Active Directory-FSMO-Rollen in Windows

  • Artikel

Dieser Artikel hilft Ihnen hauptsächlich, mehr über die Rollen des flexiblen Einzelmastervorgangs (Flexible Single Master Operation, FSMO) in Active Directory zu erfahren.

Gilt für: Windows 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022
Ursprüngliche KB-Nummer: 197132

Zusammenfassung

Active Directory ist das zentrale Repository, in dem alle Objekte in einem Unternehmen und ihre jeweiligen Attribute gespeichert werden. Es ist eine hierarchische, multimasterfähige Datenbank, die Millionen von Objekten speichern kann. Änderungen an der Datenbank können auf einem beliebigen Domänencontroller (DC) im Unternehmen verarbeitet werden, unabhängig davon, ob der DC mit dem Netzwerk verbunden oder getrennt ist.

Multimastermodell

Eine Multimaster-fähige Datenbank, z. B. Active Directory, bietet die Flexibilität, Änderungen an allen DC im Unternehmen zuzulassen. Aber es führt auch zur Möglichkeit von Konflikten, die potenziell zu Problemen führen können, sobald die Daten in den Rest des Unternehmens repliziert werden. Eine Art, wie Windows mit widersprüchlichen Updates umgeht, besteht darin, dass ein Konfliktlösungsalgorithmus Abweichungen in Werten behandelt. Dies geschieht durch Auflösen auf den DC, an dem die Änderungen zuletzt geschrieben wurden. Das ist das Prinzip Letzter Schreiber gewinnt. Die Änderungen in allen anderen DCs werden verworfen. Obwohl diese Methode in einigen Fällen akzeptabel sein kann, gibt es Situationen, in denen Konflikte mithilfe des Ansatzes Letzter Schreiber gewinnt zu schwierig zu lösen sind. In solchen Fällen ist es am besten, den Konflikt zu verhindern, anstatt zu versuchen, ihn zu lösen, nachdem er entstanden ist.

Für bestimmte Arten von Änderungen enthält Windows Methoden, um konfliktverursachende Active Directory-Updates zu verhindern.

Single Master-Modell

Um widersprüchliche Aktualisierungen in Windows zu verhindern, führt Active Directory Aktualisierungen für bestimmte Objekte nach Art eines Single Master aus. In einem Single Master-Modell darf nur ein DC im gesamten Verzeichnis Updates verarbeiten. Sie ähnelt der Rolle eines primären Domänencontrollers (PDC) in früheren Versionen von Windows, z. B. Microsoft Windows NT 3.51 und 4.0. In früheren Versionen von Windows ist der PDC für die Verarbeitung aller Updates in einer bestimmten Domäne verantwortlich.

Active Directory erweitert das in früheren Versionen von Windows vorhandene Single-Master-Modell um mehrere Rollen und die Möglichkeit, Rollen an beliebige DC im Unternehmen zu übertragen. Da eine Active Directory-Rolle nicht an einen einzelnen DC gebunden ist, wird sie als FSMO-Rolle bezeichnet. Derzeit gibt es in Windows fünf FSMO-Rollen:

  • Schemamaster
  • Domänennamenmaster
  • RID-Master
  • PDC-Emulator
  • Infrastrukturmaster

In der Regel wird ein FSMO-Rollenbesitz nur ausgeführt, wenn der Domänencontroller den Namenskontext (NC) repliziert hat, in dem der Besitz seit dem Beginn des Verzeichnisdiensts gespeichert ist. Stellen Sie sicher, dass eine Übernahme einer FSMO-Rolle den vorherigen Besitzer erreicht, bevor die Rolle verwendet wird.

Schemamaster-FSMO-Rolle

Der Schemamaster-FSMO-Rolleninhaber ist der DC, der für die Aktualisierung des Verzeichnisschemas, d. h. den Schema-Namenskontext oder LDAP://cn=schema,cn=configuration,dc=<Domäne> verantwortlich ist. Dieser DC ist der einzige, der Aktualisierungen des Verzeichnisschemas verarbeiten darf. Sobald die Schemaaktualisierung abgeschlossen ist, wird sie vom Schemamaster auf alle anderen DCs im Verzeichnis repliziert. Es gibt nur einen Schemamaster pro Gesamtstruktur.

Anfängliche Replikations- und Konnektivitätsanforderungen

  • Dieser FSMO-Rolleninhaber ist nur aktiv, wenn der Rollenbesitzer den Schema-NC seit dem Start des Verzeichnisdiensts erfolgreich eingehend repliziert hat.
  • DCs und Mitglieder der Gesamtstruktur wenden sich nur an die FSMO-Rolle, wenn sie das Schema aktualisieren.

Domänennamenmaster-FSMO-Rolle

Der FSMO-Rolleninhaber für den Domänennamen-Master ist der DC, der für Änderungen am Domänennamensraum in der Gesamtstruktur des Verzeichnisses verantwortlich ist, d. h. der Benennungskontext für Partitionen und Konfiguration oder LDAP://CN=Partitions, CN=Configuration, DC=<Domäne>. Dieser DC ist der einzige, der eine Domäne zum Verzeichnis hinzufügen oder daraus entfernen kann. Er kann auch Querverweise auf Domänen in externen Verzeichnissen hinzufügen oder entfernen.

Anfängliche Replikations- und Konnektivitätsanforderungen

  • Dieser FSMO-Rolleninhaber ist nur aktiv, wenn der Rollenbesitzer den Konfigurations-NC seit dem Start des Verzeichnisdiensts erfolgreich eingehend repliziert hat.

  • Domänenmitglieder der Gesamtstruktur wenden sich nur an den FSMO-Rolleninhaber, wenn sie die Querverweise aktualisieren. DCs wenden sich in folgenden Fällen an den FSMO-Rolleninhaber:

    • Domänen werden in der Gesamtstruktur hinzugefügt oder entfernt.
    • Neue Instanzen von Partitionen im Anwendungsverzeichnis auf DCs werden hinzugefügt. Beispielsweise wurde ein DNS-Server für die standardmäßigen DNS-Anwendungsverzeichnispartitionen in die Liste aufgenommen.

RID-Master-FSMO-Rolle

Der Besitzer der RID-Master-FSMO-Rolle ist der einzige DC, der für die Bearbeitung von RID-Pool-Anfragen von allen DCs innerhalb einer bestimmten Domäne zuständig ist. Er ist auch dafür zuständig, dass ein Objekt bei einer Objektverschiebung aus seiner Domäne entfernt und in eine andere Domäne verschoben wird.

Wenn ein DC ein Sicherheitsprinzipalobjekt erstellt, z. B. einen Benutzer oder eine Gruppe, fügt er eine eindeutige Sicherheits-ID (SID) an das Objekt an. Diese SID besteht aus:

  • Einer Domänen-SID, die für alle in einer Domäne erstellten SIDs identisch ist.
  • Einer relativen ID (RID), die für jede in einer Domäne erstellte Sicherheitsprinzipal-SID spezifisch ist.

Jedem Windows DC in einer Domäne wird ein Pool von RIDs zugewiesen, die er an die von ihm erstellten Sicherheitsprinzipale zuweisen darf. Wenn der einem DC zugewiesene RID-Pool unter einen Schwellenwert fällt, stellt dieser DC eine Anforderung für zusätzliche RIDs an den RID-Master der Domäne. Der RID-Master der Domäne antwortet auf die Anfrage, indem er RIDs aus dem nicht zugewiesenen RID-Pool der Domäne abruft und sie dem Pool des anfragenden DCs zuweist. In einem Verzeichnis gibt es einen RID-Master pro Domäne.

Anfängliche Replikations- und Konnektivitätsanforderungen

  • Dieser FSMO-Rolleninhaber ist nur aktiv, wenn der Rollenbesitzer den Domänen-NC seit dem Beginn des Verzeichnisdiensts erfolgreich eingehend repliziert hat.
  • DCs kontaktieren den Besitzer der FSMO-Rolle, wenn sie einen neuen RID-Pool abrufen. Der neue RID-Pool wird den DCs über die AD-Replikation zur Verfügung gestellt.

PDC-Emulator FSMO-Rolle

Der PDC-Emulator ist notwendig, um die Zeit innerhalb eines Unternehmens zu synchronisieren. Windows enthält den Zeitdienst W32Time (Windows-Zeitdienst), der für das Kerberos-Authentifizierungsprotokoll erforderlich ist. Alle Windows-basierten Computer innerhalb eines Unternehmens verwenden eine gemeinsame Zeit. Der Zweck des Zeitdienstes ist es, sicherzustellen, dass der Windows-Zeitdienst eine hierarchische Beziehung verwendet, die die Autorität kontrolliert. Er lässt keine Schleifen zu, um eine angemessene Nutzung der gemeinsamen Zeit zu gewährleisten.

Der PDC-Emulator einer Domäne ist für die Domäne autoritativ. Der PDC-Emulator in der Gesamtstruktur ist für das Unternehmen autoritativ und sollte so konfiguriert werden, dass er die Zeit von einer externen Quelle bezieht. Alle Besitzer der PDC-FSMO-Rolle richten sich bei der Auswahl ihres Inbound-Zeitpartners nach der Hierarchie der Domänen.

In einer Windows-Domäne behält der Besitzer der PDC-Emulatorrolle die folgenden Funktionen bei:

  • Kennwortänderungen, die von anderen DCs in der Domäne durchgeführt werden, werden in erster Linie auf den PDC-Emulator repliziert.
  • Wenn die Authentifizierung an einem bestimmten DC aufgrund eines falschen Kennworts fehlschlägt, werden die Fehler an den PDC-Emulator weitergeleitet, bevor dem Benutzer eine Fehlermeldung über ein falsches Kennwort mitgeteilt wird.
  • Eine Kontosperrung erfolgt über den PDC-Emulator.
  • Der PDC-Emulator führt alle Funktionen aus, die ein Windows NT 4.0 Server-basierter PDC oder ein früherer PDC für Windows NT 4.0-basierte oder frühere Clients ausführt.

Dieser Teil der PDC-Emulatorrolle wird in der folgenden Situation überflüssig:
Alle Arbeitsstationen, Mitgliedsserver und Domänencontroller (DCs), auf denen Windows NT 4.0 oder früher ausgeführt wird, werden auf Windows 2000 aktualisiert.

Der PDC-Emulator übernimmt weiterhin die übrigen Funktionen wie in einer Windows 2000-Umgebung beschrieben.

Die folgenden Informationen beschreiben die Änderungen, die während des Upgradeprozesses auftreten:

  • Windows-Clients (Arbeitsstationen und Mitgliedsserver) und untergeordnete Clients, die das Client-Paket für verteilte Dienste installiert haben, führen Verzeichnisschreibvorgänge (z. B. Kennwortänderungen) nicht bevorzugt an dem DC aus, der sich selbst als PDC angekündigt hat. Sie verwenden einen beliebigen DC für die Domäne.
  • Sobald Sicherungsdomänencontroller (BDCs) in untergeordneten Domänen auf Windows 2000 aktualisiert wurden, erhält der PDC-Emulator keine Replikatanforderungen für untergeordnete Domänen.
  • Windows-Clients (Arbeitsstationen und Mitgliedsserver) und untergeordnete Clients, die das Client-Paket für verteilte Dienste installiert haben, verwenden das Active Directory, um Netzwerkressourcen zu finden. Sie benötigen keinen Windows NT Browserdienst.

Anfängliche Replikations- und Konnektivitätsanforderungen

  • Der Besitzer dieser FSMO-Rolle ist immer dann aktiv, wenn der PDC-Emulator das fSMORoleOwner-Attribut des Domänen-NC-Kopfes findet, das auf sich selbst verweist. Eine eingehende Replikation ist nicht erforderlich.

  • Die DCs kontaktieren den Besitzer der FSMO-Rolle, wenn sie ein neues Kennwort haben oder die lokale Kennwortüberprüfung fehlschlägt. Es tritt kein Fehler auf, wenn der PDC-Emulator nicht erreicht werden kann oder der Registrierungswert auf 1 gesetzt ist. AvoidPdcOnWan

  • Sie können mit dem folgenden Cmdlet die Voraussetzungen für die Herunterstufung eines DC durchführen.

    PS C:\Users\Capecodadmin> Test-ADDSDomainControllerUninstallation -DemoteOperationMasterRole |fl

    Nachfolgend ein Beispiel für eine Meldung, wenn der PDC-Emulator nicht erreicht werden kann.

    Meldung: Fehler bei der Überprüfung der Voraussetzungen für die Heraufstufung des Domänencontrollers. Sie haben angegeben, dass dieser Active Directory-Domänencontroller nicht der letzte Domänencontroller für die Domäne „contoso.com“ ist. Es kann jedoch kein anderer Domänencontroller für diese Domäne kontaktiert werden. Wenn Sie fortfahren, gehen alle Änderungen der Active Directory-Domänendienste, die auf diesem Domänencontroller vorgenommen wurden, verloren. Um trotzdem fortzufahren, wählen Sie die Option "IgnoreLastDCInDomainMismatch".
    Kontext: Test.VerifyDcPromoCore.DCPromo.General.50
    Reboot erforderlich: Falsch
    Status: Fehler

Infrastrukturmaster-FSMO-Rolle

Wenn auf ein Objekt in einer Domäne von einem anderen Objekt in einer anderen Domäne verwiesen wird, stellt es den Verweis wie folgt dar:

  • Die GUID
  • Die SID (für Verweise auf Sicherheitsprinzipale)
  • Der DN des Objekts, auf das verwiesen wird

Der Infrastruktur-FSMO-Rolleninhaber ist der DC, der für die Aktualisierung der SID und des unterscheidenden Namens eines Objekts in einem domänenübergreifenden Objektverweis verantwortlich ist.

Hinweis

Die Infrastrukturmasterrolle (Infrastructure Master, IM) sollte von einem DC gehalten werden, bei dem es sich nicht um einen Globalen Katalogserver (Global Catalog Server, GC) handelt. Wenn der Infrastrukturmaster auf einem globalen Katalogserver ausgeführt wird, werden die Objektinformationen nicht mehr aktualisiert, da der Infrastrukturmaster keine Verweise auf Objekte enthält, die sich nicht darin befinden. Das liegt daran, dass der globale Katalogserver eine partielle Kopie von jedem Objekt der Gesamtstruktur gespeichert hat. Daher werden domänenübergreifende Objektverweise in dieser Domäne nicht aktualisiert, und es wird eine diesbezügliche Warnung im Ereignisprotokoll dieses DC protokolliert.

Wenn alle DCs in einer Domäne auch den globalen Katalog hosten, verfügen alle DCs über die aktuellen Daten. Es ist nicht wichtig, welche DC die Infrastrukturmasterrolle besitzt.

Wenn die optionale Funktion „Papierkorb“ aktiviert ist, ist jeder DC dafür verantwortlich, seine domänenübergreifenden Objektverweise zu aktualisieren, wenn das Objekt, auf das verwiesen wird, verschoben, umbenannt oder gelöscht wird. In diesem Fall sind der Infrastruktur-FSMO-Rolle keine Aufgaben zugeordnet. Und es ist nicht wichtig, welcher Domänencontroller die Infrastrukturmasterrolle besitzt. Weitere Informationen finden Sie unter 6.1.5.5 Infrastructure FSMO Role.

Anfängliche Replikations- und Konnektivitätsanforderungen

  • Dieser FSMO-Rolleninhaber ist nur aktiv, wenn der Rollenbesitzer den Domänen-NC seit dem Beginn des Verzeichnisdiensts erfolgreich eingehend repliziert hat.
  • Für den Inhaber dieser FSMO-Rolle ist keine Konnektivität erforderlich. Es handelt sich um eine interne Bereinigungsfunktion der Gesamtstruktur.