werden, der kein globaler Katalog-Server (Global Catalog, GC) ist. Wenn der Infrastructure Master auf einem GC-Server ausgeführt wird, werden die Objektinformationen nicht mehr aktualisiert, da der Infrastructure Master keine Verweise auf Objekte speichert, die er nicht enthält. Das liegt daran, dass der GC-Server eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat. Wenn diese Rolle von einem GC-Server übernommen wird, werden die domänenübergreifenden Objektreferenzen in dieser Domäne nicht aktualisiert, und in das Ereignisprotokoll des Domänencontrollers wird eine entsprechende Warnung protokolliert.

Falls alle Domänencontroller in einer Domäne den globalen Katalog hosten, haben alle Domänencontroller die aktuellsten Daten. Es spielt dann keine Rolle, welchem Domänencontroller die Infrastructure Master-Rolle zugewiesen wird.